Was ist ein Verarbeitungsverzeichnis und wer benötigt es?
Seit Inkrafttreten der Datenschutzgrundverordnung (DSGVO) stehen alle Unternehmen und insbesondere ihre Verantwortlichen in der Dokumentations- und Rechenschaftspflicht. Das Verarbeitungsverzeichnis oder Verzeichnis von Verarbeitungstätigkeiten (VVT) ist ein elementarer Bestandteil der für Unternehmen verpflichtenden Dokumentation im Datenschutz.
Was ist der Unterschied zwischen einem Verarbeitungs- und einem Verfahrensverzeichnis?
Der inzwischen veraltete Begriff „Verfahrensverzeichnis“ stammt aus der alten Fassung des Bundesdatenschutzgesetzes (BDSG-alt) vor der DSGVO, meint im Wesentlichen aber das Gleiche.
Wann muss ein Verarbeitungsverzeichnis erstellt werden?
Sobald ein Unternehmen personenbezogene Daten erhebt, speichert, bearbeitet, weiterleitet oder anderweitig verarbeitet, ist es in der Regel nach Art. 30 DSGVO zum Führen eines Verarbeitungsverzeichnisses verpflichtet. Art. 30 Abs. 5 der Datenschutzgrundverordnung (DSGVO) sieht nur wenige Ausnahmefälle vor.
Ein Unternehmen mit weniger als 250 Mitarbeitern ist zum Beispiel nur in folgenden Fällen von der Pflicht befreit:
- Datenverarbeitung birgt kein Risiko für die Rechte und Freiheiten der Betroffenen
- Datenverarbeitung erfolgt gelegentlich
- keine Datenverarbeitung von besonderen Kategorien von personenbezogenen Daten im Sinne von Art. 9 Abs. 1 DSGVO und Art. 10 DSGVO
Unabhängig davon und aufgrund der Komplexität der DSGVO-Regelungen ist es jedoch im Interesse jedes Unternehmens, ein VVT zu führen. Denn mit dem VVT belegen Sie, dass Ihr Unternehmen datenschutzkonform arbeitet und behalten die Übersicht über alle internen Datenverarbeitungen.
Verzeichnis von Verarbeitungstätigkeiten als Chance für sicheren Datenschutz nutzen
Mit einem zuverlässig geführten Verarbeitungsverzeichnis können sich Unternehmen im Zweifelsfall gegen falsche Vorwürfe wehren und sich entlasten. Besonders der Datenschutzbeauftragte eines Unternehmens, der mit der jeweiligen Aufsichtsbehörde kommuniziert, kann mit Hilfe des VVT jederzeit die datenschutzrechtliche Konformität der Datenverarbeitung belegen.
Für Ihr Unternehmen ist ein Verzeichnis über Verarbeitungen also eine Chance, um das Risiko einer Datenpanne zu minimieren. Sie benötigen Unterstützung bei der Erstellung und haben Fragen rund um Datenschutz, Verarbeitungsverzeichnis und Co.?
Unverindlichen Termin vereinbaren
Definition: Was sind Verarbeitungstätigkeiten nach DSGVO?
Als Verarbeitung werden alle Prozesse und Abläufe im Unternehmen klassifiziert, bei denen personenbezogene Daten erhoben, gespeichert, verändert, übermittelt, gesperrt oder gelöscht werden. Datenverarbeitung findet gewöhnlich in allen Unternehmensabteilungen statt und alle Verarbeitungstätigkeiten müssen der Vollständigkeit halber im VVT erscheinen. Hinzu kommen die Verarbeitungstätigkeiten als Auftragsverarbeiter, d.h. wenn personenbezogene Daten im Auftrag anderer Verantwortlicher verarbeitet werden.
Die wichtigsten Grundsätze in Bezug auf die Verarbeitung nach Art. 5 DSGVO sind dabei:
- Transparenz
- Zweckbindung
- Datenminimierung
- Richtigkeit
- Speicherbegrenzung
- Integrität und Vertraulichkeit (durch entsprechende technische und organisatorische Maßnahmen (TOM))
Wie sieht ein Verarbeitungsverzeichnis aus und welche Angaben müssen darin enthalten sein?
In einem VVT müssen alle Verarbeitungstätigkeiten von personenbezogenen Daten dokumentiert werden. Die Anforderungen an den Inhalt des Verzeichnisses sind in Art. 30 DSGVO beschrieben. Unterschieden wird zwischen
- dem VVT, das datenschutzrechtlich Verantwortliche führen müssen und das deutlich umfangreicher ist, und
- dem Verzeichnis für Auftragsverarbeiter.
Da die offizielle Amtssprache in Deutschland Deutsch ist, können deutsche Aufsichtsbehörden von international tätigen Unternehmen auch ein Verzeichnis von Verarbeitungstätigkeiten auf Deutsch verlangen.
Verarbeitungsverzeichnis erstellen: Mit Muster oder per Software
Die Erstellung und Pflege des VVT gehört zwar nicht zu den von der DSGVO definierten Aufgaben eines Datenschutzbeauftragten. Dennoch ist es sinnvoll, ihm diese Tätigkeit zu übertragen, sofern Sie einen Datenschutzbeauftragten haben.
Wichtig: Das VVT muss im Arbeitsalltag aktiv geführt und aktualisiert werden. Dazu zählt auch die Aufgabe, Verarbeitungsvorgänge aus dem Verzeichnis zu löschen, die nicht mehr aktuell sind.
Verarbeitungsverzeichnis: DSGVO Muster kostenlos nutzen
Einen Anstoß für die Erstellung und einen Überblick über die wichtigsten Inhalte liefert Ihnen unser Muster für ein Verarbeitungsverzeichnis.
Erstellung des Verarbeitungsverzeichnisses gemäß DSGVO mit Proliance 360
Die Datenschutzsoftware Proliance 360 unterstützt Sie digital bei der Erstellung eines Verarbeitungsverzeichnisses. Ein Verarbeitungsverzeichnis mittels Software zu erstellen, bietet viele Vorteile:
- Sie werden Schritt für Schritt durch die Erstellung des VVT geleitet und können das fertige Verzeichnis von Verarbeitungstätigkeiten jederzeit exportieren.
- Sie brauchen zur Erstellung des Verzeichnisses keine langwierigen Step-by-Step Vorlagen oder umfangreiche Excel-Dateien mehr – dies geschieht nun angeleitet und automatisiert über die Software.
- Mithilfe unserer Datenschutz-Management-Plattform erhalten Sie jederzeit einen genauen Überblick über die datenschutzrechtliche Situation in Ihrem Unternehmen.
Mit Proliance 360 können Sie nicht nur Ihr Verarbeitungsverzeichnis zentral organisieren: Auch Verträge etwaiger Auftragsverarbeiter können über die Plattform gespeichert und abgelegt werden. Außerdem können wir Ihnen über mit Proliance 360 stets eine standortunabhängige Datenschutzberatung gewährleisten, wenn Sie Fragen zur Erstellung, Formalien oder Struktur des Verarbeitungsverzeichnisses haben.
Verarbeitungsverzeichnis erstellen mittels Datenschutzsoftware Proliance 360
Das VVT kann jederzeit in der Software Proliance 360 generiert und heruntergeladen werden und enthält alle von Proliance 360 als datenschutzkonform eingestuften Prozesse.
Aktive Hilfe bei der Erstellung eines VVT mittels intelligenter Algorithmen.
Alle Versionen des Verzeichnisses von Verarbeitungstätigkeiten werden in der Software gespeichert, um eine lückenlose Dokumentation zu gewährleisten.
Kombinieren Sie Datenschutz-Know-how mit der Datenschutzsoftware Proliance 360
Sie suchen eine umfassende Datenschutzlösung, die nicht nur Ihre VVT-Herausforderung bewältigt? Wir bieten Ihnen die Expertise unserer Datenschutzexperten und eine moderne Datenschutzsoftware aus einer Hand. Wählen Sie das für Sie passende Leistungspaket - von der kostenbewussten Basisabsicherung bis hin zur individuellen Premiumberatung unserer zertifizierten Datenschutzexperten. Die Basis unseres Angebots ist dabei stets die innovative Datenschutzplattform Proliance 360. Vereinbaren Sie direkt im Kalender einen unverbindlichen Beratungstermin mit einem unserer Expert:innen.
So unterstützt datenschutzexperte.de Sie beim Verarbeitungsverzeichnis bzw. Verfahrensverzeichnis gemäß DSGVO
Bei vielen Unternehmen herrscht Unsicherheit, wie einzelne Verarbeitungsprozesse personenbezogener Daten im Verarbeitungsverzeichnis korrekt zu erfassen und zu dokumentieren sind, ohne Datenschutzgesetze zu verletzen. Wir von datenschutzexperte.de unterstützen Sie bei der DSGVO-konformen Erstellung und Führung eines solchen Verarbeitungsverzeichnisses. Basis hierfür ist die Erstellung des VVT mithilfe von Proliance 360.
Damit die einzelnen Verarbeitungen und Verarbeitungstätigkeiten innerhalb Ihres Verarbeitungsverzeichnisses rechtskonform geführt werden, unterstützt unsere Datenschutzsoftware Proliance 360 Sie nicht nur bei der automatischen Erstellung eines Verarbeitungsverzeichnisses, sondern auditiert diese gleichzeitig. Somit stellen Sie sicher, dass alle Ihre Verarbeitungen der DSGVO entsprechen. Mithilfe unseres Feedbacks und den vorhandenen Vorlagen und Mustern können Sie weitere Verarbeitungen innerhalb Ihres Verzeichnisses selbst anlegen.
Sollten Sie darüber hinaus zusätzliche Beratungsstunden benötigen, können Sie diese bei der Kombination Softwarelösung Proliance 360 und externer Datenschutzbeauftragter beauftragen oder durch hinzubuchbare Stundenpakete abrufen:
FAQs zu VVT & Datenschutz
Wer führt das Verzeichnis der Verarbeitungstätigkeiten?
Für das VVT im Unternehmen ist der datenschutzrechtlich Verantwortliche zuständig, in den meisten Fällen ist das der interne Datenschutzbeauftragte. Er muss alle Vorgänge (Verarbeitungstätigkeiten) innerhalb des Unternehmens dokumentieren, die intern im Zusammenhang mit der Verarbeitung personenbezogener Daten geschehen.
Was ist eine Verarbeitungstätigkeit?
Eine Verarbeitungstätigkeit meint die Verarbeitung personenbezogener Daten im Unternehmen. Verarbeitungstätigkeiten sind unter anderem die Erhebung, Speicherung, Veränderung und Löschung von Daten. Sobald es zur Verarbeitung von personenbezogenen Daten kommt, sind fast alle Unternehmen mit wenigen Ausnahmen dazu verpflichtet, ein Verarbeitungsverzeichnis (früher auch „Verfahrensverzeichnis“ genannt) zu führen.
Aktuelle Beiträge zum Thema Datenschutz
Wir freuen uns auf Ihre Anfrage!
Telefon:
Öffnungszeiten:
Mo. - Fr.: 09:00 - 18:00 Uhr