D.4. Das Verzeichnis von Verarbeitungstätigkeiten

D.4. Das Verzeichnis von Verarbeitungstätigkeiten

Neu durch die Datenschutz-Grundverordnung (DS-GVO) ist die Verpflichtung zur Erstellung eines
Verzeichnis von Verarbeitungstätigkeiten (VVT). In diesem Verzeichnis wird protokolliert, in
welchem Zusammenhang mit personenbezogenen Daten gearbeitet wird.

Pflicht zur Erstellung durch Verantwortliche

Das VVT hilft den Verantwortlichen einen Überblick zu bekommen, welche personenbezogene
Daten in der Organisation verarbeitet werden. Die Pflicht zur Erstellung trifft die Verantwortlichen.
Eine Person ist verantwortlich, wenn sie allein oder gemeinsam mit anderen über die Zwecke und
Mittel der Verarbeitung von personenbezogene Daten entscheidet.

Das VVT muss erstellt werden:

  • wenn mindestens 250 Mitarbeiter beschäftigt werden oder
  • die Verarbeitungen mit Risiko für Betroffenenrechte verbunden ist oder
  • eine regelmäßige Verarbeitung stattfindet oder
  • besondere Datenkategorien verarbeitet werden.

Wenn ein Unternehmen regelmäßig NutzerInnen-Feedbacks verarbeitet oder einen Newsletter nutzt,
muss ein VVT erstellt werden. Sollten Sie z. B. einen Verein führen und Mitgliederdaten
verarbeiten (also z. B. erheben und speichern für die Mitgliederverwaltung und die
Mitgliedsbeiträge), dann müssen Sie ein VVT erstellen.

Das VVT ist nicht öffentlich

Das VVT dient zum einen der internen Dokumentation und Qualitätskontrolle und zum anderen
wird gegenüber der Aufsichtsbehörde der rechtmäßige Umgang mit personenbezogene Daten
nachgewiesen. Das VVT ist nicht öffentlich und Betroffene haben kein Recht auf Einsicht in das
Verzeichnis. Nur der Datenschutzbehörde ist auf Anfrage das VVT zur Verfügung zu stellen, damit
sich die Datenschutzaufsichtsbehörde ein Bild von den Verarbeitungstätigkeiten der Organisation
verschaffen kann.

Form und Inhalt des VVT

Das Verzeichnis ist im schriftlichen oder elektronischen Format zu führen. Im Verzeichnis müssen
mindestens die gesetzlich durch die DS-GVO genannten Bestandteile enthalten sein. Die
Mindestbestandteile des VVT sind z. B.:

(1) Namen und Kontaktdaten des Verantwortlichen sowie eines etwaigen
Datenschutzbeauftragten,

(2) die Zwecke der Verarbeitung,

(3) eine Beschreibung der Kategorien betroffener Personen und der Kategorien
personenbezogener Daten,

(4) die Kategorien von Empfängern von Daten, einschließlich Empfänger in Drittländern oder
internationalen Organisationen,

(5) gegebenenfalls Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine
internationale Organisation und

(6) wenn möglich, die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien.

Eine Mustervorlage für ein Verzeichnis von Verarbeitungstätigkeiten finden Sie auf den Seiten der
Datenschutzaufsicht der einzelnen Bundesländer. Zu empfehlen ist die Seite des Bayerischen
Landesamtes für Datenschutzaufsicht.