Laut der Datenschutzgrundverordnung sind Unternehmen nach Art. 30 DSGVO dazu verpflichtet, Verfahren bei denen eine Verarbeitung personenbezogener Daten erfolgt, schriftlich zu dokumentieren und eine Übersicht dieser Verfahren aufzustellen. Das Verzeichnis von Verarbeitungstätigkeiten, kurz VVT, weist Ähnlichkeiten zu dem im alten Bundesdatenschutzgesetz erwähnten Verfahrensverzeichnis auf. Sollte Sie als Unternehmen dieses bereits angefertigt haben, kann es als Grundlage für das Verzeichnis von Verarbeitungstätigkeiten genutzt und entsprechend erweitert werden.
Nach Art. 30 DSGVO ist erstmal jedes Unternehmen, das Verfahren zur Verarbeitung personenbezogener Daten anwendet, dazu verpflichtet, ein VVT zu führen. Zuständig für das Anlegen eines Verzeichnisses von Verarbeitungstätigkeiten ist laut DSGVO der gemäß Art. 4 Nr. 7 DSGVO „Verantwortliche“, also das Unternehmen, welches personenbezogene Daten verarbeitet. Der Verantwortliche besitzt die Entscheidungsbefugnis darüber, zu welchem Zweck und mit welchen Mittel die personenbezogenen Daten verarbeitet werden.
Andererseits sind daneben auch Auftragsverarbeiter und ggf. ein Vertreter des Auftragsverarbeiters für die Erstellung eines VVT zuständig. Bei dem Auftragsverarbeiter handelt es sich gemäß Art. 4 Nr. 8 DSGVO um eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet. Dabei gilt zu beachten, dass der Auftragsverarbeiter durch die Datenverarbeitung keine eigenen geschäftlichen Absichten verfolgt und auch keine Entscheidungsbefugnis über die verarbeiteten Daten besitzt.