Lesezeit: 2 Min
Warum ist das VVT so wichtig?
Personenbezogene Daten werden an unterschiedlichsten Stellen verarbeitet. Es ist wichtig, dass alle Prozesse, in denen diese verarbeitet werden, umfassend dokumentiert werden. Diese Dokumentation muss im Datenschutz im sogenannten Verzeichnis von Verarbeitungstätigkeiten (VVT) erfolgen.
Das Verzeichnis von Verarbeitungstätigkeiten (VVT) ist ein zentrales Element der Datenschutz-Grundverordnung (DS-GVO). Es dient nicht nur der Erfüllung gesetzlicher Pflichten, sondern auch als strategisches Werkzeug für Transparenz und Compliance. Unternehmen, die personenbezogene Daten verarbeiten, müssen jederzeit nachweisen können, dass sie die Vorgaben der DS-GVO einhalten – und genau hier setzt das VVT an.
BLOG-TIPP: DATENSCHUTZ PRAKTISCH UMSETZEN – WARUM DIE MITARBEITER DABEI SO WICHTIG SIND
Die Vorteile eines VVT für Unternehmen
Ein gut gepflegtes VVT ermöglicht neben der Erfüllung des Datenschutzes auch weitere Vorteile:
- Überblick über Datenflüsse im Unternehmen
- Erfüllung der Rechenschaftspflicht
- effiziente Bearbeitung von Betroffenenanfragen
- Basis für Datenschutz-Folgenabschätzungen und Sicherheitsmaßnahmen
Was ist ein VVT?
Das VVT ist eine strukturierte Übersicht aller Prozesse, bei denen personenbezogene Daten verarbeitet werden. Dazu gehören alle Tätigkeiten in denen personenbezogene Daten verarbeitet werden. Beispiele dafür sind Erhebung und Speicherung von Kundendaten, Lohn- und Gehaltsabrechnung, Betrieb von Websites oder Online-Shops oder auch Bewerbermanagement und Marketingmaßnahmen, sogar das Vernichten von Daten.
Das betrifft sämtliche automatisierte und nicht automatisierte Verarbeitungen, sofern die Daten in einem Dateisystem gespeichert sind.
BLOG-TIPP: RECHTSGRUNDLAGEN ZUR VERARBEITUNG VON PERSONENBEZOGENEN DATEN
Wer muss ein VVT führen?
Grundsätzlich gilt: Jeder Verantwortliche und jeder Auftragsverarbeiter muss ein VVT erstellen und aktuell halten. Dazu gehören Unternehmen, Vereine, Behörden, Selbstständige, Bildungseinrichtungen wie Schulen, Kitas oder Kindergärten und jeder, der personenbezogene Daten verarbeitet. Auch wer im Auftrag personenbezogene Daten verarbeitet, muss ein VVT führen
Welche Inhalte muss ein VVT enthalten?
Folgende Pflichtangaben sind für ein DS-GVO-konformes VVT mindestens erforderlich:
- Name und Kontaktdaten des Verantwortlichen und ggf. Datenschutzbeauftragten (falls vorgeschrieben)
- Zwecke der Verarbeitung
- Kategorien betroffener Personen (z. B. Kunden, Beschäftigte)
- Kategorien personenbezogener Daten (z. B. Name, E-Mail, IBAN)
- Kategorien von Empfängern (intern und extern)
- Übermittlungen in Drittländer inkl. Garantien
- Löschfristen bzw. Speicherdauer
- Beschreibung der technischen und organisatorischen Maßnahmen (TOM)
Erste Schritte zur Erstellung eines VVT
Um festzustellen, was in einem VVT erfasst werden muss, sollten Prozesse identifiziert werden. Das bedeutet Verantwortliche sollte die zentrale Frage stellen: Wo werden personenbezogene Daten verarbeitet?
Im nächsten Schritt sollten die Datenflüsse dokumentiert werden. Dabei sollte geklärt werden, welche Daten erhoben, gespeichert, weitergegeben werden.
Um ein VVT mit den unterschiedlichen Prozessen zu erheben, bietet es sich an, Vorlagen und ein entsprechendes Datenschutzmanagement-System zu nutzen. Hier können einfach und umfassend alle Verarbeitungsprozesse erfasst und dokumentiert werden.
BLOG-TIPP: BUSSGELDER IM DATENSCHUTZ – WAS UNTERNEHMEN UND ORGANISATIONEN BEACHTEN SOLLTEN
Regelmäßige Aktualisierung
Das VVT sollte regelmäßig aktualisiert werden. Jeder neue Verarbeitungsprozess sollte eingetragen werden und jede Verarbeitung sollte entsprechend der Vorgaben regelmäßig auf die Aktualität hin geprüft werden.
Ein gut gepflegtes Verzeichnis von Verarbeitungstätigkeiten kann neben der Einhaltung des Datenschutzes auch dazu beitragen, Prozesse in Unternehmen und Organisationen zu erkennen und auch auf Schwachstellen zum Beispiel in der IT- oder Zugangssicherheit zu erkennen.
Das Team von Datenschutzberater.NRW bietet Organisationen unterschiedlicher Art Beratung im Datenschutz an. Mit unseren Fachleuten aus dem Bereich Datenschutz, IT und Steuerrecht erstellen wir Ihnen gerne ein individuelles Angebot für eine Datenschutz-Erstberatung, die Betreuung durch einen externen Datenschutzbeauftragten und entwickeln ein für Sie passendes Konzept. Nehmen Sie einfach Kontakt zu uns auf.
Wir betreuen Mandanten bundesweit. Lesen Sie mehr zu unserem individuellen Angebot. Dieser Artikel dient zur allgemeinen Erstinformation, ersetzt keine fachliche und individuelle Beratung und erhebt keinen Anspruch auf Vollständigkeit. Wenn Sie sich unsicher sind, ob Sie den Datenschutz ausreichend umsetzen, dann lassen Sie sich von uns professionell beraten.
Dennis Manz ist seit über 20 Jahren selbstständig. Ist in der IT für unterschiedliche Branchen und seit langer Zeit auch im Bereich Buchhaltung und Steuerrecht tätig. Als Gründer und Geschäftsführer der Datenschutzberater.NRW GmbH betreut er zusammen mit seinem Team erfolgreich Unternehmen, Praxen, Steuerberater und unterschiedliche Einrichtungen in Sachen Datenschutz und GoBD-Beratung.