2. Verzeichnis von...
DataAgenda

Verzeichnis von Verarbeitungstätigkeiten (VVT) braucht fast jeder – aber wie?

Was früher das Verfahrensverzeichnis war, ist seit der DS-GVO das Verzeichnis von Verarbeitungstätigkeiten (VVT). Unverändert stellt das VVT einen zentralen Bestandteil der internen Datenschutzorganisation dar. Für jede datenverarbeitende Stelle – unabhängig ihrer Größe – ist ein VVT gesetzlich vorgeschrieben, sobald „die Verarbeitung nicht nur gelegentlich erfolgt“.  Damit stehen selbst Vereine, Kleinunternehmen oder Solo-Selbstständige in der Pflicht ein VVT zu führen. Liegt dieses nicht vor, droht ein Bußgeld in Höhe von bis zu 10 Mio. € – unabhängig von der Unternehmensgröße und ihrem Umsatz.

Grundlegendes zum VVT klären

Umso wichtiger ist eine professionelle Erstellung und Pflege des VVT. Voraussetzung für den richtigen Umgang ist zunächst Klarheit über die gesetzlichen Erfordernisse sowie über Ziel und Hintergrund eines VVT. Das Verzeichnis von Verarbeitungstätigkeiten zu erstellen stellt für Viele ein lästige Rechtspflicht dar, sollte aber als Chance gesehen werden sich selbst über einen Überblick über die internen Verarbeitungstätigkeiten zu machen. Schwierig gestaltet sich häufig die Frage nach dem Zuschneiden von Verarbeitungstätigkeiten innerhalb von Prozessen – wie lassen sich alle Prozesse in Verarbeitungstätigkeiten aufteilen ohne dabei Datenverarbeitungen zu übersehen? Schließlich verlangt die DS-GVO ein vollumfängliches VVT von jedem Verantwortlichen.

Erstellung und inhaltliche Ausgestaltung

Entscheidend bei der Arbeit mit einem VVT ist darüber hinaus die genaue operative Vorgehensweise. So muss personell festgelegt werden, wer das VVT erstmalig erstellt und wer es in der Zukunft weiter pflegt und aktuell hält. Dabei kann der betriebliche Datenschutzbeauftragte durchaus mitwirken, die DS-GVO legt ihm diese Aufgabe aber von Gesetzes wegen ausdrücklich nicht auf. Bei der Dokumentation von Verarbeitungstätigkeiten lässt sich auf Unterstützung zurückgreifen. Solche bieten beispielsweise Checklisten, Formulare oder auch entsprechende Softwares.

Gutes VVT dient als Grundlage für Datenschutz-Managementsystem

Im besten Fall soll ein VVT nicht nur als Rechtspflicht angesehen. Vielmehr birgt diese Dokumentationsanforderung das Potenzial die Grundlage für ein Datenschutz-Managementsystem darzustellen. Diese Sichtweise ermöglicht es, die aufgrund des Umfangs dem VVT inhärenten Potenziale dafür zu nutzen ein Datenschutz-Managementsystem aufzubauen, soweit noch nicht geschehen. Damit lässt sich das VVT nicht nur effektiv, sondern auch effizient nutzen. Aus diesem Grund bietet es sich an mit entsprechenden Ressourcen das VVT zu erstellen. Dafür stellt der Verantwortliche nach Möglichkeit ein Projektteam zur erstmaligen Erstellung eines vollumfänglichen VVT zusammen und lässt dieses sämtliche Verarbeitungstätigkeit identifizieren und hochwertig dokumentieren.

Tipp: Gemeinsam Datenschutz gestalten mit dem DataAgenda Datenschutz Manager

Mit dem webbasierten Management-System erfassen, verwalten und dokumentieren Sie alle Maßnahmen zum Datenschutz und erfüllen Ihre Rechenschaftspflicht gemäß DS-GVO.

In diesem Video sehen Sie anhand eines Praxisbeispiels, wie Sie mit der Datenschutz-Manager-Software ein Verzeichnis der Verarbeitungstätigkeiten (VVT) Schritt für Schritt erstellen. 

>> zum DataAgenda Datenschutz Manager

Beitragsbild: stock.adobe.com/Tiko

Letztes Update:25.03.21

Das könnte Sie auch interessieren

  • Folge 38: EuGH erleichtert Massenklagen – Die Voraussetzungen des immateriellen Schadensersatzes nach Art. 82 DS-GVO

    Verfahren wegen des Ersatzes immaterieller Schäden nach Art. 82 DSGVO werden ständig mehr. Typische Anlässe sind Datenpannen, sonstige Datenschutzverstöße durch Unternehmen wie eine Werbemail ohne Einwilligung oder ein nicht rechtzeitig erfüllter Auskunftsanspruch. Deutsche Gerichte legen Art. 82 DSGVO bislang unterschiedlich weit und uneinheitlich aus. Der EuGH hat sich am 4. Mai 2023 in der Rs.

    Mehr erfahren
  • MS Cloud und IT-Grundschutz

    IT-Grundschutz in der Microsoft-Cloud

    Microsoft hat in Zusammenarbeit mit der HiSolutions AG drei kostenlose IT-Grundschutz-Handbücher entwickelt, die auf der aktuellen Edition des IT-Grundschutz-Kompendiums des Bundesamts für Sicherheit in der Informationstechnik (BSI) basieren. Die Handbücher sollen Microsoft-Kunden helfen, die Nutzung von Cloud-Diensten wie Microsoft Azure, Microsoft 365 oder Dynamics 365 unter Berücksichtigung des IT-Grundschutzes sicher und erfolgreich zu gestalten. Dabei

    Mehr erfahren

  • EuGH urteilt zum Begriff “Recht auf Kopie”

    Einige von der Datenschutzwelt mit Spannung erwartete Urteile des Europäischen Gerichtshofes wurden am 04. Mai 2023 veröffentlicht. 2. Urteil des Gerichtshofs in der Rechtssache C-487/21 | Österreichische Datenschutzbehörde und CRIF Der Hintergrund des zweiten mit Spannung erwartete Urteils des EuGH war ein Vorabentscheidungsersuchen nach Art. 267 AEUV, welches vom Bundesverwaltungsgericht (Österreich) eingereicht wurde. Das Bundesverwaltungsgericht in

    Mehr erfahren

  • DataAgenda

    ist das Lösungsportal zum Datenschutzrecht und fokussiert sich auf die inhaltlichen Entwicklungen in diesem Feld. Das DataAgenda-Experten-Team bietet News, Tools und Tipps rund um den Datenschutz.

  • DATAKONTEXT 

    ist einer der führenden Fachinformationsdienstleister in den Bereichen Datenschutz und IT-Sicherheit und bietet Kompetenz aus einer Hand: Fachbücher, Fachzeitschriften und Seminare, Zertifizierung und Beratung.