Verzeichnis von Verarbeitungstätigkeiten nach Art. 30 DSGVO
Dreh- und Angelpunkt für viele weitere vorgeschriebene Aktivitäten bzw. deren Grundlage ist das Verzeichnis von Verarbeitungstätigkeiten nach Art. 30 DSGVO. Die meisten dafür im Web zu findenden Vorlagen beziehen sich für gewöhnlich ausschließlich auf die Inhalte des Art. 30 DSGVO. Das ist zwar nicht verkehrt, hilft aber beim praktischen Arbeiten mit dem auch kurz VVT genannten Verzeichnis von Verarbeitungstätigkeiten wenig weiter.
Denn das VVT ist Grundlage für zahlreiche weitere notwendige Arbeitsschritte im Rahmen der DSGVO. So sind z.B. die Anforderungen aus den Informationspflichten nach Art. 13 und 14 DSGVO nur zu erfüllen, wenn ein aktuelles Verzeichnis von Verarbeitungstätigkeiten vorliegt bzw. mit weiteren wichtigen Angaben ergänzt wurde. Ebenso ist die Bearbeitung von Auskunftsanfragen nach Art. 15 DSGVO ohne ein aktuelles und erweitertes VVT kaum möglich. Und auch das Thema Auftragsverarbeitung ist hier mit involviert, wenn für die Durchführung der Verarbeitungstätigkeit externe Dienstleister mit im Spiel sind.
Aus diesem Grund sind auch die meisten Vorlagen der Datenschutzbehörden meist eher etwas für die “Ablage P”. Zwar sind damit die Grundanforderungen nach Art. 30 DSGVO irgendwie mehr oder weniger abgedeckt, aber praktisch arbeiten kann man damit so gut wie nicht. [Ironie an] Und auch die eigene Organisation freut sich, wenn nach der — oft doch sehr mühseligen — Erarbeitung des VVT man dauernd und immer wieder auf die Organisation im Ganzen oder in Teilen zurückgreifen muss, um Betroffenenrechte oder eine Auftragsverarbeitung zu klären. [Ironie off] Time is cash, Zeit ist Geld. Und wie heißt es so schön: “Do the things right the first time!” Alles, was man sich bei der Erstellung des VVT vermeintlich an Aufwänden spart, weil man den einfachsten Weg oder den Weg des geringsten Widerstandes geht, holt einen später mit 100%iger Sicherheit wieder ein. Daher haben wir hier die folgenden Empfehlungen / Links für Sie:
- Basis-Anforderungen zum Verzeichnis von Verarbeitungstätigkeiten nach Art. 30 DSGVO
- Blog-Beitrag: Verzeichnis von Verarbeitungstätigkeiten (VVT) sinnvoll und praktisch erstellen und einsetzen mit Mustervorlage
- Muster und Beispieleinträge von RA Hansen-Oest (Basis-Angaben)
- Einfache Muster mit Beispieleinträgen für VVT z.B. von Ärzten, Handwerkern und Vereinen (BayLDA)
- VVT im Beschäftigungsverhältnis: Eine Möglichkeit zur Umsetzung von der geschätzten RA Nina Diercks
Bei der unter 2. erwähnten Mustervorlage beachten Sie bitte, dass zur Erleichterung am Anfang durchaus über Anwendungen / Programme gearbeitet werden kann. Später sollte man jedoch dann geeignete Oberbegriffe verwenden und die eingesetzten Anwendungen nur noch als “Mittel der Verarbeitung” anführen. Die Vorlage kann sicher auch noch im Hinblick auf weitere Aspekte verbessert / optimiert werden. Dennoch ist diese deutlich pragmatischer und besser im Arbeitsalltag einzusetzen, als reine Vorlagen nach Art. 3o DSGVO mit den darin genannten Minimalangaben.
Sollten Links fehlerhaft sein oder nicht mehr funktionieren, schreiben Sie uns bitte.