Verzeichnis Verarbeitungstätigkeiten (VVT)

Hilfe, was ist das?

Das Verzeichnis Verarbeitungstätigkeiten ist ein Pflichtdokument, was jede Organisation führen muss (siehe Art. 30 DSGVO). Es dient dem Nachweis, dass eine Organisation die Vorschriften der EU-Datenschutzgrundverordnung einhält.

Den Art. 30 DSGVO habe ich mir angesehen. Wieso wird mehr gefragt als in diesem Artikel steht?

Gut aufpasst! Wir dokumentieren pro Verfahren zusätzlich die Rechtsgrundlage und das Risiko, was bei einer Verarbeitung für die Betroffenen entstehen kann, sowie die Art der Umsetzung der Informationspflichten. Auf diese Weise wird in Verbindung mit dem Datenschutzmanagementsystem sichergestellt, dass die wesentlichen Vorgaben eingehalten werden, also auch die Vorgaben aus Art. 5, Art. 6 und Art. 13.

Mehr noch: bei Anfragen auf Auskunft, bei Erstellung von Datenschutzinformationen oder beim Nachweis der rechtlichen Zulässigkeit von Datenverarbeitungen liegen alle Informationen zentral vor (Artt. 12-15 DSGVO).

Das VVT ist also keine stupide Pflichtübung; es ist vielmehr das zentrale Element, um den Nachweis erbringen zu können, dass eine Organisation datenschutzkonform handelt. Bei den möglichen Bußgeldern ist das erweiterte VVT ein wichtige Säule der Datenschutz-Architektur.

Welche Rolle spiele ich dabei?

Sie wurden als „Verfahrensverantwortlicher“ aufgeführt. Sie kennen Ihren Bereich und Ihre Aufgaben ganz genau. Daher können auch nur Sie die Prozesse richtig einschätzen und die Einhaltung durchsetzen.

Das ist doch ein wahnsinniger Papierkrieg?

Nein, keine Angst. Pro Verfahren sollten Sie nicht mehr als 10 Minuten Zeit aufwenden müssen.

Eine detaillierte Beschreibung des Anmelde-Ablaufes und eine Erklärung der Inhalte haben wir Ihnen hier zusammengestellt:

2021_ Info Ablauf VVT

2020_Infoblatt-VVT

Muster für Datenverarbeitungsverfahren finden Sie hier.

Klingt ja nicht so schlimm. Wie läuft das ab?

Sie erhalten von uns eine E-Mail aus unserem Ticket-System. Sie werden anschließend gebeten, sich mit Ihrer Ticket-Nummer und Ihrer E-Mailadresse anzumelden. Sie bekommen dann Zugriff das Ticket, was zu dem Verfahren bereits angelegt wurde. Wir haben – soweit möglich – Felder vorausgefüllt. Diese müssten Sie überprüfen. Die Angaben in den offenen Feldern sind noch zu ergänzen.

Wir überprüfen dann die Ergänzungen und geben Ihnen ein Feedback. Sobald alle Beschreibungen zurück sind, erhält Ihre Organisation dann gesammelt das Verzeichnis der Verarbeitungstätigkeiten.

Und was dann?

Falls sich etwas an Ihren Verarbeitungstätigkeiten ändert, informieren Sie uns bitte. Sie können auch gleich die Änderungen im System vornehmen, wir übernehmen dann Ihre Aktualisierungen. In jährlichem Abstand schreiben wir Sie an, ob Ihre Verfahren noch aktuell sind. Hier reicht eine kurze Bestätigung.

Ich will eine neue Verarbeitung anlegen. Wie geht das?

Senden Sie uns einfach eine E-Mail. Wir legen das Verfahren für Sie an und lassen Ihnen die zugehörige Ticket-Nummer zukommen.