Viele Wege führen nach Rom: Das Verzeichnis der Verarbeitungstätigkeiten

VVT

Was das sog. Verzeichnis der Verarbeitungstätigkeiten (VVT) angeht, dürften tatsächlich nicht ALLE Wege, aber doch zumindest VIELE Wege nach Rom führen. Obwohl ein VVT nicht erst seit Wirksamwerden der DS-GVO von den allermeisten Daten verarbeitenden Stelle (Verantwortlichen) geführt werden muss, gibt es doch immer noch viel Unwissen, Halbwissen und Missverständnisse zu diesem Thema. Dabei gehen die Meinungen auch bzgl. der tatsächlichen Erstellung eines VVT oft auseinander:
– Was gehört in ein VVT, wie detailliert muss es sein?
– Muss ich überhaupt ein VVT führen?
– Wer führt das VVT?

Nach Art. 30 Abs. 1 DS-GVO muss jeder Verantwortliche ein „Verzeichnis von Verarbeitungstätigkeiten“ (im Folgenden abgekürzt: „VVT“) führen. Das Verzeichnis enthält:
– einige allgemeine Angaben zum Verantwortlichen (Art. 30 Abs. 1 lit a DS-GVO),
– eine Auflistung aller „Verarbeitungen“ (Art. 4 Ziff. 2 DS-GVO), die in seinem Zuständigkeitsbereich liegen,
– mit spezifischen Angaben zu den einzelnen Verarbeitungstätigkeiten (Zwecke, Datenkategorien, Betroffenenkategorien, Empfänger, Drittlandübermittlungen, Löschfristen, technisch/organisatorische Maßnahmen Art. 30 Abs. 1 lit b – g DS-GVO).

Die deutschen Aufsichtsbehörden sehen das VVT als zentralen Bestandteil der Dokumentation und als „Herzstück jedes Datenschutzkonzeptes“ (vgl. https://lfd.niedersachsen.de/download/149301 , S.11) , mit dem insbesondere auch zusätzlich:
– die Festlegung der Verarbeitungszwecke nach Art. 5 Abs. 1 lit. b DS-GVO, – die geeigneten technischen und organisatorischen Maßnahmen nach Art. 24 Abs. 1 und Art. 32 DS-GVO,
– die Notwendigkeit und die Durchführung von Datenschutzfolgenabschätzung nach Art. 35 DS-GVO dokumentiert werden können und gehen damit über die Anforderungen des Art. 30 Abs. 1 DS-GVO hinaus.

Da ist es hilfreich, wenn Aufsichtsbehörden nicht nur Muster zur Verfügung stellen, die dem interessierten Neuling eine sinnvolle Herangehensweise vorstellen, was das Layout eines VVT angeht, sondern das Muster auch mit „Leben füllen“, damit der Leser ein „Gefühl“ bzgl. des Abstraktionsgrads, oder eben auch des Konkretisierungsgrads eines VVT bekommt.

Bereits zum Wirksamwerden der DS-GVO verhalf das BayLDA mit einer Vielzahl von „ausgefüllten Mustern“, die aus der Perspektive unterschiedlicher verantwortlicher Stellen ausgefüllt waren, für mehr Klarheit, wie ein VVT aussehen kann. Die Ausgestaltung in einer niederschwelligen Tabellenform zeigt zum einen, dass je nach Komplexität der Verarbeitungen auch Tabellen oder Excel eine Möglichkeit sein können, um sich und anderen einen Überblick über die wesentlichen Verarbeitungstätigkeiten zu verschaffen. Zum anderen lässt sich anhand der Muster recht gut erkennen, welche Granularität sich zumindest das BayLDA bei einem VVT vorstellt. Auch die Datenschutzstelle Liechtenstein hat ein ausgefülltes Muster für ein Unternehmen und einen Verein.

Spannend zu sehen ist es auch, wie der Europäische Datenschutzbeauftragte (EDSB) die Anforderungen des Art. 30 DS-GVO umgesetzt hat. Denn wie alle anderen Organe, Einrichtungen und sonstigen Stellen der EU (Organe und Einrichtungen der EU) verarbeitet auch der EDSB personenbezogenen Daten und hat daher ein VVT zu führen. Das VVT des EDSB ist ein schönes Beispiel dafür, wie das VVT auch per HTML und die Nutzung von Hyperlinks übersichtlich im Intranet eines Unternehmens umgesetzt werden könnte.

Auch in der Videoreihe des LfDI Baden-Württemberg werden die grundlegenden Informationen rund um das Thema VVT sehr konkret vermittelt und erläutert, wie ein VVT praktisch umgesetzt werden kann: Warum müssen Verantwortliche ein Verarbeitungsverzeichnis pflegen, welche Inhalte muss es haben und wieso kann ein sorgfältiges Verzeichnis sogar Arbeit sparen? Diese und weitere Fragen werden in dem Video beantwortet.

(Foto: Chris – stock.adobe.com)






Letztes Update:03.01.22

  • Verzeichnis von Verarbeitungstätigkeiten

    Verzeichnis von Verarbeitungstätigkeiten

    Seminar

    2022-02-16, 09:00 | Stuttgart

    2022-05-19, 08:00 | online

    2022-09-15, 08:00 | Köln

    2022-05-19, 08:00 | Stuttgart

    589.05 € Mehr erfahren
  • USA Überwachungsgesetz

    DSK-Gutachten: Aktueller Stand des US-Überwachungsrechts

    Die DSK (Die Datenschutzkonferenz besteht aus den unabhängigen Datenschutzbehörden des Bundes und der Länder) haben ein von Prof. Stephen Vladek erstelltes Gutachten zu den US-Überwachungsbefugnissen veröffentlicht. Es existiert auch eine deutsche Übersetzung des Gutachtens. Das Dokument könnte ein Schlüsselelement für Durchsetzungsmaßnahmen im Zusammenhang mit den deutschen Datenschutzbehörden sowie eine gute Informationsquelle für die Bewertung von

    Mehr erfahren
  • TTDSG

    DSK: Konsultationsverfahren zur „Orientierungshilfe Telemedien 2021“

    Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) hat am 20.12.2021 eine neue Fassung ihrer Orientierungshilfe für Anbieter/-innen von Telemedien veröffentlicht („Orientierungshilfe Telemedien 2021“). Mittels des überarbeiteten Papiers soll Betreibern und Betreiberinnen von Webseiten, Apps oder Smarthome-Anwendungen konkrete Hilfestellung bei der Umsetzung der am 01.12.2021 in Kraft getretenen Vorschriften des Telekommunikation-Telemedien-Datenschutz-Gesetzes (TTDSG)

    Mehr erfahren
  • Umsetzung des Auskunftsrechts: EDSA beschließt Leitlinien

    „Das Auskunftsrecht ermöglicht es Einzelpersonen, sich darüber zu informieren, wie und warum ihre personenbezogenen Daten verarbeitet werden. Die Leitlinien enthalten Beispiele, die den für die Verarbeitung Verantwortlichen helfen sollen, Auskunftsanträge in einer der DS-GVO entsprechenden Weise zu beantworten“, so die Vorsitzende des europäischen Datenschutzausschusses (EDSA), Andrea Jelinek. Auf seiner Plenartagung im Januar hat der EDSA

    Mehr erfahren