Das Verzeichnis von Verarbeitungstätigkeiten (VVT) ist das zentrale Compliance-Dokument im Datenschutz. Es dokumentiert systematisch alle Verarbeitungsvorgänge mit personenbezogenen Daten.
Wer muss ein VVT führen?
Grundsätzlich jeder Verantwortliche UND jeder Auftragsverarbeiter (Art. 30 Abs. 1 und 2 DSGVO). Die theoretische Ausnahme für Unternehmen mit weniger als 250 Mitarbeitern (Art. 30 Abs. 5 DSGVO) greift in der Praxis fast nie, da sie nur gilt, wenn die Verarbeitung:
- kein Risiko birgt UND
- nur gelegentlich erfolgt UND
- keine sensiblen Daten oder Strafdaten betrifft.
Da bereits die regelmäßige Verarbeitung von Kunden- oder Beschäftigtendaten genügt, um die Ausnahme auszuschließen, muss faktisch JEDES Unternehmen ein VVT führen (DSK-Kurzpapier Nr. 1).
Pflichtinhalt für Verantwortliche (Art. 30 Abs. 1)
- Name und Kontaktdaten des Verantwortlichen und ggf. des DSB
- Zwecke der Verarbeitung
- Kategorien betroffener Personen und personenbezogener Daten
- Kategorien von Empfängern (einschließlich Drittländer)
- Übermittlungen an Drittländer mit Dokumentation der Garantien
- Vorgesehene Löschfristen
- Allgemeine Beschreibung der technischen und organisatorischen Maßnahmen (TOM)
Pflichtinhalt für Auftragsverarbeiter (Art. 30 Abs. 2)
Kontaktdaten, Kategorien der Verarbeitungen für jeden Verantwortlichen, Drittlandtransfers und TOM-Beschreibung.
Form und Verfügbarkeit
Das VVT muss schriftlich (auch elektronisch) geführt werden und der Aufsichtsbehörde auf Anfrage vorgelegt werden können (Art. 30 Abs. 3-4 DSGVO). Es ist NICHT öffentlich. Bußgelder bei Verstößen: bis zu 10 Mio. Euro oder 2% des weltweiten Jahresumsatzes (Art. 83 Abs. 4 lit. a DSGVO).