Verzeichnis von Verarbeitungstätigkeiten (VVT) braucht fast jeder – aber wie?

Was früher das Verfahrensverzeichnis war, ist seit der DS-GVO das Verzeichnis von Verarbeitungstätigkeiten (VVT). Unverändert stellt das VVT einen zentralen Bestandteil der internen Datenschutzorganisation dar. Für jede datenverarbeitende Stelle – unabhängig ihrer Größe – ist ein VVT gesetzlich vorgeschrieben, sobald „die Verarbeitung nicht nur gelegentlich erfolgt“.  Damit stehen selbst Vereine, Kleinunternehmen oder Solo-Selbstständige in der Pflicht ein VVT zu führen. Liegt dieses nicht vor, droht ein Bußgeld in Höhe von bis zu 10 Mio. € – unabhängig von der Unternehmensgröße und ihrem Umsatz.

Grundlegendes zum VVT klären

Umso wichtiger ist eine professionelle Erstellung und Pflege des VVT. Voraussetzung für den richtigen Umgang ist zunächst Klarheit über die gesetzlichen Erfordernisse sowie über Ziel und Hintergrund eines VVT. Das Verzeichnis von Verarbeitungstätigkeiten zu erstellen stellt für Viele ein lästige Rechtspflicht dar, sollte aber als Chance gesehen werden sich selbst über einen Überblick über die internen Verarbeitungstätigkeiten zu machen. Schwierig gestaltet sich häufig die Frage nach dem Zuschneiden von Verarbeitungstätigkeiten innerhalb von Prozessen – wie lassen sich alle Prozesse in Verarbeitungstätigkeiten aufteilen ohne dabei Datenverarbeitungen zu übersehen? Schließlich verlangt die DS-GVO ein vollumfängliches VVT von jedem Verantwortlichen.

Erstellung und inhaltliche Ausgestaltung

Entscheidend bei der Arbeit mit einem VVT ist darüber hinaus die genaue operative Vorgehensweise. So muss personell festgelegt werden, wer das VVT erstmalig erstellt und wer es in der Zukunft weiter pflegt und aktuell hält. Dabei kann der betriebliche Datenschutzbeauftragte durchaus mitwirken, die DS-GVO legt ihm diese Aufgabe aber von Gesetzes wegen ausdrücklich nicht auf. Bei der Dokumentation von Verarbeitungstätigkeiten lässt sich auf Unterstützung zurückgreifen. Solche bieten beispielsweise Checklisten, Formulare oder auch entsprechende Softwares.

Gutes VVT dient als Grundlage für Datenschutz-Managementsystem

Im besten Fall soll ein VVT nicht nur als Rechtspflicht angesehen. Vielmehr birgt diese Dokumentationsanforderung das Potenzial die Grundlage für ein Datenschutz-Managementsystem darzustellen. Diese Sichtweise ermöglicht es, die aufgrund des Umfangs dem VVT inhärenten Potenziale dafür zu nutzen ein Datenschutz-Managementsystem aufzubauen, soweit noch nicht geschehen. Damit lässt sich das VVT nicht nur effektiv, sondern auch effizient nutzen. Aus diesem Grund bietet es sich an mit entsprechenden Ressourcen das VVT zu erstellen. Dafür stellt der Verantwortliche nach Möglichkeit ein Projektteam zur erstmaligen Erstellung eines vollumfänglichen VVT zusammen und lässt dieses sämtliche Verarbeitungstätigkeit identifizieren und hochwertig dokumentieren.

Tipp: Gemeinsam Datenschutz gestalten mit dem DataAgenda Datenschutz Manager

Mit dem webbasierten Management-System erfassen, verwalten und dokumentieren Sie alle Maßnahmen zum Datenschutz und erfüllen Ihre Rechenschaftspflicht gemäß DS-GVO.

In diesem Video sehen Sie anhand eines Praxisbeispiels, wie Sie mit der DatenschutzManager -Software ein Verzeichnis der Verarbeitungstätigkeiten (VVT) Schritt für Schritt erstellen. 

>> zum DataAgenda Datenschutzmanager

Beitragsbild: stock.adobe.com/Tiko

Letztes Update:25.03.21

  • Verzeichnis von Verarbeitungstätigkeiten

    Verzeichnis von Verarbeitungstätigkeiten

    Seminar

    2021-05-06, 08:00 | online

    2021-10-13, 08:00 | Köln

    2021-05-06, 08:00 | Frankfurt/M.

    589.05 € Mehr erfahren
  • Online-Proctoring

    Aufsichtsbehörde: Mehr Schutz für Studierende bei Onlineprüfungen

    In jüngster Vergangenheit mussten sich Gerichte mit der Frage der Zulässigkeit der Einhaltung datenschutzrechtlicher Anforderungen im Rahmen der Durchführung von Kontrollen beschäftigen, die in Zusammenhang mit Online-Prüfungen standen. Studierende müssen aufgrund der Corona-Pandemie häufig auf Online-Veranstaltungen ausweichen. Prüfungen müssen sie ebenfalls online ablegen, auch im eigenen Interesse, um keine wertvolle Studienzeit zu verlieren. Um Online-Prüfungen

    Mehr erfahren
  • Korruptionsbekämpfung

    Korruptionsbekämpfung und Datenschutz

    Datenschutzbeauftragte sind zumeist „Allrounder“. Das müssen sie auch oftmals sein, da sie im Unternehmen als Schnittstelle fungieren (müssen). Sie müssen die Prozesse der Marketingabteilung genauso gut kennen, wie die Welt der IT oder der IT-Sicherheit und natürlich auch die der Personalabteilung, um ihrer originären Aufgabe (Beratung und Überwachung) nachkommen zu können. Das hat seine Ursache

    Mehr erfahren
  • 32 DSGVO

    Vermerk zu Abdingbarkeit von Art. 32 DS-GVO

    Eine als Vermerk veröffentlichte Publikation des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit (HmbBfDI) fand in den letzten Tagen in Datenschutzkreisen große Beachtung. Darin beschäftigt sich der HmbBfDI mit der Frage, ob betroffene Personen in ein niedrigeres Schutzniveau einwilligen können als rechtlich geboten ist. Es geht also um die Frage, ob oder inwieweit es sich bei

    Mehr erfahren