Unser Verarbeitungsverzeichnis-Muster zum Download unterstützt Sie bei der Umsetzung der DSGVO.
Seit Einführung der EU-DSGVO haben alle Unternehmen eine Dokumentations- und Rechenschaftspflicht bezüglich des Umgangs mit personenbezogenen Daten. Damit geht unter anderem die Pflicht zur Führung eines „Verzeichnis von Verarbeitungstätigkeiten“ (kurz: Verarbeitungsverzeichnis oder VVT) nach Art. 30 DSGVO einher. Der inzwischen veraltete Begriff „Verfahrensverzeichnis“ stammt aus der alten Fassung des Bundesdatenschutzgesetzes (BDSG-alt) vor der DSGVO, meint im Wesentlichen aber das Gleiche.
Unser Verarbeitungsverzeichnis-Muster zum Download unterstützt Sie bei der Umsetzung der DSGVO.
In einem VVT müssen alle Verarbeitungstätigkeiten von personenbezogenen Daten dokumentiert werden. Als Verarbeitung werden alle Prozesse und Abläufe im Unternehmen klassifiziert, bei denen personenbezogene Daten erhoben, gespeichert, verändert, übermittelt, gesperrt oder gelöscht werden. Die Anforderungen an den Inhalt des Verzeichnisses sind in Art. 30 DSGVO geregelt. Unterschieden wird zwischen dem VVT, das datenschutzrechtlich Verantwortliche führen müssen und deutlich umfangreicher ist, und dem Verzeichnis für Auftragsverarbeiter.
Das Verzeichnis von Verarbeitungstätigkeiten ist ein elementarer Bestandteil der verpflichtenden Dokumentation im Datenschutz. Sobald ein Unternehmen personenbezogene Daten verarbeitet (sprich: erhebt, speichert, bearbeitet, weiterleitet etc.), ist es in der Regel dazu verpflichtet ein Verarbeitungsverzeichnis zu führen. Es gibt einige wenige Ausnahmefälle in Art. 30 Abs. 5 DSGVO, jedoch ist es im eigenen Interesse eines Unternehmens ein VVT zu führen, da es dabei hilft, belegen zu können, dass das Unternehmen datenschutzkonform arbeitet und die Übersicht über alle internen Datenverarbeitungen zu behalten.
Ein Verarbeitungsverzeichnis nach der DSGVO kann sowohl digital als auch handschriftlich geführt werden. Eine digitale Führungsweise dürfte jedoch weitaus komfortabler und leichter zu aktualisieren sein. Da unsere Amtssprache Deutsch ist, ist das Verzeichnis von in Deutschland tätigen Unternehmen auf Deutsch anzulegen und sogar von international tätigen Firmen können Aufsichtsbehörden ein deutsches VVT der Datenverarbeitungen, die in Deutschland stattfinden, verlangen. Eine feste Form des Verzeichnisses ist nicht vorgegeben, jedoch gibt es Angaben, die unbedingt enthalten sein müssen (siehe Aufbau und Elemente eines Verarbeitungsverzeichnis) und diese Seite stellt Ihnen eine Mustervorlage zum Download zur Verfügung.
Folgende Angaben, die Sie natürlich auch in unserer Mustervorlage finden, müssen unbedingt in einem Verarbeitungsverzeichnis enthalten sein:
Name und Kontaktdaten des Verantwortlichen
Zweck der Verarbeitung
Datenkategorien
Auflistung der Betroffenen nach Kategorien
Auflistung aller Datenempfänger/ zur Einsicht befugten Personen (oder Kategorien von Empfängern sowie Drittlandempfänger)
Getroffene technische und organisatorische Maßnahmen (TOM)
Löschfristen
Falls im Unternehmen schon Dokumente z.B. zu einem Datenschutz- oder Löschkonzept existieren, kann im VVT auch auf diese verwiesen werden.
Mit meiner fundierten Erfahrung in der operativen Unternehmensberatung helfe ich Ihnen dabei, die Vorgaben der DSGVO pragmatisch umzusetzen.
Dominik Fünkner
(zertifizierter Datenschutzbeauftragter & Geschäftsführer)
Telefon:
Öffnungszeiten:
Mo. - Fr.: 09:00 - 18:00 Uhr
