Das Verzeichnis von Verarbeitungstätigkeiten (auch als Verarbeitungsverzeichnis, Verfahrensverzeichnis oder abgekürzt VVT bekannt) ist eine Übersicht aller Prozesse in einem Unternehmen, bei denen personenbezogene Daten verarbeitet werden. Jedes Unternehmen wird gem. Art. 30 DSGVO dazu verpflichtet, ein solches Verzeichnis zu führen.
Wozu soll das Verarbeitungsverzeichnis gut sein?
Nach meiner Wahrnehmung hat sich bisher nur eine Minderheit aller Unternehmen mit dem Thema Verarbeitungsverzeichnis beschäftigt. Und selbst diese Minderheit hat in den seltensten Fällen auch ein vollständiges und aktuelles Verzeichnis von Verarbeitungstätigkeiten vorliegen.
Ich kann diese fehlende Motivation nachvollziehen. Viele Datenverarbeitungsvorgänge sind hochkomplex und verändern sich stets. Es ist mühselig, dynamische Unternehmensprozesse in ein starres Verarbeitungsverzeichnis zu pressen und aktuell zu halten. Wofür der ganze Aufwand?
Nun, das Erstellen eines Verarbeitungsverzeichnisses ist eine gesetzliche Anforderung aus der DSGVO und damit Pflicht. In der Theorie sollen das Unternehmen, der Datenschutzbeauftragte und auch die Aufsichtsbehörde einen Überblick aller Datenverarbeitungsvorgänge erhalten.
Es ist unwahrscheinlich aber möglich, dass die Aufsichtsbehörde entsprechende Dokumente anfordert. Bis dahin würde das Verarbeitungsverzeichnis mehr oder weniger nutzlos in irgendeinem Ordner verweilen. Einige schlaue Unternehmen erstellen das Verarbeitungsverzeichnis daher erst in dem Moment, in dem die Aufsichtsbehörde nachfragt. Dies kann ich natürlich nicht gutheißen!
Wofür Sie sich auch entscheiden – ich möchte Ihnen helfen, ein Verarbeitungsverzeichnis zu erstellen, was nicht ausartet und dennoch den gesetzlichen Anforderungen entspricht.
Inhalt
Die Bestandteile eines Verarbeitungsverzeichnisses ähneln den Angaben, die auch nach der Informationspflicht erforderlich sind.
Grundsätzlich sind das folgende Informationen:
- Name und Kontaktdaten des verantwortlichen Unternehmens
- Kontaktdaten des Datenschutzbeauftragten
- Allgemeine Beschreibung der TOMs
Zudem ist jeder einzelne Verarbeitungsvorgang bzw. Unternehmensprozess mit folgenden Angaben zu beschreiben:
- Zweck der Verarbeitung
- Kategorien betroffener Personen
- Kategorien personenbezogener Daten
- Empfänger oder Kategorien von Empfängern, falls die Daten weitergegeben werden
- Drittland oder internationale Organisation, falls die Daten an Empfänger außerhalb der EU weitergegeben werden
- wenn möglich, die vorgesehenen Fristen für die Löschung
Form
Es ist Ihnen überlassen, in welcher Form Sie das Verzeichnis von Verarbeitungsverzeichnis führen. Jeder Verarbeitungsvorgang kann auf einem einzelnen Blatt beschrieben werden. Empfehlenswert ist jedoch die Übersicht in einer Tabelle.
Mustervorlage
Bei der Erstellung eines Verarbeitungsverzeichnisses hilft Ihnen folgende Excel-Tabelle als Vorlage weiter:
In dem Muster sind bereits beispielhafte Verarbeitungstätigkeiten eingetragen, die für viele Unternehmen relevant sind. Gerne können Sie die Beispiele übernehmen. Übernehmen Sie die Einträge aber nicht blind, sondern gleichen Sie die Einträge im Detail mit Ihrer Unternehmenspraxis ab. Die Mustervorlage besitzt im Übrigen mehrere Tabellenblätter.
Verarbeitungsverzeichnis als Auftragsverarbeiter
Vollständigkeitshalber: Ein Auftragsverarbeiter, der Datenverarbeitungsvorgänge im Auftrag eines Auftraggebers durchführt, muss diese Vorgänge gleichermaßen in seinem Verarbeitungsverzeichnis beschreiben gem. Art. 30 Abs. 2 DSGVO.