Kostenlose Vorlage des
Verzeichnis von Verarbeitungstätigkeiten (VVT)

Es ist sinnvoll, zu jeder Verarbeitungstätigkeit eine laufende Nummer zu haben, auf die man sich beziehen kann. Auch habe ich zu der Nummer der Verarbeitungstätigkeit eine gleiche Nummer für die Datenart der Löschfrist (ist bei mir eine 2. Excelliste).

Dies ist rechtlich nicht gefordert. Es macht aber Sinn, dass Sie für jede Verarbeitungstätigkeit eine kurze Bezeichnung haben. So können Sie sich auch intern in Ihrem Unternehmen besser über die jeweiligen Tätigkeiten austauschen, wenn jeder das gleiche Wording hat.

Da es keine Datenverarbeitung ohne einen Zweck geben darf, erklären Sie in dieser Spalte, warum Sie die personenbezogenen Daten verarbeiten.

Die Zwecke müssen eindeutig und so aussagekräftig sein, dass die Aufsichtsbehörde die Zulässigkeit der Verarbeitung vorläufig einschätzen kann.

HINWEIS: Die Zwecke in grauer Schrift sind Empfehlungen der in Klammern angegebenen Aufsichtsbehörden.

Bei größeren Unternehmen empfiehlt es sich, hier den fachlich verantwortlichen Bereich für die Verarbeitung einzutragen. So können Sie später auch sehr gut filtern, welcher Fachbereich für welche Verarbeitungstätigkeit verantwotlich ist.

Bei kleineren Unternehmen können Sie diese Spalten löschen, da Sie den Verantwortlichen schon im Tab „Angaben zum Verantwortlichen“ angegeben haben.

Hier beschreiben Sie, für welche Personengruppe bzw. Kategorie von Betroffenen Sie die Daten verarbeiten.

Tun Sie sich einen Gefallen und versuchen Sie, diese Daten wirklich detailliert so darzustellen, wie ich sie in der Tabelle vorgegeben habe. Denn Sie sollten meiner Meinung nach wirklich wissen, welche Daten Sie von Ihren Kunden und Mitarbeitern GENAU verarbeiten.

Die besonderer Kategorien personenbezogener Daten (Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen sowie die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person) habe ich in einem Rosa zur besseren Trennung von den anderen Daten dargestellt.

Wie Sie sehen, habe ich hier auch eine „Personalakte“ dargestellt, die Sie an Ihr Unternehmen anpassen können. Auch die Trennung von Mitarbeiterdaten zu Kunden- und Lieferantendaten läßt sich in der Tabelle sehr gut darstellen.

Hier hinterlegen Sie die internen (in Ihrem Unternehmen) und externen Empfänger der von Ihnen verarbeiteten personenbezogenen Daten.

Ich habe noch unterschieden in „z“ für „Zugriff auf Daten“ und „x“ für „Übermittlung der Daten“. Das müssen Sie aber nicht, es reicht, wenn Sie überall ein „x“ haben (aber ein Prüfer könnte durchaus nachfragen, wer Zugriff hat und wem übermittelt wird).

Darüber hinaus wird hier hinterlegt, wenn Sie die Daten in ein Drittland übermitteln. Zu Drittländern sollte in jedem Fall eine Aussage getroffen werden, also auch angegeben werden, wenn eine Übermittlung in Drittländer nicht stattfindet und auch nicht geplant ist. Eine Übermittlung in Drittländer erfolgt auch, wenn sich dort der Server befindet oder der Mailversand hierüber abgewickelt wird. Ebenso kann eine Übermittlung in Drittländer vorliegen, wenn Supportdienstleistungen aus diesem erbracht werden.

Hier ist es ein wenig „tricky“, da die DSGVO die Fristen für die Löschung der Daten haben möchte, in den Empfehlungen aber von den rechtlichen Aufbewahrungsfristen die Rede ist. Denn es gibt einen Unterschied zwischen Aufbewahrungs- und Löschfristen.

Beispiel: Laut §257 Handelsgesetzbuch, auf das oft verwiesen wird, müssen Belege für Buchungen 10 Jahre aufbewahrt werden. Also wäre die Aufbewahrungsfrist: 10 Jahre. Da im Gesetz aber  auch „zum Schluss eines Kalenderjahres“ steht, wäre die Aufbewahrungsfrist laut Gesetz immer noch 10 Jahre, die Löschfrist (also dann, wenn die Daten gelöscht werden können): 11 Jahre (da es zu aufwändig ist, z.B. eine Löschfrist von 10 Jahren und 2 Monaten zu hinterlegen). Wenn das Geschäftsjahr des Unternehmens dann auch noch auf die Mitte des Jahres fällt, dann wäre die Löschfrist u.U. auch: 12 Jahre. Die rrechtliche Aufbewahrungsfrist aber immer noch: 10 Jahre.

Darüber hinaus gibt es für manche Datenkategorien auch keine rechtlichen Aufbewahrungsfristen, wie z.B. für Protoll- oder Backupdaten.

Damit Sie alles hier auf einen Blick haben, würde ich in dieser Spalte sowohl die Aufbewahrungsfristen als auch die Löschfristen hinterlegen, falls diese abweichend sein sollten.

Hinweis: die rechtlichen Grundlagen bzw. Gesetze habe ich in der Spalte „Rechtsgrundlage“ aufgeführt.

Hier können Sie einen Link auf die sogenannten TOMs hinterlegen oder auch, wenn Sie die TOMs alle am gleichen Ort gespeichert haben, einen Verweis auf den Tab „Übergreifende Regelungen“ geben und dort auf die TOMs referenzieren.

Wenn es Besonderheiten bei einzelnen Verarbeitungen gibt (siehe meine Beispiele), dann können Sie diese hier auch hinterlegen.

Wenn Sie ein kleines Unternehmen haben, machen Sie aus den TOMs auch keine Wissenschaft. Es ist nur wichtig zu dokumentieren, was Sie bzw. Ihr IT-Dienstleister gemacht hat, um das Risiko für die von Ihnen verarbeiteten personenbezogenen Daten zu minimieren (ein „ausschließen“ halte ich bei der technischen Entwicklung heutzutage nicht mehr für möglich). Auch müssen Sie irgendwo dokumentieren, dass sie die Wirksamkeit dieser Maßnahmen regelmäßig überprüfen.