1. Home
  2. Verzeichnis von...
DataAgenda

Verzeichnis von Verarbeitungstätigkeiten (VVT) braucht fast jeder – aber wie?

Was früher das Verfahrensverzeichnis war, ist seit der DS-GVO das Verzeichnis von Verarbeitungstätigkeiten (VVT). Unverändert stellt das VVT einen zentralen Bestandteil der internen Datenschutzorganisation dar. Für jede datenverarbeitende Stelle – unabhängig ihrer Größe – ist ein VVT gesetzlich vorgeschrieben, sobald „die Verarbeitung nicht nur gelegentlich erfolgt“.  Damit stehen selbst Vereine, Kleinunternehmen oder Solo-Selbstständige in der Pflicht ein VVT zu führen. Liegt dieses nicht vor, droht ein Bußgeld in Höhe von bis zu 10 Mio. € – unabhängig von der Unternehmensgröße und ihrem Umsatz.

Grundlegendes zum VVT klären

Umso wichtiger ist eine professionelle Erstellung und Pflege des VVT. Voraussetzung für den richtigen Umgang ist zunächst Klarheit über die gesetzlichen Erfordernisse sowie über Ziel und Hintergrund eines VVT. Das Verzeichnis von Verarbeitungstätigkeiten zu erstellen stellt für Viele ein lästige Rechtspflicht dar, sollte aber als Chance gesehen werden sich selbst über einen Überblick über die internen Verarbeitungstätigkeiten zu machen. Schwierig gestaltet sich häufig die Frage nach dem Zuschneiden von Verarbeitungstätigkeiten innerhalb von Prozessen – wie lassen sich alle Prozesse in Verarbeitungstätigkeiten aufteilen ohne dabei Datenverarbeitungen zu übersehen? Schließlich verlangt die DS-GVO ein vollumfängliches VVT von jedem Verantwortlichen.

Erstellung und inhaltliche Ausgestaltung

Entscheidend bei der Arbeit mit einem VVT ist darüber hinaus die genaue operative Vorgehensweise. So muss personell festgelegt werden, wer das VVT erstmalig erstellt und wer es in der Zukunft weiter pflegt und aktuell hält. Dabei kann der betriebliche Datenschutzbeauftragte durchaus mitwirken, die DS-GVO legt ihm diese Aufgabe aber von Gesetzes wegen ausdrücklich nicht auf. Bei der Dokumentation von Verarbeitungstätigkeiten lässt sich auf Unterstützung zurückgreifen. Solche bieten beispielsweise Checklisten, Formulare oder auch entsprechende Softwares.

Gutes VVT dient als Grundlage für Datenschutz-Managementsystem

Im besten Fall soll ein VVT nicht nur als Rechtspflicht angesehen. Vielmehr birgt diese Dokumentationsanforderung das Potenzial die Grundlage für ein Datenschutz-Managementsystem darzustellen. Diese Sichtweise ermöglicht es, die aufgrund des Umfangs dem VVT inhärenten Potenziale dafür zu nutzen ein Datenschutz-Managementsystem aufzubauen, soweit noch nicht geschehen. Damit lässt sich das VVT nicht nur effektiv, sondern auch effizient nutzen. Aus diesem Grund bietet es sich an mit entsprechenden Ressourcen das VVT zu erstellen. Dafür stellt der Verantwortliche nach Möglichkeit ein Projektteam zur erstmaligen Erstellung eines vollumfänglichen VVT zusammen und lässt dieses sämtliche Verarbeitungstätigkeit identifizieren und hochwertig dokumentieren.

Tipp: Gemeinsam Datenschutz gestalten mit dem DataAgenda Datenschutz Manager

Mit dem webbasierten Management-System erfassen, verwalten und dokumentieren Sie alle Maßnahmen zum Datenschutz und erfüllen Ihre Rechenschaftspflicht gemäß DS-GVO.

In diesem Video sehen Sie anhand eines Praxisbeispiels, wie Sie mit der Datenschutz-Manager-Software ein Verzeichnis der Verarbeitungstätigkeiten (VVT) Schritt für Schritt erstellen. 

>> zum DataAgenda Datenschutz Manager

Beitragsbild: stock.adobe.com/Tiko

Letztes Update:25.03.21

Verwandte Produkte

  • Verzeichnis von Verarbeitungstätigkeiten

    Verzeichnis von Verarbeitungstätigkeiten

    Seminar

    589,05 € Mehr erfahren

Das könnte Sie auch interessieren

  • Data Breach Management

    Praxisnahe Handreichung zum Datenpannenmanagement

    Passend zur jüngsten Verwarnung der BVG durch die BlnBDI hat das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD) eine strukturierte Handreichung zum Vorgehen bei Datenpannen veröffentlicht – ein nützliches Referenzdokument für Datenschutzverantwortliche, das die wesentlichen Pflichten kompakt und praxisorientiert aufbereitet. Meldepflicht und Risikobewertung als Ausgangspunkt Die Meldepflicht nach Art. 33 DS-GVO liegt stets beim Verantwortlichen –

    Mehr erfahren
  • Chatbots in der Verwaltung

    LLM-gestützte Chatbots in der öffentlichen Verwaltung

    Der Bayerische Landesbeauftragte für den Datenschutz (BayLfD) hat mit „AI in a Nutshell 3“ eine praxisorientierte Kurzinformation zum datenschutzkonformen Einsatz von LLM-gestützten Chatbots in bayerischen Behörden veröffentlicht. Das Dokument strukturiert die relevanten Anforderungen entlang der drei Phasen Beschaffung, Implementierung und Nutzung. Beschaffung: Vorabprüfung als Pflichtprogramm Bereits im Vorfeld der Beschaffung ist umfassend zu klären, ob

    Mehr erfahren
  • Incidentmanagement im Krankenhaus

    Datenpannenmanagement: LDI NRW identifiziert strukturelle Schwachstellen

    Keine Datenpanne in zwei Jahren – klingt gut, ist aber verdächtig. Zu diesem Schluss kommt die Landesbeauftragte für Datenschutz und Informationsfreiheit NRW (LDI NRW) nach einer Befragung von 33 Kliniken zum Umgang mit Datenschutzvorfällen. Das Ergebnis zeigt ein gemischtes Bild: solide IT-Sicherheitsstandards auf der einen, mögliche Lücken im internen Meldewesen auf der anderen Seite. Untersuchungsgegenstand

    Mehr erfahren

  • DataAgenda

    ist das Lösungsportal zum Datenschutzrecht und fokussiert sich auf die inhaltlichen Entwicklungen in diesem Feld. Das DataAgenda-Experten-Team bietet News, Tools und Tipps rund um den Datenschutz.

  • DATAKONTEXT 

    ist einer der führenden Fachinformationsdienstleister in den Bereichen Datenschutz und IT-Sicherheit und bietet Kompetenz aus einer Hand: Fachbücher, Fachzeitschriften und Seminare, Zertifizierung und Beratung.  

WordPress Cookie Hinweis von Real Cookie Banner