In der Checkliste suchen

Das Verzeichnis von Verarbeitungstätigkeiten (VVT)

Das VVT gibt den Überblick über alle für den Datenschutz relevanten Geschäftsprozesse. Manch findiger Datenschützer sucht Ausnahmen im Gesetz,um kein VVT anlegen zu müssen. Mit diesen verästelten Argumentationen möchte man aber keiner Aufsichtsbehörde und keinen Richter überzeugen müssen.

Was ist das?

Das VVT ist ein internes Dokument. Es ist der Ausgangspunkt des betrieblichen Datenschutzmanagements und gibt einen Überblick über den Stand des Datenschutzes bei allen Geschäftsprozessen, in deren Verlauf personenbezogene Daten verarbeitet werden.

Nach außen hin wird das VVT nur der zuständigen Aufsichtsbehörde oder Datenschutzauditoren bei einem Datenschutzaudit gezeigt.

Nach innen kann man das VVT für das Datenschutzmanagement einsetzen, beispielsweise indem man relevanten Mitarbeitern Auszüge aus dem VVT gibt, um zu kommunizieren, welche personenbezogenen Daten in Ihrem Aufgabenbereich zu welchem verarbeitet werden dürfen.

Wieso ist das sinnvoll?

Datenschutzmanagement. Wer ein effektives Datenschutzmanagement wünscht, das wenig Zeit, Geld und Nerven kostet, verschafft sich und seinem Datenschutzbeauftragten mit einem ausführlichen und verständlichen VVT einen systematischen Überblick.

Und natürlich besteht für jede Stelle, die personenbezogene Daten verarbeitet, die gesetzliche Pflicht, ein VVT zu führen.

Was braucht man?

Die Form

Als VVT kann man eine Word- oder Excel-Datei verwenden, die man regelmäßig aktualisiert. Es gibt keine gesetzlichen Vorgaben außer der Schriftform.

Der Gegenstand

In das Verzeichnis werden alle Geschäftsprozesse aufgenommen, in deren Verlauf personenbezogene Daten verarbeitet werden.

Es werden sowohl Geschäftsprozesse dokumentiert, für die das eigene Unternehmen selbst verantwortlich ist als auch solche, die es im Auftrag anderer durchführt. Verantwortlichkeit im Sinne des Datenschutzes heißt, dass das Unternehmen (alleine oder gemeinsam mit anderen Unternehmen) über Zwecke und Mittel der Verarbeitung der betroffenen personenbezogenen Daten (mit-)entscheidet.

Für Verarbeitungstätigkeiten, die im Auftrag anderer Unternehmen vorgenommen werden,müssen nur einige der folgenden inhaltlichen Punkte berücksichtigt werden. Es empfiehlt sich aber der Einfachheit und Übersichtlichkeit halber, sie in gleicher Weise zu verzeichnen wie die Verarbeitungstätigkeiten, die in eigener Verantwortlichkeit vorgenommen werden.

Der Inhalt

Ein VVT lässt sich in die Rahmendaten zur verarbeitenden Stelle und in die Beschreibung jeder einzelnen Verarbeitungstätigkeit aufteilen.

Rahmendaten zur verarbeitenden Stelle

  1. Das VVT beinhaltet immer den Namen und die Kontaktdaten des Verantwortlichen. Bei Unternehmen wählt man dafür eine Person aus der Geschäftsführung aus, die mit Namen und Unternehmensadresse aufgeführt wird.
    (Zusätze und Sonderfälle: Man kann zusätzlich einen Vertreter des Verantwortlichen anführen. Wenn eine gemeinsame Verantwortlichkeit besteht, also mehr als ein Unternehmen über Zwecke und Mittel der Verarbeitung der betroffenen personenbezogenen Daten entscheidet, wird auch der gemeinsam Verantwortlich des anderen Unternehmens genannt. Auch dessen Vertreter darf genannt werden.)
  2. Wenn es im Unternehmen einen Datenschutzbeauftragten gibt, wird auch dieser mit Namen und Kontaktdaten genannt.
    (Das gleiche gilt für Datenschutzbeauftragte in gemeinsam verantwortlichen Unternehmen.)
  3. Es sollte, wenn möglich, eine Beschreibung der technischen und organisatorischen Maßnahmen (TOM) eingefügt werden. Die TOM können für die einzelnen Geschäftsprozesse konkret beschrieben werden, wenn das für das interne Datenschutzmanagement sinnvoll ist. Eine allgemeine Beschreibung in Form einer TOM-Liste (Pflicht 2) reicht jedoch aus.

Beschreibung jeder einzelnen Verarbeitungstätigkeit

Eine Verarbeitungstätigkeit wird im VVT entlang des Lebenszyklus’ der Daten beschrieben: von den Betroffenen, die sie beschreiben, bis zu der Frist, zu der man sie wieder löscht. Für jeden aufgeführten Geschäftsprozess…

  1. werden die Zwecke der Verarbeitung aufgeführt. Diese Zwecke sollten so formuliert werden, dass einem Mitarbeiter der zuständigen Aufsichtsbehörde klar wird, worum es geht.
  2. werden die Kategorien betroffener Personen beschrieben. Gewöhnlich reichen hier Kategorien wie „Kunden“ oder „Mitarbeiter“ aus. Bei „Mitarbeitern“ sollte nur klar sein, ob man alle Angestellten des Unternehmens meint oder im unternehmenseigenen Jargon „freie Mitarbeiter“ ausschließt, die man vielleicht sogar noch „Subunternehmer“ nennt, um die Verwirrung komplett zu machen.
  3. werden die Arten personenbezogener Daten beschrieben. Die Granularität, mit der man die Datenarten als Kategorien beschreibt, ist egal, solange sie verständlich sind. Man kann also nur dann „Stammdaten“ schreiben, wenn auch Außenstehenden klar ist, was darunter gefasst wird. Sind beispielsweise auch Rabattvereinbarungen mit inbegriffen? Oder gar eine Verkaufshistorie? Hier ist Klarheit günstig und schafft Sicherheit vor Bußgeldern.
  4. werden die Kategorien von Empfängern beschrieben, gegenüber denen die personenbezogenen Daten offengelegt wurden oder noch offengelegt werden sollen.
    (Sonderfälle: Falls personenbezogene Daten in Länder außerhalb der EU oder des EWR übermittelt werden, ist eine genauere Prüfung notwendig, die Sie tatsächlich von einem Experten durchführen lassen sollten. Das gleiche gilt bei internationalen Organisationen als Empfängern. Diese Art der Übermittlung passiert gerne bei der Nutzung von Cloud-Diensten oder neumodischen „Apps”, deren Server fast immer in den USA sitzen. Im Falle des Sitzes des Empfängerunternehmens in den USA ist lediglich sicherzustellen, dass das entsprechende Unternehmen hier als „active“ aufgelistet ist und im Falle der Übertragung von Mitarbeiterdaten auch für die Datenart „HR“ zertifiziert ist.)
  5. sollten, wenn möglich, die vorgesehenen Löschfristen der verschiedenen in diesem Prozess verarbeiteten Datenkategorien aufgeführt werden. Gelöscht wird, wenn diese beiden Bedingungen erfüllt sind:
    a) Wenn die gesetzliche Aufbewahrungsfrist abgelaufen ist (ergibt sich aus AO, HGB oder BGB) und
    b) wenn der Zweck der Verarbeitung nicht mehr besteht (also z.B. der Vertrag erfüllt wurde).
  6. kann ferner – rein freiwillig – die Gesetzesgrundlage aufgeführt werden, die die Verarbeitung der entsprechenden Daten überhaupt erst erlaubt. Dies ist kein Pflichtbestandteil eines VVT, hilft aber der Umsetzung des Datenschutzes ungemein, denn das VVT ist, wie gesagt, das Kernstück des betrieblichen Datenschutzmanagements.
  7. kann ferner – rein freiwillig – aufgeführt werden, ob ein AVV (Pflicht 3) geschlossen werden muss und ob ein solcher Vertrag auch geschlossen wurde. Datenschutzmanagement, here we are!
  8. kann man hinzufügen, was auch immer hilft, einen Überblick zu verschaffen und diesen auch bei Veränderungen im Unternehmen zu behalten. Das VVT gehört Ihnen (also bis auf die Pflichtbestandteile). Machen Sie etwas daraus!

Wie sieht das zum Beispiel aus?

Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) hat VVT-Muster für verschiedene Branchen erstellt. Diese Muster sowie die dazugehörigen weiteren Handreichungen sind sehr hilfreich. Schauen Sie sich die Handreichung für Ihre Branche an und verwenden Sie sie als Vorlage!

Die folgenden Muster sind vor allem als Aufnahmebögen sinnvoll einsetzbar, die Prozessverantwortlichen im Unternehmen ausgehändigt werden können: Der Berufsverband der Datenschutzbeauftragten Deutschlands (BvD) e.V. hat zwei Muster für VVTs, einmal für Verantwortliche, einmal für Auftragsverarbeiter erstellt sowie ein Muster für eine TOM-Liste (Pflicht 2), die dem entsprechenden VVT angehängt werden kann.

Wer kann einem das machen?

Die Aufgabe, ein VVT zu erstellen, wird gewöhnlich an den internen oder externen betrieblichen Datenschutzbeauftragten delegiert, gehört aber gesetzlich gesehen nicht zu dessen Aufgabenportfolio. Jede Person, die das Unternehmen sehr gut kennt oder es leicht navigieren kann, kann dieses Verzeichnis erstellen.

Für die Identifizierung der Rechtsgrundlagen der Verarbeitungen ist das Heranziehen eines Experten ratsam, um Zeit, Geld und Nerven zu sparen und um Bußgeldern und Haftstrafen vorzubeugen, falls man personenbezogene Daten doch unerlaubt verarbeitet.

Die Caladan GmbH verfährt so, dass Sie auf Grundlage eines Erstgesprächs ein VVT vorformuliert. Dieser Entwurf wird von einer Person im Unternehmen, die einen guten Überblick über dessen Geschäftsprozesse hat, inhaltlich vervollständigt. Danach suchen unsere Experten die passenden Rechtsgrundlagen heraus und sichern die Verständlichkeit der gewählten Kategorien von Betroffenen, Empfängern und verarbeiteten Daten ab.

Sie können aber auch jederzeit ganz unkomplizert ein kostenloses und unverbindliches Angebot für unser von zertifizierten Fachleuten entwickeltes und praxiserprobtes Vorlagenpaket mit Ausfüllanleitungen erhalten.

Nochmal in trocken!

  • Art. 30 DS-GVO beschreibt die Pflicht, ein VVT zu führen und schreibt dessen Pflicht-Inhalte vor.
  • Lassen Sie sich auf keinen Fall von Art. 30 Abs. 5 veranlassen, kein VVT zu führen, weil Sie meinen, Sie verarbeiten personenbezogene Daten „nur gelegentlich“. Erstellen Sie um Himmels Willen bitte ein VVT. Wenn Sie nur so gelegentlich personenbezogene Daten verarbeiten, wird es auch nicht so schwer sein.
  • Grundsätze der Verarbeitung personenbezogener Daten beschreibt Art. 5 DS-GVO.
  • Die Rechtsgrundlagen der Verarbeitung beschreibt Art. 6 DS-GVO.

Wo erfährt man mehr darüber?

  • Die Datenschutzkonferenz (DSK) hat ein Kurzpapier herausgegeben, dass das VVT allgemeinverständlich erklären soll.
  • Praxishandbücher enthalten gewöhnlich keine relevanten weiteren Informationen.
  • Über die Rechtsgrundlagen gibt es viele dutzend Seiten über Art. 6 DS-GVO in jedem Gesetzeskommentar zur DS-GVO, meistens mit zahlreichen branchenspezifischen Regelfällen.