Was ist ein Verzeichnis von Verarbeitungstätigkeiten?

Das Verzeichnis von Verarbeitungstätigkeiten (Art. 30 DSGVO) ist eine Übersicht aller Prozesse und Verarbeitungen, in denen mit personenbezogenen Daten gearbeitet wird.

Dazu zählen z. B. folgende Prozesse/Verarbeitungen:

  • Führen von Personalakten
  • Bearbeitung von E-Mails
  • Videoüberwachung
  • Zeiterfassungssysteme
  • Kundenstamm/Kundendaten pflegen
  • Datenverarbeitung über die Webseite (Cookies, Kontaktformular, …)
  • Kundengewinnung (z. B. auf Veranstaltungen, Messen, …)

Dieses Verzeichnis ist der Aufsichtsbehörde auf Anfrage zur Verfügung zu stellen.

Sinn und Zweck des Verzeichnisses von Verarbeitungstätigkeiten

Der Sinn des Verzeichnisses von Verarbeitungstätigkeiten ist gemäß Erw.Gr. 82 DSGVO der Nachweis, dass die EU-Datenschutz-Grundverordnung eingehalten wird. Zudem sollen die Aufsichtsbehörden anhand dieser Verzeichnisse die Verarbeitungsvorgänge kontrollieren können.

Wer muss ein Verzeichnis von Verarbeitungstätigkeiten führen?

Dies ist in Art. 30 DSGVO festgelegt. Anfangs sah es so aus, als würde die Pflicht zum Führen eines VvV nur diejenigen Unternehmen betreffen, die mehr als 250 Mitarbeiter beschäftigen. Jedoch wurde schlussendlich festgelegt, dass dies nur gilt, wenn die Verarbeitung nicht nur gelegentlich erfolgt. Da jeder Verantwortliche (natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die über die Zwecke und Mittel der Verarbeitung entscheidet (Art. 4 Abs. 7 DSGVO)) und Auftragsverarbeiter (natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet (Art. 4 Abs. 8 DSGVO)) regelmäßig personenbezogene Daten verarbeitet, kann sich der Pflicht zum Führen eines Verzeichnisses von Verarbeitungstätigkeiten keiner dieser Parteien entziehen. Somit hat jeder Verantwortliche und Auftragsverarbeiter ein solches Verzeichnis zu führen.

Wie ist das Verzeichnis von Verarbeitungstätigkeiten zu führen?

Das Verzeichnis von Verarbeitungstätigkeiten ist nach Art. 30 Abs. 3 DSGVO schriftlich zu führen. Dies kann auch in einem elektronischen Format erfolgen.

Inhalt des Verzeichnisses von Verarbeitungstätigkeiten

Das Verzeichnis von Verarbeitungstätigkeiten eines Verantwortlichen und ggf. seines Vertreters hat gemäß Art. 30 Abs. 1 DSGVO folgende Angaben zu enthalten:

  • Namen und Kontaktdaten der Verantwortlichen und ggf. des Datenschutzbeauftragten
  • Zwecke der Verarbeitung
  • Kategorien von betroffenen Personen
  • Kategorien von personenbezogenen Daten
  • Kategorien von Empfängern
  • Übermittlungen der Daten an Drittländer oder internationale Organisationen (incl. Angabe von Garantien gemäß Art. 49 Abs. 1 Unterabs. 2 DSGVO)
  • Wenn möglich, vorgesehene Löschfristen der verschiedenen Datenkategorien
  • Wenn möglich, allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Art. 32. Abs. 1 DSGVO

Das Verzeichnis von Verarbeitungstätigkeiten eines Auftragsverarbeiters und ggf. seines Vertreters hat gemäß Art. 30 Abs. 2 DSGVO folgende Angaben zu enthalten:

  • Namen und Kontaktdaten der Auftragsverarbeiter und der Verantwortlichen, in dessen Auftrag der Auftragsverarbeiter tätig ist
  • Kategorien von Verarbeitungen
  • Übermittlungen der Daten an Drittländer oder internationale Organisationen (incl. Angabe von Garantien gemäß Art. 49 Abs. 1 Unterabs. 2 DSGVO)
  • Wenn möglich, allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Art. 32. Abs. 1 DSGVO

Sollten Sie als Verantwortlicher oder Auftragsverarbeiter noch nicht damit begonnen haben ein Verzeichnis von Verarbeitungstätigkeiten, welches ab dem 25. Mai 2018 vollständig vorhanden sein muss, zu erstellen, dann empfehlen wir Ihnen dringend damit zu beginnen. Es ist ein aufwendiger Prozess ein Verzeichnis mit allen Verarbeitungstätigkeiten zu erstellen.

Sie benötigen Hilfe und Unterstützung bei der Erstellung?

Wir beraten Sie gern!

Rufen Sie uns an oder kontaktieren uns über das Kontaktformular, um einen ersten Kennenlern- und Beratungstermin zu vereinbaren. Gern können Sie auch über die sozialen Netzwerke oder per E-Mail mit uns Kontakt aufnehmen.

Ihr Name

Ihre E-Mail-Adresse (Pflichtfeld)

Betreff

Ihre Nachricht

Mit der Nutzung dieses Formulars erklären Sie sich mit der Speicherung und Verarbeitung Ihrer Daten durch diese Website einverstanden.