Was ist das Verzeichnis von Verarbeitungstätigkeiten?
Das Verzeichnis von Verarbeitungstätigkeiten, kurz VVT, ist eine nach Artikel 30 der DSGVO verpflichtende Dokumentation. Es listet alle Vorgänge auf, mit denen ein Unternehmen personenbezogene Daten verarbeitet, von der Personalverwaltung über den Newsletter bis zur Videoüberwachung.
Das VVT ist das zentrale Werkzeug, um die Rechenschaftspflicht zu erfüllen. Es macht sichtbar, welche Verarbeitungen stattfinden, und ist die Grundlage für jede weitere Datenschutzarbeit.
Welche Angaben gehören hinein?
Für jede Verarbeitungstätigkeit hält das Verzeichnis die wesentlichen Eckdaten fest:
- Name und Kontaktdaten des Verantwortlichen
- Zwecke der Verarbeitung und die Rechtsgrundlage
- Kategorien betroffener Personen und Datenarten
- Empfänger der Daten, auch bei Auftragsverarbeitung
- Löschfristen und technische und organisatorische Maßnahmen
Auch geplante Übermittlungen im Rahmen eines Drittlandtransfers werden hier vermerkt.
Wer muss ein VVT führen?
Grundsätzlich muss jeder Verantwortliche ein VVT führen. Eine Ausnahme für Unternehmen mit weniger als 250 Beschäftigten greift in der Praxis selten, weil sie zahlreiche Bedingungen voraussetzt. Sobald die Verarbeitung nicht nur gelegentlich erfolgt oder besondere Kategorien betroffen sind, besteht die Pflicht ohnehin.
Das VVT ist kein einmaliges Projekt, sondern muss laufend aktuell gehalten werden. Auf Anfrage ist es der Aufsichtsbehörde vorzulegen. Gern unterstütze ich Sie beim Aufbau Ihres Verarbeitungsverzeichnisses.