Das „Herzstück des Datenschutzmanagements“
Wer sich dem Datenschutz annimmt wird auf der Checkliste schnell: Erstellen von einem Verzeichnis von Verarbeitungstätigkeiten, stehen haben. Denn das Verzeichnis von Verarbeitungstätigkeiten (VVT) kann auch als „Herzstück des Datenschutzmanagements bezeichnet werden, da es dem Nachweis der Einhaltung der Datenschutzgrundverordnung (DSGVO) dient. Für viele Unternehmen scheint die Aufgabe ein solches VVT zu erstellen und zu führen, zunächst schwer zu bewältigen. Dennoch sollte diese Aufgabe von Unternehmen früh angepackt werden, da sie in vielerlei Hinsichten sinnvoll und gewinnbringend ist.
Art. 30 DSGVO – „Verzeichnis von Verarbeitungstätigkeiten“
Die Pflicht zur Führung eines Verzeichnisses für Verarbeitungstätigkeiten steht in Art. 30 DSGVO festgeschrieben. Dort heißt es in Abs. 1: „Jeder Verantwortliche und gegebenenfalls sein Vertreter führen ein Verzeichnis aller Verarbeitungstätigkeiten, die ihrer Zuständigkeit unterliegen.“ Das VVT oder auch „Verarbeitungsverzeichnis“ genannt, stellt eine Aufstellung von allen aktuellen Verfahren da, bei welchen personenbezogenen Daten verarbeitet werden. Personenbezogene Daten sind solche, die sich auf eine natürliche Person beziehen und diese zumindest identifizierbar machen. Personenbezogene Daten sind beispielsweise der Name und die Adresse einer Person, aber ebenso seine IP-Adresse.
Anforderung Whitepaper VVT
VVT als Nachweis der rechtmäßigen Verarbeitung
Sobald personenbezogenen Daten verarbeitet werden, geht damit auch immer ein Risiko für diese Daten einher, zum Beispiel von Verlust. Zum Schutz der Daten und zur Minderung des Risikos wurden in Art. 5 Abs. 1 DSGVO verschiedenen Grundsätze zur Verarbeitung personenbezogener Daten festgeschrieben. Das diese Grundsätze eingehalten werden, muss laut Art. 5 Abs. 2 DSGVO nachgewiesen werden. Dafür gibt es verschiedene Instrumente, wie die Führung eines Verzeichnisses von Verarbeitungstätigkeiten (VVT). Damit dient das VVT hauptsächlich dem Nachweis der Einhaltung der DSGVO (Erwägungsgrund 82 DSGVO). Das Verarbeitungsverzeichnis muss auf Anfrage auch der Aufsichtsbehörde vorgelegt werden. Sodann prüft diese die Verarbeitungsvorgänge anhand des Verzeichnisses auf ihre Rechtmäßigkeit. Ein VVT zu führen ist daher unerlässlich und sollte kontinuierlich aktualisiert werden. Eine lange Frist kann man von der Behörde für die Vorlage davon nicht erwarten.
Wer benötigt ein VVT?
Grundsätzlich gilt die Pflicht zur Führung eines VVTs für alle Verantwortlichen im Sinne des Datenschutzes, sowie für Auftragsverarbeiter von Daten. Denn dort, wo personenbezogenen Daten verarbeitet werden, muss dies auch dokumentiert werden. Dies gilt für alle Verantwortlichen und Verarbeiter auf, welche die DSGVO Anwendung findet, also insbesondere solche mit Sitz oder Niederlassung in Europa. Ansonsten ist ein Vertreter in der EU zu benennen, welcher den Pflichten nachkommt und zum Beispiel ein Verzeichnis für Verarbeitungstätigkeiten führt.
Ausnahmen von der Pflicht zum VVT
Ausnahmen von der Pflicht zum VVT sind in Art. 30 Abs. 5 DSGVO zu finden. Demzufolge können Unternehmen mit weniger als 250 Mitarbeiter : innen von dem VVT befreit werden. Jedoch nur dann, wenn keine der dort genannten Rückausnahmen gegeben sind. So kommt es zu keiner Befreiung von der Führung eines VVTs, wenn die Datenverarbeitung nicht nur gelegentlich erfolgt, oder besondere Datenkategorien nach Art. 9 DSGVO verarbeitet werden, wie zum Beispiel Gesundheitsdaten, und zudem ein Risiko für die Rechte und Freiheiten der Betroffenen besteht. Im Ergebnis sind die Rückausnahmen bei Unternehmen mit weniger als 250 Mitarbeiter : innen häufig gegeben und damit die Pflicht zur Führung eines VVTs. Denn so erfolgen die meisten Verarbeitungstätigkeiten bei Unternehmen nicht nur gelegentlich, sondern regelmäßig, wie etwa das Führen von Personalakten, Versand von Newslettern. Daher sind auch Unternehmen aus dem Handwerk oder der ärztlichen Praxis verpflichtet.
Wer führt das VVT?
Verantwortlich für das Erstellen und Führen eines VVTs ist nicht der : die Datenschutzbeauftragte, sondern vielmehr der : die. für die Datenverarbeitung Verantwortliche. Das ist in der Regel die Geschäftsleitung eines Unternehmens. Der : die Datenschutzbeauftragte steht vielmehr beratend zur Seite. Denn insbesondere die Inhalte des VVTs, also welche Daten, wie von wem verarbeitet werden, können nur von den einzelnen Abteilungen im Unternehmen selbst beschrieben werden.
Was muss ein VVT beinhalten?
Die nötigen Inhalte des VVT ergeben sich für Verantwortliche größtenteils aus Art. 30 Abs. 1 DSGVO. Demnach sind als Pflichtangaben im VVT zu dokumentieren:
- von wem (Name und Kontaktdaten von Verantwortlichem und Datenschutzbeauftragter/m),
- welche personenbezogenen Daten/Datenkategorien (Beschreibung der Kategorien von Personen und Daten),
- zu welchem Verarbeitungszweck,
- an welchen weitere:n Empfänger:in (ggf. Datenübermittlung in Drittländer, außerhalb der EU) mithilfe
- welcher automatisierten Verfahren (Beschreibung Verarbeitungssysteme),
- welche Datenschutz- und Datensicherheitsmaßnahme beachtete / getroffen werden (Beschreibung der allgemeinen technischen-organisatorischen Maßnahmen) und
- welche Löschfristen für die verschiedenen Datenkategorien vorgesehen sind.
Umfassende Erläuterungen und Empfehlungen zum Inhalt und Aufbau des VVTs bietet die GDD-Praxishilfe sowie der Bitkom Leitfaden zum Verzeichnis von Verarbeitungstätigkeiten.
Schriftliches – auch digitales VVT
Das VVT ist gem. Art. 30 Abs. 3 DSGVO schriftlich zu führen. Es ist zulässig, das Verzeichnis von Verarbeitungstätigkeiten in elektronischer Form zu führen. Wichtig ist, dass den Aufsichtsbehörden ein ausgedrucktes Dokument vorgelegt werden kann. Es gibt eine Vielzahl von Vorlagen von Aufsichtsbehörden, die einen den Fließtext der Verordnung verständlich und gut nachvollziehbar aufbereitet haben. Darunter kostenlose Muster für Vereine, Handwerksbetriebe, Arztpraxen, Online-Shops, Kfz-Werkstätten, Beherbergungsbetriebe wie Hotels oder Ferienwohnungen, aber auch für WEG-Verwaltungen. Ein Verzeichnis für Verarbeitungstätigkeiten kann auch elektronisch mittels Software erstellt und gepflegt werden, einem digitalen Datenschutzmanagementsystem (DSMS). Dabei gibt es die Möglichkeit alle Verarbeitungstätigkeiten zu dokumentieren und zeitsparend auf bereits bestehende Inhalte, wie Rechtsgrundlagen, Datenkategorien, Zwecken etc. zurückzugreifen.
Sanktionen bei unvollständigem oder ganz fehlendem VVT
Stellt die Aufsichtsbehörde die Anfrage zur Vorlage des VVTs an und kann dieser nicht angekommen werden, droht ein Bußgeld gem. Art. 83 Abs. 4a DSGVO, von bis zu 10 Mio. Euro oder bis zu 2% des Jahresumsatzes bei Unternehmen. Das ist der übliche gesetzliche Rahmen, der in der DSGVO normiert wurde. Insbesondere für kleine und mittelständische Unternehmen stellt das VVT eine Herausforderung dar. Doch die nächste Evaluierung der DSGVO durch die Europäische Kommission ist erst für 2024 angesetzt. Daher sollten auch diese das VVT auf jeden Fall in die Tat umsetzten und nicht auf eine gesetzliche Änderung hoffen.
Vorteile und Nutzen eines Verarbeitungsverzeichnisses
Das VVT kann für ein Unternehmen auch gewinnbringend sein und hilfreich das Thema Datenschutz abzustecken und zu bearbeiten. Denn mit einem gut strukturierten VVT hat man zugleich eine saubere und vollständige Dokumentation der Verfahren, Prozesse und Infrastruktur im Unternehmen. Das erleichtert auch die Wartung und Anpassung von Prozessen, sowie der genutzten Hard- und Software. Ein weiterer positiver Nebeneffekt, ist ein verbesserter Stand der Technik, um der notwendigen Datensicherheit gerecht zu werden und zugleich die entsprechende Aus- oder Weiterbildung von Mitarbeiter : innen in diesen Bereichen. Hinzutritt, dass eine erfolgreiche DSGVO Compliance auf jeden Fall einen Wettbewerbsvorteil darstellt.
Wenn Sie sich unsicher sind, ob und wie ein Verzeichnis von Verarbeitungstätigkeiten (VVT) erstellt werden muss, nehmen Sie gerne unsere Beratung in Anspruch. Wir tragen gerne zu Ihrem gelungenen Datenschutzmanagement bei.