Verzeichnis von Verarbeitungstätigkeiten (VVT)

Definition

Das Verzeichnis von Verarbeitungstätigkeiten (VVT) — auch “Verarbeitungsverzeichnis” oder “Verfahrensverzeichnis” — ist die nach Art. 30 DSGVO vorgeschriebene Übersicht aller Verarbeitungstätigkeiten eines Unternehmens. Es ist der zentrale Nachweis der Rechenschaftspflicht und das wichtigste Prüf-Dokument der Aufsicht.

Es gibt zwei Varianten: Art. 30 Abs. 1 für Verantwortliche und Art. 30 Abs. 2 für Auftragsverarbeiter. Die Pflicht-Felder unterscheiden sich leicht.

In der Praxis

Jeder Eintrag im VVT muss enthalten:

• Name und Kontakt des Verantwortlichen (und ggf. des DSB)
• Zwecke der Verarbeitung
• Kategorien betroffener Personen
• Kategorien personenbezogener Daten
• Empfänger der Daten
• Drittland-Übermittlungen mit Garantien
• Vorgesehene Löschfristen
• Beschreibung der TOMs

Ein typisches KMU mit 15 bis 30 Mitarbeitern hat 15 bis 25 Verarbeitungstätigkeiten — von Personalverwaltung über Buchhaltung bis Newsletter, Website-Tracking und Bewerbermanagement.

Die Aufsicht kann das VVT jederzeit anfordern. Fehlt es oder ist es veraltet, droht ein Bußgeld nach Art. 83 Abs. 4 DSGVO.

Was Sie tun müssen

Für ein VVT-Setup:

• Bestandsaufnahme aller Systeme mit personenbezogenen Daten (CRM, ERP, Cloud, HR, etc.)
• Verarbeitungstätigkeiten aus den Systemen ableiten
• Alle 8 Pflichtfelder je Eintrag ausfüllen
• AVVs als Empfänger im VVT verlinken
• Versionierung mit Datum und Verantwortlichem
• Mindestens jährlicher Review oder bei größeren Änderungen

Tool-Empfehlungen: Excel/Sheets für unter 25 Tätigkeiten, ab 50 MA Spezial-Software (Caralegal, Otris, datenschutzexperte.de). Die ausführliche Anleitung inkl. Vorlage finden Sie im Ratgeber Verarbeitungsverzeichnis anlegen. Bei Kowoll-Mandanten ist eine erprobte Excel-Vorlage im Festpreis-Paket enthalten — siehe Leistungen.