VERZEICHNIS FÜR VERARBEITUNGSTÄTIGKEITEN – VVT

Hier finden Sie Informationen, Hilfen und Muster rund um das Thema Verzeichnis von Verarbeitungstätigkeiten.

Art. 30 DSGVO - Verzeichnis von Verarbeitungstätigkeiten
(1) Jeder Verantwortliche und gegebenenfalls sein Vertreter führen ein Verzeichnis aller Verarbeitungstätigkeiten, die ihrer Zuständigkeit unterliegen. Dieses Verzeichnis enthält sämtliche folgenden Angaben:
a. den Namen und die Kontaktdaten des Verantwortlichen und gegebenenfalls des gemeinsam mit ihm Verantwortlichen, des Vertreters des Verantwortlichen sowie eines etwaigen Datenschutzbeauftragten;
b. die Zwecke der Verarbeitung;
c. eine Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten;
d. die Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, einschließlich Empfänger in Drittländern oder internationalen Organisationen;
e. gegebenenfalls Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation, einschließlich der Angabe des betreffenden Drittlands oder der betreffenden internationalen Organisation, sowie bei den in Artikel 49 Absatz 1 Unterabsatz 2 genannten Datenübermittlungen die Dokumentierung geeigneter Garantien;
f. wenn möglich, die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien;
g. wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Artikel 32 Absatz 1.
(2) Jeder Auftragsverarbeiter und gegebenenfalls sein Vertreter führen ein Verzeichnis zu allen Kategorien von im Auftrag eines Verantwortlichen durchgeführten Tätigkeiten der Verarbeitung, das Folgendes enthält:
a. den Namen und die Kontaktdaten des Auftragsverarbeiters oder der Auftragsverarbeiter und jedes Verantwortlichen, in dessen Auftrag der Auftragsverarbeiter tätig ist, sowie gegebenenfalls des Vertreters des Verantwortlichen oder des Auftragsverarbeiters und eines etwaigen Datenschutzbeauftragten;
b. die Kategorien von Verarbeitungen, die im Auftrag jedes Verantwortlichen durchgeführt werden;
c. gegebenenfalls Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation, einschließlich der Angabe des betreffenden Drittlands oder der betreffenden internationalen Organisation, sowie bei den in Artikel 49 Absatz 1 Unterabsatz 2 genannten Datenübermittlungen die Dokumentierung geeigneter Garantien;
d. wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Artikel 32 Absatz 1.
(3) Das in den Absätzen 1 und 2 genannte Verzeichnis ist schriftlich zu führen, was auch in einem elektronischen Format erfolgen kann.
(4) Der Verantwortliche oder der Auftragsverarbeiter sowie gegebenenfalls der Vertreter des Verantwortlichen oder des Auftragsverarbeiters stellen der Aufsichtsbehörde das Verzeichnis auf Anfrage zur Verfügung.
(5) Die in den Absätzen 1 und 2 genannten Pflichten gelten nicht für Unternehmen oder Einrichtungen, die weniger als 250 Mitarbeiter beschäftigen, es sei denn die von ihnen vorgenommene Verarbeitung birgt ein Risiko für die Rechte und Freiheiten der betroffenen Personen, die Verarbeitung erfolgt nicht nur gelegentlich oder es erfolgt eine Verarbeitung besonderer Datenkategorien gemäß Artikel 9 Absatz 1 bzw. die Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten im Sinne des Artikels 10.


Erwägungsgrund 13 - Berücksichtigung von Kleinstunternehmen sowie kleinen und mittleren Unternehmen
1Damit in der Union ein gleichmäßiges Datenschutzniveau für natürliche Personen gewährleistet ist und Unterschiede, die den freien Verkehr personenbezogener Daten im Binnenmarkt behindern könnten, beseitigt werden, ist eine Verordnung erforderlich, die für die Wirtschaftsteilnehmer einschließlich Kleinstunternehmen sowie kleiner und mittlerer Unternehmen Rechtssicherheit und Transparenz schafft, natürliche Personen in allen Mitgliedstaaten mit demselben Niveau an durchsetzbaren Rechten ausstattet, dieselben Pflichten und Zuständigkeiten für die Verantwortlichen und Auftragsverarbeiter vorsieht und eine gleichmäßige Kontrolle der Verarbeitung personenbezogener Daten und gleichwertige Sanktionen in allen Mitgliedstaaten sowie eine wirksame Zusammenarbeit zwischen den Aufsichtsbehörden der einzelnen Mitgliedstaaten gewährleistet. 2Das reibungslose Funktionieren des Binnenmarkts erfordert, dass der freie Verkehr personenbezogener Daten in der Union nicht aus Gründen des Schutzes natürlicher Personen bei der Verarbeitung personenbezogener Daten eingeschränkt oder verboten wird. 3Um der besonderen Situation der Kleinstunternehmen sowie der kleinen und mittleren Unternehmen Rechnung zu tragen, enthält diese Verordnung eine abweichende Regelung hinsichtlich des Führens eines Verzeichnisses für Einrichtungen, die weniger als 250 Mitarbeiter beschäftigen. 4Außerdem werden die Organe und Einrichtungen der Union sowie die Mitgliedstaaten und deren Aufsichtsbehörden dazu angehalten, bei der Anwendung dieser Verordnung die besonderen Bedürfnisse von Kleinstunternehmen sowie von kleinen und mittleren Unternehmen zu berücksichtigen. 5Für die Definition des Begriffs „Kleinstunternehmen sowie kleine und mittlere Unternehmen“ sollte Artikel 2 des Anhangs zur Empfehlung 2003/361/EG der Kommission maßgebend sein.


Erwägungsgrund 82 - Verzeichnis der Verarbeitungstätigkeiten
1Zum Nachweis der Einhaltung dieser Verordnung sollte der Verantwortliche oder der Auftragsverarbeiter ein Verzeichnis der Verarbeitungstätigkeiten, die seiner Zuständigkeit unterliegen, führen. 2Jeder Verantwortliche und jeder Auftragsverarbeiter sollte verpflichtet sein, mit der Aufsichtsbehörde zusammenzuarbeiten und dieser auf Anfrage das entsprechende Verzeichnis vorzulegen, damit die betreffenden Verarbeitungsvorgänge anhand dieser Verzeichnisse kontrolliert werden können.


Verpflichtung zur Führung des VVT…
Die Pflicht zur Führung eines Verzeichnisses von Verarbeitungstätigkeiten trifft sowohl Verantwortliche als auch Auftragsverarbeiter.
Ausnahmen von der Verpflichtung zur Führung eines VVT sind in Art. 30 Abs. 5 DSGVO abgefasst. Folgende Voraussetzungen müssen für die Ausnahmeregelung vorliegen:

  • Weniger als 250 Beschäftigte: Gemeint ist die standortübergreifende Gesamtzahl der Mitarbeiter eines Unternehmens, unabhängig davon, wie viele tatsächlich mit der Verarbeitung personenbezogener Daten beschäftigt sind.[1]
  • Verarbeitung birgt kein Risiko für die Rechte und Freiheiten der Betroffenen Personen: Gemeint sind Verarbeitungen, die durch ein mehr als nur ein geringes Risiko gekennzeichnet sind, also Vorgänge, von denen kein hohes bzw. erhebliches oder erhöhtes Risiko ausgeht. […] Insbesondere überschreitet der Einsatz neuer Technologien, Profiling und Videoüberwachung i. d. R. die Schwelle zum hohen Risiko.[2]
  • Verarbeitung erfolgt nur gelegentlich: Der Wortlaut „gelegentlich“ lässt sich nur schwer klar darstellen. Gemeint ist die Häufigkeit der Tätigkeit im Verhältnis typischen Geschäftsbetrieb. Die Befreiung soll für solche Verarbeitungen greifen, die nur von Zeit zu Zeit vorkommen, da sie über den typischen Geschäftsbetrieb hinaus geschehen. Regelmäßige oder dauerhafte Standardverfahren, wie Finanzbuchhaltung oder das Führen einer Kundendatenbank oder Personalakte fallen nicht unter diese Ausnahme und resultieren in der Pflicht zur Führung eines VVT.[3]
  • Keine Verarbeitung besonderer Datenkategorien gem. Art. 9 Abs. 1 DSGVO bzw. über strafrechtliche Verurteilungen und Straftaten i. S. d. Art. 10 DSGVO: Die besonderen Datenkategorien i. S. v. Art. 9 Abs. 1, Art. 10 DSGVO besitzen ein besonderes Schutz- und Kontrollbedürfnis. Es genügt, wenn bereits einzelne Daten dieser Kategorien verarbeitet werden, um die Pflicht zur Führung des VVT auszulösen.[4]

Somit werden an den Ausnahmetatbestand sehr hohe Anforderungen gestellt, welche (auch viele kleinste) Unternehmen, wie z. B. Optiker, Handwerker, Apotheker nicht erfüllen.[5]

Mindestinhalte des VVT…
Die inhaltlichen Vorgaben für das Verzeichnis regelt Art. 30 Abs. 2 und 3 DSGVO.
Pflichtangaben für Verantwortliche, ggf. Vertreter gem. Art. 30 Abs. 1 DSGVO

a. Namen und die Kontaktdaten des Verantwortlichen und gegebenenfalls des gemeinsam mit ihm Verantwortlichen, des Vertreters des Verantwortlichen sowie eines etwaigen Datenschutzbeauftragten

b. Zwecke der Verarbeitung

c. eine Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten: Mit „Kategorien“ (von Daten) ist der Pool derjenigen Daten gemeint, aus denen sich persönlichkeitsrechtlich sensible Informationen, wie politische Meinung oder sexuelle Orientierung herauslesen lassen. Beispiele für Datenkategorien sind etwa Kontaktdaten, Standortdaten, Bankdaten, Identitätsdaten usw.[6]

d. die Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, einschließlich Empfänger in Drittländern oder internationalen Organisationen: Zum Begriff des Empfängers siehe auch Art. 4 Nr. 9 DSGVO. Es genügt „Gruppen“ von Empfängern zu nennen, die gemeinsame Eigenschaften teilen und sich so von anderen durch spezifische Merkmale unterscheiden lassen, z. B. Kunden, Mitarbeiter, Lieferanten, etc.[7]

e. gegebenenfalls Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation, einschließlich der Angabe des betreffenden Drittlands oder der betreffenden internationalen Organisation, sowie bei den in Artikel 49 Absatz 1 Unterabsatz 2 genannten Datenübermittlungen die Dokumentierung geeigneter Garantien

f. wenn möglich, die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien

g. wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Artikel 32 Absatz 1 


Pflichtangaben für Auftragsverarbeiter, ggf. Vertreter gem. Art. 30 Abs. 2 DSGVO
a. Namen und die Kontaktdaten des Auftragsverarbeiters oder der Auftragsverarbeiter und jedes Verantwortlichen, in dessen Auftrag der Auftragsverarbeiter tätig ist, sowie gegebenenfalls des Vertreters des Verantwortlichen oder des Auftragsverarbeiters und eines etwaigen Datenschutzbeauftragten

b. die Kategorien von Verarbeitungen, die im Auftrag jedes Verantwortlichen durchgeführt werden

c. gegebenenfalls Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation, einschließlich der Angabe des betreffenden Drittlands oder der betreffenden internationalen Organisation, sowie bei den in Artikel 49 Absatz 1 Unterabsatz 2 genannten Datenübermittlungen die Dokumentierung geeigneter Garantien

d. wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Artikel 32 Absatz 1 DSGVO

Form des VVT…
Das Verzeichnis von Verarbeitungstätigkeiten ist gem. Art. 30 Abs. 3 DSGVO schriftlich zu führen, wobei auch die einfache elektronische Form ausreichend ist.

Vorlagepflicht des VVT…
Das Verarbeitungsverzeichnis ist gem. Art. 30 Abs. 4 DSGVO der Aufsichtsbehörde auf deren Anfrage zur Verfügung zu stellen.

___________________________________________
[1] Brüggemann, in: Auernhammer, Kommentar zur DSGVO 2020, Art. 30 DSGVO, Rn. 24; Hartung, in: Kühling/Buchner, Kommentar zur DSGVO 2020, Art. 30 DSGVO, Rn. 35.
[2] Martini, in: Paal/Pauly, Kommentar zur DSGVO 2021, Art. 30 DSGVO, Rn. 32; Hartung, in: Kühling/Buchner, Kommentar zur DSGVO 2020, Art. 30 DSGVO, Rn. 36.
[3] Martini, in: Paal/Pauly, Kommentar zur DSGVO 2021, Art. 30 DSGVO, Rn. 34; Brüggemann, in: Auernhammer, Kommentar zur DSGVO 2020, Art. 30 DSGVO, Rn. 26.
[4] Brüggemann, in: Auernhammer, Kommentar zur DSGVO 2020, Art. 30 DSGVO, Rn. 27.
[5] Martini, in: Paal/Pauly, Kommentar zur DSGVO 2021 Art. 30 DSGVO, Rn. 31
[6] Martini, in: Paal/Pauly, Kommentar zur DSGVO 2021 Art. 30 DSGVO, Rn. 11.
[7] Martini, in: Paal/Pauly, Kommentar zur DSGVO 2021, Art. 30 DSGVO, Rn. 12a.