© Vargazs, Pixabay

Tipps zum VVT: Warum Sie ein VVT im weiteren Sinne führen sollten

Das „Verzeichnis von Verarbeitungstätigkeiten“ (VVT) ist laut den deutschen Aufsichtsbehörden das „Herzstück jedes Datenschutzkonzeptes“. Doch obwohl das VVT zu Nachweis- und Dokumentationszwecken so wichtig ist, herrscht häufig Verunsicherung darüber, wie die Verarbeitungen zu erfassen sind, welche Infos in das eigene VVT gehören und wie es zu führen ist.

Auch unsere Datenschutz-Umfrage hat ergeben, dass Verantwortliche sowie interne und externe Datenschutzbeauftragte das VVT zu den drei größten Herausforderungen im Datenschutz zählen. Daher starten wir eine Themenreihe rund um das VVT. In den nächsten Wochen und Monaten erhalten Sie Praxis-Tipps zur Implementierung und zum Umgang mit dem VVT für Ihre tägliche Arbeit.

In der ersten Ausgabe geht es um die Frage: Warum Sie ein VVT „im weiteren Sinne“ führen sollten. 

Was ist das VVT im engeren Sinne?

Die Unterscheidung zwischen dem VVT im „engeren Sinne“ und dem VVT im „weiteren Sinne“ ergibt sich unmittelbar aus der DSGVO selbst.

Das VVT im engeren Sinne enthält lediglich die in Art. 30 Abs. 1 DSGVO ausdrücklich geforderten Pflichtinhalte. Dazu gehören allgemeine Angaben zu Verantwortlichen (Art. 30 Abs. 1 lit a DSGVO), eine Auflistung aller Verarbeitungen im Zuständigkeitsbereich (Art. 4 Ziff. 2 DSGVO) sowie spezifische Angaben zu den einzelnen Verarbeitungstätigkeiten (Art. 30 Abs. 1 lit b – g DSGVO).

Zu den spezifischen Angaben gehören:

  • Zwecke
  • Datenkategorien
  • Betroffenenkategorien
  • Empfänger:innen
  • Drittlandübermittlungen
  • Löschfristen
  • Technische und organisatorische Maßnahmen 

Tipp: Das VVT kann die Organisation verlassen, wenn es von Aufsichtsbehörden angefordert wird. Daher sollte es keine schutzbedürftigen, internen Informationen (Geschäftsgeheimnisse) enthalten.

Was ist das VVT im weiteren Sinne?

Die Dokumentations-, Rechenschafts- und Nachweispflichten der Verantwortlichen, die sich aus dem Gesamtkontext der DSGVO ergeben, sprechen jedoch dafür, das VVT mit verschiedenen weiteren Informationen und Daten anzureichern:

Die Rechenschaftspflicht im Sinne von Art. 5 Abs. 2 DSGVO beispielsweise besagt, dass Sie die Grundsätze des Art. 5 Abs. 1 DSGVO – Rechtmäßigkeit, Transparenz, Datenminimierung etc. – einhalten und die Einhaltung der Grundsätze auch nachweisen können müssen. Dieser Nachweis ist allein mit den in Art. 30 DSGVO vorgeschriebenen Inhalten des VVT nicht zu leisten.

Insofern ist eine systematische betriebsinterne Erfassung von weiterführenden Angaben und Informationen notwendig. Deshalb empfehlen die deutschen Aufsichtsbehörden mehr als die in Art. 30 Abs. 1 DSGVO vorgeschriebenen Mindestinhalte im VVT zu erfassen. Dazu gehören beispielsweise die Festlegung von Verarbeitungszwecken, technische und organisatorische Maßnehmen sowie Datenschutzfolgenabschätzungen. 

Diese Kombination aus vorgeschriebenen Pflichtinhalten gemäß Art. 30 Abs. 1 DSGVO und der Dokumentation der Rechenschaftspflicht ergibt dann das VVT im weiteren Sinne. Demnach kann das VVT im weiteren Sinne folgendes beinhalten:

  • Rechtmäßigkeit (Art. 5 Abs. 1 lit. 1 und Art. 6 DSGVO)
  • Festlegung der Verarbeitungszwecke (Art. 5 Abs. 1 lit. b DSGVO)
  • Datenminimierung sowie Privacy by design bzw. default (Art. 5 Abs 1 lit. c und Art 25 DSGVO)
  • Vorhandensein von Einwilligungen (Art. 7 Abs. 1 DSGVO)
  • Informations- und Benachrichtigungspflichten (Art. 12-14 DSGVO)
  • Datenportabilität (Art. 20 DSGVO)
  • Ordnungsmäßigkeit der gesamten Verarbeitung (Art. 24 Abs. 1 DSGVO)
  • Geeignete technische und organisatorische Maßnahmen (Art. 24 Abs 1 und Art. 32 DSGVO)
  • Ergebnis von Datenschutz-Folgenabschätzungen (Art. 35 Abs. 7 DSGVO)
  • Notwendigkeit und Durchführung von Datenschutz-Folgenabschätzungen (Art. 35 DSGVO)

Auch die eingesetzte Hard- und Software, Schnittstellen, Sicherheitskonzepte, eingesetzte Auftragnehmer sowie verantwortliche Ansprechpersonen in den Fachbereichen können in das VVT im weiteren Sinne aufgenommen werden.

Tipp: Wenn Sie sich für ein VVT im weiteren Sinne entscheiden, sollten Sie darauf achten, dass das VVT im engeren und im weiteren Sinne einfach zu trennen sind. So können Sie sicherstellen, dass Sie Aufsichtsbehörden bei Bedarf nur die tatsächlich benötigten Informationen zur Verfügung stellen.

VVT in einem blauen Aktenschrank, auf dem Personal Data steht

Web-Seminar: Best-Practice VVT

Was sind Ihre Dokumentationspflichten? Wie funktioniert das VVT im weiteren Sinne? Und wie können Sie sich das Dokumentieren leichter machen?

Bilden Sie sich weiter und erhalten Sie Tipps und Tricks rund um das VVT – in unserem Web-Seminar "Best-Practice VVT".

Jetzt anmelden!

Welche Vorteile bietet das VVT im weiteren Sinne?

Der größte Vorteil des VVT im weiteren Sinne: Sie haben alle nötigen Informationen zum Nachweis Ihrer Rechenschaftspflicht und die Pflichtangaben an einer Stelle gesammelt und strukturiert liegen. Das heißt aber nicht, dass Sie im VVT Kopien aller Verträge ablegen. Vielmehr sollten Sie das in der Organisation vorhandene Dokumentenablagesystem nutzen. Im VVT verweisen Sie dann auf die jeweiligen Ablageorte und ergänzen das Standdatum des Dokuments.

So vermeiden Sie ein unübersichtliches Nebeneinander von Dokumentenablagesystemen und Dokumentenkopien. Es entsteht kein Schattenarchiv, die Dokumente werden nur an einem Ort aktuell gepflegt und auch die Lösch- und Aufbewahrungsfristen müssen nicht doppelt oder dreifach festgelegt und angewendet werden. Stattdessen können Sie ein kohärentes Datenschutz-Management etablieren. Außerdem können Sie bei Bedarf wesentlich problemloser nachweisen, dass Ihre Verarbeitungen rechtmäßig sind und Sie auch Ihrer Rechenschaftspflicht nachkommen.  

Ein weiterer wesentlicher Pluspunkt: Betroffenenanfragen können Sie mithilfe des erweiterten VVT wesentlich schneller beantworten. Das VVT im weiteren Sinne können Sie nämlich als Schablone zur Prüfung nutzen:

  • In welchen Verarbeitungen können Daten der Betroffenen liegen?
  • Welche Kategorien von Daten werden verarbeitet?
  • Welche Rechtsgrundlage bei der Verarbeitung greift?
  • Welche Lösch- und Aufbewahrungsfristen gelten?
  • Werden Daten beispielsweise nur noch zur Erfüllung der Aufbewahrungspflichten in separaten Archiven aufbewahrt?

All diese Fragen, die im Rahmen des Auskunftsersuchens zu stellen sind, können Sie – wie bei einer Checkliste – mithilfe des VVT wesentlich leichter und schneller beantworten.

Auch andere Ersuchen der Betroffenen hinsichtlich Löschung, Sperrung oder Berichtigung. lassen sich auf Basis des VVT schneller und vor allem gezielter und effizienter erledigen. Auch bei Datenschutzverletzungen liefert das VVT wichtige Informationen für die notwendige Risikoabschätzung. 

TippBevor Sie also ein VVT aufsetzen, sollten Sie auf Basis einer allgemeinen Risikoanalyse für Ihre Organisation klären, welche Art von VVT (im engeren oder weiteren Sinne) Sie führen sollten. Faustformel: Je mehr private Kundschaft Sie haben bzw. je umfangreicher der Datenpool ist oder/und je mehr sensible Daten Sie verarbeiten, desto wichtiger ist es, dass Sie Ihr Datenschutzmanagementsystem mithilfe eines erweiterten VVT aufbauen. 

Haben Sie die Entscheidung getroffen, können Sie von Anfang an strukturiert vorgehen, die Verantwortlichkeiten festlegen und mit Unterstützung dieser Personen die definierten benötigten Inhalte erheben und einpflegen.

Das gut gepflegte VVT im weiteren Sinne wird somit in der Tat zum zentralen Herzstück des Datenschutzmanagements Ihrer Organisation, mit dessen Hilfe Sie viele der Dokumentations-, Nachweis- und Kontrollpflichten aus der DSGVO wesentlich leichter erfüllen können.

In der nächsten Ausgabe „Tipps zum VVT“: Wie Sie ein Berechtigungskonzept erstellen.

Person sitzt mit einer Zeitung auf einer Bank

Sie wollen up to date bleiben?

In unserem monatlich erscheinenden Newsletter informieren wir Sie über alle wichtigen Ereignisse, Neuerungen sowie Urteile. Und Sie sind konstant auf dem Laufenden!

Newsletter Anmeldung

Quellen

Bundesverband Informationswirtschaft, Telekommunikation und neue Medien e.V. (2017): „Das Verarbeitungsverzeichnis: Verzeichnis von Verarbeitungstätigkeiten nach Art. 30 EU-Datenschutz-Grundverordnung (DS-GVO)“, https://bitkom.org/sites/default/files/file/import/180529-LF-Verarbeitungsverzeichnis-online.pdf, letzter Zugriff am 32. Januar 2022.

Gesellschaft für Datenschutz und Datensicherheit e. V. (2020: „GDD-Praxishilfe DS-GVO Va: Verzeichnis von Verarbeitungstätigkeiten – Verantwortlicher“, März 2020, https://www.gdd.de/downloads/praxishilfen/GDD-Praxishilfe_DS-GVO_5_a_V2.pdf, letzter Zugriff am 31. Januar 2022. 

Wir verwenden Cookies
Cookie-Einstellungen
Unten finden Sie Informationen über die Zwecke, für welche wir und unsere Partner Cookies verwenden und Daten verarbeiten. Sie können Ihre Einstellungen der Datenverarbeitung ändern und/oder detaillierte Informationen dazu auf der Website unserer Partner finden.
Analytische Cookies Alle deaktivieren
Funktionelle Cookies
Andere Cookies
Wir verwenden technische Cookies, um die Inhalte und Funktionen unserer Webseite darzustellen und Ihren Besuch bei uns zu erleichtern. Analytische Cookies werden nur mit Ihrer Zustimmung verwendet. Mehr über unsere Cookie-Verwendung
Alle akzeptieren Alle ablehnen Einstellungen ändern
Cookies