Verzeichnis von Verarbeitungstätigkeiten

By DatenschutzDatenschutz-Grundlagen
Beitragsbild zur Kategorie "Datenschutz-Grundlagen"

Das Verzeichnis von Verarbeitungstätigkeiten (VVT) ist das zentrale „Adressbuch“ aller Prozesse, bei denen ein Unternehmen personenbezogene Daten verarbeitet. Es ist nach Art. 30 DSGVO verpflichtend und wird von Aufsichtsbehörden bei Prüfungen sehr häufig als erstes Dokument angefordert.

Was ist ein Verzeichnis von Verarbeitungstätigkeiten?

Ein VVT listet alle Verarbeitungstätigkeiten auf, also alle Vorgänge, bei denen personenbezogene Daten erhoben, gespeichert, genutzt, übermittelt oder gelöscht werden. Es geht dabei nicht um einzelne Tools, sondern um Fachprozesse wie „Lohnbuchhaltung“, „Newsletterversand“ oder „Patientenverwaltung“.

Wer kein (oder kein vollständiges) Verzeichnis vorlegen kann, riskiert Bußgelder von bis zu 10 Mio. Euro oder 2% des weltweiten Jahresumsatzes. In der Praxis sind selbst kleine Unternehmen und Vereine fast immer betroffen, weil regelmäßig personenbezogene Daten automatisiert verarbeitet werden.

Pflichtinhalte nach Art. 30 DSGVO – wie ein VVT aufgebaut wird

Die DSGVO nennt Mindestangaben, die in jedes VVT aufgenommen werden müssen. Das Verzeichnis kann beispielsweise in Excel, Word oder in einer spezialisierten Datenschutz‑Software geführt werden – entscheidend ist, dass die Inhalte vollständig und aktuell sind.

Für jede Verarbeitungstätigkeit sollten folgende Punkte dokumentiert werden:

  1. Bezeichnung der Verarbeitungstätigkeit
    Klarer, verständlicher Name des Prozesses, etwa „Kundenverwaltung“, „Mitarbeiterverwaltung“, „Mitgliederverwaltung“ oder „Patientenverwaltung“.
  2. Verantwortlicher und ggf. Vertreter
    Name und Kontaktdaten des Verantwortlichen (Unternehmen, Verein, Praxis) sowie ggf. des Datenschutzbeauftragten.
  3. Zwecke der Verarbeitung
    Beschreibung, wofür die Daten verarbeitet werden, z.B. „Durchführung von Behandlungsverträgen“, „Lohn- und Gehaltsabrechnung“ oder „Organisation des Vereinsbetriebs“.
  4. Kategorien betroffener Personen
    Zum Beispiel Kunden, Interessenten, Mitarbeiter, Vereinsmitglieder, Patienten oder Lieferanten.
  5. Kategorien personenbezogener Daten
    Etwa Stammdaten (Name, Adresse), Kontaktdaten, Vertragsdaten, Abrechnungsdaten, Gesundheitsdaten oder Bankdaten.
  6. Kategorien von Empfängern
    Interne Empfänger (z.B. Buchhaltung) sowie externe Empfänger (z.B. Steuerberater, Abrechnungsstellen, Krankenkassen, IT‑Dienstleister).
  7. Übermittlungen in Drittländer
    Sofern Daten außerhalb der EU bzw. des EWR verarbeitet werden (z.B. durch Cloud‑Anbieter in den USA), sind Zielland und eingesetzte Garantien (z.B. Standardvertragsklauseln) anzugeben.
  8. Vorgesehene Fristen für die Löschung
    Angabe, wie lange die Daten gespeichert werden und wann sie gelöscht oder anonymisiert werden, z.B. „10 Jahre nach Ende des Kalenderjahres der letzten Buchung“ oder „10 Jahre nach Abschluss der Behandlung“.
  9. Allgemeine Beschreibung der technischen und organisatorischen Maßnahmen (TOM)
    Kurzbeschreibung der Schutzmaßnahmen, etwa Regelungen zu Zugriffsrechten, Verschlüsselung, Backups, Zutrittskontrolle oder zur Aufbewahrung von Papierakten.

Muster‑Tabellen und Vorlagen werden von verschiedenen Aufsichtsbehörden sowie Industrie- und Handelskammern bereitgestellt und können als Grundlage für ein eigenes VVT verwendet werden.