Portrait von Frau Katharina Schreiner
Portrait von Frau Katharina Schreiner

Was ist ein Verarbeitungs­verzeichnis und wer benötigt es?

Seit Inkrafttreten der Datenschutzgrundverordnung (DSGVO) stehen alle Unternehmen und insbesondere ihre Verantwortlichen in der Dokumentations- und Rechenschaftspflicht. Das Verarbeitungsverzeichnis oder Verzeichnis von Verarbeitungstätigkeiten (VVT) ist ein elementarer Bestandteil der für Unternehmen verpflichtenden Dokumentation im Datenschutz

Was ist der Unterschied zwischen einem Verarbeitungs- und einem Verfahrensverzeichnis? 

 

Der inzwischen veraltete Begriff „Verfahrensverzeichnis“ stammt aus der alten Fassung des Bundesdatenschutzgesetzes (BDSG-alt) vor der DSGVO, meint im Wesentlichen aber das Gleiche.


Wann muss ein Verarbeitungs­verzeichnis erstellt werden?

Sobald ein Unternehmen personenbezogene Daten erhebt, speichert, bearbeitet, weiterleitet oder anderweitig verarbeitet, ist es in der Regel nach Art. 30  DSGVO zum Führen eines Verarbeitungsverzeichnisses verpflichtet. Art. 30 Abs. 5 der Datenschutzgrundverordnung (DSGVO) sieht nur wenige Ausnahmefälle vor. 

Ein Unternehmen mit weniger als 250 Mitarbeitern ist zum Beispiel nur in folgenden Fällen von der Pflicht befreit:

  • Datenverarbeitung birgt kein Risiko für die Rechte und Freiheiten der Betroffenen
  • Datenverarbeitung erfolgt gelegentlich
  • keine Datenverarbeitung von besonderen Kategorien von personenbezogenen Daten im Sinne von Art. 9 Abs. 1 DSGVO und Art. 10  DSGVO

Unabhängig davon und aufgrund der Komplexität der DSGVO-Regelungen ist es jedoch im Interesse jedes Unternehmens, ein VVT zu führen. Denn mit dem VVT belegen Sie, dass Ihr Unternehmen datenschutzkonform arbeitet und behalten die Übersicht über alle internen Datenverarbeitungen. 

Verzeichnis von Verarbeitungstätigkeiten als Chance für sicheren Datenschutz nutzen

 

Mit einem zuverlässig geführten Verarbeitungsverzeichnis können sich Unternehmen im Zweifelsfall gegen falsche Vorwürfe wehren und sich entlasten. Besonders der Datenschutzbeauftragte eines Unternehmens, der mit der jeweiligen Aufsichtsbehörde kommuniziert, kann mit Hilfe des VVT jederzeit die datenschutzrechtliche Konformität der Datenverarbeitung belegen. 

Für Ihr Unternehmen ist ein Verzeichnis über Verarbeitungen also eine Chance, um das Risiko einer Datenpanne zu minimieren. Sie benötigen Unterstützung bei der Erstellung und haben Fragen rund um Datenschutz, Verarbeitungsverzeichnis und Co.?

Unverindlichen Termin vereinbaren


Definition: Was sind Verarbeitung­stätigkeiten nach DSGVO?

Als Verarbeitung werden alle Prozesse und Abläufe im Unternehmen klassifiziert, bei denen personenbezogene Daten erhoben, gespeichert, verändert, übermittelt, gesperrt oder gelöscht werden. Datenverarbeitung findet gewöhnlich in allen Unternehmensabteilungen statt und alle Verarbeitungstätigkeiten müssen der Vollständigkeit halber im VVT erscheinen. Hinzu kommen die Verarbeitungstätigkeiten als Auftragsverarbeiter, d.h. wenn personenbezogene Daten im Auftrag anderer Verantwortlicher verarbeitet werden.

Die wichtigsten Grundsätze in Bezug auf die Verarbeitung nach Art. 5 DSGVO sind dabei:


Wie sieht ein Verarbeitungsverzeichnis aus und welche Angaben müssen darin enthalten sein?

In einem VVT müssen alle Verarbeitungstätigkeiten von personenbezogenen Daten dokumentiert werden. Die Anforderungen an den Inhalt des Verzeichnisses sind in Art. 30 DSGVO beschrieben. Unterschieden wird zwischen 

  • dem VVT, das datenschutzrechtlich Verantwortliche führen müssen und das deutlich umfangreicher ist, und 
  • dem Verzeichnis für Auftragsverarbeiter. 

Da die offizielle Amtssprache in Deutschland Deutsch ist, können deutsche Aufsichtsbehörden von international tätigen Unternehmen auch ein Verzeichnis von Verarbeitungstätigkeiten auf Deutsch verlangen.


Verarbeitungs­verzeichnis erstellen: Mit Muster oder per Software

Die Erstellung und Pflege des VVT gehört zwar nicht zu den von der DSGVO definierten Aufgaben eines Datenschutzbeauftragten. Dennoch ist es sinnvoll, ihm diese Tätigkeit zu übertragen, sofern Sie einen Datenschutzbeauftragten haben.

Wichtig: Das VVT muss im Arbeitsalltag aktiv geführt und aktualisiert werden. Dazu zählt auch die Aufgabe, Verarbeitungsvorgänge aus dem Verzeichnis zu löschen, die nicht mehr aktuell sind.

Verarbeitungs­verzeichnis: DSGVO Muster kostenlos nutzen

 

Einen Anstoß für die Erstellung und einen Überblick über die wichtigsten Inhalte liefert Ihnen unser Muster für ein Verarbeitungsverzeichnis. 

VVT-Muster Downloaden

Erstellung des Verarbeitungsverzeichnisses gemäß DSGVO mit Proliance 360

 

Die Datenschutzsoftware Proliance 360 unterstützt Sie digital bei der Erstellung eines Verarbeitungsverzeichnisses. Ein Verarbeitungsverzeichnis mittels Software zu erstellen, bietet viele Vorteile: 

  • Sie werden Schritt für Schritt durch die Erstellung des VVT geleitet und können das fertige Verzeichnis von Verarbeitungstätigkeiten jederzeit exportieren. 
  • Sie brauchen zur Erstellung des Verzeichnisses keine langwierigen Step-by-Step Vorlagen oder umfangreiche Excel-Dateien mehr – dies geschieht nun angeleitet und automatisiert über die Software. 
  • Mithilfe unserer Datenschutz-Management-Plattform erhalten Sie jederzeit einen genauen Überblick über die datenschutzrechtliche Situation in Ihrem Unternehmen.

Mit Proliance 360 können Sie nicht nur Ihr Verarbeitungsverzeichnis zentral organisieren: Auch Verträge etwaiger Auftragsverarbeiter können über die Plattform gespeichert und abgelegt werden. Außerdem können wir Ihnen über mit Proliance 360 stets eine standortunabhängige Datenschutzberatung gewährleisten, wenn Sie Fragen zur Erstellung, Formalien oder Struktur des Verarbeitungsverzeichnisses haben.

VVT mittels Software

Verarbeitungs­verzeichnis erstellen mittels Datenschutz­software Proliance 360

  • Das VVT kann jederzeit in der Software Proliance 360 generiert und heruntergeladen werden und enthält alle von Proliance 360 als datenschutzkonform eingestuften Prozesse.

  • Aktive Hilfe bei der Erstellung eines VVT mittels intelligenter Algorithmen.

  • Alle Versionen des Verzeichnisses von Verarbeitungstätigkeiten werden in der Software gespeichert, um eine lückenlose Dokumentation zu gewährleisten.

Mehr zur Software

Kombinieren Sie Datenschutz-Know-how mit der Datenschutz­software Proliance 360

Sie suchen eine umfassende Datenschutzlösung, die nicht nur Ihre VVT-Herausforderung bewältigt? Wir bieten Ihnen die Expertise unserer Datenschutzexperten und eine moderne Datenschutzsoftware aus einer Hand. Wählen Sie das für Sie passende Leistungspaket - von der kostenbewussten Basisabsicherung bis hin zur individuellen Premiumberatung unserer zertifizierten Datenschutzexperten. Die Basis unseres Angebots ist dabei stets die innovative Datenschutzplattform Proliance 360. Vereinbaren Sie direkt im Kalender einen unverbind­lichen Beratungs­termin mit einem unserer Expert:innen. 

So unterstützt datenschutzexperte.de Sie beim Verarbeitungs­verzeichnis bzw. Verfahrens­verzeichnis gemäß DSGVO

Bei vielen Unternehmen herrscht Unsicherheit, wie einzelne Verarbeitungsprozesse personenbezogener Daten im Verarbeitungsverzeichnis korrekt zu erfassen und zu dokumentieren sind, ohne Datenschutzgesetze zu verletzen. Wir von datenschutzexperte.de unterstützen Sie bei der DSGVO-konformen Erstellung und Führung eines solchen Verarbeitungsverzeichnisses. Basis hierfür ist die Erstellung des VVT mithilfe von Proliance 360.

Damit die einzelnen Verarbeitungen und Verarbeitungstätigkeiten innerhalb Ihres Verarbeitungsverzeichnisses rechtskonform geführt werden, unterstützt unsere Datenschutzsoftware Proliance 360 Sie nicht nur bei der automatischen Erstellung eines Verarbeitungsverzeichnisses, sondern auditiert diese gleichzeitig. Somit stellen Sie sicher, dass alle Ihre Verarbeitungen der DSGVO entsprechen. Mithilfe unseres Feedbacks und den vorhandenen Vorlagen und Mustern können Sie weitere Verarbeitungen innerhalb Ihres Verzeichnisses selbst anlegen.

Sollten Sie darüber hinaus zusätzliche Beratungsstunden benötigen, können Sie diese bei der Kombination Softwarelösung Proliance 360 und externer Datenschutzbeauftragter beauftragen oder durch hinzubuchbare Stundenpakete abrufen:  

Termin vereinbaren


FAQs zu VVT & Datenschutz

Für das VVT im Unternehmen ist der datenschutzrechtlich Verantwortliche zuständig, in den meisten Fällen ist das der interne Datenschutzbeauftragte. Er muss alle Vorgänge (Verarbeitungstätigkeiten) innerhalb des Unternehmens dokumentieren, die intern im Zusammenhang mit der Verarbeitung personenbezogener Daten geschehen.

Eine Verarbeitungstätigkeit meint die Verarbeitung personenbezogener Daten im Unternehmen. Verarbeitungstätigkeiten sind unter anderem die Erhebung, Speicherung, Veränderung und Löschung von Daten. Sobald es zur Verarbeitung von personenbezogenen Daten kommt, sind fast alle Unternehmen mit wenigen Ausnahmen dazu verpflichtet, ein Verarbeitungsverzeichnis (früher auch „Verfahrensverzeichnis“ genannt) zu führen.


Aktuelle Beiträge zum Thema Datenschutz

Wir freuen uns auf Ihre Anfrage!

Telefon:

+49 89 / 250 039 220

Öffnungszeiten:

Mo. - Fr.: 09:00 - 18:00 Uhr