Arbeitskollegen diskutieren

Verarbeitungsverzeichnis (VVT) nach DSGVO

Einfache und zentrale Erstellung des Verarbeitungsverzeichnisses dank digitaler Datenschutz-Plattform

  • Über 2.000 Kunden in Deutschland und Europa
  • Team von 80+ Fachexperten
  • DEKRA- und TÜV-zertifiziertes Expertenteam

Telefon-Beratung zum VVT

Seit Inkrafttreten der Datenschutzgrundverordnung (DSGVO) stehen alle Unternehmen und insbesondere der Verantwortliche (für gewöhnlich der Geschäftsführer eines Unternehmens) in der Dokumentations- und Rechenschaftspflicht. Das bedeutet unter anderem, dass er nach Art. 30  DSGVO ein Verzeichnis von Verarbeitungstätigkeiten (VVT) erstellen muss, sobald es zur Verarbeitung (Erhebung, Speicherung oder Verwendung) von personenbezogenen Daten kommt. Mit der Dokumentation aller Verarbeitungsprozesse garantieren Unternehmen stets Transparenz in Hinblick auf die Nutzung von personenbezogenen Daten. Insoweit liegt es aus Beweisgründen immer im Eigeninteresse der Unternehmen, das Verarbeitungsverzeichnis zuverlässig zu führen, um sich im Zweifelsfall bei entsprechenden Vorwürfen entlasten zu können.

Der inzwischen veraltete Begriff „Verfahrensverzeichnis“ stammt aus der alten Fassung des Bundesdatenschutzgesetzes (BDSG-alt) vor der DSGVO, meint im Wesentlichen aber das Gleiche.

 

Inhaltsverzeichnis Verarbeitungsverzeichnis


Was sind Verarbeitungstätigkeiten und was ist ein Verarbeitungsverzeichnis?

Als Verarbeitung werden alle Prozesse und Abläufe im Unternehmen klassifiziert, bei denen personenbezogene Daten im Unternehmen erhoben, gespeichert, verändert, übermittelt, gesperrt oder gelöscht werden. Datenverarbeitung findet gewöhnlich in allen Unternehmensabteilungen statt und alle Verarbeitungstätigkeiten müssen der Vollständigkeit halber im VVT erscheinen. Hinzu kommen die Verarbeitungstätigkeiten als Auftragsverarbeiter, d.h. wenn personenbezogene Daten im Auftrag anderer Verantwortlicher verarbeitet werden.

Die wichtigsten Grundsätze in Bezug auf die Verarbeitung nach Art. 5 DSGVO sind dabei:

  • Transparenz
  • Zweckbindung
  • Datenminimierung
  • Richtigkeit
  • Speicherbegrenzung
  • Integrität und Vertraulichkeit (durch entsprechende technische und organisatorische Maßnahmen (TOM))

Welche Unternehmen müssen laut DSGVO ein Verarbeitungsverzeichnis (Verfahrensverzeichnis) führen?

Das Verzeichnis von Verarbeitungstätigkeiten ist ein elementarer Bestandteil der unternehmerischen Dokumentation im Datenschutz. Sobald es zur Erhebung und Speicherung von personenbezogenen Daten kommt, ist jedes Unternehmen dazu verpflichtet, ein Verarbeitungsverzeichnis zu führen. Ein Unternehmen mit weniger als 250 Mitarbeitern ist nur in folgenden Fällen von der Pflicht befreit:

  • Datenverarbeitung birgt kein Risiko für die Rechte und Freiheiten der Betroffenen

  • Datenverarbeitung erfolgt gelegentlich

  • keine Datenverarbeitung von besonderen Kategorien von personenbezogenen Daten im Sinne von Art. 9 Abs. 1 DSGVO und Art. 10  DSGVO

Aufgrund der Komplexität der Regelungen der DSGVO empfiehlt es sich jedoch, dass jedes Unternehmen ein Verarbeitungsverzeichnis führt. So haben das Unternehmen sowie Datenschutz Verantwortliche einen Überblick über die Verarbeitungstätigkeiten. Besonders der Datenschutzbeauftragte eines Unternehmens, der mit der jeweiligen Aufsichtsbehörde kommuniziert, kann mit Hilfe des VVTs jederzeit die datenschutzrechtliche Konformität der Datenverarbeitung belegen. Ein Unternehmen sollte daher ein Verzeichnis über Verarbeitungen als Chance ansehen, da auf diese Weise das Risiko einer Datenpanne minimiert werden kann.


Wie sieht ein Verarbeitungsverzeichnis aus und welche Angaben müssen darin enthalten sein?

In einem VVT müssen alle Verarbeitungstätigkeiten von personenbezogenen Daten dokumentiert werden. Die Anforderungen an den Inhalt des Verzeichnisses sind in Art. 30 DSGVO beschrieben. Unterschieden wird zwischen dem VVT, das datenschutzrechtlich Verantwortliche führen müssen und deutlich umfangreicher ist, und dem Verzeichnis für Auftragsverarbeiter. Da die offizielle Amtssprache in Deutschland Deutsch ist, können deutsche Aufsichtsbehörden von international tätigen Unternehmen auch ein Verzeichnis von Verarbeitungstätigkeiten auf Deutsch verlangen.

Angaben, die unbedingt im VVT enthalten sein müssen:

  • Zweck der Verarbeitung

  • Datenkategorien

  • Auflistung der Betroffenen

  • Auflistung aller Datenempfänger/ zur Einsicht befugten Personen (oder Kategorien von Empfängern sowie Drittlandempfänger)

  • Getroffene technische und organisatorische Maßnahmen (TOM)

  • Löschfristen

  • Name und Kontaktdaten des Verantwortlichen

Falls im Unternehmen schon Dokumente z.B. zu einem Datenschutz- oder Löschkonzept existieren, kann im VVT auch auf diese verwiesen werden.


Schritte zur Erstellung und Pflege eines Verarbeitungsverzeichnisses

Die Erstellung und Pflege gehört zwar nicht zu den von der DSGVO definierten Aufgaben eines Datenschutzbeauftragten, es ist jedoch sinnvoll, ihm diese Tätigkeit zu übertragen, sofern Sie einen Datenschutzbeauftragten haben.

Hier finden Sie zudem ein Muster für ein Verarbeitungsverzeichnis, falls Sie einen Anstoß brauchen, wie das Ganze aussehen soll. Als Faustregel sollte gelten, dass das VVT im Arbeitsalltag aktiv geführt und aktualisiert wird. Dazu zählt auch Verarbeitungsvorgänge aus dem Verzeichnis zu löschen, die nicht mehr aktuell sind.

VVT mittels Software

Verarbeitungsverzeichnis erstellen mittels Datenschutzsoftware Proliance 360

  • Das VVT kann jederzeit in der Software Proliance 360 generiert und heruntergeladen werden und enthält alle von Proliance 360 als datenschutzkonform eingestuften Prozesse.

  • Aktive Hilfe bei der Erstellung eines VVT mittels intelligenter Algorithmen.

  • Alle Versionen des Verzeichnisses von Verarbeitungstätigkeiten werden in der Software gespeichert, um eine lückenlose Dokumentation zu gewährleisten.

Mehr erfahren

Verfahrensverzeichnis mittels Software: Erstellung des Verarbeitungsverzeichnisses gemäß DSGVO mit Proliance 360

Wir von datenschutzexperte.de helfen Ihnen mittels unserer Datenschutzsoftware Proliance 360 bei der Erstellung eines Verarbeitungsverzeichnisses. Ein Verarbeitungsverzeichnis mittels Software zu erstellen bietet viele Vorteile: Sie werden Schritt für Schritt durch die Erstellung des VVT geleitet und können das fertige Verzeichnis von Verarbeitungstätigkeiten jederzeit exportieren. Sie brauchen zur Erstellung des Verzeichnisses keine langwierigen Step-by-Step Vorlagen oder umfangreiche Excel-Dateien mehr– dies geschieht nun angeleitet und automatisiert über die Software. Mithilfe unserer Datenschutz-Management-Plattform erhalten Sie jederzeit einen genauen Überblick über die datenschutzrechtliche Situation in Ihrem Unternehmen.

Mit Proliance 360 können Sie nicht nur Ihr Verarbeitungsverzeichnis zentral organisieren: Auch Verträge etwaiger Auftragsverarbeiter können über die Plattform gespeichert und abgelegt werden. Außerdem können wir Ihnen über mit Proliance 360 stets eine standortunabhängige Datenschutzberatung gewährleisten, wenn Sie Fragen zur Erstellung, Formalien oder Struktur des Verarbeitungsverzeichnisses haben.


Unsere Leistungspakete für den externen Datenschutzbeauftragten und die Datenschutzsoftware Proliance 360

Wählen Sie das für Sie passende Leistungspaket - von der kostenbewussten Basisabsicherung bis hin zur individuellen Premiumberatung unserer zertifizierten Datenschutzexperten. Die Basis unseres Angebots ist dabei stets die innovative Datenschutzplattform Proliance 360.


Welche Unterstützung bietet datenschutzexperte.de beim Verarbeitungsverzeichnis bzw. Verfahrensverzeichnis gemäß DSGVO?

Bei vielen Unternehmen herrscht weiterhin große Unsicherheit, wie einzelne Verarbeitungsprozesse personenbezogener Daten im Verarbeitungsverzeichnis korrekt zu erfassen und zu dokumentieren sind, ohne Datenschutzgesetze zu verletzen. Wir von datenschutzexperte.de unterstützen Sie bei der DSGVO-konformen Erstellung und Führung eines solchen Verarbeitungsverzeichnisses. Basis hierfür ist die Erstellung des VVTs mithilfe von Proliance 360.

Damit die einzelnen Verarbeitungen und Verarbeitungstätigkeiten innerhalb Ihres Verarbeitungsverzeichnisses rechtskonform geführt werden, unterstützt unsere Datenschutzsoftware Proliance 360 Sie nicht nur bei der automatischen Erstellung eines Verarbeitungsverzeichnisses, sondern auditiert diese gleichzeitig. Somit stellen Sie sicher, dass alle Ihre Verarbeitungen auch der DSGVO entsprechen. Mithilfe unseres Feedbacks und den vorhandenen Vorlagen und Mustern können Sie weitere Verarbeitungen innerhalb Ihres Verzeichnisses selbst anlegen.

Sollten Sie darüber hinaus zusätzliche Beratungsstunden benötigen, können Sie diese bei der Kombination Softwarelösung Proliance 360 und externer Datenschutzbeauftragter beauftragen oder durch hinzubuchbare Stundenpakete abrufen:  


FAQ: Wir beantworten Ihre Fragen zum Thema Verarbeitungsverzeichnis

Für das VVT im Unternehmen ist der datenschutzrechtlich Verantwortliche zuständig, in den meisten Fällen ist das der interne Datenschutzbeauftragte. Er muss alle Vorgänge (Verarbeitungstätigkeiten) innerhalb des Unternehmens dokumentieren, die intern im Zusammenhang mit der Verarbeitung personenbezogener Daten geschehen.

Eine Verarbeitungstätigkeit meint die Verarbeitung personenbezogener Daten im Unternehmen. Verarbeitungstätigkeiten sind unter anderem die Erhebung, Speicherung, Veränderung und Löschung von Daten. Sobald es zur Verarbeitung von personenbezogenen Daten kommt, sind fast alle Unternehmen mit wenigen Ausnahmen dazu verpflichtet, ein Verarbeitungsverzeichnis (früher auch „Verfahrensverzeichnis“ genannt) zu führen.

Der Begriff „Verfahrensverzeichnis“ stammt aus dem BDSG-alt und wird nicht mehr verwendet, er bedeutet jedoch im Wesentlichen das Gleiche wie VVT. Sobald in einem Unternehmen personenbezogenen Daten verarbeitet werden, muss ein VVT geführt werden. Nur Unternehmen mit weniger als 250 Mitarbeitern sind von der Pflicht, ein VVT zu führen, befreit, wenn die Datenverarbeitung nur gelegentlich erfolgt oder sie kein Risiko für die Rechte und Freiheiten von Betroffenen darstellt. Auch wenn keine Datenverarbeitung von der sogenannten besonderen Kategorie von personenbezogenen Daten (wie Gesundheitsdaten) im Sinne von Art. 9 Abs. 1 DSGVO und Art. 10 DSGVO stattfindet, braucht es kein VVT.


Unsere Leistungen im Überblick

Mit unserer Datenschutzsoftware Proliance 360 helfen wir Ihnen, Ihren Unternehmens-Datenschutz systematisch Schritt für Schritt umzusetzen. So stellen Sie Ihr Unternehmen sicher für den Datenschutz auf!

Die Schritte der Software Proliance 360 auf dem Weg zur Datenschutzkonformität umfassen dabei:

Aktuelle Beiträge zum Thema Datenschutz

Wir freuen uns auf Ihre Anfrage!

Telefon:

+49 89 / 250 039 220

Öffnungszeiten:

Mo. - Fr.: 09:00 - 18:00 Uhr