Login
Leistungsumfang & Vorteile
Login
Registrieren

Verzeichnis für Verarbeitungstätigkeiten

5/5
5.0 aus 134 Bewertungen

Registrieren Sie sich jetzt,


um den Generator 

kostenlos zu testen.

Jetzt Registrieren

Was ist ein Verzeichnis von Verarbeitungstätigkeiten? - Definition

Das Verzeichnis von Verarbeitungstätigkeiten (VVT) ist wichtig für die Datenschutz-Grundverordnung. Es hält fest, welche Daten verarbeitet werden und wofür sie verwendet werden. Das VVT hilft dabei, den Überblick über die Prozesse zu behalten, gleichzeitig dient es als Beleg gegenüber den Datenschutzbehörden. So kann man zeigen, dass Datenschutz nicht nur umgesetzt wird, sondern auch nachweisbar ist. Es schafft eine klare Grundlage für die Datenverarbeitung und hilft Unternehmen, ihre Rechenschaftspflicht einzuhalten.

Bis zum Jahre 2018, nannte man das in Deutschland „Verfahrensverzeichnis“. Aber mit der Datenschutz-Grundverordnung (DSGVO) wurde das Verfahrensverzeichnis zum Verzeichnis von Verarbeitungstätigkeiten, damit es in ganz Europa einheitlich ist. Für die Verfolgung von Straftaten gibt es spezielle Regeln, die in der DSGVO festgelegt sind.

Wenn also ein Verzeichnis fehlt oder nicht vollständig ist, kann dies zu Bußgeldern führen.


Wer ist gesetzlich dazu Verpflichtet ein Verzeichnis zu führen?

Die Zuständigkeit für die Führung des Verzeichnisses betrifft:

  • Verantwortliche (Unternehmen, Behörden und Einrichtungen)

 

Auftragsverarbeiter

  • Unternehmen mit unter 250 Beschäftigten sind laut Art. 30 aus der DSGVO von der Dokumentationspflicht befreit. Dies gilt aber nicht, wenn:
  • sensible Daten (besondere Kategorien personenbezogener Daten) verarbeitet werden
  • ein hohes Risiko für die Rechte und Freiheiten von Personen besteht
  • die Datenverarbeitung nicht nur gelegentlich erfolgt
  • Daten zu Straftaten verarbeitet werden

 

Dennoch empfehlen wir allen Verantwortlichen, unabhängig von ihrer Größe, ein Verzeichnis zu führen.


Datenschutz-Grundverordnung: Woher kommt die Pflicht zum Verarbeitungsverzeichnis? (DSGVO)

Die Dokumentationspflicht ergibt sich aus Art. 30 der DSGVO und dem Bundesdatenschutzgesetz. Alle Verantwortlichen und Auftragsverarbeiter müssen ihre Datenverarbeitungen erfassen.

Seit dem 25. Mai 2018 verlangt die DSGVO, die in ganz Europa gilt, die systematische Erfassung jeder Verarbeitung persönlicher Daten. Die einzelnen Staaten können dies national noch ergänzen. Das VVT ist ein wichtiger Nachweis für datenschutzkonformes Arbeiten. Mit dieser Dokumentation können Unternehmen belegen, dass sie alle gesetzlichen Vorgaben einhalten.


Verarbeitungstätigkeiten: Checkliste für Inhalte und Vorgaben im VVT, die nachfolgende Empfehlung ist eventuell noch vom Verantwortlichen zu erweitern oder zu ändern

Erstellung und Führung des Verzeichnisses von Verarbeitungstätigkeiten (VVT)

  1. Grunddaten und Kontaktdaten:
    • Name und Kontaktdaten des Verantwortlichen
    • Daten zur Kontaktaufnahme mit dem Datenschutzbeauftragten (wenn vorhanden)
    • Kontaktdaten des Vertreters (bei Unternehmen außerhalb der EU)
  2. Verarbeitungsspezifische Informationen:
    • Zwecke der Datenverarbeitung
    • Kategorien betroffener Personen (z. B. Kunden, Personal, Lieferanten)
    • Datenkategorien personenbezogener Daten (z. B. Kontaktdaten, Vertragsdaten)
    • Kategorien von Empfängern der Daten
    • Übermittlungen in Drittländern und deren Rechtsgrundlagen
    • Löschfristen für die verschiedenen Datenkategorien
  3. Sicherheitsmaßnahmen:
    • Festhalten von technischen und organisatorischen Maßnahmen (TOMs) zum Schutz der Daten.
      Dazu gehören: Verschlüsselung von Daten, Zugriffsbeschränkungen für Mitarbeiter,
      regelmäßige Backups sowie Schulungen und Sensibilisierung des Personals.
  4. Optionaler Zusatz:
    • Beschreibung der Verarbeitungsvorgänge bzw. Verfahren (z. B. automatisierte Datenanalyse oder Bewerbermanagement-System)
    • Dokumentation von Auftragsverarbeitern (Verträge und Pflichten)
    • Risikoabschätzung für die Rechte und Freiheiten der betroffenen Personen
 
 

Für Auftragsverarbeiter gilt ebenfalls eine Pflicht zur Erstellung eines VVTs,
dabei ist der Pflichtinhalt jedoch in der Regel reduziert auf:

  1. Grunddaten und Kontaktdaten:
    • Name und Kontaktdaten des Auftragsverarbeiters
    • Name und Kontaktdaten des Verantwortlichen, in dessen Auftrag der Auftragsverarbeiter tätig ist
    • Daten zur Kontaktaufnahme mit dem Datenschutzbeauftragten (wenn vorhanden)
    • Kontaktdaten des Vertreters (bei Unternehmen außerhalb der EU)
  2. Verarbeitungsspezifische Informationen:
    • Kategorien von Verarbeitung
    • Übermittlungen in Drittländern und deren Rechtsgrundlagen
  3. Sicherheitsmaßnahmen:
    • Festhalten von technischen und organisatorischen Maßnahmen (TOMs) zum Schutz der Daten.
      Dazu gehören: Verschlüsselung von Daten, Zugriffsbeschränkungen für Mitarbeiter,
      regelmäßige Backups sowie Schulungen und Sensibilisierung des Personals.

Bei der Erstellung sollte das Verfahrensverzeichnis klar strukturiert sein, ein Inhaltsverzeichnis enthalten und alle Angaben zu den Verarbeitungstätigkeiten umfassen. Dazu gehören alle oben genannten Faktoren – Verarbeitungstätigkeiten: Checkliste für Inhalte und Vorgaben im VVT

Die Führung des VVT erfordert regelmäßige Aktualisierungen, etwa bei neuen Verarbeitungsvorgängen, geänderten Regelungen oder bei Anpassungen durch die Datenschutzkonferenz. Auch Änderungen in den Bundes- oder Landesgesetzen sollten berücksichtigt werden. Bei Unternehmen außerhalb der EU ist der Vertreter für die Einhaltung der Vorgaben zuständig.

Um die Erstellung und kontinuierliche Führung zu erleichtern, können Muster, Leitfäden oder digitale Tools wie DatenBuddy genutzt werden. Sie helfen, das Verzeichnis aller Verarbeitungstätigkeiten schnell, soweit möglich DSGVO-konform und soweit möglich vollständig zu dokumentieren. Damit soll soweit möglich sichergestellt werden, dass die Rechenschaftspflicht erfüllt wird und die Rechte und Freiheiten der betroffenen Personen geschützt bleiben.


Formale und sprachliche Richtlinien für die Führung des Verzeichnisses von Verarbeitungstätigkeiten

Das Verarbeitungsverzeichnis lässt sich flexibel gestalten – ob auf Papier oder digital bleibt den Unternehmen überlassen. Entscheidend sind Klarheit und schnelle Auffindbarkeit der Informationen. In der Praxis bewähren sich einfache Tabellen oder durchnummerierte Listen. Viele Betriebe setzen mittlerweile auf spezielle Software, die das Erfassen und Verwalten der Datenverarbeitungen deutlich erleichtert.

Bezüglich der Sprache schreibt die DSGVO keine feste Vorgabe vor. In Deutschland wird das VVT meist auf Deutsch geführt, damit die zuständigen Aufsichtsbehörden es problemlos prüfen können. Bei international tätigen Unternehmen kann es sinnvoll sein, zusätzlich eine englische Version bereitzuhalten.

Eine digitale Version erleichtert die Führung, Aktualisierung und Bereitstellung des Verzeichnisses erheblich und unterstützt Unternehmen bei der Einhaltung der DSGVO und der Rechenschaftspflicht. Zur Umsetzung können Verantwortliche auf Downloads oder Tools wie DatenBuddy zurückgreifen, um alle Verarbeitungstätigkeiten korrekt zu dokumentieren.


Wem und ab wann muss ich mein VVT vorzeigen?

Das VVT bleibt grundsätzlich ein internes Dokument. Dies erfolgt ausschließlich gegenüber der zuständigen Datenschutzaufsichtsbehörde (z. B. auf Anfrage) vorzulegen – etwa im Rahmen einer Kontrolle oder bei einer Beschwerde.

Damit es jederzeit bereitsteht, muss das Verzeichnis laufend aktualisiert und idealerweise digital verfügbar sein. Da Aufsichtsbehörden im Normalfall nur sehr kurze oder gar keine Fristen zur Nachbesserung gewähren, sollte das Verzeichnis stets aktuell und vollständig vorliegen.

Die DSGVO verpflichtet alle Stellen, die personenbezogenen Daten regelmäßig zu verarbeiten, zur Führung dieses Verzeichnisses – unabhängig von der Unternehmensgröße. Nur kleinere Unternehmen mit besonderen Voraussetzungen können von dieser Pflicht ausgenommen sein.


Das Verzeichnis von Verarbeitungstätigkeiten als Nachweispflicht nach Art. 30 DSGVO

Das VVT ist nicht nur eine Pflicht gemäß Art. 30 der DSGVO. Es zeigt in der Praxis, wie die Verarbeitung personenbezogener Daten in einem Unternehmen oder einer Einrichtung abläuft und zu welchen Zwecken sie genutzt werden. Das Verarbeitungsverzeichnis umfasst alle Angaben zu den Abläufen und ermöglicht eine lückenlose Dokumentation, die jederzeit der Aufsichtsbehörde auf Anfrage vorgelegt werden muss.

In der Realität finden sich zahlreiche Beispiele für Verarbeitungstätigkeiten: In der Personalabteilung gehören bspw. Bewerbungen, Lohnabrechnungen oder Zeiterfassungen dazu. Das Marketing verarbeitet Kundendaten für Newsletter, Kampagnen oder Analysen. Die IT verwaltet Nutzerkonten, sichert Daten und protokolliert Zugriffe, während der Kundenservice täglich mit personenbezogenen Informationen im Rahmen von Supportfällen arbeitet.

Alle diese Prozesse müssen in das VVT aufgenommen werden, um die Rechenschaftspflicht zu erfüllen. Die Datenschutzkonferenz gibt hierzu regelmäßig Hinweise, die helfen, die Anforderungen und Vorgaben korrekt umzusetzen. Selbst der Kundenservice profitiert von einer sauberen Dokumentation, da die Bearbeitung von Supportanfragen oder Reklamationen so nachvollziehbar abgebildet wird.

Diese Beispiele zeigen, dass ein VVT nicht nur auf einzelne Fachbereiche beschränkt ist, sondern das ganze Unternehmen betrifft. Es dient daher nicht nur dazu, gesetzliche Vorgaben einzuhalten, sondern bietet Unternehmen die Chance, ihre Datenflüsse besser zu verstehen, Risiken zu minimieren und Vertrauen gegenüber Kunden, Mitarbeitenden und Partnern aufzubauen.

Mit datenbuddy.de können Sie ihr Verzeichnis von Verarbeitungstätigkeiten (VVT) im Handumdrehen – schnell und ohne komplizierte Vorlagen erstellen.

Datenschutzdokumentation

 

Produkte

Beiträge

Hilfe & Support

  • Angebote gelten nicht für Verbraucher nach § 13 BGB.