Infos rund um das Verzeichnis von Verarbeitungstätigkeiten

Nach Art. 30 DSGVO ist erstmal jedes Unternehmen, das Verfahren zur Verarbeitung personenbezogener Daten anwendet, dazu verpflichtet, ein VVT zu führen. Zuständig für das Anlegen eines Verzeichnisses von Verarbeitungstätigkeiten ist laut DSGVO der gemäß Art. 4 Nr. 7 DSGVO „Verantwortliche“, also das Unternehmen, welches personenbezogene Daten verarbeitet. Der Verantwortliche besitzt die Entscheidungsbefugnis darüber, zu welchem Zweck und mit welchen Mittel die personenbezogenen Daten verarbeitet werden.

Andererseits sind daneben auch Auftragsverarbeiter und ggf. ein Vertreter des Auftragsverarbeiters für die Erstellung eines VVT zuständig. Bei dem Auftragsverarbeiter handelt es sich gemäß Art. 4 Nr. 8 DSGVO um eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet. Dabei gilt zu beachten, dass der Auftragsverarbeiter durch die Datenverarbeitung keine eigenen geschäftlichen Absichten verfolgt und auch keine Entscheidungsbefugnis über die verarbeiteten Daten besitzt.

Unternehmen oder Einrichtungen, die weniger als 250 Mitarbeiter beschäftigen, sind nach Art. 30 Abs. 5 DSGVO nicht dazu verpflichtet, ein Verzeichnis von Verarbeitungstätigkeiten zu erstellen. Allerdings gilt diese Regelung nicht, wenn die vom Unternehmen vorgenommene Datenverarbeitung ein Risiko für die Rechte und Freiheiten der Betroffenen darstellt.

Weiterhin gilt diese Pflichtbefreiung nicht für Unternehmen, die nicht nur gelegentlich eine Verarbeitung von Daten vornehmen oder besondere Datenkategorien nach Art. 9 Abs. 1 DSGVO verarbeiten. Die Befreiung von der Pflicht gilt außerdem nicht für Unternehmen, die personenbezogene Daten über strafrechtliche Verurteilungen und Straftaten verarbeiten. In der Praxis trifft diese Regelung in den allerseltensten Fällen zu, da bereits darüber diskutiert werden kann, wie der Begriff „gelegentlichen Verarbeitung“ verstanden wird. Demnach werden die meisten Unternehmen regelmäßig personenbezogene Daten verarbeiten und demnach auch ein VVT erstellen müssen.

Welche Inhalte muss das Verzeichnis von Verarbeitungstätigkeiten umfassen?

Die verpflichtenden Angaben, die ein VVT enthalten muss, sind in Art. 30 Abs. 1 und 2 geregelt. Dazu gehören:

• Angabe des Namens und der Kontaktdaten des Verantwortlichen und ggf. des Vertreters
• Name und Kontaktdaten eines Datenschutzbeauftragten
• Verarbeitungszwecke
• Beschreibung der Kategorien betroffener Personen (z. B. Kunde, Lieferant, Mitarbeiter, Bewerber)
• Beschreibung der Kategorien personenbezogener Daten (z. B. Allgemeine Personendaten bzw. Stammdaten, Gesundheitsdaten, Bankdaten, physische Merkmale)
• Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, einschließlich Empfänger in Drittländern oder internationalen Organisationen;
• Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation, einschließlich der Angabe des betreffenden Drittlands oder der betreffenden internationalen Organisation
• Löschfristen der unterschiedlichen Datenkategorien;
• allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Art. 32 Abs. 1 DSGVO

Zu beachten gilt, dass die Erstellung eines VVT nicht endgültig abgeschlossen ist, auch wenn alle erforderlichen Inhalte berücksichtigt wurden. Für das Verzeichnis ist grundsätzlich eine fortlaufende Aktualisierung erforderlich, wenn neue Daten verarbeitet oder andere Auftragsverarbeiter eingesetzt werden.
Weiterhin kann die Erneuerung oder Veränderung der Prozesse, durch die die personenbezogenen Daten verarbeitet werden, dazu führen, dass das Verzeichnis von Verarbeitungstätigkeiten aktualisiert werden muss. Das VVT ist zudem der jeweils zuständigen Aufsichtsbehörde auf Anfrage gänzlich zur Verfügung zu stellen.

Bevor ein Verstoß wegen fehlendem VVT festgestellt werden kann, erfolgt zunächst eine Prüfung, ob ein Unternehmen nicht von der Verpflichtung befreit ist, ein VVT zu erstellen. Sollte dies nicht der Fall sein und dennoch kein (vollständiges) Verzeichnis von Verarbeitungstätigkeiten vorliegen, kann die Aufsichtsbehörde ein Bußgeld nach Art. 83 Abs. 4 a DSGVO verhängen. Dabei kann dieses einen Rahmen von 10 Mio. Euro oder 2 % des Jahresumsatzes umfassen.

Aufgrund dieser sehr hohen Kosten bei einem fehlenden oder fehlerhaften Verzeichnis von Verarbeitungstätigkeiten ist die sorgfältige Erstellung und Aktualisierung des VVT nicht zu unterschätzen, um die datenschutzrechtlichen Vorgaben der DSGVO zu erfüllen.

Sollten Sie als Unternehmen Fragen zu der Erstellung des Verzeichnisses für Verarbeitungstätigkeiten haben oder Unterstützung für den Datenschutz benötigen, kontaktieren Sie uns ganz einfach über unser Formular. Unsere professionellen externen Datenschutzbeauftragten helfen Ihnen gerne weiter.