Kostenlose Vorlage (VVT) des Verzeichnis von Verarbeitungstätigkeiten
Mit sehr vielen Beispielen, so dass Sie diese nur übernehmen und ggf. leicht anpassen müssen
Muster für das Verzeichnis von Verarbeitungstätgkeiten (VVT) mit vielen Beispielen aus meiner Praxiserfahrung für die jeweiligen Verarbeitungstätigkeiten.
WICHTIG: Ich erneuere meine Vorlage laufend. Deshalb abonnieren Sie am besten untenstehend meinen kostenlosen Newsletter, damit Ihnen wichtige Änderungen nicht entgehen.
Datei-Typ | Microsoft Excel |
---|---|
Version | 3.0 (Änderungen zur vorherigen Version ganz unten auf der Seite) |
Aktualisiert | 25.04.2024 |
Über eine Bewertung würde ich mich sehr freuen (einfach mit der linken Maustaste auf die Anzahl der Sterne klicken, die Sie mir geben möchten).
Nutzungsrechte
Sie dürfen diese Vorlage für eigene Datenschutzanforderungen oder für Ihre Kunden kostenfrei einsetzen und nach Belieben ändern, sofern Sie mich als Quelle benennen: Vorlage von EMODEON (www.emodeon.de).
Nicht erlaubt ist die Veröffentlichung oder öffentliche Zugänglichmachung (z.B. auf einer eigenen Internetseite) der Vorlage als eigenes Muster, ohne dass wesentliche Änderungen vorgenommen worden sind.
Die Verwendung erfolgt auf eigene Gefahr. Ich hafte nicht für Schäden, die aufgrund der Verwendung der Vorlage entstehen.
Wenn Sie auf dieser Seite gelandet sind, dann suchen Sie nach einer guten Vorlage für das Verzeichnis von Verarbeitungstätigkeiten (auch VVT oder Verarbeitungsverzeichnis genannt). Darum will ich mir an dieser Stelle den ganzen Text, warum ein VVT erforderlich ist, ersparen (Details hierzu finden Sie in meinem Blogartikel). Die zum VVT relevanten Artikel der DSGVO habe ich Ihnen aber ganz am Ende des Textes bereit gestellt.
Mit meiner kostenlosen Vorlage für das VVT möchte ich Ihnen als Verantwortlichen oder als externen oder internen Datenschutzbeauftragten (DSB) helfen, den Nachweispflichten gegenüber Ihrer Aufsichtsbehörde nachzukommen.
Aber da ich es nicht leiden kann, wenn viel Aufwand (und somit auch Kosten) in ein Dokument nur für die Schublade (falls einmal die Aufsichtsbehörde fragen sollte) erzeugt wird, würde ich mich freuen, wenn diese Vorlage des VVT für Sie auch ein Arbeitsmittel wird, mit dem Sie einen Überblick über die Prozesse und personenbezogenen Daten haben, die Sie verarbeiten.
Deshalb habe ich das VVT auch eingeteilt in einen rechtlich geforderten und einen erweiterten Teil.
Laufende Nummer
Es ist sinnvoll, zu jeder Verarbeitungstätigkeit eine laufende Nummer zu haben, auf die man sich beziehen kann. Auch habe ich zu der Nummer der Verarbeitungstätigkeit eine gleiche Nummer für die Datenart der Löschfrist (ist bei mir eine 2. Excelliste).
Bezeichnung der Verarbeitungstätigkeit
Dies ist rechtlich nicht gefordert. Es macht aber Sinn, dass Sie für jede Verarbeitungstätigkeit eine kurze Bezeichnung haben. So können Sie sich auch intern in Ihrem Unternehmen besser über die jeweiligen Tätigkeiten austauschen, wenn jeder das gleiche Wording hat.
Zweck der Datenverarbeitung
Da es keine Datenverarbeitung ohne einen Zweck geben darf, erklären Sie in dieser Spalte, warum Sie die personenbezogenen Daten verarbeiten.
Die Zwecke müssen eindeutig und so aussagekräftig sein, dass die Aufsichtsbehörde die Zulässigkeit der Verarbeitung vorläufig einschätzen kann.
Intern Verantwortlicher
Bei größeren Unternehmen empfiehlt es sich, hier den fachlich verantwortlichen Bereich für die Verarbeitung einzutragen. So können Sie später auch sehr gut filtern, welcher Fachbereich für welche Verarbeitungstätigkeit verantwortlich ist.
Bei kleineren Unternehmen können Sie diese Spalten löschen, da Sie den Verantwortlichen schon im Tab „Angaben zum Verantwortlichen“ angegeben haben.
Kategorien betroffener Personen
Hier beschreiben Sie, für welche Personengruppe bzw. Kategorie von Betroffenen Sie die Daten verarbeiten.
Kategorien personenbezogener Daten
Tun Sie sich einen Gefallen und versuchen Sie, diese Daten wirklich detailliert so darzustellen, wie ich sie in der Tabelle vorgegeben habe. Denn Sie sollten meiner Meinung nach wirklich wissen, welche Daten Sie von Ihren Kunden und Mitarbeitern GENAU verarbeiten.
Die besonderer Kategorien personenbezogener Daten (Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen sowie die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person) sowie sehr sensible Daten habe ich in einem Rosa zur besseren Trennung von den anderen Daten dargestellt.
Auch die Trennung von Beschäftigtendaten zu Kunden- und Lieferantendaten läßt sich in der Tabelle sehr gut darstellen.
Kategorien der Empfänger
Hier hinterlegen Sie die internen (in Ihrem Unternehmen) und externen Empfänger der von Ihnen verarbeiteten personenbezogenen Daten.
Ich habe noch unterschieden in „z“ für „Zugriff auf Daten“ und „x“ für „Übermittlung der Daten“. Das müssen Sie aber nicht, es reicht, wenn Sie überall ein „x“ eintragen (aber ein Prüfer könnte durchaus nachfragen, wer Zugriff hat und wem übermittelt wird).
Darüber hinaus hinterlegen Sie hier die Übermittlung der Daten in ein Drittland. Zu Drittländern sollte in jedem Fall eine Aussage getroffen werden, also auch angegeben werden, wenn eine Übermittlung in Drittländer nicht stattfindet und auch nicht geplant ist. Eine Übermittlung in Drittländer erfolgt auch, wenn sich dort der Server befindet oder der E-Mailversand hierüber abgewickelt wird. Ebenso kann eine Übermittlung in Drittländer vorliegen, wenn Supportdienstleistungen aus diesem erbracht werden.
Gesetzliche Aufbewahrungsfrist
Hier ist es ein wenig „tricky“, da die DSGVO die Fristen für die Löschung der Daten haben möchte, in den Empfehlungen aber von den rechtlichen Aufbewahrungsfristen die Rede ist. Denn es gibt einen Unterschied zwischen Aufbewahrungs- und Löschfristen.
Beispiel: Laut § 257 Handelsgesetzbuch, auf das oft verwiesen wird, müssen Belege für Buchungen 10 Jahre aufbewahrt werden. Also wäre die Aufbewahrungsfrist: 10 Jahre. Da im Gesetz aber „zum Schluss eines Kalenderjahres“ angegeben ist, wäre die Aufbewahrungsfrist laut Gesetz immer noch 10 Jahre, die Löschfrist (also der Zeitpunkt, an dem die Daten spätestens gelöscht werden müssen): 11 Jahre (da es zu aufwändig ist, z.B. eine Löschfrist von 10 Jahren und 2 Monaten zu hinterlegen). Wenn das Geschäftsjahr des Unternehmens dann auch noch auf die Mitte des Jahres fällt, dann wäre die Löschfrist u.U. auch: 12 Jahre. Die rechtliche Aufbewahrungsfrist aber immer noch: 10 Jahre.
Darüber hinaus gibt es für manche Datenkategorien auch keine rechtlichen Aufbewahrungsfristen, wie z.B. für Protoll- oder Backupdaten.
Wenn Sie viele Verarbeitungen haben, würde ich an Ihrer Stelle so wie ich eine 2. Tabelle mit den Löschfristen und noch weiteren Daten zur Löschung anlegen. Sollten Sie sehr wenige Vearbeitungen haben, können Sie die Löschfristen auch direkt in die Spalte der Aufbewahrungsfristen mit eintragen, falls diese abweichend sein sollten.
Hinweis: die rechtlichen Grundlagen zum Nachweis der Rechtmäßigkeit der Verarbeitung habe ich in der Spalte „Rechtsgrundlage“ im erweiterten Teil des VVT aufgeführt.
Datenarten der Verarbeitung
Diese Spalte hilft Ihnen bei der besseren Trennung der personenbezogenen Daten. Denn da der Begriff „Datenkategorie“ sehr übergreifend und in der DSGVO nicht definiert ist, kommt es in meiner Beratungspraxis regelmäßig in den Fachbereichen zur totalen Verwirrung, wenn ich nur mit dem Begriff „Datenkategorie“ arbeite. So bediene ich mich der DIN 66398 und nutze die Datenarten.
Beispiel aus der Praxis: Sie haben die Verarbeitung „Personalmanagement“ mit sehr vielen Datenarten, u.a. den Datenarten Personalunterlagen, bAV-Unterlagen und Darlehensunterlagen. Jede dieser Datenart hat eine andere Aufbewahrungsfrist, eine andere Löschfrist und könnte in anderen Systemen liegen. Wenn Sie nun mit den Fachbereichen über die jeweilige Datenart reden, versteht jeder sofort, um welche Daten es sich handelt. Und sprechen Sie mit der IT über die Löschung dieser Daten, weiß auch diese (meist), was gemeint ist.
WICHTIGER HINWEIS: sollten Sie den VVT für ein größeres Unternehmen anlegen oder haben Sie einen strengen Auditor 😉 oder wollen Sie es sehr genau machen, empfiehlt sich folgendes Vorgehen: legen Sie für alle Verarbeitungen, die sehr viele Datenarten haben wie z.B. das Personalmanagement, einen 2. Tab im VVT an. Und hier hinterlegen Sie für jede Datenart in einer eigenen Zeile die Datenmerkmale (Name, Vorname usw.) und auch die genauen Prozesse rund um die Verarbeitung dieser Datenart. So wissen Sie GENAU, welche Daten sie wie verarbeiten und können auch später hier immer wieder nachschauen, auch bei Audits.
Wenn Sie über Änderungen und Erweiterungen dieser Vorlage durch z.B. neue Rechtssprechungen oder Praxiserfahrungen informiert werden möchten, melden Sie sich unverbindlich zu meinem Newsletter an:
Meinen Newsletter können Sie natürlich jederzeit wieder abbestellen.
Ihre E-Mail-Adresse wird nur für den Zweck der Erbringung des Newsletters verwendet, niemals für Werbezwecke von mir und natürlich nicht an Dritte weitergegeben.
Rechtsgrundlage
Erstaunlicherweise ist dies kein Pflichtelement laut DSGVO. Aber es bietet sich definitiv an, zu jeder Verarbeitungstätigkeit eine Rechtsgrundlage anzugeben. Sollte sich die Rechtsgrundlage auf eine Einwilligung beziehen, vermerken Sie, wo diese Einwilligung gespeichert ist.
Verwendete Software
Aus Gründen der Transparenz würde ich empfehlen, hier zu hinterlegen, welche Software Sie für die jeweilige Verarbeitungstätigkeit nutzen.
Dies ist auch wirklich hilfreich, wenn Sie einmal die Software austauschen müssen. Dann filtern Sie im VVT einfach nach der Software und Sie wissen sofort, für welche Verarbeitungstätigkeit diese genutzt wird.
Betroffenenrecht
Diese Spalten dienen Ihnen zur Kontrolle, ob Sie auch für jede Verarbeitungstätigkeit an alle Betroffenenrechte gedacht haben. Sie können diese somit auch nach der Kontrolle löschen oder aber auch als Nachweis stehen lassen.
Hinweis: Zur besseren Veranschaulichung würde ich eine grafische Darstellung der Betroffenen-Prozesse empfehlen. Am besten BPMN, es reicht aber auch jede andere anschauliche Darstellung und sei es auf ein Blatt Papier und dann eingescannt. Den Hinweis auf den Ablageort dieser Prozesse hinterlegen Sie dann im Tab „Übergreifende Regelungen“.
Kontaktieren Sie mich, falls Ihnen noch Hinweise fehlen, Sie noch Fragen oder auch Anregungen haben. Gern können Sie mir auch einen Kommentar bei meinem Blog-Artikel zur Vorlage hinterlassen.
Bitte haben Sie Verständnis dafür, dass EMODEON keinerlei Haftung für etwaige Fehler übernimmt und dies keine Rechtsberatung darstellt.
Wenn Sie die rechtlichen Anforderungen besser verstehen bzw. nachlesen möchten, habe ich Ihnen HIER eine Gegenüberstellung der rechtlichen Anforderungen mit den Empfehlungen der Datenschutzkonferenz, der Aufsichtsbehörden, Bitkom und GGD zu meiner EMODEON-Vorlage hinterlegt.
Und hier nun auch die rechtlichen Grundlagen aus der DSGVO zum Verzeichnis von Verarbeitungstätigkeiten:
Artikel 4: Begriffsbestimmungen
Im Sinne dieser Verordnung bezeichnet der Ausdruck:
(Quelle: www.dsgvo-gesetz.de)
Artikel 7: Bedingungen für die Einwilligung
(Quelle: dsgvo-gesetz.de)
Artikel 9: Verarbeitung besonderer Kategorien personenbezogener Daten
Zusammenfassung (für Unternehmen):
Die Verarbeitung personenbezogener Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person ist untersagt.
Dies gilt nicht, wenn
Diese Daten dürfen zu den oben genannten Zwecken aber nur verarbeitet werden, wenn diese Daten von Fachpersonal oder unter dessen Verantwortung verarbeitet werden und dieses Fachpersonal dem Berufsgeheimnis unterliegt, oder wenn die Verarbeitung durch eine andere Person erfolgt, die ebenfalls einer Geheimhaltungspflicht unterliegt.
(Quelle: dsgvo-gesetz.de)
Artikel 10: Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten
Zusammenfassung (für Unternehmen):
Die Verarbeitung personenbezogener Daten über strafrechtliche Verurteilungen und Straftaten oder damit zusammenhängende Sicherungsmaßregeln aufgrund von Artikel 6 Absatz 1 darf nur unter behördlicher Aufsicht vorgenommen werden. Ein umfassendes Register der strafrechtlichen Verurteilungen darf nur unter behördlicher Aufsicht geführt werden.
(Quelle: dsgvo-gesetz.de)
Artikel 13 - 21
Da es zu mühselig ist, jeden dieser einzelnen Artikel zu übernehmen, hier der Link auf die Gesetzestexte mit Start von Artikel 13:
(Quelle: dsgvo-gesetz.de)
Artikel 30: Verzeichnis von Verarbeitungstätigkeiten
Die Inhalte des Art. 30 habe ich schon im Blogartikel zusammengefasst.
(Quelle: dsgvo-gesetz.de)
Vorherige Versionen der VVT-Vorlage und was sich genau geändert hat:
Version 2.0
Da seit der Einstellung meiner ersten Version der VVT-Vorlage schon 5 Monate vergangen sind (und somit wieder diverse Löschkonzept-Projekte und Webinare beendet wurden), habe ich wieder neue Praxis-Erfahrungswerte sammeln können und meine Vorlage umfassend geändert. Hier die hauptsächlichen Änderungen:
Die Version 1.0 zum Vergleich finden Sie noch hier:
Version 2.1
Ich habe folgende Änderungen durchgeführt:
Die Version 2.0 zum Vergleich finden Sie noch hier:
Version 3.0
Ich habe folgende Änderungen durchgeführt:
Die Version 2.1 zum Vergleich finden Sie noch hier: