Kostenlose Vorlage des Verzeichnis von Verarbeitungstätigkeiten (VVT)
Mit sehr vielen Beispielen, so dass Sie diese nur übernehmen und ggf. leicht anpassen müssen
Mit vielen Beispielen aus der Praxis ausgefülltes Muster für das Verzeichnis von Verarbeitungstätgkeiten für den Verantwortlichen
Datei-Typ | Microsoft Excel |
---|---|
Version | 1.0 |
Aktualisiert | 21.01.2023 |
Über eine Bewertung würde ich mich sehr freuen (einfach mit der linken Maustaste auf die Anzahl der Sterne klicken, die Sie mir geben möchten).
Nutzungsrechte
Sie dürfen diese Vorlage für eigene Datenschutzanforderungen oder für Ihre Kunden kostenfrei einsetzen, sofern Sie mich als Quelle benennen: Vorlage von EMODEON (www.emodeon.de).
Wenn Sie auf dieser Seite gelandet sind, dann suchen Sie nach einer guten Vorlage für das VVT. Darum will ich mir an dieser Stelle den ganzen Text, warum ein VVT erforderlich ist, ersparen (hier geht es für Interessierte ansonsten zum entsprechenden Artikel in der DSGVO).
Mit meiner Vorlage für das Verzeichnis von Verarbeitungstätigkeiten möchte ich Ihnen als Verantwortlichen oder als externen oder internen Datenschutzbeauftragten (DSB) helfen, den Nachweispflichten gegenüber Ihrer Aufsichtsbehörde nachzukommen.
Aber da ich es nicht leiden kann, wenn viel Aufwand (und somit auch Kosten) in ein Dokument nur für die Schublade (falls einmal die Aufsichtsbehörde fragen sollte) erzeugt wird, würde ich mich freuen, wenn diese Vorlage des VVT für Sie auch ein Arbeitsmittel wird, mit dem Sie einen Überblick über die Prozesse und personenbezogenen Daten haben, die Sie verarbeiten.
Deshalb habe ich das VVT auch eingeteilt in einen rechtlich geforderten und einen erweiterten Teil.
Kontaktieren Sie mich, falls Ihnen noch Hinweise fehlen, Sie noch Fragen oder auch Anregungen haben. Ich würde gern mit Ihrer Hilfe ein verständliches und vollumfängliches VVT zur Verfügung stellen, damit Datenschutz hier ein wenig einfacher für alle wird. Gern können Sie mir auch einen Kommentar bei meinem Blog-Artikel zur Vorlage hinterlassen.
Wenn Sie über Änderungen und Erweiterungen dieser Vorlage durch z.B. neue Rechtssprechungen oder Praxiserfahrungen informiert werden möchten, melden Sie sich unverbindlich zu meinem Newsletter an:
Meinen Newsletter können Sie natürlich jederzeit wieder abbestellen.
Ihre E-Mail-Adresse wird nur für den Zweck der Erbringung des Newsletters verwendet, niemals für Werbezwecke von mir und natürlich nicht an Dritte weitergegeben.
Laufende Nummer
Es ist sinnvoll, zu jeder Verarbeitungstätigkeit eine laufende Nummer zu haben, auf die man sich beziehen kann. Auch habe ich zu der Nummer der Verarbeitungstätigkeit eine gleiche Nummer für die Datenart der Löschfrist (ist bei mir eine 2. Excelliste).
Bezeichnung der Verarbeitungstätigkeit
Dies ist rechtlich nicht gefordert. Es macht aber Sinn, dass Sie für jede Verarbeitungstätigkeit eine kurze Bezeichnung haben. So können Sie sich auch intern in Ihrem Unternehmen besser über die jeweiligen Tätigkeiten austauschen, wenn jeder das gleiche Wording hat.
Zweck der Datenverarbeitung
Da es keine Datenverarbeitung ohne einen Zweck geben darf, erklären Sie in dieser Spalte, warum Sie die personenbezogenen Daten verarbeiten.
Die Zwecke müssen eindeutig und so aussagekräftig sein, dass die Aufsichtsbehörde die Zulässigkeit der Verarbeitung vorläufig einschätzen kann.
HINWEIS: Die Zwecke in grauer Schrift sind Empfehlungen der in Klammern angegebenen Aufsichtsbehörden.
Intern Verantwortlicher
Bei größeren Unternehmen empfiehlt es sich, hier den fachlich verantwortlichen Bereich für die Verarbeitung einzutragen. So können Sie später auch sehr gut filtern, welcher Fachbereich für welche Verarbeitungstätigkeit verantwotlich ist.
Bei kleineren Unternehmen können Sie diese Spalten löschen, da Sie den Verantwortlichen schon im Tab „Angaben zum Verantwortlichen“ angegeben haben.
Kategorien betroffener Personen
Hier beschreiben Sie, für welche Personengruppe bzw. Kategorie von Betroffenen Sie die Daten verarbeiten.
Kategorien personenbezogener Daten
Tun Sie sich einen Gefallen und versuchen Sie, diese Daten wirklich detailliert so darzustellen, wie ich sie in der Tabelle vorgegeben habe. Denn Sie sollten meiner Meinung nach wirklich wissen, welche Daten Sie von Ihren Kunden und Mitarbeitern GENAU verarbeiten.
Die besonderer Kategorien personenbezogener Daten (Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen sowie die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person) habe ich in einem Rosa zur besseren Trennung von den anderen Daten dargestellt.
Wie Sie sehen, habe ich hier auch eine „Personalakte“ dargestellt, die Sie an Ihr Unternehmen anpassen können. Auch die Trennung von Mitarbeiterdaten zu Kunden- und Lieferantendaten läßt sich in der Tabelle sehr gut darstellen.
Kategorien der Empfänger
Hier hinterlegen Sie die internen (in Ihrem Unternehmen) und externen Empfänger der von Ihnen verarbeiteten personenbezogenen Daten.
Ich habe noch unterschieden in „z“ für „Zugriff auf Daten“ und „x“ für „Übermittlung der Daten“. Das müssen Sie aber nicht, es reicht, wenn Sie überall ein „x“ haben (aber ein Prüfer könnte durchaus nachfragen, wer Zugriff hat und wem übermittelt wird).
Darüber hinaus wird hier hinterlegt, wenn Sie die Daten in ein Drittland übermitteln. Zu Drittländern sollte in jedem Fall eine Aussage getroffen werden, also auch angegeben werden, wenn eine Übermittlung in Drittländer nicht stattfindet und auch nicht geplant ist. Eine Übermittlung in Drittländer erfolgt auch, wenn sich dort der Server befindet oder der Mailversand hierüber abgewickelt wird. Ebenso kann eine Übermittlung in Drittländer vorliegen, wenn Supportdienstleistungen aus diesem erbracht werden.
Gesetzliche Aufbewahrungsfrist
Hier ist es ein wenig „tricky“, da die DSGVO die Fristen für die Löschung der Daten haben möchte, in den Empfehlungen aber von den rechtlichen Aufbewahrungsfristen die Rede ist. Denn es gibt einen Unterschied zwischen Aufbewahrungs- und Löschfristen.
Beispiel: Laut §257 Handelsgesetzbuch, auf das oft verwiesen wird, müssen Belege für Buchungen 10 Jahre aufbewahrt werden. Also wäre die Aufbewahrungsfrist: 10 Jahre. Da im Gesetz aber auch „zum Schluss eines Kalenderjahres“ steht, wäre die Aufbewahrungsfrist laut Gesetz immer noch 10 Jahre, die Löschfrist (also dann, wenn die Daten gelöscht werden können): 11 Jahre (da es zu aufwändig ist, z.B. eine Löschfrist von 10 Jahren und 2 Monaten zu hinterlegen). Wenn das Geschäftsjahr des Unternehmens dann auch noch auf die Mitte des Jahres fällt, dann wäre die Löschfrist u.U. auch: 12 Jahre. Die rrechtliche Aufbewahrungsfrist aber immer noch: 10 Jahre.
Darüber hinaus gibt es für manche Datenkategorien auch keine rechtlichen Aufbewahrungsfristen, wie z.B. für Protoll- oder Backupdaten.
Damit Sie alles hier auf einen Blick haben, würde ich in dieser Spalte sowohl die Aufbewahrungsfristen als auch die Löschfristen hinterlegen, falls diese abweichend sein sollten.
Hinweis: die rechtlichen Grundlagen bzw. Gesetze habe ich in der Spalte „Rechtsgrundlage“ aufgeführt.
Technische und organisatorische Maßnahmen
Hier können Sie einen Link auf die sogenannten TOMs hinterlegen oder auch, wenn Sie die TOMs alle am gleichen Ort gespeichert haben, einen Verweis auf den Tab „Übergreifende Regelungen“ geben und dort auf die TOMs referenzieren.
Wenn es Besonderheiten bei einzelnen Verarbeitungen gibt (siehe meine Beispiele), dann können Sie diese hier auch hinterlegen.
Wenn Sie ein kleines Unternehmen haben, machen Sie aus den TOMs auch keine Wissenschaft. Es ist nur wichtig zu dokumentieren, was Sie bzw. Ihr IT-Dienstleister gemacht hat, um das Risiko für die von Ihnen verarbeiteten personenbezogenen Daten zu minimieren (ein „ausschließen“ halte ich bei der technischen Entwicklung heutzutage nicht mehr für möglich). Auch müssen Sie irgendwo dokumentieren, dass sie die Wirksamkeit dieser Maßnahmen regelmäßig überprüfen.
Bitte haben Sie Verständnis dafür, dass EMODEON keinerlei Haftung für etwaige Fehler übernimmt und dies keine Rechtsberatung darstellt.
Wenn Sie die rechtlichen Anforderungen besser verstehen bzw. nachlesen möchten, habe ich Ihnen HIER eine Gegenüberstellung der rechtlichen Anforderungen mit den Empfehlungen der Datenschutzkonferenz, der Aufsichtsbehörden, Bitkom und GGD zu meiner EMODEON-Vorlage hinterlegt.