Nach Art. 30 DSGVO ist erstmal jedes Unternehmen, das Verfahren zur Verarbeitung personenbezogener Daten anwendet, dazu verpflichtet, ein VVT zu führen. Zuständig für das Anlegen eines Verzeichnisses von Verarbeitungstätigkeiten ist laut DSGVO der gemäß Art. 4 Nr. 7 DSGVO „Verantwortliche“, also das Unternehmen, welches personenbezogene Daten verarbeitet. Der Verantwortliche besitzt die Entscheidungsbefugnis darüber, zu welchem Zweck und mit welchen Mittel die personenbezogenen Daten verarbeitet werden.
Andererseits sind daneben auch Auftragsverarbeiter und ggf. ein Vertreter des Auftragsverarbeiters für die Erstellung eines VVT zuständig. Bei dem Auftragsverarbeiter handelt es sich gemäß Art. 4 Nr. 8 DSGVO um eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet. Dabei gilt zu beachten, dass der Auftragsverarbeiter durch die Datenverarbeitung keine eigenen geschäftlichen Absichten verfolgt und auch keine Entscheidungsbefugnis über die verarbeiteten Daten besitzt.
Unternehmen oder Einrichtungen, die weniger als 250 Mitarbeiter beschäftigen, sind nach Art. 30 Abs. 5 DSGVO nicht dazu verpflichtet, ein Verzeichnis von Verarbeitungstätigkeiten zu erstellen. Allerdings gilt diese Regelung nicht, wenn die vom Unternehmen vorgenommene Datenverarbeitung ein Risiko für die Rechte und Freiheiten der Betroffenen darstellt.
Weiterhin gilt diese Pflichtbefreiung nicht für Unternehmen, die nicht nur gelegentlich eine Verarbeitung von Daten vornehmen oder besondere Datenkategorien nach Art. 9 Abs. 1 DSGVO verarbeiten. Die Befreiung von der Pflicht gilt außerdem nicht für Unternehmen, die personenbezogene Daten über strafrechtliche Verurteilungen und Straftaten verarbeiten. In der Praxis trifft diese Regelung in den allerseltensten Fällen zu, da bereits darüber diskutiert werden kann, wie der Begriff „gelegentlichen Verarbeitung“ verstanden wird. Demnach werden die meisten Unternehmen regelmäßig personenbezogene Daten verarbeiten und demnach auch ein VVT erstellen müssen.
Die verpflichtenden Angaben, die ein VVT enthalten muss, sind in Art. 30 Abs. 1 und 2 geregelt. Dazu gehören:
Zu beachten gilt, dass die Erstellung eines VVT nicht endgültig abgeschlossen ist, auch wenn alle erforderlichen Inhalte berücksichtigt wurden. Für das Verzeichnis ist grundsätzlich eine fortlaufende Aktualisierung erforderlich, wenn neue Daten verarbeitet oder andere Auftragsverarbeiter eingesetzt werden.
Weiterhin kann die Erneuerung oder Veränderung der Prozesse, durch die die personenbezogenen Daten verarbeitet werden, dazu führen, dass das Verzeichnis von Verarbeitungstätigkeiten aktualisiert werden muss. Das VVT ist zudem der jeweils zuständigen Aufsichtsbehörde auf Anfrage gänzlich zur Verfügung zu stellen.
Bevor ein Verstoß wegen fehlendem VVT festgestellt werden kann, erfolgt zunächst eine Prüfung, ob ein Unternehmen nicht von der Verpflichtung befreit ist, ein VVT zu erstellen. Sollte dies nicht der Fall sein und dennoch kein (vollständiges) Verzeichnis von Verarbeitungstätigkeiten vorliegen, kann die Aufsichtsbehörde ein Bußgeld nach Art. 83 Abs. 4 a DSGVO verhängen. Dabei kann dieses einen Rahmen von 10 Mio. Euro oder 2 % des Jahresumsatzes umfassen.
Aufgrund dieser sehr hohen Kosten bei einem fehlenden oder fehlerhaften Verzeichnis von Verarbeitungstätigkeiten ist die sorgfältige Erstellung und Aktualisierung des VVT nicht zu unterschätzen, um die datenschutzrechtlichen Vorgaben der DSGVO zu erfüllen.
Sollten Sie als Unternehmen Fragen zu der Erstellung des Verzeichnisses für Verarbeitungstätigkeiten haben oder Unterstützung für den Datenschutz benötigen, kontaktieren Sie uns ganz einfach über unser Formular. Unsere professionellen externen Datenschutzbeauftragten helfen Ihnen gerne weiter.
Melden Sie sich gerne bei mir. Gemeinsam besprechen wir Ihre Fragen und Anforderungen und finden eine Lösung für den Datenschutz in Ihrem Unternehmen.
Friedrich-Engels-Allee 200
42285 Wuppertal
Telefon: 0202 9479 4940
E-Mail: kontakt@datenzeit.de
Katernberger Str. 107
45327 Essen
Telefon: 0201 6950 6020
E-Mail: kontakt@datenzeit.de
