Muss oder Option: Das Verzeichnis von Verarbeitungstätigkeiten

Für viele Unternehmen stellt die Umsetzung der Datenschutz-Grundverordnung (DSGVO) eine erhebliche administrative Herausforderung dar. Das Verzeichnis von Verarbeitungstätigkeiten (VVT) wird dabei oft als reine Formalität zur Erfüllung einer gesetzlichen Pflicht betrachtet. Diese Sichtweise vernachlässigt jedoch die praktischen Vorteile, die ein gut geführtes VVT mit sich bringt. Im Folgenden wird erläutert, warum das VVT über die bloße Dokumentation hinausgeht und als ein zentrales Steuerungselement im Unternehmen dienen kann.

1. Das VVT als gesetzliche Pflicht

Gemäß Art. 30 DSGVO sind Verantwortliche und Auftragsverarbeiter grundsätzlich verpflichtet, ein VVT zu führen. Die Ausnahme für Betriebe mit weniger als 250 Mitarbeiterinnen und Mitarbeitern greift in der Praxis nur selten. Die Befreiung gilt lediglich, wenn die Datenverarbeitung nur gelegentlich erfolgt, kein Risiko für die Rechte und Freiheiten der Betroffenen besteht und keine besonderen Datenkategorien nach Art. 9 DSGVO verarbeitet werden.

Da bereits routinemäßige Prozesse wie die Lohnabrechnung oder die Verwaltung von Kundendaten als „nicht nur gelegentlich“ eingestuft werden, unterliegen fast alle Unternehmen der Dokumentationspflicht. Verstöße gegen Art. 30 DSGVO können gemäß dem Sanktionsrahmen mit Bußgeldern von bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes geahndet werden.

2. Welche Funktionen erfüllt das VVT darüber hinaus?

Ein korrekt geführtes VVT dient über die Erfüllung von Art. 30 DSGVO hinaus als Basis für das gesamte Datenschutzmanagement:

• Rechenschaftspflicht: Es unterstützt die Einhaltung der Rechtenschafts- und Informationspflicht aus Art. 5 DSGVO.
• Arbeitsgrundlage für Datenschutzbeauftragte: Es dient als Grundlage der Überprüfung, ob datenschutzrechtliche Vorschriften im Betrieb eingehalten werden.
• Risikobewertung: Grundlage der Bewertung von Wahrscheinlichkeit und Schwere eines möglichen Risikos für die Rechte und Freiheiten betroffener Personen im Rahmen einer Datenschutz-Folgeabschätzung nach Art. 35 DSGVO.
• Informationssicherheit: Durch die Verknüpfung mit den technischen und organisatorischen Maßnahmen (TOM) nach Art. 32 DSGVO bildet es die Grundlage für die Sicherheit der Verarbeitung.

3. Grundlage der Rechenschaftspflicht gegenüber Behörden

Unternehmen unterliegen nach Art. 5 Abs. 2 DSGVO einer umfassenden Rechenschaftspflicht. Das VVT stellt hierbei das zentrale Nachweismittel gegenüber den Aufsichtsbehörden dar. Gemäß Art. 31 DSGVO ist der Verantwortliche zudem verpflichtet, mit der Aufsichtsbehörde zusammenzuarbeiten und das Verzeichnis auf Anfrage zur Verfügung zu stellen.

Ohne ein aktuelles Verzeichnis ist der Nachweis einer rechtmäßigen Verarbeitung kaum möglich. Es bündelt alle relevanten Informationen: Kategorien betroffener Personen und Daten, Verarbeitungszwecke, Löschfristen sowie Empfänger der Daten (intern, extern und in Drittstaaten). Das VVT dient dabei unter anderem als Beleg für:

• Die Rechtmäßigkeit der Verarbeitung (Art. 5 Abs. 1 lit. a DSGVO).
• Die Einhaltung der Datenminimierung (Art. 5 Abs. 1 lit. c DSGVO).
• Die Richtigkeit und Aktualität der Daten (Art. 5 Abs. 1 lit. d DSGVO).

4. Grundlage der Rechenschaftspflicht gegenüber Betroffenen

Das VVT unterstützt Unternehmen bei der Erfüllung der Betroffenenrechte nach Art. 12 ff. DSGVO. Bei Auskunftsbegehren oder Löschanfragen ermöglicht das Verzeichnis eine schnelle Identifikation der relevanten Datenverarbeitungsvorgänge. Diese Transparenz stellt sicher, dass Anfragen fristgerecht und vollständig beantwortet werden können, was die Rechtssicherheit gegenüber Kunden und Mitarbeiterinnen und Mitarbeitern erhöht.

VVT möglichst präzise und aktuell halten

Das Verzeichnis von Verarbeitungstätigkeiten ist ein fundamentales Element für jedes datenverarbeitende Unternehmen. Es schützt vor Haftungsrisiken und Bußgeldern, schafft aber gleichzeitig die notwendige Grundlage zur Optimierung interner Prozesse und der Einhaltung von Rechenschafts- und Informationspflichten gegenüber Behörden und Betroffenen. Aufgrund dessen empfiehlt es sich, das VVT möglichst präzise und aktuell zu halten, auch in Fällen, in denen Unternehmen theoretisch unter eine Ausnahmeregelung fallen könnten.

Die WS Datenschutz GmbH dient Ihnen gerne als Ansprechpartner für die Erstellung und Überarbeitung Ihres VVT.