Praxishilfe zum Verzeichnis von Verarbeitungstätigkeiten.
Überarbeitete GDD-Praxishilfe zum Verzeichnis von Verarbeitungstätigkeiten (Verantwortlicher) online
Nach Art. 30 Abs. 1 DS-GVO muss jeder Verantwortliche ein „Verzeichnis von Verarbeitungstätigkeiten“ („VVT“) führen. Das VVT dient hauptsächlich zum Nachweis der Einhaltung der DS-GVO und ist damit ein Instrument der „Rechenschaftspflicht“. Es ist auf Anfrage der Aufsichtsbehörde vorzulegen, damit die Behörde die Verarbeitungsvorgänge anhand des Verzeichnisses kontrollieren kann.
Die deutschen Aufsichtsbehörden sehen das VVT als zentralen Bestandteil der Dokumentation und als „Herzstück jedes Datenschutzkonzeptes“, mit dem insbesondere auch zusätzlich:
- die Festlegung der Verarbeitungszwecke nach Art. 5 Abs. 1 lit. b DS-GVO,
- die geeigneten technischen und organisatorischen Maßnahmen nach Art. 24 Abs. 1 und Art. 32 DS-GVO,
- die Notwendigkeit und die Durchführung von Datenschutzfolgenabschätzung nach Art. 35 DS-GVO.
dokumentiert werden können und gehen damit über die Anforderungen des Art. 30 Abs. 1 DS-GVO hinaus.
Ohne eine umfassende und strukturierte Dokumentation dürften auch die Beratungs- und Überwachungspflichten des Datenschutzbeauftragten nach Art. 39 DS-GVO kaum umsetzbar sein.
Gleichzeitig sollte das VVT nicht überfrachtet werden und beispielsweise von der allgemeinen Informationssicherheit und ihren Übersichten klar getrennt bleiben. Da das VVT mit der Weitergabe an die Aufsichtsbehörde das Unternehmen verlässt, sollte es auch keine schutzbedürftigen, internen Informationen im Zusammenhang mit den IT-Sicherheitsmaßnahmen (z.B. Implementationsdetails technischer Sicherheitsmaßnahmen) enthalten.
Die vorliegende Praxishilfe erläutert Begriffe und Grundlagen des VVT. Dabei liegt der Schwerpunkt auf der praktischen Umsetzbarkeit für Unternehmen jeglicher Größe.