kostenlos starten
Verzeichnis von Verarbeitungstätigkeiten, Art. 30 Abs. 1

VVT: Verzeichnis von Verarbeitungstätigkeiten nach DSGVO

Verzeichnis von Verarbeitungstätigkeiten (VVT), Art. 30 Abs. 1 DSGVO

Das Verzeichnis von Verarbeitungstätigkeiten (VVT) auch Verfahrensverzeichnis genannt, ist die datenschutzrechtliche Prozessdokumentation des Verantwortlichen. Es macht Sinn, sich bei der Erstellung des VVT etwas Zeit zu nehmen und ein intelligentes System zu schaffen, das die Unternehmensprozesse in angemessener Detailtiefe abbildet, um über die Erfüllung von Dokumentationspflichten hinaus eine sinnvolle Grundlage für die weitere Datenschutz-Organisation und -Dokumentation zu schaffen. Ein gutes Verzeichnis von Verarbeitungstätigkeiten erfasst wie ein Netz alle Unternehmensprozesse und enthält Informationen, die so komprimiert sind, dass sich das Verzeichnis von Verarbeitungstätigkeiten mit vertretbarem Aufwand aktuell halten lässt.

Sie haben noch kein Verzeichnis von Verarbeitungstätigkeiten? Dank der vielen Vorlagen erstellen Sie Ihr Verzeichnis easy und schnell mit // PRIMA!
Jetzt kostenlos starten

Was ist ein VVT (Verzeichnis von Verarbeitungstätigkeiten)?

Ein VVT (Verzeichnis von Verarbeitungstätigkeiten) soll die Einhaltung der Datenschutzbestimmungen sicherstellen und einen umfassenden Überblick über die Datenverarbeitungsaktivitäten innerhalb einer Organisation geben. Durch die detaillierte Dokumentation der Verarbeitungsvorgänge wird Transparenz geschaffen, was wiederum den Schutz der personenbezogenen Daten stärkt und die Rechte der betroffenen Personen wahrt. 

Ein VVT ermöglicht es einer Organisation, ihre Datenverarbeitungsprozesse systematisch zu erfassen und zu überwachen. Dies ist besonders wichtig, um Schwachstellen im Datenschutzmanagement zu identifizieren und entsprechende Maßnahmen zur Verbesserung der Datensicherheit zu ergreifen. Darüber hinaus dient das Verfahrensverzeichnis als Grundlage für interne und externe Audits sowie für die Kommunikation mit Datenschutzbehörden. 

Wer muss ein VVT führen?

Die Pflicht zur Erstellung des Verzeichnisses der Verarbeitungstätigkeiten liegt bei dem Verantwortlichen, also der natürlichen oder juristischen Person, die ein Unternehmen führt bzw. bei einer Behörde. Nach der internen Organisation muss das Management oder die Behördenleitung sicherstellen, dass ein Verfahrensverzeichnis erstellt wird. Diese Personen dürfen die Erstellung natürlich delegieren. Das macht Sinn und ist gängige Praxis. Management bzw. Behördenleitung müssen dann nur noch kontrollieren bzw. sich berichten lassen, dass ein Verzeichnis der Verarbeitungstätigkeiten erstellt ist und regelmäßig gepflegt wird.

In der Praxis wird die Erstellung des Verzeichnisses der Verarbeitungstätigkeiten häufig an Datenschutzbeauftragte oder eine Datenschutzabteilung delegiert. Diese koordinieren die Erstellung, indem sie das entsprechende Dokument anlegen und die Informationsbeschaffung durch die Fachabteilungen anstoßen, indem diese zu Interviews eingeladen werden, in Fragebögen Informationen zuliefern oder direkt in das Dokument einpflegen. Für diesen Prozess macht Softwareunterstützung natürlich Sinn, um Informationen effizient zusammen zu tragen und zu konsolidieren.

Was gehört in ein VVT (Pflichtangaben laut DSGVO)?

Die Inhalte des Verzeichnisses der Verarbeitungstätigkeiten ergeben sich aus Art. 30 Abs. 1 DSGVO. Es sind:

  • Name und die Kontaktdaten des Verantwortlichen;
  • die Zwecke der Verarbeitung;
  • eine Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten;
  • die Kategorien von Empfängern, einschließlich Empfänger in Drittländern oder internationalen Organisationen;
  • Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation;
  • Fristen für die Löschung;
  • eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Artikel 32 Absatz 1.

Je nachdem, wie man das Verzeichnis der Verarbeitungstätigkeiten für die Datenschutz-Organisation und -Dokumentation nutzt, ist es zweckmäßig, weitere Informationen dort zu sammeln, wie

  • eingesetzte IT-Infrastruktur
  • eingesetzte Software
  • Ergebnis der Prüfung, ob eine Datenschutzfolgenabschätzung erfolgen muss
  • etc.

Was ist eine Verarbeitungstätigkeit? 

Die Erstellung des Verfahrensverzeichnisses ist eine gesetzliche Pflicht, die sich aus Art. 30 Abs. 1 DSGVO ergibt. Das VVT besteht aus der Dokumentation einzelner Verarbeitungstätigkeiten. Verarbeitungstätigkeiten sind Prozesse, also eine Abfolge von einzelnen Tätigkeiten, bei denen personenbezogene Daten verarbeitet werden. Wie viele Einzeltätigkeiten in einer Verarbeitungstätigkeit zusammengefasst werden, kann relativ frei definiert werden. Es ist also möglich, Prozesse zu einer großen Verarbeitungstätigkeit zusammen zu fassen oder getrennt abzubilden.

Beispiele für Verarbeitungstätigkeiten

Klassische Beispiel für Verarbeitungstätigkeiten sind

  • Erhebung von Kundendaten im Rahmen der Bestellabwicklung 
  • Speicherung von Mitarbeiterdaten in der Personalabteilung 
  • Nutzung von Daten für Marketingzwecke 
  • Weitergabe von Daten an externe Dienstleister 

Wer braucht ein VVT (Verzeichnis von Verarbeitungstätigkeiten)?

Grundsätzlich muss jeder Verantwortliche ein VVT führen. Verantwortliche sind diejenigen, die die Zwecke und Mittel der Verarbeitung personenbezogener Daten festlegen. Auftragsverarbeiter hingegen sind diejenigen, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeiten. Beide Parteien müssen sicherstellen, dass sie ein vollständiges und aktuelles Verfahrensverzeichnis führen, um den Anforderungen der DSGVO gerecht zu werden.

Gibt es Ausnahmen von der VVT-Pflicht?

Es gibt Ausnahmen von der Dokumentationspflicht für kleine Unternehmen mit weniger als 250 Beschäftigten, die aber mit Vorsicht zu genießen sind und im Ergebnis nur selten relevant werden. Denn es gibt Rückausnahmen, also Fälle, in denen auch diese kleinen Unternehmen ein VVT führen müssen, nämlich wenn kleine Unternehmen

  • regelmäßige Verarbeitungen durchführen, die ein Risiko für Rechte und Freiheiten der Betroffenen bedeuten (das ist öfter der Fall, als man es vermuten könnte);
  • Verarbeitungen besonderer Datenkategorien (z. B. von Gesundheitsdaten) durchführen (auch das ist in den meisten Unternehmen der Fall);
  • Verarbeitungen über strafrechtliche Verurteilungen und Straftaten durchführen (das dürfte selten der Fall sein).

Im Ergebnis sind fast alle Unternehmen und Behörden verpflichtet ein VVT (Verzeichnis von Verarbeitungstätigkeiten) zu führen. Selbst wenn das einmal nicht der Fall sein sollte, sind sie zur Einhaltung des Datenschutzrechts verpflichtet und müssen das wegen der Rechenschaftspflicht in Art. 5 Abs. 2 DSGVO auch dokumentieren. Jedenfalls dafür macht es Sinn, ein Verfahrensverzeichnis zu führen, weil es die übliche Dokumentation ist, die eine Datenschutzbehörde kennt und erwartet.

Ein VVT ist besonders wichtig für Organisationen, die regelmäßig große Mengen personenbezogener Daten verarbeiten oder sensible Daten wie Gesundheitsinformationen, Finanzdaten oder Daten von Kindern erfassen. Es hilft diesen Organisationen, ihre Datenverarbeitungsprozesse systematisch zu erfassen und zu überwachen, um die Einhaltung der Datenschutzbestimmungen sicherzustellen.

Darüber hinaus ist ein VVT (Verzeichnis von Verarbeitungstätigkeiten) für Organisationen von Bedeutung, die in mehreren Ländern tätig sind und grenzüberschreitende Datenverarbeitungsaktivitäten durchführen. In solchen Fällen ist es entscheidend, dass das VVT alle relevanten Informationen enthält, um die Einhaltung der Datenschutzvorschriften in den verschiedenen Ländern zu gewährleisten.

Wie erstelle ich ein VVT Schritt für Schritt?

Die Erstellung eines Verzeichnisses von Verarbeitungstätigkeiten (VVT) erfordert eine systematische Herangehensweise und die Erfassung aller relevanten Datenverarbeitungsprozesse. Folgende Schritte sind dabei zu beachten: 

  • Identifizierung aller Verarbeitungstätigkeiten innerhalb der Organisation: Zunächst müssen alle Prozesse, bei denen personenbezogene Daten verarbeitet werden, identifiziert werden. Dies umfasst sowohl interne als auch externe Verarbeitungsvorgänge. 
  • Erfassung der notwendigen Angaben gemäß Artikel 30 DSGVO: Für jede Verarbeitungstätigkeit müssen die erforderlichen Informationen gemäß Artikel 30 DSGVO dokumentiert werden. Dazu gehören unter anderem die Zwecke der Verarbeitung, die Kategorien betroffener Personen und personenbezogener Daten sowie die Empfänger der Daten. 
  • Dokumentation der technischen und organisatorischen Maßnahmen zur Datensicherheit: Es ist wichtig, die Maßnahmen zur Sicherstellung der Datensicherheit zu dokumentieren. Dies umfasst sowohl technische Maßnahmen wie Verschlüsselung und Zugriffskontrollen als auch organisatorische Maßnahmen wie Schulungen und Richtlinien. 
  • Regelmäßige Überprüfung und Aktualisierung des Verzeichnisses: Das VVT muss regelmäßig überprüft und aktualisiert werden, um sicherzustellen, dass es den aktuellen gesetzlichen Anforderungen entspricht und alle Änderungen in den Datenverarbeitungsprozessen berücksichtigt werden. 

Ein gut geführtes VVT ist ein zentraler Bestandteil der Datenschutz-Compliance und hilft Organisationen dabei, ihre Datenverarbeitungsaktivitäten systematisch zu erfassen und zu überwachen. Es trägt dazu bei, das Vertrauen der betroffenen Personen in die Organisation zu stärken und mögliche rechtliche Konsequenzen aufgrund von Datenschutzverstößen zu vermeiden. 

Wer darf das VVT einsehen? 

Das Verzeichnis von Verarbeitungstätigkeiten (VVT) darf von Datenschutzbehörden eingesehen werden, um die Einhaltung der DSGVO zu überprüfen. Innerhalb der Organisation haben der Datenschutzbeauftragte und autorisierte Mitarbeiter Zugriff auf das Verzeichnis, um die Datenschutz-Compliance sicherzustellen und erforderliche Maßnahmen zu ergreifen. 

Darüber hinaus können auch externe Auditoren und Prüfer, die von der Organisation beauftragt wurden, Zugang zum VVT erhalten. Dies ist besonders wichtig für die Durchführung von Audits und Bewertungen der Datenschutzpraktiken der Organisation. Externe Auditoren können dabei helfen, Schwachstellen im Datenschutzmanagement zu identifizieren und Empfehlungen zur Verbesserung der Datensicherheit zu geben. 

In einigen Fällen kann es auch notwendig sein, dass das VVT von rechtlichen Beratern oder anderen Fachleuten eingesehen wird, die die Organisation bei der Einhaltung der Datenschutzbestimmungen unterstützen. Diese Experten können wertvolle Einblicke und Ratschläge zur Optimierung der Datenverarbeitungsprozesse und zur Sicherstellung der Compliance geben. 

Es ist wichtig, dass der Zugriff auf das VVT streng kontrolliert und nur autorisierten Personen gewährt wird. Dies trägt dazu bei, die Vertraulichkeit und Sicherheit der im Verzeichnis enthaltenen Informationen zu gewährleisten und den Schutz der personenbezogenen Daten zu stärken. 

Wer stellt Standarddatenschutzklauseln zur Erstellung eines VVT zur Verfügung? 

Standarddatenschutzklauseln werden von der Europäischen Kommission zur Verfügung gestellt. Diese Klauseln dienen als Grundlage für die rechtmäßige Übermittlung personenbezogener Daten in Drittländer und bieten einen sicheren Rahmen für die internationale Datenverarbeitung. Die Europäische Kommission entwickelt und aktualisiert diese Klauseln regelmäßig, um sicherzustellen, dass sie den aktuellen Datenschutzanforderungen entsprechen und einen hohen Schutz für die betroffenen Personen bieten. 

Die Standarddatenschutzklauseln sind besonders wichtig für Unternehmen und Organisationen, die personenbezogene Daten außerhalb der Europäischen Union verarbeiten oder an Drittländer übermitteln. Sie bieten eine rechtliche Grundlage, um sicherzustellen, dass die Datenübermittlung den Anforderungen der DSGVO entspricht und die Rechte der betroffenen Personen gewahrt bleiben. 

Darüber hinaus können auch nationale Datenschutzbehörden und andere relevante Institutionen Standarddatenschutzklauseln zur Verfügung stellen oder Empfehlungen zur Anwendung dieser Klauseln geben. Diese Behörden spielen eine wichtige Rolle bei der Überwachung und Durchsetzung der Datenschutzbestimmungen und unterstützen Unternehmen dabei, die Einhaltung der gesetzlichen Anforderungen sicherzustellen. 

Es ist wichtig, dass Unternehmen und Organisationen, die personenbezogene Daten in Drittländer übermitteln, die Standarddatenschutzklauseln sorgfältig prüfen und anwenden. Dies trägt dazu bei, die Sicherheit und Vertraulichkeit der Daten zu gewährleisten und mögliche rechtliche Konsequenzen aufgrund von Datenschutzverstößen zu vermeiden. 

Gibt es „Standardverfahren“?

Es gibt „Standardverfahren“, die für alle oder die meisten Verantwortlichen eine Rolle spielen. Das sind z. B. Verfahren zur Verarbeitung von Kundendaten, zur Buchhaltung oder zum Betrieb einer Webseite. DER Klassiker der Verarbeitungstätigkeiten ist natürlich die Personaldatenverarbeitung. Sie ist in praktisch jedem Unternehmen und in jeder Behörde zu finden. In kleineren Unternehmen mit wenig Personal und wenig Aktivität und Komplexität, kann es sinnvoll sein, eine Verarbeitungstätigkeit „Personaldatenverarbeitung“ zu definieren und im Verzeichnis der Verarbeitungstätigkeiten abzubilden. Bei größeren Unternehmen mit komplexeren Personalprozessen hingegen ist es sinnvoll, das Thema zu splitten und getrennt abzubilden, etwa in Verarbeitungstätigkeiten für „Recruiting“, „Payroll“, „Personalentwicklung“, etc.

In vielen Fällen lässt sich eine sinnvolle Dokumentation mit ca. 15 Verarbeitungstätigkeiten abbilden. Deutlich mehr oder deutlich weniger Verarbeitungstätigkeiten können ein Indiz für eine zu komplexe bzw. zu wenig detaillierte Dokumentation sein.

Sinnvolle Standardverfahren für euer Verzeichnis der Verarbeitungstätigkeiten findet ihr in unserer kostenlosen Vorlage.

Wie sieht ein Muster eines Verfahrensverzeichnisses aus?

Muster für die Erstellung des Verzeichnisses der Verarbeitungstätigkeiten enthalten die Pflichtangaben gemäß Art. 30 Abs. 1 DSGVO (siehe oben). Gute Muster enthalten darüber hinaus weitere Angaben, die für eine sinnvolle Datenschutz-Organisation und -Dokumentation benötigt werden.

Hier VVT-Muster herunterladen

So erstellen Sie eine Verarbeitungstätigkeit mit // PRIMA:

Weitere Beiträge

Die datenschutzrechtliche Einwilligung 

Ob Online-Shop, Newsletter oder Kundenumfrage – überall werden personenbezogene Daten verarbeitet. Damit dies rechtmäßig

10 Irrtümer über Datenschutz, die fast jedes Unternehmen glaubt

Einleitung Viele Unternehmen unterschätzen das Thema Datenschutz oft aus Unwissenheit oder Fehleinschätzungen. Aussagen wie

Das Barrierefreiheitsstärkungsgesetz (BFSG) jetzt unkompliziert umsetzen

Am 28. Juni 2025 tritt das Barrierefreiheitsstärkungsgesetz (BFSG) in Kraft. Das BFSG soll das

EU Data Act Bild

Data Act: „Vernetzte Produkte“ und „Verbundene Dienste“ 

Haben Sie „Vernetzte Produkte“ und „Verbundene Dienste“? Nutzen Sie unsere Checklisten!  Die digitale Transformation

TOM Datenschutz: Diese technischen und organisatorischen Maßnahmen musst du kennen

Technische und organisatorische Maßnahmen nach DSGVO sind entscheidend, um personenbezogene Daten wirksam zu schützen.

Sicherheit im Unternehmen: Die Wichtigkeit von Mitarbeiterschulungen

Erfahren Sie mehr über die Wichtigkeit von regelmäßigen Mitarbeiterschulungen und warum Schulungen zu Datenschutz,

KI-Verordnung der EU: Unternehmen müssen handeln!

Am 1. August 2024 ist die neue KI-Verordnung (KI-VO) in Kraft getreten und bringt
Anschaffung von Software

Augen auf beim Software Kauf (und Miete): Diese Anforderungen muss deine Software erfüllen

Software ist das Rückgrat jedes modernen Unternehmens. Software bildet praktisch jeden Unternehmensprozess ab. Angefangen

Arbeitszeiterfassung: Rechtliche Anforderungen und Empfehlungen

Die Verpflichtung zur Arbeitszeiterfassung von Arbeitnehmenden und die Umsetzung eines datenschutzkonformen Zeiterfassungssystems sind für

// PRIMA Newsletter

Datenschutz effizient und sicher umsetzen. 

Melden Sie sich an für regelmäßige Updates.

  • Wichtige Neuerungen im Datenschutz
  • Pragmatische Tipps für die Praxis
  • Best-Practice zum Senken der Compliance-Kosten
  • Exklusive Einladungen zu Webinaren
Sie können Ihre Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen. Sie können hierzu den Abmeldelink in den Newslettern nutzen oder sich an mail@planitprima.com wenden. Nähere Informationen finden Sie in unserer Datenschutzerklärung
Linkedin Instagram Youtube

PLANIT // TECH GmbH

Jungfernstieg 1
20095 Hamburg
Deutschland

 

mail@planitprima.com
Tel: +49 (0) 40 609 44 190
Fax: +49 (0) 40 609 44 199

PLANIT // PRIMA

Online-Schulungen
Preise

// PRIMA-Tour

Datenschutz-Management-Software
DSGVO-Software
DSGVO-Tool
Kooperationen
Downloads
Datenschutzorganisation

KI-Verordnung

Datenschutz-Software Whitelabel

Kostenlos registrieren
©PLANIT // TECH GmbH 2024 | | Nutzungsbedingungen | Datenschutzerklärung | Impressum

©PLANIT // TECH GmbH 2024