CompliantDesk

DSGVO für den Mittelstand

Verzeichnis von Verarbeitungstätigkeiten (VVT)

DSGVOArt. 30 DSGVO

Das Verzeichnis von Verarbeitungstätigkeiten ist die zentrale Dokumentationspflicht der DSGVO. Es dokumentiert, welche personenbezogenen Daten ein Unternehmen zu welchem Zweck verarbeitet, und ist meist das Erste, was eine Aufsichtsbehörde anfordert.

Worum geht es?

Nach Art. 30 DSGVO muss grundsätzlich jeder Verantwortliche ein Verzeichnis aller Verarbeitungstätigkeiten führen. Die oft zitierte Ausnahme für Unternehmen unter 250 Beschäftigten greift in der Praxis fast nie, weil sie entfällt, sobald die Verarbeitung nicht nur gelegentlich erfolgt oder besondere Datenkategorien betroffen sind - was auf Personal- und Kundendaten regelmäßig zutrifft. Das VVT ist damit für nahezu alle Unternehmen Pflicht und bildet die Grundlage für Rechenschaftspflicht, Löschkonzept und Datenschutz-Folgenabschätzung.

Das müssen Sie konkret tun

  • Bezeichnung und Zweck jeder Verarbeitungstätigkeit
  • Kategorien betroffener Personen und personenbezogener Daten
  • Kategorien von Empfängern, inklusive Auftragsverarbeiter und Drittländer
  • Vorgesehene Löschfristen je Datenkategorie
  • Allgemeine Beschreibung der technischen und organisatorischen Maßnahmen

So setzen Sie es mit CompliantDesk um

  • Verarbeitungstätigkeiten strukturiert im VVT-Modul erfassen statt in verstreuten Word-Tabellen
  • Standard-Tätigkeiten wie Lohnabrechnung oder Bewerbermanagement als Vorlage übernehmen
  • Auftragsverarbeiter direkt mit den AVV-Nachweisen im Lieferanten-Modul verknüpfen
  • Löschfristen je Eintrag hinterlegen und mit dem Löschkonzept verbinden
  • Das Verzeichnis als versioniertes Dokument für die Aufsichtsbehörde exportieren

Typische Fehler

Sich fälschlich auf die 250-Mitarbeiter-Ausnahme berufen
Das VVT einmal erstellen und nie aktualisieren
Löschfristen pauschal statt je Datenkategorie festlegen
Auftragsverarbeiter im Verzeichnis vergessen

Häufig gestellte Fragen

Wer muss ein Verzeichnis von Verarbeitungstätigkeiten führen?

Grundsätzlich jeder Verantwortliche. Die Ausnahme für kleine Unternehmen entfällt regelmäßig, sobald Daten nicht nur gelegentlich oder besondere Datenkategorien verarbeitet werden - das trifft auf nahezu jedes Unternehmen mit Mitarbeitenden und Kunden zu.

Was passiert, wenn das VVT fehlt?

Ein fehlendes oder unvollständiges Verzeichnis ist ein eigenständiger Verstoß gegen Art. 30 DSGVO und kann mit Bußgeld geahndet werden. In Prüfungen ist es meist das erste angeforderte Dokument.

Datenschutz nachweisbar im Griff

CompliantDesk führt VVT, TOM, AVV, Löschkonzept und Datenpannen in einem Datenschutz-Managementsystem zusammen - dokumentiert, versioniert und prüfungsfest.

Demo buchen Alle DSGVO-Themen