D.4. Das Verzeichnis von Verarbeitungstätigkeiten

Neu durch die Datenschutz-Grundverordnung (DS-GVO) ist die Verpflichtung zur Erstellung eines Verzeichnis von Verarbeitungstätigkeiten (VVT). In diesem Verzeichnis wird protokolliert, in welchem Zusammenhang mit personenbezogenen Daten gearbeitet wird.

Pflicht zur Erstellung durch Verantwortliche

Das VVT hilft den Verantwortlichen einen Überblick zu bekommen, welche personenbezogene Daten in der Organisation verarbeitet werden. Die Pflicht zur Erstellung trifft die Verantwortlichen. Eine Person ist verantwortlich, wenn sie allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogene Daten entscheidet.

Das VVT muss erstellt werden:

  • wenn mindestens 250 Mitarbeiter beschäftigt werden oder
  • die Verarbeitungen mit Risiko für Betroffenenrechte verbunden ist oder
  • eine regelmäßige Verarbeitung stattfindet oder
  • besondere Datenkategorien verarbeitet werden.

Wenn ein Unternehmen regelmäßig NutzerInnen-Feedbacks verarbeitet oder einen Newsletter nutzt, muss ein VVT erstellt werden. Sollten Sie z. B. einen Verein führen und Mitgliederdaten verarbeiten (also z. B. erheben und speichern für die Mitgliederverwaltung und die Mitgliedsbeiträge), dann müssen Sie ein VVT erstellen.

Das VVT ist nicht öffentlich

Das VVT dient zum einen der internen Dokumentation und Qualitätskontrolle und zum anderen wird gegenüber der Aufsichtsbehörde der rechtmäßige Umgang mit personenbezogene Daten nachgewiesen. Das VVT ist nicht öffentlich und Betroffene haben kein Recht auf Einsicht in das Verzeichnis. Nur der Datenschutzbehörde ist auf Anfrage das VVT zur Verfügung zu stellen, damit sich die Datenschutzaufsichtsbehörde ein Bild von den Verarbeitungstätigkeiten der Organisation verschaffen kann.

Form und Inhalt des VVT

Das Verzeichnis ist im schriftlichen oder elektronischen Format zu führen. Im Verzeichnis müssen mindestens die gesetzlich durch die DSGVO genannten Bestandteile enthalten sein. Die Mindestbestandteile des VVT sind z. B.:

(1) Namen und Kontaktdaten des Verantwortlichen sowie eines etwaigen Datenschutzbeauftragten,

(2) die Zwecke der Verarbeitung,

(3) eine Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten,

(4) die Kategorien von Empfängern von Daten, einschließlich Empfänger in Drittländern oder internationalen Organisationen,

(5) gegebenenfalls Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation und

(6) wenn möglich, die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien.

Eine Mustervorlage für ein Verzeichnis von Verarbeitungstätigkeiten finden Sie auf den Seiten der Datenschutzaufsicht der einzelnen Bundesländer. Zu empfehlen ist die Seite des Bayerischen Landesamtes für Datenschutzaufsicht.