Verzeichnis der Verarbeitungstätigkeiten

Hilfe, was ist das?

Das Verzeichnis der Verarbeitungstätigkeiten (VVT) ist ein Pflichtdokument, was jede Organisation führen muss (siehe Art. 30 DSGVO). Es dient dem Nachweis, dass eine Organisation die Vorschriften der EU-Datenschutz-Grundverordnung einhält.

Was muss dokumentiert werden?

Ihre Organisation muss für jede Verarbeitung von personenbezogenen Daten bestimmte in Artikel 30 DS-GVO vorgeschriebene Angaben dokumentieren.

Pro Verfahren werden die Rechtsgrundlage und das Risiko, was bei einer Verarbeitung für die Betroffenen entstehen kann, sowie die Art der Umsetzung der Informationspflichten dokumentiert. Auf diese Weise wird in Verbindung mit dem Datenschutzmanagementsystem sichergestellt, dass die wesentlichen Vorgaben eingehalten werden, also auch die Vorgaben aus Art. 5, Art. 6 und Art. 13 DS-GVO.

Mehr noch: Bei Anfragen auf Auskunft, bei Erstellung von Datenschutzinformationen oder beim Nachweis der rechtlichen Zulässigkeit von Datenverarbeitungen liegen alle Informationen zentral vor (Art. 12-15 DS-GVO).

Das VVT ist also keine stupide Pflichtübung; es ist vielmehr das zentrale Element, um den Nachweis erbringen zu können, dass eine Organisation Daten zulässig verarbeitet. Ist das VVT nicht vollständig oder nicht aktuell, besteht das Risiko von Bußgeldern.

Welche Rolle spiele ich dabei?

Sie wurden als „Verarbeitungsinhaber“ aufgeführt. Ihren Bereich und Ihre Aufgaben kennen Sie ganz genau. Dementsprechend auch die dabei verarbeiteten personenbezogenen Daten. Daher können auch nur Sie die Prozesse richtig einschätzen und die Einhaltung durchsetzen. Informationen zum Ablauf finden Sie hier.

Das ist doch ein wahnsinniger Papierkrieg?

Nein, keine Sorge. Wir führen das Verzeichnis der Verarbeitungstätigkeiten nur digital. Bei Erstaufnahme und Aktualisierung nutzen wir rein elektronische Wege.

Wie sieht der Prozess aus?

Erklärungen zum Ablauf und zu den erforderlichen Inhalten haben wir Ihnen hier zusammengestellt: