Die DSGVO sieht vor, dass Unternehmer ein Verzeichnis von Verarbeitungstätigkeiten (VVT) führen (Art. 30 DSGVO). In diesem zweiten Teil zum VVT erfahren Sie, wie der Inhalt eines VVT aussehen muss.
Lesen Sie hier den Teil 1 der VVT-Serie zur Pflicht ein VVT zu führen.
Wie ist ein VVT aufgebaut?
Die Pflicht, ein VVT zu führen, wird in Art. 30 DSGVO festgehalten. Das Verzeichnis bildet den Kern jedes Datenschutzmanagementsystems (DSMS) und ermöglicht eine Übersicht über alle in einem Unternehmen stattfindenden Verarbeitungsvorgänge.
Dazu enthält ein VVT im Groben zwei Teile: Zum einen grundsätzliche Daten wie Name und Kontaktdaten des Verantwortlichen oder des Auftragsverarbeiters und zum anderen die einzelnen Verarbeitungstätigkeiten. Dabei sind die Pflichtinhalte für das Verzeichnis eines Auftragsverarbeiters etwas weniger (Art. 30 II DSGVO) als bei einem Verantwortlichen (Art. 30 I DSGVO). Dies liegt vor allem an der Weisungsgebundenheit. Mehr zur Unterscheidung zwischen Verantwortlichem und Auftragsverarbeiter erfahren Sie hier.
Wie legt man ein VVT an?
Egal ob Sie Verantwortlicher oder Auftragsverarbeiter sind: In diesen drei einfachen Schritten lässt sich Ihr VVT anlegen.
Schritt 1: Grundsätzliche Daten im VVT
Das Verzeichnis enthält als erstes die grundsätzlichen Daten zu demjenigen, der das VVT erstellt.
Ein Verantwortlicher gibt hier seinen Namen und seine Kontaktdaten sowie die seiner Vertreter an. Sind mehrere verantwortlich, müssen diese Angaben zu allen Verantwortlichen gemacht werden. Besteht die Pflicht zur Ernennung eines Datenschutzbeauftragten, sind auch dessen Namen und Kontaktdaten zu nennen.
Ein Auftragsverarbeiter muss neben eigenem Namen und Kontaktdaten auch die des jeweiligen Auftragsgebers und ggf. dessen Datenschutzbeauftragten nennen.
Schritt 2: Verarbeitungstätigkeiten im VVT
Als zweites enthält das Verzeichnis eine Auflistung aller stattfindenden Verarbeitungstätigkeiten. Verarbeitungen sind in Art. 4 Nr. 2 DSGVO definiert. Dabei muss sich der Verfasser des Verzeichnisses zunächst vor Augen führen, welche Verarbeitungsvorgänge in welchen Bereichen seines Unternehmens anfallen. Auch ist zu bedenken, welche Software genutzt wird und inwiefern diese personenbezogene Daten verarbeitet. Das VVT darf dabei auch zur Übersichtlichkeit in übergeordnete Gruppen unterteilt werden.
Spätestens ab diesem Schritt lohnt es sich, einen Datenschutzbeauftragten hinzuzuziehen. Besonders ein externer Datenschutzbeauftragter kann hier von außen einen besseren Überblick über sämtliches Geschehen haben.
Schritt 3: Verarbeitungstätigkeiten konkretisieren
Zu den einzelnen Verarbeitungstätigkeiten müssen verpflichtend auch noch die jeweiligen konkretisierenden Angaben aus Art. 30 DSGVO gemacht werden.
Ein Verantwortlicher muss folgendes angeben: Zwecke der Verarbeitung, Kategorien der Betroffenen, der Daten und der Empfänger, ggf. Angaben zur Übermittlung in Drittländer, Lösch-/Aufbewahrungsfristen, technisch-organisatorische Maßnahmen (TOM). Bei diesen Angaben kann auch auf bereits bestehende Dokumente wie Übersicht über TOMs (Sicherheitskonzept), Datenschutz-Folgenabschätzung, Datenschutz- oder Löschkonzept verwiesen werden.
Ein Auftragsverarbeiter muss nur die Kategorien von Verarbeitungen, die er im Auftrag des jeweiligen Verantwortlichen durchführt, angeben. Für sein VVT gelten zudem keine Löschfristen.
Was sonst noch zu beachten ist
Das VVT muss schriftlich geführt werden. Dazu genügt auch die elektronische Form. Eine Offenlegungspflicht besteht nur, wenn die Aufsichtsbehörde dies verlangt. Kommt es zu Auskunftsverlangen von Betroffenen kann das VVT intern als Hilfestellung herangezogen werden.
Das VVT muss vom Verfasser aktuell gehalten und regelmäßig aktualisiert werden. Es empfiehlt sich, Änderungen so vorzunehmen, dass sie im Nachhinein noch eine Zeit lang nachverfolgbar sind.
Für ein vorbildliches VVT ist es sinnvoll, einen Datenschutzbeauftragten zu bestellen. Wir bieten uns als externer Datenschutzbeauftragter an. Kontaktieren Sie uns gerne auch in anderen Angelegenheiten rund um Datenschutz! Unser Team an Experten hilft Ihnen gerne mit einer individuellen Lösung weiter.