Das Verzeichnis von Verarbeitungstätigkeiten

byRedaktion|11. Mai 2023|Wissenswertes

Daten sind in der heutigen Zeit mit das wichtigste Gut – nicht nur für Tech-Giganten, sondern auch für den Großteil von kleineren Unternehmen spielen sie eine immer wichtigere Rolle. Nicht umsonst entflammen also immer wieder Diskussionen rund um das Thema personenbezogene Daten und deren Schutz: denn schließlich werden Tag ein, Tag aus Daten gesammelt, verkauft und missbraucht. Unternehmen tragen heutzutage folglich eine weitere Verantwortung; die des Schutzes der verarbeiteten Daten. Dafür muss eine Auseinandersetzung damit stattfinden, wie die Sicherheit dieser Daten gewährleistet werden kann. Einer der wichtigsten Schritte dafür, ist das Erstellen eines Verzeichnisses von Verarbeitungstätigkeiten (nachfolgend „VVT“).

Was ist ein VVT?

Ein VVT ist ein Verzeichnis, welches grundsätzlich beschreibt, wie der Verantwortliche mit personenbezogenen Daten umgeht. Unter personenbezogene Daten fallen beispielsweise der Name, die Adresse, das Geburtsdatum, die E-Mail-Adresse aber auch die Bankdaten einer Person. Das VVT soll als Übersicht dafür dienen, welche Daten in einem Unternehmen verarbeitet werden, wie dies stattfindet und wer die Empfänger sind. Gemäß Art. 30 DSGVO muss grundsätzlich jeder Verantwortliche (eine natürliche oder juristische Person […], die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet) oder sein Vertreter (Art. 27 DSGVO) ein VVT führen. Konkretisiert wird diese Pflicht unter folgenden Gesichtspunkten:

wenn die Verarbeitung von personenbezogenen Daten ein Risiko für Rechte und Freiheiten der betroffenen Personen birgt;
wenn die Verarbeitung nicht nur gelegentlich erfolgt;
wenn eine Verarbeitung besonderer Datenkategorien gemäß Art. 9 I DSGVO erfolgt.

Info: Datenschutzbeauftragte können nicht das Führen des VVT übernehmen. Zwar kann die zentrale Verwaltung dessen abgegeben werden (beispielsweise durch das Stellen von geeigneten ausfüllbaren Dokumenten), jedoch müssen die Inhalte durch den Verantwortlichen erarbeitet werden. Wie diese Prozesse und Aufgaben in Ihrem Unternehmen organsiert sind, kann etwa in einer Datenschutz-Geschäftsordnung festgehalten werden.

Wichtig festzuhalten ist also, dass die Nichterstellung eines VVT bereits ein Verstoß gegen die DSGVO darstellen würde. Insbesondere wäre es auch ein Verstoß gegen das Prinzip der Transparenz, welches in Art. 5 I DSGVO normiert ist.

Inhalte eines VVT

Es gibt keine bestimmten Vorgaben, wie genau ein VVT gestaltet werden soll. Zwar normiert die DSGVO, was ein VVT enthalten muss, aber der Inhalt kann sich – je nachdem, welche Daten wie verarbeitet werden – logischerweise unterscheiden.

Folgendes muss jedoch ein VVT für Verantwortliche gem. Art. 30 Abs. 1 DSGVO beinhalten:

Name und Kontaktdaten des Verantwortlichen/ des Vertreters des Verantwortlichen
Name und Kontaktdaten des Datenschutzbeauftragten
Bezeichnungen der verwendeten Verfahren zur Datenverarbeitung
Zwecke der Datenverarbeitung
Kategorien der Betroffenen
Kategorien der personenbezogenen Daten
Kategorien von Empfängern, einschließlich der Empfänger in Drittstaaten
Drittlandübermittlungen
Allgemeine Beschreibung der technischen und organisatorischen Maßnahmen
Löschungsfristen, bzw. voraussichtliche Löschung der Daten

Nicht nur Verantwortliche, sondern auch Auftragsverarbeiter sind dazu verpflichtet, ein VVT zu erstellen. Nach Art. 4 Nr. 8 DSGVO ist ein Auftragsverarbeiter eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet. In Abgrenzung zum Verantwortlichen, welcher die Mittel und Zwecke einer Datenverarbeitung bestimmt, darf der Auftragsverarbeiter die Daten nur in diesem von dem Verantwortlichen festgesetzten Rahmen verarbeiten. Auch Auftragsverarbeiter sollen nach Art. 30 DSGVO eine kundenbezogene Dokumentation führen. Das Führen eines Verzeichnisses der Verarbeitungstätigkeiten für Auftragsverarbeitung (VVT-AV) gemäß Art. 30 Abs. II DSGVO dient, nach dem Erwägungsgrund 82 der DSGVO, als Nachweis für die Einhaltung dieser Verordnung.

Folgendes muss ein VVT für Auftragsverarbeiter gem. Art. 30 Abs. 2 DSGVO beinhalten:

Name und Kontaktdaten des Auftragsverarbeiters/ des Vertreters des Auftragsverarbeiters
Name und Kontaktdaten des Verantwortlichen/ des Vertreters des Verantwortlichen, in dessen Auftrag der Auftragsverarbeiter tätig ist
Name und Kontaktdaten des Datenschutzbeauftragten
Kategorien der personenbezogenen Daten, die im Auftrag jedes Verantwortlichen durchgeführt werden
Drittlandübermittlungen
Allgemeine Beschreibung der technischen und organisatorischen Maßnahmen

Zu beachten ist hierbei besonders, dass eine klare Trennung der unterschiedlichen VVTs für die jeweiligen Mandant*innen stattfinden muss. Es muss also deutlich erkennbar und nachvollziehbar sein, welches VVT für welche Kunden, oder zumindest für welche Kundengruppen gilt.

Bei der Pflege eines VVT ist es wichtig zu beachten, dass jegliche Veränderungen miteinbezogen werden müssen. Darunter fallen etwa Veränderungen in Bezug auf die Verteilung von Aufgaben – beispielsweise durch neue Rechtsnormen oder das Wegfallen von zuvor zugehörigen Rechtsnormen. Auch die Änderung von Namen oder Kontaktdaten innerhalb des VVT müssen stetig angepasst werden. Bei einer Zweckänderung oder einem Zusatz innerhalb der Verarbeitungszwecke muss ebenso eine Anpassung stattfinden. Auch Löschfristen und technisch und organisatorische Maßnahmen, welche Anwendung finden, müssen stetig aktualisiert werden.

Insbesondere die Dokumentation über mögliche Drittlandtransfers muss detailliert und aktuell sein, da es an dieser Stelle für Betroffene (die ihr Recht auf Auskunft nach Art. 15 DSGVO geltend machen können) besonders schwierig ist, nachvollziehen zu können, was außerhalb der EU mit ihren Daten geschieht. Es wird von dieser Seite aus ein Risiko eingegangen, welches von dem Verantwortlichen, unter anderem mithilfe des VVT, durch eine gute Führung dessen ausgeglichen werden sollte.

Folge eines nicht aktuellen VVT ist nicht nur der Verstoß gegen die Rechenschaftspflicht aus Art. 5 II DSGVO, sondern begründet womöglich auch Rechtsbehelfe von betroffenen Personen. Zudem überschneidet sich das Führen eines VVT mit anderen Grundsätzen der DSGVO. Darunter fallen etwa die Rechtmäßigkeit, die Datenminimierung, die Richtigkeit, die Speicherbegrenzung, die Integrität und die Vertraulichkeit. Folglich ist das Führen eines VVT ebenso nützlich in Bezug auf andere Datenschutzaspekte, welche Unternehmen ohnehin beachten müssen. Insbesondere das Erfüllen von Informationspflichten (Art. 13 und Art. 14 DSGVO) sowie die Auskunftspflicht (Art. 15 DSGVO) werden durch ein richtig geführtes VVT erleichtert. Auch die Überwachung und Bewertung von möglichen Datenschutzrisiken kann durch die Dokumentation des VVT sichergestellt werden.

Fazit

Zusammengefasst ist das Erstellen und Führen eines VVT also elementar wichtig. Jedes Unternehmen sollte sich seiner Verantwortung bezüglich des Schutzes der eigens verarbeiteten Daten bewusst sein und aktiv Handlungen vornehmen, welche die Sicherheit der Daten (und damit letztlich der betroffenen Personen) gewährleisten.

Wenn Sie Unterstützung bei der Konzipierung bzw. Erstellung eines VVT haben, beraten wir Sie gerne.

Neueste Beiträge

AG Lörrach, Urteil vom 03.03.2025 – Az. 3 C 1099/24: Datenschutz vor Nachbarschaftskontrolle – Unzulässigkeit privater Foto- und Videoaufnahmen zu Beweiszwecken8. Juli 2025 - 13:27
Das AG Lörrach entschied, dass heimliche Foto- und Videoaufnahmen eines Nachbarn zur Beweissicherung unzulässig sind, wenn keine konkrete Grundlage besteht. Auch bei Nachbarschaftskonflikten gilt: Die DSGVO schützt das Persönlichkeitsrecht – pauschale Verdachtsmomente reichen nicht aus.
ArbG Duisburg: Arbeitgeber muss 10.000,- EUR DSGVO-Schadensersatz für unberechtigte Veröffentlichung von Gesundheitsdaten zahlen8. Juli 2025 - 13:10
Das Arbeitsgericht (ArbG) Duisburg hat mit Urteil vom 26.09.2024 (Az. 3 Ca 77/24) einer Klage auf immateriellen Schadensersatz gemäß Art. 82 DSGVO stattgegeben. Der Fall betrifft die unzulässige Weitergabe von Gesundheitsdaten eines Arbeitnehmers durch die Präsidentin eines Sportverbands an rund 10.000 Vereinsmitglieder. Das Gericht sprach dem Kläger einen Schadensersatz in Höhe von 10.000 Euro zu.
Gedankenschutz im digitalen Zeitalter: Mental Privacy als Lösung?3. Juli 2025 - 12:31
Gedankenschutz im digitalen Zeitalter: Wird Mental Privacy zur Menschenrecht?
Was wäre, wenn Ihre Gedanken nicht mehr nur Ihnen gehören?

Stellen Sie sich vor, Ihr Kopfhörer liest nicht nur Musik aus – sondern auch Ihre Ängste, Wünsche, Überzeugungen. Klingt nach Science-Fiction? Mit KI, Neurotechnologie und maschinellem Lernen wird genau das zunehmend realistisch. Unternehmen und Staaten könnten bald nicht nur wissen, was Sie denken – sondern wie.
Dieser technologische Fortschritt stellt nicht nur den klassischen Datenschutz auf die Probe, sondern fordert ein neues Grundrecht: Mental Privacy – das Recht auf Schutz Ihrer Gedanken. Es geht um nichts Geringeres als die Freiheit des Denkens im digitalen Zeitalter. Wer darf Zugang zu unserem Geist haben – und unter welchen Bedingungen?
Ein Thema, das uns alle betrifft. Jetzt – bevor es zu spät ist.
Brüsseler Berufungsgericht erklärt TCF 2.0 von IAB Europe für datenschutzwidrig – wichtige Handlungsempfehlungen für Unternehmen3. Juli 2025 - 12:30
Das Brüsseler Berufungsgericht hat das weit verbreitete TCF 2.0 von IAB Europe als datenschutzwidrig eingestuft – mit weitreichenden Folgen für Unternehmen, die Online-Werbung nutzen. Besonders kritisch: Der TC-String gilt nun eindeutig als personenbezogenes Datum, und IAB Europe wurde als (mit-)verantwortlich eingestuft. Unternehmen sollten jetzt handeln, um rechtliche Risiken zu vermeiden.