Verzeichnis von Verarbeitungstätigkeiten (VVT)

Das Herzstück eines Datenschutzmanagement-Systems

Zu welchen Zwecken verbarbeitet Ihr Unternehmen personenbezogene Daten? Mit welcher Software? Wann werden die Daten wieder gelöscht?Ein VVT gibt Ihnen und Behörden den notwendigen Überblick.

Was ist ein VVT?

Nach Art. 30 DSGVO besteht für die meisten Unternehmen eine Verpflichtung zur Erstellung eines sogenannten Verzeichnisses von Verarbeitungstätigkeiten (VVT). Ein solches Verzeichnis bietet die Möglichkeit, als Herzstück eines firmeninternen Datenschutzmanagement-Systems (DSMS) zu fungieren, da viele andere Vorgaben der DSGVO (die Durchführung von Datenschutzfolgenabschätzungen, AV-Dokumentation oder auch Informationen zu Drittstaatentransfers) hier nahtlos andocken können. Grundsätzlich bedarf ein VVT der Schriftform, die inhaltliche Ausgestaltung bzw. die im speziellen Fall notwendige Detailtiefe des Verzeichnisses ist rechtlich nicht jedoch abschließend geklärt. Die erforderlichen Mindestangaben lassen sich wie folgt zusammenfassen:

  • Namen und Kontaktdaten der Verantwortlichen sowie eines etwaigen Datenschutzbeauftragten
  • die konkreten Zwecke jeder Verarbeitung
  • Kategorien betroffener Personen
  • Kategorien personenbezogener Daten
  • die Kategorien von Empfängern, gegenüber denen Daten offengelegt werden
  • Informationen über Übermittlungen von Daten an ein Drittland oder an eine internationale Organisation
  • eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen

Begriff der Verarbeitungstätigkeit

Tatsächlich ist die „Verarbeitungstätigkeit“ als solche in der DSGVO nicht explizit definiert. Daraus resultiert für Unternehmen eine gewisse Unklarheit, in welchem Detailgrad Verarbeitungstätigkeiten zu dokumentieren sind. Klar ist nur: Eine zu feingliedrige Aufteilung führt möglicherweise zu unübersichtlich vielen Verarbeitungstätigkeiten, eine zu grobgliedrige Aufteilung hingegen erlaubt keine sinnvolle Prüfung der Datenschutzkonformität. In kleinen Unternehmen kann es ausreichen, alle personalbezogenen Tätigkeiten unter der Oberbegriff “Personalverwaltung" zusammenzufassen. In größeren Unternehmen hingegen ist ein feinere Unterteilung (bspw. in “Personalverwaltung”, “Personalentwicklung", “Personalplanung”, etc.) fast unvermeidlich.

Einbindung des Datenschutzbeauftragten

Die abschließende Klärung der im jeweiligen Einzelfall angebrachten Detailtiefe von Verarbeitungsbündelungen sollte aus oben genannten Gründen immer in enger Zusammenarbeit mit dem firmeneigenen Datenschutzbeauftragten erfolgen. Neben der Stellung eines externen Datenschutzbeauftragten bieten Ihnen wir als SDG auch gesondert unsere vollumfängliche Unterstützung in Form von juristischer Prüfung und Bewertung, der Analyse Ihrer technischen und organisatorischen Maßnahmen sowie situations- und unternehmensangepassten Vorlagen.

Kontaktieren Sie uns und wir helfen Ihnen dabei, diesen wichtigen Kern Ihres firmeneigenen DSMS mit Leben zu füllen und DSGVO-konform zu gestalten.


Ähnliche Themen

Auftragsverarbeitung

Verarbeiten Kooperationspartner Ihres Unternehmens personenbezogene Daten in Ihrem Auftrag? Dann ist es vermutlich erforderlich, diese Verarbeitung auf der Grundlage eines sogenannten Vertrags zur Auftragsverarbeitung (AV-Vertrag oder AVV) zu regeln.

Mehr erfahren

Folgenabschätzung

Falls eine Verarbeitung personenbezogener Daten hohe Risiken für Betroffene birgt (bspw. Diskriminierung im Falle einer Datenpanne), verpflichtet die DSGVO zur Durchführung einer Risikobewertung, der Benennung von Maßnahmen zur Risikominderung sowie der Erstellung eines Maßnahmenplans.

Mehr erfahren

Informationssicherheit

Als Schutzziele der Informationssicherheit gelten Vertraulichkeit, Verfügbarkeit und Integrität. Zu diesem Zweck führen wir für Sie gerne interne Audits durch, bewerten Ihre technischen und organisatorischen Maßnahmen und prüfen die Sicherheit Ihrer Online-Auftritte mit Hilfe von Penetrationstests.

Mehr erfahren
Haben wir Ihr Interesse geweckt?
Termin vereinbaren