Das Verzeichnis der Verarbeitungstätigkeiten (VVT) Schritt Nr. 1

Eckdaten

Sie können mit DATENWELTEN anwendungsorientiertes Wissen erwerben, wie Sie sich in Sachen DSGVO gut aufstellen.

45 Minuten
4 Kapitel

Das Wichtigste: das Verzeichnis der Verarbeitungstätigkeiten

Im VVT werden sämtliche Tätigkeiten beschrieben, die in Ihrer Organisation mit personenbezogenen Daten anfallen. Denken Sie beispielsweise an den E-Mail-Verkehr. Hier werden verschiedenste personenbezogene Daten verarbeitet. Namen, Anreden, E-Mail-Adressen, aber auch – je nach Inhalt der E-Mail – Dinge wie Krankmeldungen, Dienstplanänderungen, Ankunftszeiten für Besuche oder, oder, oder…

Sehen Sie sich bitte das Muster an! Hier sind bereits zahlreiche Verarbeitungstätigkeiten aufgelistet. Keine Angst: so viele Verarbeitungstätigkeiten werden Sie wahrscheinlich nicht haben. Das Muster gibt Ihnen aber zahlreiche Anregungen, was vielleicht auch bei Ihnen ins VVT gehört.

Die DSGVO gibt uns folgende Eintragungen für jede Verarbeitungstätigkeit vor:

  1. Der Verantwortliche muss genannt sein. Das kann ein Eintrag im Kopf der Datei sein, denn in aller Regel gibt es nur einen Verantwortlichen.
     
  2. Kontaktdaten der/des Datenschutzbeauftragten, wenn es eine(n) gibt. Dafür gilt das gleiche wie beim Verantwortlichen.
     
  3. Zweck(e) der Verarbeitung. Hier tragen Sie ein, warum Sie diese Verarbeitungstätigkeit durchführen. Personenbezogene Daten dürfen immer nur für einen oder mehrere konkrete Zweck(e) erhoben werden. Das Muster gibt Ihnen Ideen dazu.
     
  4. Die Kategorien der Betroffenen. Manchmal kann die Gruppe nur sehr abstrakt beschrieben werden, manchmal sehr genau. Im Falle des E-Mail-Verkehrs bleibt Ihnen eigentlich nur „alla am E-Mail-verkehr teilnehmenden“. Für den Dienstplan könnte zum Beispiel „Mitarbeitende der Abteilung XYZ“ die korrekte Bezeichnung sein. Im Falle von BEM (betriebliches Wiedereingliederungs-Management) wären das dann „aus längerer Krankheit wiedereinzugliedernde Mitarbeitende“. 
     
  5. Die Kategorien der personenbezogenen Daten. Das könnten, je nach Verarbeitungstätigkeit, zum Beispiel sein:
    • Name des Spenders
    • Name des Partners
    • Name des Unternehmens
    • Adresse
    • Geburtsdatum
    • Telefonnummer
    • E-Mail-Adresse
    • Höhe letzte Spende
    • Anzahl der Spenden
    • Bankverbindung
    • Informationen aus Telefongesprächen
       
  6. Empfänger*innen oder Kategorien von Empfänger*innen. Das könnten Auftragsverarbeiter sein wie Lettershops, die externe Lohnbuchhaltung, Newsletter-Dienstleister. Es geht um jede(n), der die personenbezogenen Daten der Menschen, deren Daten bei Ihnen gespeichert sind (wir nennen sie „Betroffene“) bekommt, um mit ihnen etwas zu tun.
     
  7. Übermittlung an Drittländer. Werden die personenbezogenen Daten an ein Land übermittelt, das weder Mitglied der Europäischen Union (EU) ist, noch dem Europäischen Wirtschaftsraum (EWR) angehört und auch keinen „Angemessenheitsbeschluss“ hat, müssen umfangreiche Maßnahmen ergriffen werden, um die Daten zu schützen. Die Mitglieder des EWR sind, neben den Mitgliedern der EU, Lichtenstein, Island und Norwegen. Länder mit Angemessenheitsbeschluss sind:
    • Andorra
    • Argentinien
    • Färöer-Inseln
    • Guernsey
    • Israel
    • Isle of Man
    • Japan
    • Jersey
    • Kanada (nur für kommerzielle Organisationen)
    • Neuseeland
    • Republik Korea (Südkorea)
    • Schweiz
    • Uruguay
    • Vereinigtes Königreich

      Bei Übermittlungen an alle bisher erwähnten Staaten sind keine besonderen Maßnahmen erforderlich. In diese Staaten dürfen personenbezogene Daten genauso übermittelt werden wie innerhalb Deutschlands. 
      Für alle anderen Staaten der Erde („rund“ 1951), also immerhin 141 gilt, dass die Übermittlung personenbezogener Daten besonders abgesichert werden muss. Ein besonderes Augenmerk liegt dabei auf den Vereinigten Staaten von Amerika (USA). Das liegt an zwei Tatsachen. Erstens gibt es Gesetze in den USA, die deren Geheimdiensten Rechte einräumen, personenbezogene Daten, die von US-amerikanischen Unternehmen verarbeitet werden, einzusehen. Und zwar auch dann, wenn diese auf europäischen Boden gespeichert sind.2 
      Die besonderen Absicherungen sind die Einwilligung in die Verarbeitung unter Nennung der damit verbundenen Risiken („informierte Einwilligung“) oder die in den Artikeln 46 bis 49 DSGVO näher benannten Ausnahmen. Es würde den Rahmen dieses Aufsatzes sprengen, dies hier näher auszuführen.
       
  8. Löschfrist. „Wenn möglich“ die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien
     
  9. Technische und organisatorische Maßnahmen (TOM). Eine Beschreibung der TOM, die ergriffen wurden, um die beschriebene Tätigkeit technisch so abzusichern, dass die Bestimmungen der DSGVO eingehalten werden können. 

 

1  Die Zahl der Staaten der Erde ist umstritten. So sehen die meisten Staaten auf der Insel Zypern nur einen Staat, die Türkei sieht dort jedoch zwei Staaten. Ähnliches gilt für Taiwan. Weitere umstrittene Staaten sind das Kosovo oder Nordkorea.
2  Derzeit wird ein neues Abkommen zwischen der EU Kommission und er US-amerikanischen Administration verhandelt, das den Datentransfer vereinfachen soll („Neues EU US Privacy Framework“). Nach allem, was bekannt ist, wird wohl auch dieses Abkommen, wie seine beiden Vorgänger, vor dem Europäischen Gerichtshof scheitern.
 

Verarbeitungsverzeichnis (XLSX)