Die Erstellung eines Verzeichnisses von Verarbeitungstätigkeiten (VVT) ist nicht nur eine gesetzliche Anforderung der Datenschutz-Grundverordnung (DSGVO), sondern auch eine praktische Maßnahme, um den Umgang mit personenbezogenen Daten in Unternehmen zu erleichtern. Doch was genau bedeutet das?
Das Verzeichnis von Verarbeitungstätigkeiten, wie es in Artikel 30 der DSGVO beschrieben ist, erfordert von jedem Verantwortlichen eine schriftliche Übersicht über alle Prozesse, bei denen personenbezogene Daten verarbeitet werden. Dies umfasst eine breite Palette von Aktivitäten wie Erheben, Speichern, Löschen, Verändern, Zusammenführen, Auslesen oder Abgleichen von Daten.
Im VVT müssen Informationen zu den verarbeiteten Datenkategorien, den Kontaktdaten der Verantwortlichen, dem Datenschutzbeauftragten, dem Kreis der betroffenen Personen, dem Zweck der Verarbeitung und den Datenempfängern enthalten sein. Zusätzlich werden Angaben zu technischen und organisatorischen Maßnahmen (TOM) sowie den vorgesehenen Löschfristen empfohlen. Es ist wichtig zu betonen, dass das VVT das bisherige Verfahrensverzeichnis ablöst.
Warum ist diese Art der Dokumentation so wichtig? Das VVT ermöglicht einen schnellen Überblick darüber, welche Verarbeitungsvorgänge im Unternehmen stattfinden. Es hilft nicht nur, die Prozesse zu verstehen, sondern auch festzustellen, ob sie zeitgemäß sind. Durch das Erkennen von Strukturen wird klar, wo möglicherweise Änderungen notwendig sind.
Das VVT dient als umfassende Dokumentation, vergleichbar mit einem Auditprotokoll. Hier werden alle Handlungen festgehalten, sei es digital oder analog. Ein Beispiel: Wenn Sie einen Bericht ausdrucken und an Kunden senden, können Sie jeden Schritt, vom Zugriff auf die Datei bis zum Versenden, im VVT dokumentieren.
Das Ziel dieser Dokumentation ist es, zu zeigen, dass die Organisation angemessene Maßnahmen getroffen hat, um die DSGVO einzuhalten. Das VVT sollte Informationen zu Beschreibungen der Verarbeitungstätigkeiten, Zustimmungsnachweisen, rechtlichen Grundlagen, technischen Sicherheitsmaßnahmen, Speicherdauer personenbezogener Daten und Informationen zu automatisierten Entscheidungsfindungsprozessen enthalten.
Hol dir jetzt deine kostenlose DSGVO-Checkliste! Mit unserem umfassenden E-Book wirst du selbst aktiv und kannst den Datenschutz in deinem Unternehmen mühelos und effizient umsetzen. Egal, ob du Anfänger oder Profi bist, dieses E-Book ist für jeden geeignet. Lade es jetzt herunter!
Die DSGVO definiert in Artikel 30 (5), dass Unternehmen mit weniger als 250 Mitarbeitern nicht grundsätzlich verpflichtet sind, ein Verzeichnis zu führen. Es sei denn, eine der drei folgenden Ausnahmen trifft zu:
Die Verarbeitung birgt ein Risiko für die Rechte und Freiheiten der betroffenen Personen.
Die Verarbeitung erfolgt regelmäßig, nicht nur gelegentlich.
Die Verarbeitung umfasst besondere Datenkategorien wie Gesundheitsdaten oder Informationen zur Religion oder politischen Meinungen.
Die meisten Unternehmen erfüllen mindestens eine dieser Ausnahmen. Zum Beispiel werden in den meisten Organisationen regelmäßig Personalakten geführt, was die Verpflichtung zur Führung eines VVT unabhängig von der Unternehmensgröße macht.
In Organisationen mit einem Datenschutzbeauftragten (DSB) liegt die Verantwortung für die kontinuierliche Dokumentation der Verarbeitungstätigkeiten bei diesem. In Abwesenheit eines DSB kann auch ein Mitarbeiter mit entsprechenden Kenntnissen diese Aufgabe übernehmen. Externe Berater oder spezialisierte Dienstleistungsunternehmen werden oft beauftragt, das erste VVT zu erstellen und die Aufgaben eines DSB zu übernehmen.
Das VVT ist nicht öffentlich zugänglich. Einsicht nehmen dürfen der Datenschutzbeauftragte, das Management des Unternehmens und auf Verlangen die Aufsichtsbehörden. Betroffene Personen haben jedoch keinen automatischen Anspruch auf Zugang zum VVT.
Fehlt ein VVT, kann dies bei behördlichen Prüfungen zu Bußgeldern führen. Unternehmen sollten daher sicherstellen, dass das Verzeichnis stets aktuell und vollständig ist, um den Anforderungen der DSGVO gerecht zu werden.
Abschließend lässt sich sagen, dass das Verzeichnis von Verarbeitungstätigkeiten nicht nur eine gesetzliche Verpflichtung ist, sondern auch ein entscheidendes Instrument, um den Datenschutz zu gewährleisten und die Rechenschaftspflichten gemäß der DSGVO zu erfüllen. Es bietet eine strukturierte Grundlage für die Datenschutzdokumentation und sollte daher von Unternehmen jeglicher Größe ernsthaft in Betracht gezogen werden.
Du bist auf der Suche nach einem günstigen Datenschutzbeauftragten für dein Unternehmen, dann klick auf den Button und wir senden dir innerhalb kürzester Zeit dein Angebot zu.
