Arbeitskollegen diskutieren

Verarbeitungsverzeichnis (VVT)

Einfache und zentrale Erstellung des Verarbeitungsverzeichnisses dank digitaler Datenschutz-Plattform

  • kostenlose und unverbindliche Erstberatung
  • TÜV-geprüfte und zertifizierte Mitarbeiter
  • Fördermittel bis 90% möglich

Telefon-Beratung zum VVT

Wir freuen uns auf Ihre Anfrage!

Telefon:

+49 89 / 250 039 220

Öffnungszeiten:

Mo. - Fr.: 09:00 - 18:00 Uhr

Seit Inkrafttreten der Datenschutzgrundverordnung (DSGVO) stehen alle Unternehmen und insbesondere der Verantwortliche (für gewöhnlich der Geschäftsführer eines Unternehmens) in der Dokumentations- und Rechenschaftspflicht. Das bedeutet unter anderem, dass sie nach Art. 30  DSGVO ein Verzeichnis von Verarbeitungstätigkeiten (VVT) erstellen müssen , sobald es zur Verarbeitung von personenbezogenen Daten  kommt. Mit der Dokumentation aller Verarbeitungsprozesse garantieren die Unternehmen stets Transparenz in Hinblick auf die Nutzung von personenbezogenen Daten. Insoweit liegt es aus Beweisgründen immer im Eigeninteresse der Unternehmen, das Verarbeitungsverzeichnis zuverlässig zu führen, um sich im Zweifelsfall bei entsprechenden Vorwürfen entlasten zu können.

Der inzwischen veraltete Begriff „Verfahrensverzeichnis“ stammt aus der alten Fassung des Bundesdatenschutzgesetzes (BDSG-alt) vor der DSGVO, meint im Wesentlichen aber das Gleiche.


Was bedeutet Verarbeitung und was sind Verarbeitungstätigkeiten?

Als Verarbeitung werden alle Prozesse und Abläufe im Unternehmen klassifiziert, bei denen personenbezogene Daten im Unternehmen erhoben, gespeichert, verändert, übermittelt, gesperrt oder gelöscht werden. Datenverarbeitung findet gewöhnlich in allen Unternehmensabteilungen statt und alle Verarbeitungstätigkeiten müssen der Vollständigkeit halber im VVT erscheinen. Hinzu kommen die Verarbeitungstätigkeiten als Auftragsverarbeiter.

Die wichtigsten Grundsätze in Bezug auf die Verarbeitung sind dabei:

  • Transparenz
  • Zweckbindung
  • Datenminimierung
  • Richtigkeit
  • Speicherbegrenzung
  • Integrität und Vertraulichkeit (durch entsprechende technische und organisatorische Maßnahmen (TOM))

Welche Unternehmen müssen laut DSGVO ein Verarbeitungsverzeichnis (Verfahrensverzeichnis) führen?

Das Verzeichnis von Verarbeitungstätigkeiten ist ein elementarer Bestandteil der unternehmerischen Dokumentation im Datenschutz. Sobald es also zur Erhebung und Speicherung von personenbezogenen Daten kommt, ist jedes Unternehmen dazu verpflichtet, ein Verarbeitungsverzeichnis zu führen. Ein Unternehmen mit weniger als 250 Mitarbeitern ist in folgenden Fällen von der Pflicht befreit:

  • Datenverarbeitung birgt kein Risiko für die Rechte und Freiheiten des Betroffenen
  • Datenverarbeitung erfolgt gelegentlich
  • keine Datenverarbeitung von besonderen Kategorien von personenbezogenen Daten im Sinne von Art. 9 Abs. 1 DSGVO und Art. 10  DSGVO

Aufgrund der Komplexität der Regelungen der DSGVO empfiehlt es sich jedoch, dass jedes Unternehmen ein Verarbeitungsverzeichnis führt. So haben das Unternehmen sowie Datenschutz Verantwortliche einen Überblick über die Verarbeitungstätigkeiten. Besonders der Datenschutzbeauftragte  eines Unternehmens, der mit der zuständigen Aufsichtsbehörde zusammen arbeitet verpflichtet ist, kann mit Hilfe des VVTs jederzeit die datenschutzrechtliche Konformität der Datenverarbeitung belegen. Ein Unternehmen sollte daher ein Verzeichnis über Verarbeitungen als Chance ansehen, da auf diese Weise das Risiko einer Datenpanne minimiert werden kann.


Wie sieht ein Verarbeitungsverzeichnis aus und welche Angaben müssen darin enthalten sein?

In einem VVT müssen alle Verarbeitungstätigkeiten von personenbezogenen Daten dokumentiert werden. Die Anforderungen an den Inhalt des Verzeichnisses sind in Art. 30 DSGVO beschrieben. Unterschieden wird zwischen dem VVT, das datenschutzrechtlich Verantwortliche führen müssen und deutlich umfangreicher ist, und dem Verzeichnis für Auftragsverarbeiter. Da unsere offizielle Amtssprache Deutsch ist, können die deutschen Aufsichtsbehörden auch von international tätigen Unternehmen ein Verzeichnis von Verarbeitungstätigkeiten auf Deutsch verlangen.

Angaben, die unbedingt im VVT enthalten sein müssen:

  • Zweck der Verarbeitung

  • Datenkategorien

  • Auflistung der Betroffenen

  • Auflistung aller Datenempfänger/ zur Einsicht befugten Personen (oder Kategorien von Empfängern sowie Drittlandempfänger)

  • Getroffene technische und organisatorische Maßnahmen (TOM)

  • Löschfristen

  • Name und Kontaktdaten des Verantwortlichen

Falls im Unternehmen schon Dokumente z.B. zu einem Datenschutz- oder Löschkonzept existieren, kann im VVT auch auf diese verwiesen werden.


Schritte zur Erstellung und Pflege eines Verarbeitungsverzeichnisses

Die Erstellung und Pflege gehört zwar nicht zu den von der DSGVO definierten Aufgaben eines/-r Datenschutzbeauftragten, es ist jedoch sinnvoll ihm/ ihr diese Tätigkeit zu übertragen, sofern man einen Datenschutzbeauftragten hat. Mustervorlagen eines Verarbeitungsverzeichnis findet man im Internet, falls Sie einen Anstoß brauchen, wie das Ganze aussehen soll. Als Faustregel sollte gelten, dass das VVT im Arbeitsalltag aktiv geführt und aktualisiert wird. Dazu zählt auch Verarbeitungsvorgänge aus dem Verzeichnis zu löschen, die nicht mehr aktuell sind.


Welche Unterstützung bietet datenschutzexperte.de beim Verarbeitungsverzeichnis bzw. Verfahrensverzeichnis gemäß DSGVO?

Bei vielen Unternehmen herrscht weiterhin große Unsicherheit, wie einzelne Verarbeitungsprozesse personenbezogener Daten im Verarbeitungsverzeichnis korrekt zu erfassen und zu dokumentieren sind, ohne Datenschutzgesetze zu verletzen. Wir von datenschutzexperte.de unterstützen Sie bei der DSGVO-konformen Erstellung und Führung eines solchen Verarbeitungsverzeichnisses.

Damit die einzelnen Verarbeitungen und Verarbeitungstätigkeiten innerhalb Ihres Verarbeitungsverzeichnisses rechtskonform geführt werden, prüft datenschutzexperte.de – in Abhängigkeit vom ausgewählten Leistungspaket  – auf Wunsch eine bestimmte Anzahl der von Ihnen erstellten Verarbeitungen auf Datenschutzkonformität. Mithilfe unseres Feedbacks und den vorhandenen Vorlagen und Mustern können Sie weitere Verarbeitungen innerhalb Ihres Verzeichnisses selbst anlegen.

Sollten Sie darüber hinaus zusätzliche Beratungsstunden benötigen, können diese zu einem Stundensatz von 160 Euro (Abrechnung per 15 Minuten) beauftragt oder durch hinzubuchbare Stundenpakete abgerufen werden. Unabhängig von Ihrem gebuchten Leistungspaket können Sie eines der folgenden Stundenpakete buchen:

  • 5 Beratungsstunden: 700 Euro (140 Euro pro Stunde statt 160 Euro pro Stunde)
  • 10 Beratungsstunden: 1300 Euro (130 Euro pro Stunde statt 160 Euro pro Stunde)

Unsere Leistungspakete

Wählen Sie das für Sie passende Leistungspaket - von der kostenbewussten Basisabsicherung bis hin zur individuellen Premiumberatung. Unsere zertifizierten Datenschutzexperten beraten Sie stets mit größter Expertise.

Lock Icon

00
/ Monat

Medium Icon

00
/ Monat

Shield Icon

00
/ Monat

Verfahrensverzeichnis mittels Software: Erstellung des Verarbeitungs-verzeichnisses gemäß DSGVO mit myDSE

Wir von datenschutzexperte.de helfen Ihnen mithilfe unserer Datenschutzmanagement-Software myDSE  bei der Erstellung eines Verarbeitungsverzeichnisses. Sie erhalten zudem unterschiedliche Beispiele und Vorlagen, die Ihnen dabei helfen, ein individuelles Verarbeitungsverzeichnis zu erstellen, das die Anforderungen der DSGVO erfüllt. Mithilfe dieser Management-Plattform erhalten Sie jederzeit einen genauen Überblick über die aktuelle Lage in Hinblick auf den Datenschutz in Ihrem Unternehmen und arbeiten DSGVO-konform. Mit myDSE können Sie jedoch nicht nur Ihr Verarbeitungsverzeichnis zentral organisieren. Auch Verträge etwaiger Auftragsverarbeiter können über die Plattform gespeichert und abgelegt werden.  Außerdem können wir Ihnen über die Plattform stets eine standortunabhängige Datenschutzberatung gewährleisten, wenn Sie weitere Fragen zu Erstellung, Formalien oder Struktur des Verarbeitungsverzeichnisses haben.

Portrait_Dominik
Unser Team

Wir stehen Ihnen zur Seite

Mit meiner fundierten Erfahrung in der operativen Unternehmensberatung helfe ich Ihnen dabei, die Vorgaben der DSGVO pragmatisch umzusetzen.

Dominik Fünkner

(zertifizierter Datenschutzbeauftragter & Geschäftsführer)

Weitere Themen, die Sie interessieren könnten

Aktuelle Beiträge zum Thema Datenschutz