Das Verzeichnis von Verarbeitungstätigkeiten (VVT) unter der DSGVO

Fast zwei Jahre ist er alt unser letzter Artikel zum Verzeichnis von Verarbeitungstätigkeiten (VVT). Geschrieben keinen Monat nach Verabschiedung der Datenschutz-Grundverordnung (DSGVO) enthielt er noch recht viele Ideen und auch etwas Spekulation. Jetzt haben wir ca. 1,5 Jahre mit dem Verordnungstext gearbeitet und deutlich mehr Sicherheit erlangt. Auch von den Aufsichtsbehörden gibt es mittlerweile Aussagen, die wir als verlässlich einstufen.

Ein neuer Stern am Datenschutzhimmel…?…

Zeit also, uns erneut und etwas ausführlicher zum Verzeichnis von Verarbeitungstätigkeiten zu äußern. Der Nachfolger des internen Verfahrensverzeichnisses wird geregelt in Art. 30 DSGVO und tritt erfreulicher Weise aus dem Schatten heraus. Das heißt, das VVT wird kein solch ungeliebtes und unbeachtetes Dasein fristen, wie das Verfahrensverzeichnis. Der Grund: Es ist tatsächlich nützlich!

Rechenschaftspflicht – mal wieder

Denn das VVT unterstützt die Verantwortlichen bei der Erfüllung ihrer Rechenschaftspflichten. Eigentlich stellt es sogar die Grundlage dafür dar. Wie soll man nachweisen, dass die durchgeführten Verarbeitungen rechtmäßig sind, wenn man sie noch nicht einmal ansatzweise dokumentiert und analysiert hat? Das ist schlichtweg nicht möglich. Daher ist das Führen eines VVT zukünftig unerlässlich.

Auch Auftragsverarbeiter

Dabei ist zu beachten, dass neben den Verantwortlichen zukünftig auch Auftragsverarbeiter ein VVT führen müssen. Dieses ist allerdings vom Umfang her deutlich reduziert. Es beschränkt sich auf die Nennung der Verarbeitungen, welche als Auftragsverarbeitung durchgeführt werden sowie die Beschreibung der wenigen Eckpunkte der Verarbeitung, welche der Auftragsverarbeiter selbst bestimmen darf. Hierzu zählen hauptsächlich die technischen und organisatorischen Maßnahmen inkl. der Tatsache ob Daten in Drittstaaten exportiert werden. Hinzu kommt eine Liste aller Auftraggeber pro Verarbeitung. Weiter wollen wir an dieser Stelle auch nicht auf das VVT der Auftragsverarbeiter eingehen, die Musik spielt im “echten” VVT, dem der für die Verarbeitung Verantwortlichen.

In diesem VVT für Verantwortliche sind alle relevanten Informationen aufzuführen, die benötigt werden, um eine erste, grobe Risikoabschätzung vorzunehmen oder die Rechtmäßigkeit einer Verarbeitung grob zu beurteilen. Eine detaillierte Auflistung der Inhalte ersparen wir Ihnen an dieser Stelle, sie findet sich vollständig im Verordnungstext in Art. 30 Abs. 1 DSGVO für Verantwortliche und in Art. 30 Abs. 2 DSGVO für Auftragsverarbeiter.

Erweitern Sie das VVT!

Wir empfehlen, das VVT um zusätzliche Informationen, welche vom Verordnungsgeber nicht explizit als Inhalt gefordert sind, zu erweitern und diese mit aufzunehmen. Hierzu zählen z. B.

eine grobe Beschreibung der Verarbeitung (die DSGVO fordert lediglich die Zwecke der Verarbeitung zu benennen)
die Rechtsgrundlage auf der die Verarbeitung beruht
das Ergebnis der Überprüfung auf die Pflicht zur Datenschutz-Folgenabschätzung inkl. Begründung.

Hierbei handelt es sich um Informationen, welche sich auf die einzelne Verarbeitung beziehen. Es macht unseres Erachtens Sinn, diese Information auch direkt bei der Dokumentation zur Verarbeitung abzulegen und keine weitere, getrennte Dokumentation zu eröffnen.

Zielgruppe: Die Aufsichtsbehörde

Zielgruppe des VVT ist übrigens ausschließlich die Aufsichtsbehörde. Nur dieser ist das VVT gemäß Art. 30 Abs. 4 DSGVO zur Verfügung zu stellen. Es schadet aber sicher nicht, es auch dem Datenschutzbeauftragten zu übergeben, dieser kann es hervorragend zur Wahrnehmung seiner Aufgaben nutzen.

Das ehemalige öffentliche Verfahrensverzeichnis gibt es ab Geltung der DSGVO nicht mehr.

Form: Schriftlich

Das VVT ist gem. Art. 30 Abs. 3 DSGVO schriftlich zu führen. Damit ist nicht die Schriftform des BGB gemeint, sondern letztlich die Textform. Wichtig ist den Aufsichtsbehörden, dass das VVT in Papierform geliefert werden kann. Wir hatten hierzu vor einiger Zeit bei vier Aufsichtsbehörden angefragt und haben Antworten erhalten, die uns unterschiedlich stark zufrieden gestellt haben. Diese deckten eine Spanne von “relativer Entspanntheit” bis zu direkter Bußgeldandrohung nach DSGVO ab. Einhellige Aussage war aber, dass es möglich sein muss, dass VVT der Aufsichtsbehörde in Papierform zur Verfügung zu stellen.

Verantwortlich: Nicht der Datenschutzbeauftragte

Bei dieser Gelegenheit noch der Hinweis: Zu diesen Aufgaben gehört unter anderem die Überwachung der Einhaltung der DSGVO sowie anderer gesetzlicher Regelungen zum Datenschutz. Im Hinblick auf diese Überwachungstätigkeit erschiene es uns als Interessenkonflikt, den Datenschutzbeauftragten mit der Erstellung oder Führung des VVT zu betrauen. Schließlich ist dieses eine der Pflichten, deren Einhaltung er zu überprüfen hat. Darüber hinaus ist das Fachwissen zu den einzelnen Verarbeitungen eher in den Fachabteilungen als bei der Person des Datenschutzbeauftragten zu finden. Es sollte also auch der Qualität des VVT zuträglich sein, das VVT nicht durch den Datenschutzbeauftragten erstellen zu lassen.

Wir haben für das VVT Vorlagen sowohl für Verantwortliche als auch Auftragsverarbeiter entworfen, die wir unseren Kunden zur Verfügung stellen. Benötigen Sie Unterstützung? Wir stehen gerne zur Verfügung.