Recht und Steuern
Verzeichnis von Verarbeitungstätigkeiten (VvV) gemäß der Datenschutzgrundverordnung
Dieses Merkblatt ist als Orientierungshilfe gedacht. Es erhebt keinen Anspruch auf Vollständigkeit und ersetzt nicht eine gründliche Auseinandersetzung mit den Vorschriften der Datenschutzgrundverordnung (DS-GVO) zu dieser Thematik.
Die DS-GVO schreibt in Art. 30 Abs. 1 DS-GVO vor, dass jeder Verantwortliche ein Verzeichnis aller Verarbeitungstätigkeiten in seinem Verantwortungsbereich zu führen hat, mit dem er die wesentlichen Informationen in Bezug auf die Verarbeitung von personenbezogenen Daten dokumentiert und somit die von der DS-GVO geforderte Transparenz der Datenverarbeitung herstellt. Hierzu zählen zum Beispiel Kundendaten, die eine Unternehmen im Rahmen seiner Geschäftstätigkeit verarbeitet. Nicht erfasst werden von dieser Verpflichtung Daten ohne jeglichen Personenbezug (z.B. rein technische Daten).
Diese Vorgabe konkretisiert die allgemeine Rechenschaftspflicht, die aus Art. 5 Abs. 2 DS-GVO folgt, d.h. der Verantwortliche muss nachweisen, dass die von ihm verarbeiteten personenbezogenen Daten rechtmäßig verarbeitet hat.
Auf Verlangen muss das VvV der zuständigen datenschutzrechtlichen Aufsichtsbehörde vorgelegt werden.
Das VvV muss schriftlich geführt werden, wobei ein elektronisches Format ausreichend ist.
In dem VvV müssen die folgenden Mindestinhalte aufgenommen werden:
- Angaben zum Verantwortlichen
- Name, Adresse und Kontaktdaten
- Angaben zum Datenschutzbeauftragten, sofern eine Person hierzu bestellt wurde
- Name, Adresse und Kontaktdaten
- Zweck und Bezeichnung der Verarbeitung
- z. B. Kundendatei für Vertragsabwicklung
- Rechtsgrundlage der Verarbeitung
- Vgl. Art. 6 DS-GVO (Bei der Verarbeitung von Kundendaten ist Art. 6 Abs.1 Buchstabe b DS-GVO die einschlägige Rechtsgrundlage)
- Beschreibung der eingesetzten Hard- und Software (individuell verschieden)
- Bei Cloud-Lösungen muss der Auftragsdatenverarbeiter genannt werden
- Kategorien der betroffenen Personen (nicht namentlich)
- z.B. Kunden und Vertragspartner
- Kategorien der betroffenen Daten
- z.B. Name, Adresse, Telefon usw. von Kunden
- Kategorien von Empfängern von Daten
- An wen werden die Daten (befugt) weitergeleitet?
- Werden die Daten an ein Drittland, d.h. außerhalb der EU übermittelt
- Wenn ja, an welche Stelle erfolgt die Übermittlung?
- Fristen für die Löschung von Daten
- Grundsätzlich müssen Daten gelöscht werden, wenn sie nicht mehr benötigt werden und gesetzlich vorgeschriebene Aufbewahrungsfristen zum Beispiel aus Handels- oder Steuerrecht abgelaufen sind.
- Beschreibung der technischen und organisatorischen Maßnahmen zum Schutz der Daten
- Hierzu gehören z.B.: Zugangssicherung zu Räumen und Gebäuden, Passwörter, Anti-Viren-Software, Firewalls, Verschlüsselung von mobilen Geräten, Festlegung von Benutzerrechten, Eingabekontrolle, Transportverschlüsselung usw.
Die Ausnahmen von dieser Verpflichtung, die in Art. 30 Abs. 5 DS-GVO vom europäischen Gesetzgeber normiert wurden, sind so eng gefasst, dass sie faktisch leerlaufen und somit in der Praxis keine Rolle spielen.
Auf der Homepage des Thüringer Landesbeauftragten für den Datenschutz und die Informationsfreiheit (www.tlfdi.de) finden Sie ein Muster für ein Verzeichnis von Verarbeitungstätigkeiten sowie weitere Informationen zum genannten Thema.