Mit Inkrafttreten der Datenschutzgrundverordnung wurden für Unternehmen besondere Dokumentations- und Rechenschaftspflichten eingeführt. Demnach muss nach Art. 30 DSGVO ein Verzeichnis von Verarbeitungstätigkeiten (VVT) erstellt werden, sobald es im Unternehmen zu einer Verarbeitung personenbezogenen Daten kommt. Durch die Dokumentation der Verarbeitungsprozesse kann eine höhere Transparenz sowie ein Bewusstsein für Verarbeitungsvorgänge geschaffen werden.
Was sind Verarbeitungstätigkeiten?
Zu den Verarbeitungstätigkeiten im Sinne der DSGVO zählen alle Prozesse und Abläufe eines Unternehmens, bei welchen personenbezogene Daten erhoben, gespeichert, verändert, übermittelt, gesperrt oder gelöscht werden. Die individuelle Definition der Verarbeitungstätigkeiten erstreckt sich auf sämtliche Bereiche und Abteilungen eines Unternehmens. Um den Vollständigkeitsanforderungen der DSGVO gerecht zu werden, müssen sämtliche Verarbeitungstätigkeiten im VVT geführt werden. Typische Verarbeitungsvorgänge können die Auftragsverwaltung, das Bewerber- und Beschwerdemanagement, die Bereiche Controlling, IT und Einkauf sowie die Kontaktverwaltung und Lohnbuchhaltung sein. Je nach Unternehmen und Ausgestaltung der Prozesse können sich noch in vielen weiteren Vorgängen Verarbeitungstätigkeiten ergeben.
Welche Anforderungen muss ein Verarbeitungsverzeichnis erfüllen?
In einem Verarbeitungsverzeichnis müssen sämtliche Verarbeitungstätigkeiten erfasst werden, welche im Zusammenhang mit personenbezogenen Daten stehen. Die genauen Anforderungen an den Inhalt des VVT sind in Art. 30 DSGVO definiert. Grundsätzlich wird dabei zwischen dem von datenschutzrechtlich Verantwortlichen geführten VVT und dem Verzeichnis für Auftragsverarbeiter unterschieden. Die DSGVO beschreibt zwingende Inhalte des VVT, welche in klarer Sprache enthalten sein müssen. Hierzu zählen der Zweck der Verarbeitung, die Kategorie der jeweiligen Daten, eine Auflistung der Betroffenen sowie der Datenempfänger und zur Einsicht befugten Personen, sämtliche getroffene technische und organisatorische Maßnahmen sowie Löschfristen und der Name sowie die Kontaktdaten des Verantwortlichen. Im VVT kann zudem auf ergänzende Dokumente verwiesen werden. Hierzu kann beispielsweise ein Datenschutz- oder Löschkonzept zählen. Eine kleine Ausnahme kann für Unternehmen gelten, welche weniger als 250 Arbeitnehmer beschäftigen. Diese müssten nach Art. 30 Abs. 5 DSGVO kein VVT zu führen, solange personenbezogene Daten nur gelegentlich verarbeitet werden. In der Praxis spielt diese Ausnahmevorschrift aber kaum eine Rolle.