Überarbeitete GDD-Praxishilfe zum Verzeichnis von Verarbeitungstätigkeiten (Verantwortlicher) online

25.03.2020

Die deutschen Aufsichtsbehörden sehen das VVT als zentralen Bestandteil der Dokumentation und als „Herzstück jedes Datenschutzkonzeptes“, mit dem insbesondere auch zusätzlich:

•  die Festlegung der Verarbeitungszwecke nach Art. 5 Abs. 1 lit. b DS-GVO,

• die geeigneten technischen und organisatorischen Maßnahmen nach Art. 24 Abs. 1 und Art. 32 DS-GVO,
• die Notwendigkeit und die Durchführung von Datenschutzfolgenabschätzung nach Art. 35 DS-GVO

dokumentiert werden können und gehen damit über die Anforderungen des Art. 30 Abs. 1 DS-GVO hinaus.

Ohne eine umfassende und strukturierte Dokumentation dürften auch die Beratungs- und Überwachungspflichten des Datenschutzbeauftragten nach Art. 39 DS-GVO kaum umsetzbar sein.

Gleichzeitig sollte das VVT nicht überfrachtet werden und beispielsweise von der allgemeinen Informationssicherheit und ihren Übersichten klar getrennt bleiben. Da das VVT mit der Weitergabe an die Aufsichtsbehörde das Unternehmen verlässt, sollte es auch keine schutzbedürftigen, internen Informationen im Zusammenhang mit den IT-Sicherheitsmaßnahmen (z.B. Implementationsdetails technischer Sicherheitsmaßnahmen) enthalten.

Die vorliegende Praxishilfe erläutert Begriffe und Grundlagen des VVT. Dabei liegt der Schwerpunkt auf der praktischen Umsetzbarkeit für Unternehmen jeglicher Größe.

Die Praxishilfe kann hier abgerufen werden. Die Praxishilfe zum VVT für Auftragsverarbeiter kann hier abgerufen werden.

Alle verfügbaren Praxishilfen finden Sie hier.