Willkommen beim Datenschutz-Wiki der TU Ilmenau
Hinweise Impressum Datenschutzerklärung


Verzeichnis von Verarbeitungstätigkeiten

Das Verzeichnis von Verarbeitungstätigkeiten oder kurz VVT (Erwägungsgrund 82 DSGVO spricht von Verzeichnis der Verarbeitungstätigkeiten) wird geführt gemäß Art. 30 Abs. 1 DSGVO von Verantwortlichen für alle Verarbeitungstätigkeiten und gemäß Art. 30 Abs. 2 DSGVO von Auftragsverarbeitern alle Kategorien von Auftragsverarbeitungen. Die Mindestinhalte des VVT ergeben sich aus Art. 30 DSGVO-siehe auch unten in der Tabelle die linke Spalte.

Für die praktische Arbeit gibt es ein VVT-Beispiel.

Pflicht zur Erstellung von VVT

Grundsätzlich ist jede Verarbeitung personenbezogener Daten durch den Verantwortlichen im VVT zu dokumentieren.

Allerdings beschränkt der Anwendungsbereich der Datenschutzgrundverordnung gemäß Art. 2 Abs. 1 DSGVO die Pflicht zur Erstellung von VVT auf die „die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen“. Zudem gelten die Ausnahmevorschriften gemäß Art. 2 Abs. 2 DSGVO und hier insbesondere nach Buchstabe c) die Ausnahme für (rein) persönliche oder familiäre Tätigkeiten, während bei den anderen Tatbeständen des Absatz 2 überwiegend Gegenausnahmen greifen.

Das bedeutet, dass zumindest für Verarbeitungen personenbezogener Daten durch Verantwortliche mittels IT-Systemen oder wenn die Daten letztlich in IT-Systeme überführt werden sollen, ein VVT zu erstellen ist. Dabei genügt es, wenn es für das IT-System beispielsweise personenbezogene Accounts gibt, die verwaltet werden müssen, was aus Gründen der IT-Sicherheit heutzutage die Regel ist und erst recht wenn es Logdateien gibt, die die Handlungen der personenbezogenen Accounts aufführen. Soweit inhaltlich keine weiteren personenbezogenen Daten verarbeitet werden, wofür ein denkbares Beispiel die Verwaltung nicht personenbezogener Messdaten wie Wetterdaten wäre, kann das VVT inhaltlich natürlich sehr knapp gehalten werden. Wenn es dagegen gerade auf die Verarbeitung personenbezogener Daten ankommt, steigt der erforderliche Aufwand zur Erstellung des VVT zum Teil ganz erheblich.

Auch kleine Verantwortliche mit weniger als 250 Beschäftigten profitieren in der Praxis kaum von der sogenannten KMU-Ausnahme gemäß Art. 30 Abs. 5 DSGVO, da in vielen Fällen eine der drei Gegenausnahmen eingreifen werden.1)

Formales Vorgehen

Die DSGVO gibt nur relativ wenige formale Vorgaben. Geregelt ist in Art. 30 Abs. 3 DSGVO, dass das VVT schriftlich oder elektronisch zu führen ist.

Zumindest aus der Pflicht, das Verzeichnis der Aufsichtsbehörde auf Anfrage zur Verfügung zu stellen ist( Art. 30 Abs. 4 DSGVO), ergibt sich, dass das VVT von einer zentralen Stelle des Verantwortlichen geführt werden sollte. Der betriebliche oder behördliche Datenschutzbeauftragte, der das frühere Verfahrensverzeichnis geführt hatte, sollte das VVT nicht mehr führen.2) Dagegen spricht auch, dass der Datenschutzbeauftragte im Rahmen seiner Pflicht zur Überwachung der Einhaltung der DSGVO( Art. 39 Abs. 1 lit. c DSGVO) sich selbst überwachen müsste.

Bei einem schriftlich geführten VVT sollte ein einheitliches Formular zur Anwendung kommen. Das Formular für das VVT für die Verwendung an den Thüringer Hochschulen kann hier als Word-Datei heruntergeladen werden.

Für größere Organisationen empfiehlt sich die Verwendung eines IT-Systems, dass auch eine größere Anzahl von Einträgen verwalten kann.

Inhaltliches Vorgehen

Wichtig ist, dass im VVT die Verarbeitung dokumentiert wird und nicht eine Software beziehungsweise ein IT-Dienst. Es geht also darum welche (personenbezogenen) Daten erhoben, gespeichert, verarbeitet (im engeren Sinne), übermittelt und gelöscht werden. Anders als nach der geübten (aber auch damals schon zweifelhaften) Praxis vor Inkrafttreten der DSGVO gibt es also KEINEN Automatismus mehr: Ein IT-System = Ein VVT-Eintrag.

Wenn ein IT-System für mehrere Verarbeitungen genutzt wird, sind also grundsätzlich mehrere VVT anzulegen. Das bietet sich vor allem dann an, wenn die Verarbeitungen unterschiedliche Inhalte betreffen oder (innerorganisatorisch) unterschiedliche Stellen zuständig sind.

Dagegen können inhaltlich eng zusammenhängende Verarbeitungen auch in einem einzigen VVT dokumentiert werden. Bei aufeinanderaufbauenden Verarbeitungen ist das sogar regelmäßig zu empfehlen: Das Erheben, Nutzen und Löschen eines Datensatzes sind drei Verarbeitungstätigkeiten, die aber als „Vorgangsreihe“( Art. 4 Nr. 2 DSGVO)) sinnvollerweise nicht auseinandergerissen werden sollten.

Die frühere Praxis der Strukturierung nach IT-Systemen kann Anlass sein, in geeigneten Fällen, vor allem mit vielen sehr unterschiedlichen Verarbeitungen durch das gleiche IT-System, gewissermaßen „Infrastruktur-VVT“ anzulegen. Gemeint ist damit nicht eine besondere rechtliche Kategorie sondern ein rein praktisches Vorgehen: Dokumentiert werden in einem solchen Infrastruktur-VVT vor allem die technischen Gegebenheiten, die für alle Verarbeitungen gleich sind. Das betrifft insbesondere die Verwaltung personenbezogener Nutzeraccounts sowie die Erstellung, Nutzung und Löschung von Logdateien. Auch komplexe Sachverhalte zu (Unter-)Auftragsverarbeitungen, Technisch-organisatorische Maßnahmen (und deren Grundlagen) oder Grenzen des gewährleisteten Schutzbedarfs des IT-Systems lassen sich so einheitlich festlegen.

Verzeichnis von Verarbeitungstätigkeiten bei Verfolgung und Prävention von Straftaten

Die DSGVO findet KEINE Anwendung bei der Verfolgung und Prävention von Straftaten. Hier gelten in Umsetzung der Richtlinie (EU) 2016/680 die §§ 31 ff. ThürDSG. Der maßgebliche § 50 ThürDSG weist (Art. 24 der Richtlinie (EU) 2016/680 folgend) Unterschiede zu den normalen Regeln auf. Dabei ist vor allem auffällig, dass in der DSGVO die Pflichtantgaben zu Profiling und Rechtsgrundlage im VVT fehlen.

Art. 30 DSGVO § 50 ThürDSG (zu Art. 24 Richtlinie (EU) 2016/680)
(1) Jeder Verantwortliche und gegebenenfalls sein Vertreter führen ein Verzeichnis aller Verarbeitungstätigkeiten, die ihrer Zuständigkeit unterliegen. Dieses Verzeichnis enthält sämtliche folgenden Angaben: (1) Der Verantwortliche hat ein Verzeichnis aller Kategorien von Verarbeitungstätigkeiten zu führen, die in seine Zuständigkeit fallen. Dieses Verzeichnis hat die folgenden Angaben zu enthalten:
a) den Namen und die Kontaktdaten des Verantwortlichen und gegebenenfalls des gemeinsam mit ihm Verantwortlichen, des Vertreters des Verantwortlichen sowie eines etwaigen Datenschutzbeauftragten; 1. den Namen und die Kontaktdaten des Verantwortlichen und gegebenenfalls des gemeinsam mit ihm Verantwortlichen sowie den Namen und die Kontaktdaten des Datenschutzbeauftragten,
b) die Zwecke der Verarbeitung; 2. die Zwecke der Verarbeitung,
3. die Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden sollen,
c) eine Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten; 4. eine Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten,
5. gegebenenfalls die Verwendung von Profiling,
d) die Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, einschließlich Empfänger in Drittländern oder internationalen Organisationen;[siehe oben Nr. 3]
e) gegebenenfalls Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation, einschließlich der Angabe des betreffenden Drittlands oder der betreffenden internationalen Organisation, sowie bei den in Artikel 49 Absatz 1 Unterabsatz 2 genannten Datenübermittlungen die Dokumentierung geeigneter Garantien; 6. gegebenenfalls die Kategorien von Übermittlungen personenbezogener Daten an Stellen in einem Drittstaat oder an eine internationale Organisation,
7. Angaben über die Rechtsgrundlage der Verarbeitung,
f) wenn möglich, die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien; 8. die vorgesehenen Fristen für die Löschung oder die Überprüfung der Erforderlichkeit der Speicherung der verschiedenen Kategorien personenbezogener Daten und
g) wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Artikel 32 Absatz 1. 9. eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen nach § 54.
(2) Jeder Auftragsverarbeiter und gegebenenfalls sein Vertreter führen ein Verzeichnis zu allen Kategorien von im Auftrag eines Verantwortlichen durchgeführten Tätigkeiten der Verarbeitung, die Folgendes enthält: (2) Der Auftragsverarbeiter hat ein Verzeichnis aller Kategorien von Verarbeitungen zu führen, die er im Auftrag eines Verantwortlichen durchführt, das Folgendes zu enthalten hat:
a) den Namen und die Kontaktdaten des Auftragsverarbeiters oder der Auftragsverarbeiter und jedes Verantwortlichen, in dessen Auftrag der Auftragsverarbeiter tätig ist, sowie gegebenenfalls des Vertreters des Verantwortlichen oder des Auftragsverarbeiters und eines etwaigen Datenschutzbeauftragten; 1. den Namen und die Kontaktdaten des Auftragsverarbeiters, jedes Verantwortlichen, in dessen Auftrag der Auftragsverarbeiter tätig ist, sowie gegebenenfalls des Datenschutzbeauftragten,
b) die Kategorien von Verarbeitungen, die im Auftrag jedes Verantwortlichen durchgeführt werden;
c) gegebenenfalls Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation, einschließlich der Angabe des betreffenden Drittlands oder der betreffenden internationalen Organisation, sowie bei den in Artikel 49 Absatz 1 Unterabsatz 2 genannten Datenübermittlungen die Dokumentierung geeigneter Garantien; 2. gegebenenfalls Übermittlungen von personenbezogenen Daten an Stellen in einem Drittstaat oder an eine internationale Organisation, sofern dies von dem Verantwortlichen entsprechend angewiesen wird, einschließlich der Identifizierung des Drittstaats oder der internationalen Organisation und
d) wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Artikel 32 Absatz 1. 3. eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen nach § 54.
(3) Das in den Absätzen 1 und 2 genannte Verzeichnis ist schriftlich zu führen, was auch in einem elektronischen Format erfolgen kann. (3) Die in den Absätzen 1 und 2 genannten Verzeichnisse sind schriftlich oder elektronisch zu führen.
(4) Der Verantwortliche oder der Auftragsverarbeiter sowie gegebenenfalls der Vertreter des Verantwortlichen oder des Auftragsverarbeiters stellen der Aufsichtsbehörde das Verzeichnis auf Anfrage zur Verfügung. (4) Verantwortliche und Auftragsverarbeiter haben auf Anforderung ihre Verzeichnisse dem Landesbeauftragten für den Datenschutz zur Verfügung zu stellen.
(5) Die in den Absätzen 1 und 2 genannten Pflichten gelten nicht für Unternehmen oder Einrichtungen, die weniger als 250 Mitarbeiter beschäftigen, es sei denn, die von ihnen vorgenommene Verarbeitung birgt ein Risiko für die Rechte und Freiheiten der betroffenen Personen, die Verarbeitung erfolgt nicht nur gelegentlich oder es erfolgt eine Verarbeitung besonderer Datenkategorien gemäß Artikel 9 Absatz 1 bzw. die Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten im Sinne des Artikels 10.

Muster

1)
Vgl. BeckOK DatenschutzR/Spoerr, 30. Ed. 1.11.2019, DS-GVO Art. 30 Rn. 14-26
2)
Vgl. Paal/Pauly/Martini, 2. Aufl. 2018, DS-GVO Art. 30 Rn. 36-38.
Drucken/exportieren
QR-Code
QR-Code Verzeichnis von Verarbeitungstätigkeiten (erstellt für aktuelle Seite)