Die Datenschutzgrundverordnung verlangt Unternehmen einiges ab. Im Artikel 30 der Datenschutzgrundverordnung (DSGVO) nennt sie das sog. Verzeichnis von Verarbeitungstätigkeiten (kurz VVT). Ziel dieses Beitrages ist es insbesondere zu klären, wer ein Verzeichnis führen muss, was in ein Verzeichnis gehört und wie es aufgebaut ist. Des Weiteren sollen Beispiele das Verständnis vereinfachen. Damit soll ein erfolgreiches Verzeichnis nichts mehr im Wege stehen! 

Um die Einhaltung der DSGVO nachzuweisen, muss jeder Verantwortliche gemäß Art. 30  (1) DSGVO ein sog. Verzeichnis der Verarbeitungstätigkeiten führen. In diesem Verzeichnis sind alle Verarbeitungen, bei denen personenbezogene Daten verarbeitet werden, zu dokumentieren. Die Dokumentation kann entweder schriftlich oder elektronisch geführt werden. Es ist jedoch relevant, dass das Verzeichnis vollständig ist, heißt dass alle Verarbeitungstätigkeiten aufgelistet sind, damit man im Ernstfall, auf Verlangen der Behörden, die Liste vorlegen kann. Wie es für die DSGVO üblich ist, führen Verstöße zu hohen Geldstrafen – gem. Art. 83 DSGVO bis zu 10 Mio. EUR oder bis zu 2 % des Jahresumsatzes.

Grundsätzlich sind alle Verantwortlichen iSd. DSGVO zur Erstellung verpflichtet. Ausgenommen von der Pflicht sind Unternehmen, die weniger als 250 Mitarbeiter beschäftigen, wenn das Unternehmen nicht regelmäßig Daten oder sensitive Daten nach Art. 9 DSGVO (z.B. Gesundheitsdaten) verarbeitet oder sonstige Datenschutzrisiken für Rechte und Freiheiten der betroffenen Personen bestehen. Kurz gesagt – die Ausnahme ist so nützlich wie ein Ventilator in der Hölle und sollte schnell vergessen werden.

Die nachfolgende kurze Liste soll alle wichtige Punkte auflisten, die Sie bei der Erstellung  Ihrer Dokumentation von Verarbeitungstätigkeiten beachten sollten.

• Namen und Kontaktdaten des Verantwortlichen
• Die Zwecke der Verarbeitung z.B. Marketingzwecke, Personalbeschaffung
• Eine Beschreibung der Kategorien von Betroffenen und deren personenbezogenen Daten z.B. Adressdaten von Kunden, Lebensläufe von Bewerbern
• Kategorien von möglichen Empfängern der Daten z.B. der Steuerberater der Firma, der Betriebsrat
• Informationen zur Übermittlung in Drittstaaten z.B. Schweiz oder andere nicht EU-Länder oder keine
• Vorgesehene Löschungsfristen für die verarbeiteten Daten z.B. bis zu 8 Monate nach Beendigung des Bewerbungsverfahrens 
• Wenn möglich eine Beschreibung der technischen und organisatorischen Maßnahmen – TOMs – hier am besten auf das Sicherheitskonzept verweisen
• Die Rechtsgrundlage der Verarbeitung, also z.B. aufgrund eines Vertrages, der Einwilligung usw. 

Fazit: Man kommt als Unternehmer nicht drum herum ein Verzeichnis von Verarbeitungstätigkeiten zu führen – die Ausnahmen von der Pflicht sind zu dünn. ABER das ist wie man sehen kann, gar kein Problem. Eine Excel Datei mit den nötigen Daten ist schnell erstellt und ihre Aktualisierung bedarf insbesondere für kleinere Unternehmen keinen gröberen Zeit- oder Personalaufwand. Datenschutz ist ohne ein gut strukturiertes VVT nicht möglich, deswegen spricht vieles dafür auf die Qualität zu achten. 

Haben Sie bereits Erfahrungen mit dem Thema Verzeichnis von Verarbeitungstätigkeiten gemacht? Unter welchen Herausforderungen standen Sie dabei? Schreiben Sie es in die Kommentare, als Community können wir voneinander lernen und uns gegenseitig helfen!