Verzeichnis von Verarbeitungstätigkeiten (VVT) nach Art. 30 DSGVO
Helpdesk-Eintrag: Verzeichnis von Verarbeitungstätigkeiten (VVT) nach Art. 30 DSGVO
1. Was ist das Verzeichnis von Verarbeitungstätigkeiten (VVT)?
Das VVT dient der Dokumentation aller Verarbeitungstätigkeiten im Unternehmen, bei denen personenbezogene Daten verarbeitet werden (z. B. Erhebung, Speicherung, Nutzung, Übermittlung, Löschung).
📌 Pflicht nach Art. 30 DSGVO für:
• Verantwortliche (Unternehmen, Organisationen)
• Auftragsverarbeiter (Dienstleister, die personenbezogene Daten im Auftrag verarbeiten)
📌 Ziel des VVT:
• Erfüllung der Nachweispflicht gemäß Art. 5 Abs. 2 DSGVO („Accountability“)
• Grundlage für Datenschutz-Audits durch die Aufsichtsbehörden
• Transparenz über Datenverarbeitungsprozesse
2. Wer muss ein VVT führen?
🔹 Grundsatz:
Unternehmen mit mehr als 250 Mitarbeitern sind zur Führung eines VVT verpflichtet.
🔹 Auch für kleinere Unternehmen verpflichtend, wenn:
✔ Verarbeitung ein Risiko für die Rechte und Freiheiten der betroffenen Personen birgt
✔ Verarbeitung nicht nur gelegentlich erfolgt
✔ Besondere Kategorien personenbezogener Daten (z. B. Gesundheitsdaten) oder Daten über strafrechtliche Verurteilungen verarbeitet werden
📌 Form: Das VVT muss schriftlich geführt werden – auch elektronisch (Art. 30 Abs. 3 DSGVO).
3. Inhalte des Verzeichnisses von Verarbeitungstätigkeiten
Für Verantwortliche nach Art. 30 Abs. 1 DSGVO
✅ Name und Kontaktdaten des Verantwortlichen und des Datenschutzbeauftragten
✅ Zweck der Verarbeitung
✅ Kategorien betroffener Personen (z. B. Kunden, Mitarbeiter)
✅ Kategorien personenbezogener Daten (z. B. Name, Adresse, IP-Adressen)
✅ Empfänger von Daten (intern/extern, auch Drittländer)
✅ Löschfristen (sofern möglich)
✅ Technische und organisatorische Maßnahmen (TOMs) zum Schutz der Daten
📌 Praxis-Tipp: Falls ein Datenschutz- oder Löschkonzept existiert, kann darauf verwiesen werden.
Für Auftragsverarbeiter nach Art. 30 Abs. 2 DSGVO
✅ Name und Kontaktdaten des Auftragsverarbeiters und der Verantwortlichen
✅ Kategorien der im Auftrag durchgeführten Verarbeitungen
✅ Empfänger und Datenübermittlungen in Drittländer
✅ Allgemeine Beschreibung der TOMs
4. Wer ist für das VVT verantwortlich?
📌 Die Unternehmensleitung trägt die formale Verantwortung für die Führung des VVT.
📌 Fachabteilungen melden Verarbeitungstätigkeiten, da sie die Datenverarbeitung am besten kennen.
📌 Der Datenschutzbeauftragte unterstützt, ist aber nicht selbst für die Führung des VVT verantwortlich.
💡 Best Practice:
✅ Datenschutzmanagementsystem etablieren
✅ Standardisierte Meldeformulare für Fachabteilungen nutzen
✅ Klare Verantwortlichkeiten für die Aktualisierung des VVT definieren
5. Erwartungen der Aufsichtsbehörden
🔍 Das VVT ist ein zentrales Element der Datenschutz-Compliance und eine wesentliche Grundlage für Audits.
🔍 Strukturierte Datenschutzdokumentation wird erwartet – Verweise auf IT-Sicherheitsrichtlinien oder ISMS-Dokumente sind zulässig.
🔍 Bei Kontrollen sind Referenzdokumente (z. B. Sicherheitskonzepte) auf Anforderung vorzulegen.
📌 Achtung: Das Fehlen eines VVT kann als DSGVO-Verstoß gewertet werden und Bußgelder nach sich ziehen!
6. Fazit und Empfehlungen
✔ Jedes Unternehmen sollte prüfen, ob es ein VVT führen muss.
✔ Strukturierte Dokumentation spart Zeit und reduziert Datenschutzrisiken.
✔ Regelmäßige Updates des VVT sind essenziell – Datenschutz ist ein kontinuierlicher Prozess.
🔎 Fragen? Wenden Sie sich an den Datenschutzbeauftragten oder die IT-Sicherheitsabteilung. 🚀
1. Was ist das Verzeichnis von Verarbeitungstätigkeiten (VVT)?
Das VVT dient der Dokumentation aller Verarbeitungstätigkeiten im Unternehmen, bei denen personenbezogene Daten verarbeitet werden (z. B. Erhebung, Speicherung, Nutzung, Übermittlung, Löschung).
📌 Pflicht nach Art. 30 DSGVO für:
• Verantwortliche (Unternehmen, Organisationen)
• Auftragsverarbeiter (Dienstleister, die personenbezogene Daten im Auftrag verarbeiten)
📌 Ziel des VVT:
• Erfüllung der Nachweispflicht gemäß Art. 5 Abs. 2 DSGVO („Accountability“)
• Grundlage für Datenschutz-Audits durch die Aufsichtsbehörden
• Transparenz über Datenverarbeitungsprozesse
2. Wer muss ein VVT führen?
🔹 Grundsatz:
Unternehmen mit mehr als 250 Mitarbeitern sind zur Führung eines VVT verpflichtet.
🔹 Auch für kleinere Unternehmen verpflichtend, wenn:
✔ Verarbeitung ein Risiko für die Rechte und Freiheiten der betroffenen Personen birgt
✔ Verarbeitung nicht nur gelegentlich erfolgt
✔ Besondere Kategorien personenbezogener Daten (z. B. Gesundheitsdaten) oder Daten über strafrechtliche Verurteilungen verarbeitet werden
📌 Form: Das VVT muss schriftlich geführt werden – auch elektronisch (Art. 30 Abs. 3 DSGVO).
3. Inhalte des Verzeichnisses von Verarbeitungstätigkeiten
Für Verantwortliche nach Art. 30 Abs. 1 DSGVO
✅ Name und Kontaktdaten des Verantwortlichen und des Datenschutzbeauftragten
✅ Zweck der Verarbeitung
✅ Kategorien betroffener Personen (z. B. Kunden, Mitarbeiter)
✅ Kategorien personenbezogener Daten (z. B. Name, Adresse, IP-Adressen)
✅ Empfänger von Daten (intern/extern, auch Drittländer)
✅ Löschfristen (sofern möglich)
✅ Technische und organisatorische Maßnahmen (TOMs) zum Schutz der Daten
📌 Praxis-Tipp: Falls ein Datenschutz- oder Löschkonzept existiert, kann darauf verwiesen werden.
Für Auftragsverarbeiter nach Art. 30 Abs. 2 DSGVO
✅ Name und Kontaktdaten des Auftragsverarbeiters und der Verantwortlichen
✅ Kategorien der im Auftrag durchgeführten Verarbeitungen
✅ Empfänger und Datenübermittlungen in Drittländer
✅ Allgemeine Beschreibung der TOMs
4. Wer ist für das VVT verantwortlich?
📌 Die Unternehmensleitung trägt die formale Verantwortung für die Führung des VVT.
📌 Fachabteilungen melden Verarbeitungstätigkeiten, da sie die Datenverarbeitung am besten kennen.
📌 Der Datenschutzbeauftragte unterstützt, ist aber nicht selbst für die Führung des VVT verantwortlich.
💡 Best Practice:
✅ Datenschutzmanagementsystem etablieren
✅ Standardisierte Meldeformulare für Fachabteilungen nutzen
✅ Klare Verantwortlichkeiten für die Aktualisierung des VVT definieren
5. Erwartungen der Aufsichtsbehörden
🔍 Das VVT ist ein zentrales Element der Datenschutz-Compliance und eine wesentliche Grundlage für Audits.
🔍 Strukturierte Datenschutzdokumentation wird erwartet – Verweise auf IT-Sicherheitsrichtlinien oder ISMS-Dokumente sind zulässig.
🔍 Bei Kontrollen sind Referenzdokumente (z. B. Sicherheitskonzepte) auf Anforderung vorzulegen.
📌 Achtung: Das Fehlen eines VVT kann als DSGVO-Verstoß gewertet werden und Bußgelder nach sich ziehen!
6. Fazit und Empfehlungen
✔ Jedes Unternehmen sollte prüfen, ob es ein VVT führen muss.
✔ Strukturierte Dokumentation spart Zeit und reduziert Datenschutzrisiken.
✔ Regelmäßige Updates des VVT sind essenziell – Datenschutz ist ein kontinuierlicher Prozess.
🔎 Fragen? Wenden Sie sich an den Datenschutzbeauftragten oder die IT-Sicherheitsabteilung. 🚀
Aktualisiert am: 25/02/2025
Danke!