Verarbeitungsverzeichnis nach DSGVO: Pflicht, Aufbau und Umsetzung eines VVT einfach erklärt

Das Verarbeitungsverzeichnis muss erstellt werden, wenn personenbezogene Daten verarbeitet werden.
Kategorien:
,

Ein Verarbeitungsverzeichnis (auch Verzeichnis von Verarbeitungstätigkeiten, VVT) dient dem Nachweis der Datenschutz-Compliance und der Transparenz: Anhand des Verzeichnisses soll eine Aufsichtsbehörde schnell erkennen können, ob ein Unternehmen datenschutzkonform arbeitet. Im Folgenden beantworten wir praxisorientiert die wichtigsten Fragen zum Verarbeitungsverzeichnis.

Was ist ein Verarbeitungsverzeichnis?

Ein Verarbeitungsverzeichnis ist eine schriftliche Übersicht aller Verfahren in einem Unternehmen, bei denen personenbezogene Daten verarbeitet werden. Gemäß Artikel 30 DSGVO enthält es wesentliche Angaben zu jeder Datenverarbeitung, wie Zweck, Kategorien betroffener Personen und Daten, Empfänger etc. und muss der Datenschutzaufsichtsbehörde auf Anfrage vollständig vorgelegt werden.

Wer benötigt ein Verarbeitungsverzeichnis?

Grundsätzlich muss jedes Unternehmen bzw. jede verantwortliche Stelle, die personenbezogene Daten verarbeitet, ein Verarbeitungsverzeichnis führen – ebenso jeder Auftragsverarbeiter (Dienstleister). Die DSGVO gilt für alle Verantwortlichen und Auftragsverarbeiter in der EU (bzw. mit EU-bezogenem Datenprocessing), unabhängig von Branche oder Größe. Selbst Einzelfirmen oder Vereine müssen ein VVT führen, wenn sie nicht nur rein gelegentlich personenbezogene Daten verarbeiten, was in der heutigen Zeit so gut wie immer der Fall ist.

Ausnahmen: Die DSGVO sieht in Art. 30 Abs. 5 einige enge Ausnahmen für Unternehmen mit weniger als 250 Mitarbeitern vor. Kein Verarbeitungsverzeichnis ist ausnahmsweise erforderlich, wenn sämtliche Bedingungen erfüllt sind:

  • Gelegentliche Verarbeitung: Die Datenverarbeitung erfolgt nur gelegentlich, d.h. nicht regelmäßig im Tagesgeschäft (ein Kriterium, das in der Praxis kaum zutrifft, da selbst kleine Betriebe regelmäßig Kundendaten, Mitarbeiterdaten oder Website-Daten verarbeiten).
  • Kein Risiko für Betroffene: Die Verarbeitung birgt kein Risiko für die Rechte und Freiheiten der betroffenen Personen (in der Praxis schwer zu garantieren).
  • Keine sensiblen Daten: Es werden keine besonderen Kategorien personenbezogener Daten nach Art. 9 Abs. 1 DSGVO (z. B. Gesundheitsdaten) und keine Daten zu strafrechtlichen Verurteilungen nach Art. 10 DSGVO verarbeitet.


Achtung: Diese Ausnahmeregel greift so gut wie nie. Denn schon das Führen einer Kundenkartei, einer Mitarbeiterliste, einer Website mit Kontaktformular oder die Lohnabrechnung bedeutet regelmäßige Verarbeitung personenbezogener Daten. In der Praxis sollten daher auch kleine Unternehmen ein Verarbeitungsverzeichnis führen, zumal es eine zentrale Forderung der DSGVO-Rechenschaftspflicht ist. Die Aufsichtsbehörden betrachten das VVT als Überprüfungsschwerpunkt: Fehlt es oder ist es unvollständig, drohen empfindliche Konsequenzen.

Wann muss ein Verarbeitungsverzeichnis erstellt werden?

Die Pflicht zur Erstellung besteht, sobald ein Unternehmen beginnt, personenbezogene Daten zu verarbeiten. Mit Inkrafttreten der DSGVO am 25. Mai 2018 wurde das Verarbeitungsverzeichnis für verantwortliche Stellen verpflichtend. Praktisch heißt das: vor Aufnahme oder zumindest zeitgleich mit Beginn einer neuen Datenverarbeitung sollte ein entsprechender Eintrag im VVT erfolgen. Ein Unternehmen sollte also spätestens beim Start seiner Tätigkeit oder Einführung eines neuen Prozesses (z. B. neues CRM-System, neue Mitarbeiterverwaltung) das Verzeichnis anlegen und fortan kontinuierlich führen und aktualisieren.

Die Dokumentation muss laufend gepflegt werden: Veraltete Einträge sind zu entfernen und neue Verarbeitungsvorgänge zeitnah aufzunehmen. Das Verzeichnis sollte stets auf dem aktuellen Stand sein, da die Behörde im Falle einer Prüfung keinen langen Aufschub gewährt. Sie erwartet, dass ein aktuelles Verarbeitungsverzeichnis jederzeit verfügbar ist. Unabhängig von der rechtlichen Pflicht liegt es im Interesse jedes Unternehmens, von Anfang an ein VVT zu führen: Es schafft Übersicht über alle Datenverarbeitungen und belegt im Ernstfall die DSGVO-Konformität gegenüber Aufsichtsbehörden oder bei Beschwerden.

Was sind Verarbeitungstätigkeiten nach DSGVO?

Der Begriff Verarbeitungstätigkeit bezeichnet im Grunde jede Tätigkeit oder jeden Prozess im Unternehmen, der personenbezogene Daten umfasst. Die DSGVO definiert Verarbeitungsehr breit: vom Erheben über das Speichern bis zum Löschen von Daten. Somit zählen alle Vorgänge, bei denen mit personenbezogenen Daten gearbeitet wird, als Datenverarbeitung. Etwa die Erfassung von Kundendaten, die Pflege einer Lieferantendatenbank, das Führen von Mitarbeiterakten oder die Nutzung von Videoüberwachung.

Eine Verarbeitungstätigkeit im Sinne des Verzeichnisses gruppiert dabei alle zusammengehörigen Verarbeitungen zu einem bestimmten Zweck. Das heißt, man fasst einzelne Datenverarbeitungsschritte zu einem Prozess zusammen, sofern sie demselben Zweck dienen. Beispielsweise kann eine Personalverwaltung insgesamt als eine Verarbeitungstätigkeit dokumentiert werden (mit den Unterprozessen Einstellung, Gehaltsabrechnung, Urlaubsverwaltung etc.), sofern diese Daten alle dem Zweck Personalverwaltung dienen. In größeren Unternehmen wird man detaillierter untergliedern, etwa getrennte Verarbeitungstätigkeiten für Bewerbermanagement, Mitarbeiterverwaltung und Lohnabrechnung. Entscheidend ist der Verarbeitungszweck: Alle Abläufe, die einem gemeinsamen Zweck dienen, bilden eine Verarbeitungstätigkeit im Verzeichnis. Hinzu kommen ggf. Verarbeitungstätigkeiten, die das Unternehmen als Auftragsverarbeiter für Dritte durchführt. Auch diese müssen im eigenen VVT aufgeführt werden.

Wie sieht ein Verarbeitungsverzeichnis aus?

Für das Verarbeitungsverzeichnis gibt es keine strikte Formvorschrift. Es kann z. B. als Tabelle, Word-Dokument, Excel-Liste oder in einer Software geführt werden. Wichtig ist, dass alle gesetzlich vorgeschriebenen Pflichtangaben nach Art. 30 DSGVO enthalten sind und das Verzeichnis für sich genommen verständlich ist. Die Aufsichtsbehörde muss das Dokument prüfen können, ohne Rückfragen stellen zu müssen. Eine digitale, durchsuchbare Form ist aus praktischen Gründen empfehlenswert.

Welche Angaben müssen im VVT enthalten sein?

Inhaltlich muss das Verzeichnis für jede Verarbeitungstätigkeit mindestens folgende Angaben enthalten:

  • Name und Kontaktdaten des Verantwortlichen (Unternehmen) und ggf. des Datenschutzbeauftragten. Bei Auftragsverarbeitern sind stattdessen der Auftragnehmer und alle Auftraggeber (Kunden) zu nennen.
  • Zweck der Verarbeitung. Wofür werden die Daten verarbeitet? (z. B. Personalverwaltung, Kundenbetreuung, Werbemailing)
  • Beschreibung der Kategorien betroffener Personen und personenbezogenen Daten. Also welche Personengruppen (Kunden, Mitarbeiter, Lieferanten etc.) und welche Datenkategorien (z. B. Kontaktdaten, Vertragsdaten, Gesundheitsdaten etc.) verarbeitet werden.
  • Kategorien von Empfängern. Wer erhält die Daten? (Intern z. B. Abteilungen, extern z. B. Steuerberater, IT-Dienstleister, Behörden)
  • Übermittlungen in Drittländer. Falls Daten außerhalb der EU übermittelt werden, ist das anzugeben, einschließlich der entsprechenden Garantien nach Kapitel V DSGVO (z. B. Standardvertragsklauseln bei Transfer in die USA).
  • Vorgesehene Fristen für die Löschung. Soweit möglich, sollten Aufbewahrungsdauer oder Löschfristen für die Datenkategorien genannt werden (z. B. Bewerbungsdaten werden 6 Monate nach Absage gelöscht, Vertragsunterlagen 10 Jahre nach Jahresende archiviert).
  • Allgemeine Beschreibung der technischen und organisatorischen Maßnahmen (TOM) zum Schutz der Daten. Hier genügt eine übergreifende Darstellung der Datensicherheits-Maßnahmen (z. B. Zutrittskontrollen, Zugriffsbeschränkungen, Verschlüsselung, Schulungen etc.), da Detail-Konzepte ggf. separat existieren dürfen.


Praxistipp: Eine beispielhafte Tabelle oder Vorlage für ein Verarbeitungsverzeichnis finden Sie etwa auf den Webseiten der Datenschutzkonferenz oder Ihres Landesdatenschutzbeauftragten. Alternativ bieten spezialisierte Tools wie Ailance RoPA strukturierte Masken für alle Pflichtangaben.

Link-Tipp: Hinweise der Datenschutzkonferenz zum Verzeichnis von Verarbeitungstätigkeiten, Art. 30 DS-GVO

Was ist der Unterschied zwischen einem Verarbeitungs- und einem Verfahrensverzeichnis?

Die Begriffe werden heute oft synonym verwendet. „Verfahrensverzeichnis“ ist ein veralteter Begriff aus dem früheren Bundesdatenschutzgesetz (BDSG alt) – vor Geltung der DSGVO mussten Unternehmen ein sogenanntes öffentliches Verfahrensverzeichnis führen. Inhaltlich meinte das jedoch weitgehend dasselbe: eine Übersicht der Datenverarbeitungsverfahren in der verantwortlichen Stelle. Der Unterschied liegt also vor allem im rechtlichen Kontext: Unter der DSGVO spricht man vom Verzeichnis von Verarbeitungstätigkeiten (§ Art. 30 DSGVO) und es dient der internen Rechenschaft gegenüber der Aufsicht. Früher war das Verfahrensverzeichnis teils öffentlich einzusehen. Nach alter Rechtslage mussten verantwortliche Stellen die Angaben aus dem Verfahrensverzeichnis auf Antrag jedermann verfügbar machen. Heute besteht diese Pflicht zur Öffentlichkeitsmachung nicht mehr, jedoch eine strengere interne Dokumentationspflicht (bei Verletzung drohen Bußgelder). Im Ergebnis gibt es keinen inhaltlichen Unterschied, nur Terminologie: Das Verarbeitungsverzeichnis entspricht dem früher sogenannten Verfahrensverzeichnis.

Welche Strafen drohen bei fehlendem Verarbeitungsverzeichnis?

Das Führen eines Verarbeitungsverzeichnisses ist eine gesetzliche Pflicht. Unternehmen, die kein Verzeichnis vorlegen können oder ein unvollständiges führen, riskieren erhebliche Bußgelder. Laut Art. 83 Abs. 4 a DSGVO kann ein Verstoß mit bis zu 10 Millionen € oder 2 % des weltweiten Jahresumsatzes geahndet werden. Zwar schöpfen Aufsichtsbehörden diesen Rahmen bei kleinen Firmen selten aus und berücksichtigen die Belange von KMU (Erwägungsgrund 13). Dennoch sind bereits Fälle bekannt, in denen empfindliche Strafen verhängt wurden. So wurde etwa 2021 in Italien ein Bußgeld von 800.000 Euro verhängt, weil ein Unternehmen keinerlei Verarbeitungsverzeichnis vorlegen konnte und das Datenmanagement „chaotisch“ war. Auch in Deutschland gab es bereits Verwarnungen und Bußgeldandrohungen durch Landesdatenschutzbehörden, insbesondere bei Prüfungen im Gesundheitswesen und bei Online-Shops.

Abgesehen von Bußgeldern besteht ohne VVT auch ein höheres Risiko, bei Datenschutzverstößen keine Entlastungsnachweise zu haben. Ein sauber geführtes Verarbeitungsverzeichnis kann im Ernstfall als wichtiges Beweismittel dienen, um gegenüber der Aufsicht oder Gerichten die eigene Compliance zu belegen.

VVT digital erstellen: Mit Ailance ROPA auf der sicheren Seite

In der Praxis beginnen viele Unternehmen ihr VVT mit Excel- oder Word-Vorlagen. Doch gerade für wachsende Anforderungen lohnt sich der Einsatz spezialisierter Datenschutz-Software. Ein Beispiel ist Ailance™ RoPA von 2B Advice: Eine Softwarelösung, mit der sich das Verzeichnis von Verarbeitungstätigkeiten komfortabel digital erstellen und pflegen lässt.

Mit Ailance™ RoPA automatisieren Sie das Verarbeitungsverzeichnis, reduzieren manuellen Aufwand und profitieren von intelligentem Reporting. Die Software wurde von Datenschutzexperten entwickelt und passt sich flexibel an individuelle Unternehmensbedürfnisse an.

Hier erfahren Sie mehr über Ailance™ RoPA

Beispiele aus der Praxis: Ein externer Datenschutzbeauftragter betreut fünf mittelständische Unternehmen. Statt fünf separate Excel-Listen zu verwalten, pflegt er die VVTs mandantenfähig in Ailance RoPA, lässt sich über neue Verarbeitungstätigkeiten automatisch benachrichtigen und erzeugt auf Knopfdruck Dokumentationsnachweise für die Aufsicht.

Für Datenschutzbeauftragte, die mehrere Firmen betreuen, bietet Ailance RoPA zudem Mehrmandantenfähigkeit und Kollaborationsfunktionen, um mit verschiedenen Abteilungen oder externen Partnern effizient am VVT zu arbeiten.

Beispiel aus der Praxis: Ein weltweit agierendes Unternehmen der Automobilbranche mit Produktionsstandorten und Lieferketten in über 30 Ländern muss verschiedene gesetzliche Vorgaben und Regularien einhalten. Inzwischen arbeiten in dem Konzern über 1.000 Userinnen und User in über 350 Business Units mit Ailance™ Ropa. In dem Konzern werden weit über 10.000 Verarbeitungen automatisch gesteuert.

Fazit: Ob kleines Startup oder großer Konzern – das Verarbeitungsverzeichnis ist und bleibt das zentrale Instrument für Datenschutz und Transparenz. Mit den oben erläuterten Grundlagen und Hilfsmitteln (bis hin zu Profi-Tools wie Ailance RoPA) sind Unternehmen auf der sicheren Seite, um ihr Verzeichnis von Verarbeitungstätigkeiten DSGVO-konform, aktuell und effizient zu führen. So erfüllen Sie nicht nur die gesetzlichen Vorgaben, sondern schaffen auch intern Transparenz über Ihre Datenverarbeitungen und stärken das Vertrauen von Kunden und Mitarbeitern in den Datenschutz.

Kontakt aufnehmen
Tags:
,
Share this post :

Beliebte Kategorien

Newsletter

Abonnieren Sie unseren Datenschutz-Newsletter, um die neuesten Updates, Tipps und Erkenntnisse direkt in Ihren Posteingang zu erhalten.
Subscribe

Letzte Beiträge