GDD-Praxishilfe DS-GVO Va - Verzeichnis von Verarbeitungstätigkeiten - Verantwortlicher
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
Gesellschaft für Datenschutz und Datensicherheit e.V. GDD-Praxishilfe DS-GVO Va Verzeichnis von Verarbeitungstätigkeiten – Verantwortlicher
INHALT
1. Verzeichnis von Verarbeitungstätigkeiten für Verantwortliche
1.1 Ausgangspunkt DS-GVO.............................................................................................. 4
1.2 Zweck....................................................................................................................... 4
1.3 Terminologie: VVT im engeren und im weiteren Sinne................................................... 5
1.4 Verpflichtete............................................................................................................. 5
1.5 Führung des VVT durch Vertreter in der EU................................................................... 7
1.6 Formalien................................................................................................................. 7
1.7 Inhalte..................................................................................................................... 8
2. Muster von Aufsichtsbehörden...................................................................... 9
3. Organisation des VVT
3.1 Prämissen............................................................................................................... 10
3.2 Rollen..................................................................................................................... 10
3.3 Beispiel zur Gliederung / zum Aufbau einer Policy zum VVT........................................ 13
3.3.1 Zielsetzungen der Policy........................................................................................ 13
3.3.2 Integration der Policy im Unternehmen.................................................................. 13
3.3.3 Policy regelt: Verantwortlichkeit im Unternehmen................................................... 14
3.3.4 Policy legt fest: Vorlage zum Erstellen eines VVT..................................................... 14
3.3.5 Policy legt fest: Meldung einer Verarbeitung erfolgt durch/mittels............................ 14
3.3.6 Policy regelt: regelmäßige Kontrolle der Verarbeitungen und des VVT........................ 14
3.3.7 Policy legt fest: wer kommuniziert mit der Aufsichtsbehörde................................... 14
3.3.8 Checkliste Policy VVT............................................................................................ 16
4. Der DSB im Kontext des VVT........................................................................ 16
5. Anlage Muster für ein VVT............................................................................ 18
5.1 Muster Vorblatt für ein VVT...................................................................................... 19
5.2 M
uster Hauptblatt für ein VVT für Angaben zu den
einzelnen Verarbeitungstätigkeiten........................................................................... 21
6. Anlage Muster für eine Verarbeitungsmeldung. .................................... 26
7. Anlage Muster zum VVT von EU-Aufsichtsbehörden............................. 38VORWORT
Verzeichnis von Verarbeitungstätigkeiten –
Verantwortlicher
Die erste Auflage dieser Praxishilfe wurde in der Zeit vor dem Inkrafttreten der Datenschutz-
Grundverordnung (DS-GVO) verfasst. Im Vordergrund stand der Übergang vom Instrumenta-
rium des Bundesdatenschutzgesetzes in der bis zum 25. Mai 2018 geltenden Fassung (BDSG
a.F.) zu den Anforderungen der DS-GVO.
Seit der Veröffentlichung der ersten Auflage haben viele Unternehmen Erfahrungen mit der
Organisation des Verzeichnisses von Verarbeitungstätigkeiten (VVT) gewonnen. So kamen die
ersten Querschnittprüfungen der Datenschutzaufsichtsbehörden durch die LFD-Niedersachsen
und das LDA-Bayern im Jahr 2018 im Rahmen von Fragebogenaktionen zu dem Ergebnis, dass
die befragten Unternehmen im Bereich der VVTs „überwiegend gut aufgestellt“ waren.
Auch haben seitdem weitere Verbände und auch einige Aufsichtsbehörden in der EU Hilfe-
stellungen und Musterverzeichnisse für Unternehmen und Behörden zur Verfügung gestellt.
Die vorliegende Neubearbeitung der Praxishilfe soll nach wie vor die Begriffe und Grundlagen
des VVT erläutern. Dabei liegt der Schwerpunkt auf der praktischen Umsetzbarkeit für Unter-
nehmen jeglicher Größe.
In Auseinandersetzung mit den publizierten Beispielen der Aufsichtsbehörden werden Muster
für ein VVT und für die hierzu erforderlichen Verarbeitungsmeldungen entwickelt und erläutert.
Außerdem werden Empfehlungen für die Organisation des VVT im Unternehmen gegeben: Wer
erfasst die erforderlichen Informationen, sammelt, pflegt und aktualisiert sie und wie kann
dieser Prozess im Rahmen einer „Policy zum VVT“ geregelt werden?
Für den fachlichen Rat bei der Erstellung dieser Praxishilfe dankt die GDD:
>> Michael Gutjahr >> R
echtsanwalt Thomas Müthlein
Referent Datenschutz, innogy SE DMC Datenschutz Management +
Consulting GmbH + Co KG,
>> Stefan Hardelt GDD-Vorstand
Unternehmensberatung Datenschutz
>> D
irk Niedernhöfer
>> Rechtsanwalt Berthold Meyer Geschäftsführer adreko GmbH /
externer Datenschutzbeauftragter
GDD-Praxishilfe DS-GVO Va / Stand: März 2020 31. Verzeichnis von Verarbeitungs Verarbeitung nach Treu und Glauben, Transparenz,
tätigkeiten für Verantwortliche Zweckbindung, Datenminimierung, Richtigkeit,
Speicherbegrenzung, Integrität und Vertraulich-
1.1 Ausgangspunkt DS-GVO keit) einzuhalten und die Einhaltung dieser Grund-
sätze nachzuweisen.
Nach Art. 30 Abs. 1 DS-GVO muss jeder Verantwort-
liche ein „Verzeichnis von Verarbeitungstätigkei- Der Nachweis im Rahmen des notwendigen Daten-
ten“ (im Folgenden abgekürzt: „VVT“) führen. schutz-Managements erfordert also die systemati-
sche betriebsinterne Erfassung von deutlich mehr
Das Verzeichnis enthält
Angaben und Informationen als in Art. 30 Abs. 1
>> e inige allgemeine Angaben zum Verantwort- DS-GVO für das VVT vorgeschrieben wird. Zum Bei-
lichen (Art. 30 Abs. 1 lit a DS-GVO), spiel auch das Vorhandensein von Einwilligungen
>> e ine Auflistung aller „Verarbeitungen“ (Art. 7 Abs. 1 DS-GVO), die Ordnungsmäßigkeit der
(Art. 4 Ziff. 2 DS-GVO), die in seinem Zu- gesamten Verarbeitung (Art. 24 Abs. 1 DS-GVO)
ständigkeitsbereich liegen, und das Ergebnis von Datenschutz-Folgenabschät-
zungen (Art. 35 Abs. 7 DS-GVO) muss der Verant-
>> m
it spezifischen Angaben zu den einzelnen
wortliche durch entsprechende Dokumentationen
Verarbeitungstätigkeiten (Zwecke, Datenka-
nachweisen können.
tegorien, Betroffenenkategorien, Empfän-
ger, Drittlandübermittlungen, Löschfristen, Die deutschen Aufsichtsbehörden sehen das VVT als
technisch/organisatorische Maßnahmen zentralen Bestandteil der Dokumentation und als
Art. 30 Abs. 1 lit b – g DS-GVO). „Herzstück jedes Datenschutzkonzeptes“ 1, mit dem
insbesondere auch zusätzlich:
1.2 Zweck >> d ie Festlegung der Verarbeitungszwecke
nach Art. 5 Abs. 1 lit. b DS-GVO,
Das VVT dient hauptsächlich zum Nachweis der Ein-
haltung der DS-GVO (Erwägungsgrund 82 DS-GVO) >> d ie geeigneten technischen und organisa-
und ist damit ein Instrument der „Rechenschafts- torischen Maßnahmen nach Art. 24 Abs. 1
pflicht“ (Art. 5 Abs. 2 DS-GVO). Es ist auf Anfrage und Art. 32 DS-GVO,
der Aufsichtsbehörde vorzulegen, damit die Behör- >> d ie Notwendigkeit und die Durchführung
de die Verarbeitungsvorgänge anhand des Verzeich- von Datenschutzfolgenabschätzung nach
nisses kontrollieren kann (Art. 30 Abs. 4 DS-GVO; Art. 35 DS-GVO
Erwägungsgrund 82 DS-GVO).
dokumentiert werden können und gehen damit über
Die Rechenschaftspflicht des Verantwortlichen die Anforderungen des Art. 30 Abs. 1 DS-GVO hin-
im Sinne von Art. 5 Abs. 2 DS-GVO ist umfassend aus.
und legt ihm die Verpflichtung auf, alle Grund-
sätze des Art. 5 Abs. 1 DS-GVO (Rechtmäßigkeit,
1 Siehe z.B.: https://lfd.niedersachsen.de/download/149301.
GDD-Praxishilfe DS-GVO Va / Stand: März 2020 4Ohne eine umfassende und strukturierte Dokumen- Greift man den veränderten Sprachgebrauch der
tation dürften auch die Beratungs- und Überwa- DS-GVO auf, liegt es nahe, das Verzeichnis nach
chungspflichten des Datenschutzbeauftragten (im Art. 30 Abs. 1 DS-GVO als „Verarbeitungsverzeich-
Folgenden: „DSB“) nach Art. 39 DS-GVO kaum um- nis“ zu bezeichnen (siehe Bitkom2). In diesem
setzbar sein. Sinne wird in der vorliegenden Praxishilfe termino-
logisch unterschieden zwischen:
Allerdings sollten sowohl terminologisch als auch
inhaltlich: >> d em „Verzeichnis der Verarbeitungstätigkei-
ten im engeren Sinne“ (= VVT bzw. „VVT-
>> d ie Erfüllung der speziellen Dokumentati-
ieS“): es enthält nur die in Art. 30 Abs. 1
onspflichten aus Art. 30 Abs. 1 DS-GVO
DS-GVO ausdrücklich geforderten Pflichtin-
>> u nd die Funktion eines solchen Verzeich- halte
nisses als Strukturelement für die Erfassung
>> u nd dem „Verzeichnis der Verarbeitungstä-
weiterer Angaben
tigkeiten im weiteren Sinne“ (= „VVT-iwS“):
immer deutlich unterschieden werden. es umfasst das VVT-ieS sowie weitere An-
Das VVT nach Art. 30 Abs. 1 DS-GVO sollte nicht gaben, die zur Erfüllung der datenschutz-
überfrachtet werden und beispielsweise von der all- rechtlichen Nachweispflichten erforderlich
gemeinen Informationssicherheit und ihren Über- sind und bildet den Grundbestand unterneh-
sichten klar getrennt bleiben. mensinterner Datenschutzdokumentation3.
Da das VVT mit der Weitergabe an die Aufsichts- Der Verantwortliche sammelt die notwendigen An-
behörde das Unternehmen verlässt (Art. 30 Abs. 4 gaben, die in das VVT einfließen, in einem internen
DS-GVO), sollte es auch keine schutzbedürftigen, Dokument, das im Folgenden als „Verarbeitungs-
internen Informationen im Zusammenhang mit den meldung“ bezeichnet wird.
IT-Sicherheitsmaßnahmen (z.B. Implementations-
details technischer Sicherheitsmaßnahmen) ent- 1.4 Verpflichtete
halten. In der Regel müssen alle Verantwortlichen (Unter-
nehmen/Legaleinheiten/Behörden etc.) ein VVT
1.3 Terminologie: VVT im engeren und im
führen.
weiteren Sinne
Für das Verzeichnis nach dem Bundesdatenschutz-
gesetz in der bis zum 25. Mai 2018 geltenden Fas-
sung (BDSG a.F.) hatte sich der Begriff „Verfahrens-
verzeichnis“ etabliert.
2 Bitkom (Hrg.), Das Verarbeitungsverzeichnis, Berlin 2017, S. 7.
3D
as VVT-iwS wird in der Bitkom-Broschüre „erweitertes Verarbei-
tungsverzeichnis“ genannt.
GDD-Praxishilfe DS-GVO Va / Stand: März 2020 5Gem. Art. 30 Abs. 5 DS-GVO ist diese Pflicht zwar schutzgruppe auf das WP 2626. Danach darf eine
beschränkt auf Unternehmen mit einer Größe ab Verarbeitungstätigkeit nicht regelmäßig erfolgen
250 Mitarbeitern, allerdings wird die Einschrän- und muss sich außerhalb gewöhnlicher Abläufe
kung durch zahlreiche Rückausnahmen wieder ein- zutragen, beispielsweise unter zufälligen, unvor-
geschränkt. Die Pflicht zur Führung des VVT besteht hergesehenen Umständen und in beliebigen Zeit-
auch bei kleineren Unternehmen, wenn alternativ abständen.
>> die Verarbeitung mit einem besonderen Die Ausnahmeregelung läuft in der Praxis daher
Risiko verbunden ist oder weitgehend ins Leere.
>> sensible Daten (Art. 9 und 10 DS-GVO) Nicht nur den „Verantwortlichen“ trifft die Pflicht
verarbeitet werden oder zur Führung des VVT (Art. 30 Abs. 1 DS-GVO), son-
dern nach Art. 30 Abs. 2 DSG-GVO hat auch der
>> nicht nur gelegentlich verarbeitet wird.
„Auftragsverarbeiter“ ein spezielles Verzeichnis
Allerdings lebt in diesen Fällen die Pflicht zur Do- (VVT für Auftragsverarbeiter – „VVT-AV“) zu füh-
kumentation im VVT nur für die Verarbeitungen wie- ren. Dies macht im Wesentlichen die Beziehungen
der auf, auf die eine der drei genannten Gegenaus- zwischen Kunden des Auftragsverarbeiters und sei-
nahmen zutrifft.4 nen angebotenen Leistungen transparent. Da sich
Wenn ein Verantwortlicher also „regelmäßig“ per- dessen Ausgestaltung fundamental vom VVT eines
sonenbezogene Daten verarbeitet, ist er unabhän- Verantwortlichen unterscheidet, wird auf diese spe-
gig von der Mitarbeiterstärke betroffen. Die „nicht zielle Form des Verzeichnisses in dieser Praxishilfe
nur gelegentliche“ Verarbeitung erläutern die Auf- nicht weiter eingegangen.7
sichtsbehörden am Beispiel der Verarbeitung von
Mitarbeiterdaten. Hier sei es auch bei kleinen Un- Die Verantwortlichkeit für Verar-
ternehmen wahrscheinlich, dass sie regelmäßig Da- beitungen, die im Rahmen einer
ten über ihre Mitarbeiter verarbeiten. Eine solche Auftragsverarbeitung ausgelagert
Verarbeitung sei dann nicht nur als „gelegentlich“ werden, verbleibt beim Verantwort-
anzusehen und muss daher in das VVT aufgenom- lichen. Der Verantwortliche hat diese
men werden.5 Verarbeitungen in seinem VVT zu
dokumentieren! Das VVT des Auf-
Zur Definition einer nur „gelegentlichen“ Verarbei- tragsverarbeiters hat für ihn keiner-
tungstätigkeit bezieht sich die Artikel-29-Daten- lei Bedeutung!
6 WP 262 Guidelines on Article 49 of Regulation 2016/679 vom
06.02.2018, https://ec.europa.eu/newsroom/article29/item-
detail.cfm?item_id=614232, übergeleitet in EDSA, Leitlinien 2/2018
4 S. Artikel-29-Datenschutzgruppe, Positionspapier vom zu den Ausnahmen nach Artikel 49 der Verordnung 2016/679 vom
19.04.2018, Position Paper on the derogations from the obli- 25.05.2018, https://edpb.europa.eu/our-work-tools/our-docu-
gation to maintain records of processing activities pursuant to ments/smjernice/guidelines-22018-derogations-article-49-under-
Article 30(5) GDPR, https://ec.europa.eu/newsroom/article29/ regulation_de.
item-detail.cfm?item_id=624045. 7 S. hierzu GDD-Praxishilfe DS-GVO Vb – Verzeichnis von Verarbei-
5 S. Positionspapier a.a.O. tungstätigkeiten – Auftragsverarbeiter (https://www.gdd.de/down-
loads/praxishilfen/GDDPraxishilfe_5bVVTAuftragsverarbeiter.pdf)
GDD-Praxishilfe DS-GVO Va / Stand: März 2020 6Allerdings entbindet das VVT-AV einen Auftragsver- 1.6 Formalien
arbeiter nicht von seiner Verpflichtung, als Verant-
Das VVT darf in einem elektronischen Format ge-
wortlicher seiner eigenen Verarbeitung personen-
führt werden. Wegen der Vorlagepflicht gegenüber
bezogener Daten ein VVT nach Art. 30 Abs. 1 DS-GVO
der Aufsichtsbehörde in Art. 30 Abs. 4 DS-GVO muss
für die eigenen Geschäftsprozesse zu führen.
es in elektronischer oder gedruckter Form expor-
tierbar sein. Damit ist eine einfache Zusammenstel-
1.5 Führung des VVT durch Vertreter in der EU
lung von internen Hyperlinks nicht tauglich, wohl
Entsprechend dem in Art. 3 Abs. 2 DS-GVO nieder- aber ein Dokument, das auf beigefügte Anlagen
gelegten Marktortprinzip findet die DS-GVO selbst verweist.
dann Anwendung auf die Verarbeitung personenbe-
Aus dem Sinn des Gesetzes ergibt sich, dass das
zogener Daten, wenn sie durch einen nicht in der
Verzeichnis dem aktuellen Stand entsprechen soll.
Union niedergelassenen Verantwortlichen vorge-
Eine Versionierung oder die Bereithaltung einer
nommen wird. Dies gilt, „wenn die Datenverarbei-
Historie ist, auch wenn sie ggf. hilfreich sein kann,
tung im Zusammenhang damit steht, betroffenen
gesetzlich nicht gefordert.
Personen in der Union Waren oder Dienstleistungen
anzubieten … oder das Verhalten betroffener Per- Das gilt auch für die Frage, ob eine Verarbeitungs-
sonen zu beobachten, soweit ihr Verhalten in der meldung oder das Verzeichnis unterschrieben wer-
Union erfolgt“. den muss. Abgesehen davon, dass es bei der ge-
setzlich freigestellten elektronischen Führung
Um des Verantwortlichen außerhalb der Union je-
schwer umzusetzen ist, gibt es auch hierfür keine
doch überhaupt habhaft werden zu können, trifft
gesetzlichen Anforderungen.
diesen gem. Art. 27 Abs. 1 DS-GVO die Pflicht,
schriftlich einen Vertreter zu bestellen, der inner-
Das VVT wird in einer der europäi-
halb der Union niedergelassen sein muss.
schen Sprachen geführt. Dies kann
Gem. Art. 27 Abs. 4 DS-GVO soll der Vertreter in der eine Konzernsprache sein, da der
Union für Aufsichtsbehörden und betroffene Perso- Verantwortliche das VVT im Wesent-
nen bei sämtlichen Fragen im Zusammenhang mit lichen zu eigenen Zwecken führt.
der Verarbeitung zur Gewährleistung der Einhaltung Aus der DS-GVO ergibt sich keine
dieser Verordnung als Anlaufstelle dienen. Pflicht, das VVT in der Amtssprache
der jeweiligen Aufsichtsbehörde
Aus diesem Grunde hat der Vertreter in der Union vorzuhalten, insbesondere kann der
das VVT vorzuhalten. Hierbei handelt es sich um Verantwortliche im Vorhinein nie si-
inhaltsgleiche Duplikate, sodass insoweit auf die cher wissen, welche Behörde gerade
obigen Ausführungen verwiesen werden kann. federführend ist.8
8 Das BayLDA geht davon aus, dass auf Anfrage der Behörde eine
Übersetzung in der jeweiligen Amtssprache bereitzustellen sei
(unveröffentlichte Stellungnahme). Diese Auffassung entbehrt
jedoch einer gesetzlichen Grundlage, insbesondere ist in ErwGr
82 ausdrücklich nur von „dem“ (also einem einheitlichen)
Verzeichnis die Rede.
GDD-Praxishilfe DS-GVO Va / Stand: März 2020 7Das VVT steht nur für interne Zwecke und auf An- >> die Kategorien von Empfängern, gegenüber
frage der zuständigen Aufsichtsbehörde zur Verfü- denen die personenbezogenen Daten offen-
gung, es muss also nicht veröffentlicht oder für gelegt worden sind oder noch offengelegt
Betroffene einsehbar gemacht werden. werden;
>> ggf. Übermittlungen von personenbezoge-
1.7 Inhalte nen Daten an ein Drittland oder an eine in-
Das VVT ist nicht als Auflistung einzelner Verar- ternationale Organisation
beitungsvorgänge, sondern als prozessorientierte > einschließlich der Angabe des betreffen-
Übersicht zu verstehen9. den Drittlands oder der betreffenden in-
ternationalen Organisation;
So betont auch der EuGH in der Entscheidung
> bei den in Art. 49 Abs. 1 UAbs. 2 DS-GVO
„Fashion-ID“10 noch einmal, dass unter „Verarbei-
genannten Datenübermittlungen die Do-
tungen“ eine Reihe von aufeinanderfolgenden Vor-
kumentierung geeigneter Garantien;
gängen verstanden wird. D.h., eine Verarbeitung im
Sinne der DS-GVO stellt einen Prozess dar. Mithin >> [wenn möglich,] die vorgesehenen Fristen
hat auf dieser Ebene eines Prozesses dessen Doku- für die Löschung der verschiedenen Daten-
mentation im VVT zu erfolgen. Entscheidend ist da- kategorien;
bei, dass über das VVT der einzelne Verarbeitungs- >> [wenn möglich,] eine allgemeine Beschrei-
prozess zu identifizieren ist. bung der technischen und organisatorischen
Die Inhalte des VVT für Verantwortliche ergeben Maßnahmen gem. Art. 32 Abs. 1 DS-GVO.
sich aus Art. 30 Abs. 1 DS-GVO und umfassen11:
>> den Namen und die Kontaktdaten Vorsicht vor der Formulierung
> des Verantwortlichen; „wenn möglich“ in Art. 30 Abs. 1
> ggf. des gemeinsam mit ihm lit. f und g DS-GVO: Es wird er-
Verantwortlichen; wartet, dass diese Informationen
vorliegen.
> ggf. des Vertreters in der EU;
> ggf. des Datenschutzbeauftragten beim
> Verantwortlichen; Die im Zusammenhang mit der Weitergabe von per-
sonenbezogenen Daten an Stellen in Drittländern
>> die Zwecke der Verarbeitung;
geforderte Dokumentation der „Garantien“ ist in re-
>> die Kategorien betroffener Personen; gulären Prozessen entbehrlich. Entsprechende Ga-
>> die Kategorien personenbezogener Daten; rantien sind ausschließlich in den Fällen des Art. 49
Abs. 1 Unterabsatz 2 DS-GVO zu dokumentieren.
Die auf diese Regelung gestützten Weitergaben er-
9 Das Verständnis des Verfahrensbegriffs als Bündel von folgen nicht wiederholt. Die zu dokumentierenden
Verarbeitungsschritten, wie es in Art. 18 Abs. 1 RL 95/46/EG
niedergelegt war, lebt insoweit fort.
Prozesse sind hingegen gerade auf Wiederholung
10 EuGH, Urteil vom 29.07.2019 - C-40/17 - Fashion ID, angelegt.
http://curia.europa.eu/juris/document/document.jsf?text=&d
ocid=216555&pageIndex=0&doclang=DE&mode=req&dir=&occ
=first&part=1.
11 S. im Einzelnen zur Ausgestaltung des VVT unter Kapitel
„5. Anlage Muster für ein VVT“.
GDD-Praxishilfe DS-GVO Va / Stand: März 2020 8nigen Stichworten zu füllende Tabellenblätter mit
Eine Dokumentation weiterer den (Mindest-)Angaben des Art. 30 Abs. 1 DS-GVO
Garantien, wie zum Beispiel eines zur Verfügung, s. z.B. Frankreich, Luxemburg und
Angemessenheitsbeschlusses der Belgien.
Kommission oder durch Standard-
vertragsklauseln kann sinnvoll Soweit einheitliche Vorgaben für ein VVT in einem
sein, um den Accountability- und EU-weit vertretenen Konzern gemacht werden sol-
Transparenzpflichten ggü. Betrof- len, sollten die unterschiedlichen Modelle an den
fenen nachkommen zu können. jeweiligen nationalen Standorten berücksichtigt
werden. Dies ist im Hinblick auf die unterschied-
lichen Ausprägungen/Erwartungen der jeweiligen
2. Muster von Aufsichtsbehörden nationalen Aufsichtsbehörden auf der einen und
Die einheitliche Dokumentation der Verarbeitungen der Akzeptanz in den jeweiligen nationalen Gesell-
im VVT ist bislang (Stand 01.2020) noch nicht Ge- schaften auf der anderen Seite, angeraten.
genstand der Guidelines des Europäischen Daten-
Allen Mustern der Aufsichtsbehörden wie auch von
schutzausschusses (EDSA). Insofern liegen noch
Verbänden12 oder Softwareherstellern gemein ist es,
keine einheitlichen Vorschläge bzw. Muster der Auf-
dass es sich um unverbindliche Empfehlungen han-
sichtsbehörden der EU-/EWR-Staaten vor.
delt. Das in Kapitel „5. Anlage Muster für ein VVT“
Allerdings haben mittlerweile viele nationale Auf- vorgestellte Muster beschränkt sich z.B. nur auf die
sichtsbehörden eigenständige Hinweise und Muster „Pflichtangaben“ des Art. 30 Abs. 1 DS-GVO auf
als Hilfestellungen für Unternehmen und Behörden Verarbeitungs-/Prozessebene (also das VVT-ieS),
ihres jeweiligen nationalen Zuständigkeitsbereichs während in Kapitel „6. Anlage Muster für eine Ver-
auf ihren Webseiten veröffentlicht. Eine diesbe- arbeitungsmeldung“ ein Muster mit zusätzlichen
zügliche Übersicht findet sich – ohne Anspruch auf Aspekten zur Dokumentation der Rechtmäßigkeit
Vollständigkeit – unter „7. Anlage Muster zum VVT insbes. einzelner Vorgänge (Verarbeitungsschritte/
von EU-Aufsichtsbehörden“. In der Regel handelt Teilprozesse) vorgestellt wird.
es sich hierbei um ein Muster zu Art. 30 Abs. 1
DS-GVO, also zum VVT des Verantwortlichen.
Bei der Auswahl eines Musters
Vergleicht man diese Muster miteinander, so stellt sollte daher auf Kompatibilität der
man eine recht große Bandbreite sowohl im Hin- eigenen Zielsetzung (z.B. Erfüllung
blick auf Detailtiefe der Dokumentation als auch der reinen Anforderungen des
bezüglich zusätzlicher – über die Anforderungen Art. 30 DS-GVO oder der Doku-
des Art. 30 Abs. 1 DS-GVO hinausgehender – Doku- mentation der Rechtmäßigkeit von
mentationen im VVT fest, es handelt sich also um Verarbeitungen) und der jeweiligen
Intention des Muster-Erstellers
Muster für das VVT-iwS.
geachtet werden!
Während z.B. das Muster der DSK (Deutschland)
umfangreich und detailliert ausgestaltet ist, stellen
viele andere Aufsichtsbehörden in der EU mit we-
12 S. z. B. die Muster der GMDS die speziell auf die Anforderun-
gen des Gesundheitswesens abstellen unter https://gesund-
heitsdatenschutz.org/download/Verarbeitungstaetigkeitenver-
zeichnis_Verantwortlicher.docx
GDD-Praxishilfe DS-GVO Va / Stand: März 2020 93. Organisation des VVT
3.1 Prämissen
Das VVT ist die grundlegende Dokumentation un- Die Muster unter Kap. „5. Anlage Muster für
ter der DS-GVO – die Datenschutz-Basis des Unter- ein VVT“ können z.B. für die zentrale Führung des
nehmens bzw. der Behörde oder des Vereins. Das VVT-ieS genutzt werden.
gilt auch und gerade mit Blick auf weitergehende
Für die Meldung/Aktualisierung der im VVT doku-
Accountability-Pflichten unter der DS-GVO. Das VVT
mentierten Verarbeitungen können Meldeformulare
kann aber in der Praxis nur erstellt und aktuell ge-
(„Verarbeitungsmeldung“), die beispielsweise von
halten werden, wenn:
der Fachabteilung ausgefüllt und an die führende
1. V erantwortlichkeiten und Kommunikations- Stelle weitergeleitet werden, ein sinnvolles Werk-
wege festgelegt, zeug sein (s. Kap. „6. Anlage Muster für eine Verar-
2. F ormate definiert und beitungsmeldung“).
3. P rüfroutinen erstellt und durchgeführt Prüfroutinen im Sinne eines Datenschutz-Manage-
werden. ments stellen sicher, dass das VVT die Datenschutz-
Realität im Unternehmen / in der Behörde spiegelt.
In der Praxis hat es sich bewährt, zur Erreichung
dieser Ziele eine eigene Policy VVT einzuführen 3.2 Rollen
(s. Beispiel in Kap. „3.3 Beispiel zur Gliederung /
Mit Blick darauf, dass die Erstellung und Führung
zum Aufbau einer Policy zum VVT“).
des VVT direkt der Verantwortung des Unterneh-
Alle Prozesse, die im Unternehmen eine Verarbei- mens bzw. der Behörde obliegt, sollten die Anga-
tung personenbezogener Daten beinhalten, müssen ben zum Verzeichnis durch das Unternehmen / die
dezentral als Verarbeitungsmeldungen erfasst und Behörde bzw. – im Wege der Delegation – durch
an eine zentrale Stelle mit dem Ziel der Zusammen- die einzelnen Fachbereiche (als meldende, dezent-
führung in einem Verzeichnis, dem VVT, gemeldet rale Stellen) an eine zentrale Stelle weitergegeben
werden. Ebenso müssen Veränderungen kommuni- werden.
ziert werden, um das VVT aktuell zu halten. Insbe-
Es besteht also eine Bringschuld für die notwendi-
sondere hierauf bezieht sich die Delegation der Ver-
gen Informationen und hierzu die Etablierung einer
antwortlichkeiten und der Kommunikationswege.
entsprechenden Organisationsstruktur in Richtung
Im Rahmen der Definition der Formate sind die der zentralen Führung.
Vorgaben für das VVT an sich zu machen, also soll
„nur“ ein VVT-ieS geführt werden oder sollen hier
auch die erweiterten Angaben des VVT-iwS do-
kumentiert werden, um den Accountability- und
Transparenzpflichten gegenüber Aufsichtsbehörden
und Betroffenen nachkommen zu können.
GDD-Praxishilfe DS-GVO Va / Stand: März 2020 10Regelungen zur
>> Verantwortlichkeit
>> Durchführung (Detailierung)
>> Dokumentation
>> Verbindung / Abgrenzung zu anderen Dokumentationspflichten
>> Durchsetzung
Unternehmen Bereitstellung von Mustern / Tools / Anleitungen
Umsetzungsverantwortung
>> auf der Grundlage der Organisationsanweisungen und Muster
>> Erstellung
>> Pflege
Prozessverantwortlicher
Führung und Prüfung
>> Zentrale Führung des VVT
>> Plausibilitätsprüfung
>> Aktualität und Vollständigkeit
>> Zur Verfügungstellung an Aufsicht bei Anforderung
Zentrale Stelle
Abb.: Rollenverteilung zur Implementierung eines VVT (nach Herweg/Müthlein, Die Überwachungsaufgabe
des Datenschutzbeauftragten nach DS-GVO, 2020)
GDD-Praxishilfe DS-GVO Va / Stand: März 2020 11In der Datenschutz-Praxis bedeutet die gesetzliche >> Datenschutzbeauftragter
Vorgabe des VVT zuerst einmal, das nötige Bewusst- Der DSB nutzt das VVT, um seiner Überwa-
sein und die Kenntnis der gesetzlichen Anforderun- chungsaufgabe nachkommen zu können. Er be-
gen in der verantwortlichen Stelle zu schaffen. Hier rät beim Aufbau und bei der Abgrenzung der
kann die bereits angesprochene Policy VVT unter- zu dokumentierenden Prozesse. Er kann, muss
stützen. Danach sind die folgenden Rollen betei- aber nicht, auch die zentrale, das VVT führende
ligt: Stelle sein (s.a. Kap. „4. Der DSB im Kontext
>> Meldende Stelle/n – die Bereiche, die Ver- des VVT“).
arbeitungen planen und ausführen oder >> Einsichtnehmende Stelle
steuern
Im Fall einer Prüfung durch eine Aufsichtsbe-
In einem Unternehmen / einer Behörde wer- hörde hat (nur) diese das Recht, sich das VVT
den es meist die Fachbereiche sein, die eine vorlegen zu lassen. Zu einer Regelung der Ver-
Verarbeitung planen und umsetzen. Hier muss antwortlichkeiten bei der Erstellung und Füh-
der Informationsfluss zur zentralen Stelle für rung des VVT sollte unbedingt auch gehören,
die Führung des VVT funktionieren. Die ver- wer im Falle einer Prüfung durch eine Aufsichts-
antwortliche Stelle muss daher festlegen, wer behörde die Kommunikation mit dieser über-
wann eine Verarbeitung in welcher Form als nimmt und Einsichtnahme in oder Übergabe des
eine Bringschuld in Richtung der zentralen, das VVT steuert. Dies ist keine dem DSB gesetzlich
VVT-führenden Stelle meldet. Bewährt hat sich zugewiesene Rolle. Er sollte aber zumindest in
ein Meldeformular für Erstmeldung und Aktua- die Kommunikation eingebunden werden, da
lisierungen (Verarbeitungsmeldung, s.a. Kap. die Zusammenarbeit mit der Behörde zu seinen
„6. Anlage Muster für eine Verarbeitungsmel- gesetzlich festgelegten Aufgaben gehört.
dung“).
>> Zentrale Stelle – der Bereich oder die Person,
Genauso wie das Unternehmen
die das VVT führt und verwaltet oder die Behörde selbst entwickelt
Durch den Verantwortlichen wird festgelegt, wer sich das VVT. Es ist daher ebenfalls
eingehende Informationen über Verarbeitun- best practice, dieses regelmäßig zu
gen prüft und diese ggf. in das VVT übernimmt prüfen und anzupassen. Das kann
und dieses verwaltet. Datenschutz-Koordinator beispielsweise im Rahmen eines
(DS-Ko) oder DSB sind hier lediglich Optionen. IT-Ausschuss oder beim Treffen
Dabei ist die zentrale Stelle auf den Informati- eines Datenschutz-Teams erfolgen,
onsfluss durch die meldenden Stellen als deren indem man die Prüfung des VVT
regelmäßig auf die Tagesordnung
Bringschuld angewiesen.
setzt. Auch die zuführenden Stellen
sollten regelmäßig die „gelieferten“
Verarbeitungen auf Aktualität
prüfen.
GDD-Praxishilfe DS-GVO Va / Stand: März 2020 12Erstellung Muster Zentrales
Verarbeitungs- VVT
meldung Einmeldung (i.w.S.)
Verzeichnis-
Fachbereich führende Stelle
Kontrolle Pflege Kontrolle Pflege
Das VVT wird zentral geführt aber dezentral erstellt und gepflegt. Es ist denzentral
(i.d.R. durch die Fachbereiche) sicherzustellen, dass die „Verarbeitungstätigkeiten“
personenbezogener Daten stets aktuell gemeldet sind.
Abb.: Erstellung, Pflege und Führung eines VVT (nach Herweg/Müthlein, Die Überwachungsaufgabe
des Datenschutzbeauftragten nach DS-GVO, 2020)
3.3 Beispiel zur Gliederung / zum Aufbau oder -Richtlinie. Es ist daher zu entscheiden, ob
einer Policy zum VVT eine Policy VVT in eine bereits bestehende Policy
3.3.1 Zielsetzungen der Policy eingebracht oder als eigenständige Policy daneben
gestellt wird.
Eine Policy VVT soll:
Da es vermutlich oft die Leiter der Fachbereiche sein
1. Verantwortlichkeiten zur Meldung von Verarbei-
werden, die in neue Verarbeitungen involviert sind,
tungen, sowie der Erstellung und Aktualisierung
könnte es ausreichen, diesen die Policy bekannt zu
des VVT festlegen und kommunizieren;
machen, um die Mitarbeiter nicht mit Datenschutz-
2. die Form der Dokumentation verbindlich fest-
Informationen und -Policies zu überfrachten.
legen;
Beispiel:
3. den Informationsfluss zum Erstellen und Aktua-
lisieren des VVTs in den Unternehmens-/Behör- Policy VVT Bekannt Verteiler
denprozessen verankern. gemacht am
3.3.2 Integration der Policy im Unternehmen Enthaltenin 17.05.2018 alle
Im Unternehmen / in der Behörde existieren mut- Datenschutz- Mitarbeiter
maßlich bereits eine oder mehrere Policies oder Handbuch
Richtlinien zur Verankerung des Datenschutzes im Version1.1
Unternehmen, etwa als Datenschutz-Handbuch
GDD-Praxishilfe DS-GVO Va / Stand: März 2020 133.3.3 Policy regelt: Verantwortlichkeit im
Unternehmen
Verantwortlich für den Datenschutz im Unterneh- Beispiel:
men / in der Behörde und auch für das Erstellen
VVT wird geführt Zugriffsberechti
des VVT ist als Normadressat der Verantwortliche,
von / Meldung an gungen VVT
also das jeweilige Unternehmen oder die Behörde
vertreten durch ihre Leitung. Im Rahmen der Policy Datenschutzkoordinator atenschutzbeauf
D
ist diese Verantwortung auf operative Bereiche zu tragter Geschäftsführer
delegieren. Dabei sind zumindest folgende Verant-
wortlichkeiten zu bestimmen (s.a. 3.2 Rollen): 3.3.4 P
olicy legt fest: Vorlage zum Erstellen
eines VVT
>> Z entrale Stelle – der Bereich oder die Person,
die das VVT führt und verwaltet Es gibt unterschiedliche Vorlagen für das VVT, z.B.
unter „5. Anlage Muster für ein VVT“. Sinnvoll er-
>> M
eldende Stelle/n – die Bereiche, die Verarbei-
scheint, sich für eine Vorlage als festes Format zu
tungen planen und ausführen oder steuern
entscheiden und diese dann konsequent und ein-
>> D
atenschutzbeauftragter
heitlich für alle identifizierten Verarbeitungen im
>> E insichtnehmende Stelle Unternehmen anzuwenden.
Die das VVT führende Stelle als zentrale Stelle ist
Beispiel:
auf den Informationsfluss der jeweils die Verarbei-
tungen ein- und durchführenden Fachabteilung (als Vorlage zur Speicherort
meldende Stellen – Bringschuld) angewiesen. Die Beschreibung
Policy VVT trifft hier eine klare Regelung und für der Verarbeitung
den Fall eines Ausfalls oder Wechsels entsprechende Vorlagevvt_gdd2019. Datenschutz:\vvt
Zugriffsberechtigungen für weitere Ansprechpartner docx
im Unternehmen.
In der Praxis wird die VVT führende Stelle als zen- Sprache/n Export möglich als
trale Stelle oft vom DS-Ko oder DSB geführt, auch Deutsch > Ausdruck
>
wenn dies nur zwei Optionen sind. Es wird folgen- >> pdf
der Vorteil gesehen: diese haben die Fachkunde zu
entscheiden, ob eine Verarbeitung in das VVT über- 3.3.5 P
olicy legt fest: Meldung einer
nommen wird oder vielleicht doch eher Teil eines Verarbeitung erfolgt durch/mittels
bereits beschriebenen Prozesses ist. Alle Verarbeitungen, die personenbezogene Daten
beinhalten, sind der zentralen Stelle zu melden. In
der Praxis hat sich dafür ein einheitliches Meldefor-
mular bewährt (s. z.B. „6. Anlage Muster für eine
Verarbeitungsmeldung“, das neben den Pflichtan-
GDD-Praxishilfe DS-GVO Va / Stand: März 2020 14gaben zum VVT auch weitere Angaben zur Rechen-
schaftspflicht enthält). Neben der Dokumentation Ist im Unternehmen beispielsweise
ein Datenschutz-Team aktiv, das sich
und Pflege bestehender Verarbeitungen sind insbe-
regelmäßig trifft, sollte hier auch
sondere Änderungen oder Neueinführungen sowie
eine Überprüfung der dokumentier-
die Einstellung von Verfahren Auslöser für Meldun-
ten VVTs erfolgen. Weiterhin sollten
gen.
die Leiter der Fachbereiche zu
Beispiel: regelmäßigen Meldungen bzw. Über-
prüfungen verpflichtet werden.
Verantwortlich Vorlage
für Meldung / Ver- Meldeformular
arbeitung an VVT Verarbeitung
Beispiel:
führende Stelle
LeiterFachbereich Datenschutz:\vvt\ Verarbeitung zuletzt Meldung erfolgt an
MeldeformularVer- kontrolliert am
arbeitung_bearbei- 31.10.2019 Datenschutz-
tet_20190515.docx beauftragter
Meldung erfolgt Meldung erfolgt
3.3.6 Policy regelt: regelmäßige Kontrolle der
durch mittels
Verarbeitungen und des VVT
LeiterIT MeldeformularVer-
Im Rahmen eines aktiven und von der DS-GVO ge-
arbeitung_bearbei-
forderten kontinuierlichen Verbesserungsprozesses tet_20190515.docx
im Rahmen eines Datenschutz-Managements sind
die mit dem VVT dokumentierten Verarbeitungen 3.3.7 Policy legt fest: wer kommuniziert mit
regelmäßig zu überprüfen, zumindest hinsichtlich: der Aufsichtsbehörde
>> Sind die dokumentierten Verarbeitungen noch Nur eine Datenschutz-Aufsichtsbehörde hat ein
aktuell? Recht auf Einsichtnahme in das VVT. Anlaufstelle
>> Haben sich in den dokumentierten Verarbeitun- für die Aufsichtsbehörde ist neben der Unterneh-
gen Änderungen ergeben und sind diese gemel- mens-/Behördenleitung der ihr gemeldete DSB - so-
det worden? fern im Unternehmen vorhanden. Da „Anlaufstelle“
nicht die operative Bearbeitung beinhaltet, legt die
>> Sind neue Verarbeitungen hinzugekommen und
Policy fest, wer im Fall einer Anfrage durch eine
gemeldet worden?
Aufsichtsbehörde die Kommunikation übernimmt
>> Sind die beschriebenen Verantwortlichkeiten und entscheidet, in welcher Form und eventuell
noch aktuell? auch wie umfangreich das VVT zur Verfügung ge-
stellt wird. Letzteres ist besonders dann von Rele-
vanz, wenn das VVT mit weiterführenden Informati-
onen verknüpft ist (VVT-iwS). Die Aufsichtsbehörde
GDD-Praxishilfe DS-GVO Va / Stand: März 2020 15wird im ersten Anlauf lediglich den Anspruch auf 3.3.8 Checkliste Policy VVT
die Pflichtangaben des Artikel 30 DS-GVO (VVT-ieS)
Check Policy Geregelt?
haben. Es ist auch im Sinne einer effizienten Kom-
munikation naheliegend, nur diese Informationen Verantwortlichkeit:
zur Verfügung zu stellen. werführtdasVVT?
Beispiel: Verantwortlichkeit:
werhatZugriffaufdasVVT?
Verantwortlich für Cc Kommunikation
Kommunikation mit Verantwortlichkeit:
Aufsichtsbehörde wermeldetVerarbeitungenanwen?
1.Datenschutz- >> Datenschutz- Verantwortlichkeit:
beauftragter koordinator werkontrolliertwanndie
2.Datenschutz- >> Geschäftsführer AktualitätdesVVT?
koordinator >> (…) AnlagenVorlageVVTund
3.Geschäftsführer Meldeformularenthalten?
Policyveröffentlicht/kommuniziert?
Da das VVT-ieS bei einer Prüfung
durch die Aufsichtsbehörde das
4. Der DSB im Kontext des VVT
Unternehmen/die Behörde auch ver- Der DSB hat gemäß der ihm durch die DS-GVO über-
lassen kann, sollte es keine schutz- tragenen Aufgaben die Funktion, den Verantwort-
bedürftigen, internen Informationen, lichen bzw. die Beschäftigten, die mit einer Ver-
beispielsweise im Zusammenhang arbeitung personenbezogener Daten betraut sind,
mit den IT-Sicherheitsmaßnahmen zu beraten und die Einhaltung der Datenschutzvor-
(z.B. Implementationsdetails techni- schriften zu überwachen. Insofern fällt dem DSB
scher Sicherheitsmaßnahmen) ent-
eine unterstützende Aufgabe zu, die grundsätzlich
halten. Bei einer Erweiterung zum
frei von operativen Tätigkeiten ist.
VVT-iwS sollte eine klare Trennung
für die Einsichtnahme der Aufsichts- Das VVT ist unmittelbar vom Verantwortlichen zu
behörde einfach möglich sein. führen und ergibt sich nicht aus den Aufgaben des
DSB; diese Aufgabe (aber nicht die Verantwortung
selbst) kann aber delegiert werden und wird in der
Datenschutz-Praxis oft an den Datenschutz-Koordi-
nator oder DSB übertragen. Auch der Europäische
Datenschutz-Ausschuss (EDSA) erklärt es für zuläs-
sig, den DSB mit der Erstellung, Führung und Pflege
zu betrauen.13
13 Der EDSA ist nach der DS-GVO die „Nachfolge-Organisation“ der Artikel-29-Datenschutzgruppe. S. hier: WP 243 Guidelines on Data
Protection Officers (rev. 1) vom 05.04.2017, http://ec.europa.eu/newsroom/document.cfm?doc_id=44100 – Diese Leitlinie gehört
zu den vom EDSA gebilligten Leitlinien, s. https://edpb.europa.eu/node/89.
GDD-Praxishilfe DS-GVO Va / Stand: März 2020 16Im Hinblick darauf, dass der DSB in der Ausübung Die Aufgaben des DSB im Überblick:
seiner Aufgaben frei von Interessenskonflikten sein
>> B
eratungsthemen des DSB:
muss, können hiermit nur administrative Funktio-
nen gemeint sein. Daher kann die Verantwortung > Erstellung und Aktualisierung einer VVT
für das VVT nicht auf den DSB übertragen werden. Struktur
Die Erstellung und Pflege der Verarbeitungsmeldun- > Festlegung eines zentralen Ablageortes
gen bleibt also eine Bringschuld des Verantwortli-
> Erstellung und Aktualisierung einer Policy
chen, in der Regel seiner Fachbereiche.
zum VVT
Zuvorderst wird es im Rahmen seiner Beratungs-
> Erstellung und Aktualisierung des Musters
funktion die Aufgabe des DSB sein, für die Umset-
einer Verarbeitungsmeldung
zung des VVT in der Organisation und in den Prozes-
sen zu sorgen. So ist für das VVT eine einheitliche > Implementierung der Policy zum VVT und des
Struktur sowie ein zentraler Anlageort sicherzustel- Musters einer Verarbeitungsmeldung in der
len. Des Weiteren sind eine Policy zum VVT und die Organisation
erforderlichen Angaben für eine Verarbeitungsmel- > Beratung der Fachbereiche zur Verarbei-
dung auszugestalten und in der Organisation zu tungsmeldung
implementieren (s. Kap. „3. Organisation des VVT“).
> Prüfung der Verarbeitungsmeldung auf Voll-
Im Rahmen der Policy zum VVT sind die Fachbe- ständigkeit und Rechtmäßigkeit der Verar-
reiche zu verpflichten, Verarbeitungsmeldungen für beitung
neue oder geänderte Verarbeitungen zu erstellen
> Zusammenführung der Verarbeitungsmeldun-
und an die das VVT führende Stelle weiterzuleiten.
gen
Dabei können die Fachbereiche im Zweifelsfall auf
die beratende Tätigkeit des DSB zurückgreifen. > Anstoß zur regelmäßigen Aktualisierung des
VVT
Zweckmäßigerweise sollten diese Verarbeitungs-
meldungen durch den DSB bzw. einem eventuell >> Ü
berwachung durch den DSB
vorhandenem Datenschutzteam zusammengeführt > Der Überwachungsauftrag des DSB hinsicht-
werden. So kann die Verarbeitungsmeldung direkt lich des VVT ist auf die Feststellung gerichtet,
auf Rechtmäßigkeit und Vollständigkeit geprüft ob die
werden, was der Überwachungsaufgabe des DSB zu-
- E rstellung, Pflege und Kontrolle der Ver-
gutekommt.
fahrensmeldung auf der Ebene der Fach-
Unabhängig von Verarbeitungsmeldungen der Fach- prozesse durch die Fachbereiche
bereiche kann es für den DSB zweckmäßig sein,
- Zentrale Führung des VVT und
regelmäßig eine Überprüfung des VVT auf Vollstän-
digkeit und Aktualität anzustoßen, da Prozessände- - Aktualität und Vollständigkeit des VVT
rungen in den Fachbereichen häufig gar nicht oder angemessen und wirksam geregelt und die Umset-
aber verspätet zu Verarbeitungsmeldungen führen. zung sichergestellt sind.
GDD-Praxishilfe DS-GVO Va / Stand: März 2020 175. Anlage Muster für ein VVT zu den einzelnen Verarbeitungstätigkeiten“). Dieses
Das VVT stellt die Zusammenführung der einzel- Muster kann auch zur dezentralen Erhebung genutzt
nen gemeldeten Verarbeitungstätigkeiten dar (s.o. werden.
„3. Organisation des VVT“). Die Anforderungen an Soweit zur unternehmensinternen Dokumentati-
die Inhalte des VVT ergeben sich aus Art. 30 Abs. 1 on weitergehende Angaben, die zur Erfüllung der
DS-GVO, siehe hierzu auch oben „1.7 Inhalte“. Nachweispflichten i.S.d. Art. 5 Abs. 2 DS-GVO (für
Im Vorblatt 1 werden Angaben zum Verantwortli- das VVT-iwS) beitragen, direkt miterhoben werden
chen erfasst, im Vorblatt 2 Angaben zu übergrei- sollen, wird in Kap. „6. Anlage Muster für eine Ver-
fenden Regelungen und Sachverhalten („5.1 Muster arbeitungsmeldung“ ein separates Muster bereitge-
Vorblatt für ein VVT“). Hierdurch sollen sich ansons- stellt. Es gliedert sich in die Pflichtangaben des VVT
ten wiederholende Angaben nur einmal dokumen- (Nr. 1-9 – können direkt in das VVT übernommen
tiert werden, um den Pflegeaufwand zu erleichtern. werden) und weitergehende Angaben zur Erfüllung
der Rechenschaftspflichten i.S.d. Art. 5 Abs. 2
Hieran schließt sich die Dokumentation der einzel-
DS-GVO (Nr. 10-27 – dient der internen Dokumen-
nen Verarbeitungstätigkeiten an – „Hauptblätter“
tation).
(s. „5.2 Muster Hauptblatt für ein VVT für Angaben
Dreiteiliger Aufbau des VVT
Vorblatt 1 Vorblatt 2 (optional) Hauptblätter Verarbeitungsmeldung
Angaben zum Übergreifende Angaben zu den Pflichtangaben nach
Verantwortlichen Regelungen und einzelnen Verar- Art. 30 Abs 1 lit. b ff
Sachverhalte beitungstätigkeiten DS-GVO
(Art. 30 Abs. 1
lit. a DS-GVO) [Angaben, die für (Art. 30 Abs. 1
(Interne) Dokumen-
die überwiegenden lit. b ff DS-GVO)
tation zur Erfüllung
Verarbeitungen
von Nachweispflich-
zutreffend sind]
ten i. S. d. Art. 5
Abs. 2 DS-GVO
Dezentrale Erhebung
Zentrale Führung des VVT
der Verarbeitungen
Abb.: Aufbau VVT-ieS und Speisung aus Verarbeitungsmeldungen
GDD-Praxishilfe DS-GVO Va / Stand: März 2020 185.1 Muster Vorblatt für ein VVT
Verzeichnis von Verarbeitungstätigkeiten
des Verantwortlichen14
Vorblatt 1
Angaben zum Verantwortlichen (Art. 30 Abs. 1 lit. a DS-GVO)
1. Verantwortlicher (= Unternehmen/Legaleinheit)
[Name,ladungsfähigeAnschrift]
2. Gesetzlicher Vertreter (= Geschäftsführung)
[Name/Kontaktdaten]
3. Vertreter in der EU (gemäß Art. 27 DS-GVO)
[Name/ladungsfähigeAnschrift]
4. Datenschutzbeauftragter
[Name/Kontaktdaten]
Vorblatt 2 (optional)
Übergreifende Regelungen und Sachverhalte
5. Regelungen zur Datensicherheit
[VerweisaufübergreifendeIT-Sicherheitskonzepte,diegrds.füralleVerarbeitungstätigkeitengelten.]
6. Regelungen zur Datenlöschung
[VerweisaufübergreifendeLöschkonzepte,diegrds.füralleVerarbeitungstätigkeitengelten.]
7. Sachverhalte zu Drittlandsübermittlungen
[VerweisaufübergreifendeDrittlandsübermittlungen,diegrds.alleodermehrereVerarbeitungstätigkeitenbetreffen.]
14 Das Muster ist für den Einsatz in Unternehmen ausgerichtet. Für den Einsatz in Behörden/öffentlichen Stellen sind die Begrifflichkeiten
der freien Wirtschaft gegen solche in der jeweiligen Behörde/öffentlichen Stelle üblichen zu ersetzen.
GDD-Praxishilfe DS-GVO Va / Stand: März 2020 19Erläuterungen Vorblatt 1 & 2 (optional)
1. Verantwortlicher 5. Regelungen zur Datensicherheit
Verantwortlicher ist jede Person oder Stelle, die al- Gegebenenfalls Verweise auf übergreifende Rege-
lein oder gemeinsam mit anderen über die Zwecke lungen (falls solche existieren, die grds. alle Verar-
und Mittel der Verarbeitung von personenbezoge- beitungen betreffen) – Der Verweis an dieser Stelle
nen Daten entscheidet (Art. 4 Nr. 7 DS-GVO). auf übergreifende Regelungen entbindet nicht von
Angaben: Name/Firma, ladungsfähige Anschrift der Dokumentation von ggf. erforderlichen Abwei-
chungen zu den einzelnen Verarbeitungstätigkei-
2. Gesetzlicher Vertreter ten.
Inhaber, Vorstände, Geschäftsführer oder sonstige Verweis z.B. auf ein IT-Sicherheitskonzept, das
gesetzliche oder nach der Verfassung des Unterneh- alle Verarbeitungstätigkeiten einschließt. Eventu-
mens berufene Leiter ell auch Verweise auf relevante Dokumente eines
Angaben: Namen der geschäftsführenden Personen Informations-Sicherheits-Management-Systems
Ggf. kann hier einfach ein Link auf das Web-Im- (ISMS) nach ISO 27001.
pressum eingetragen werden.
6. Regelungen zur Datenlöschung
3. Vertreter in der EU Verweis auf Löschkonzepte, die grds. für alle Verar-
Bei Unternehmen ohne Niederlassung in der Euro- beitungen gelten.
päischen Union ist hier der benannte Vertreter des
7. Sachverhalte zu Drittlandsübermittlungen
Verantwortlichen (Art. 4 Nr. 17 DS-GVO, Art. 27 Abs.
Ein Verweis auf Drittlandsübermittlungen ist hier
1 DS-GVO) anzugeben.
sinnvoll, wenn alle oder die Mehrzahl der Verarbei-
4. Datenschutzbeauftragter tungen betroffen sind.
Vom Verantwortlichen bestellter Datenschutzbeauf-
tragter [Name, Kontaktdaten]
GDD-Praxishilfe DS-GVO Va / Stand: März 2020 205.2 Muster Hauptblatt für ein VVT für Angaben zu den einzelnen Verarbeitungstätigkeiten
Verzeichnis von Verarbeitungstätigkeiten
Hauptblatt Nr.
Angaben zur Verarbeitungstätigkeit und zur Verantwortlichkeit
(Art. 30 Abs. 1 lit. b ff. DS-GVO)
1. Bezeichnung der Verarbeitungstätigkeit
2. Verantwortlicher Fachbereich/sonstige Zuordnungskennzeichen (optionaler Inhalt)
3. Bei gemeinsamer Verantwortlichkeit:
NameundKontaktdaten(ladungsfähigeAnschrift)des/derweiterenVerantwortlichen
4. Zwecke der Verarbeitungen/der Verarbeitungstätigkeit
5. Beschreibung der Kategorien betroffener Personen und der Kategorien
personenbezogener Daten (Art. 30 Abs. 1 lit. c DS-GVO)
Betroffene Personengruppen Kategorien personenbezogener Daten
6. Kategorien von Empfängern, denen die Daten offengelegt worden sind oder noch
offengelegt werden (Art. 30 Abs. 1 lit. d DS-GVO)
[interne,externe–auchimKonzern,eingebundeneDienstleister]
GDD-Praxishilfe DS-GVO Va / Stand: März 2020 21Fortsetzung Muster Hauptblatt für ein VVT für Angaben zu den einzelnen Verarbeitungstätigkeiten
7. Datenübermittlungen in Drittländer oder internationale Organisationen
(Art. 30 Abs. 1 lit. e DS-GVO)
>> Übermittlung Ja Nein
>> Name des Drittlandes/der internationalen Organisation (DS-GVO):
>> Falls zutreffend, Angaben zu geeigneten Garantien bei Datenübermittlungen auf der
Grundlage von Art. 49 Abs. 1 UAbs. 2 DS-GVO:
8. Vorgesehene Fristen für die Löschung der verschiedenen Datenkategorien
(Art. 30 Abs. 1 lit. f DS-GVO)
9. Allgemeine Beschreibung der technischen und organisatorischen Maßnahmen
(TOM; Art. 30 Abs. 1 lit. g i.V.m. Art. 32 Abs. 1 DS-GVO)
[BezugzumIT-Sicherheitskonzept,Abweichungenbzw.Ergänzungen
oder(soweitzutreffend):LinkaufTOM(desAuftragsverarbeiters)hieranführen
oder(soweitzutreffend):VerweisaufDatenschutz-Zertifizierungetc.]
GDD-Praxishilfe DS-GVO Va / Stand: März 2020 22Erläuterungen Hauptblätter
1. Bezeichnung der Verarbeitungstätigkeit 4. Zwecke der Verarbeitungen/der
Eindeutige Bezeichnung der dokumentierten Verar- Verarbeitungstätigkeit
beitung/der Verarbeitungstätigkeit auf Grundlage Beispiele:
eines Fachprozesses. Es sollte eine im Unternehmen >>Verarbeitungstätigkeit: „Allgemeine Kun-
geläufige Bezeichnung des Fachprozesses gewählt denverwaltung“; verfolgte Zweckbestim-
werden. mungen: „Auftragsbearbeitung, Buchhal-
Empfehlung: Der Name der Verarbeitung sollte tung und Inkasso“
unabhängig von einzelnen IT-Tools sein, die ggfs. >> Verarbeitungstätigkeit: „Customer-Relation-
im Rahmen der Verarbeitung / des Prozesses zum ship-Management“; verfolgte Zweckbestim-
Einsatz kommen. mungen: „Dokumentation und Verwaltung
Beispiele: von Kundenbeziehungen, Marketing, Neu-
>> Allgemeine Kundenverwaltung kundenakquise, Kundenbindungsmaßnah-
>> Customer-Relationship-Management (CRM) men, Kundenberatung, Beschwerdemanage-
ment, Kündigungsprozess“
2. V
erantwortlicher Fachbereich/sonstige
Eine Verarbeitungstätigkeit kann mehrere Teil-
Zuordnungskennzeichen
Geschäftsprozesse (der EuGH spricht von „Vorgän-
Dies ist bezogen auf die Pflichtangaben des Art. 30
gen“) zusammenfassen. Dementsprechend kann
Abs. 1 DS-GVO eine optionale Angabe, um unter-
eine Verarbeitung auch mehrere Zwecke umfassen,
nehmensintern die Zuordnung der dokumentierten
so dass auch mehrere Zweckbestimmungen angege-
Verarbeitungstätigkeit im VVT zu einem bestimm-
ben werden können.
ten Fachbereich und dessen erweiterter Dokumen-
Die Detailtiefe hängt von der Geschäftstätigkeit des
tation herstellen zu können.
Unternehmens ab.
Dies kann z.B. mittels der Funktionsbezeichnung
Es können neben dem Fachprozess auch begleiten-
des Fachbereiches, oder eines sonstigen Zuord-
de mitarbeiterbezogene Unterstützungsprozesse
nungskennzeichens (z.B. eine eindeutige Identifi-
vorliegen, wie z.B. zur Personalführung/-einsatz-
kationsnummer) erfolgen.
planung. Diese können entweder als Teil einer an-
3. Bei gemeinsamer Verantwortlichkeit deren Verarbeitung oder als eigene Verarbeitung
Falls mehrere Verantwortliche gemeinsam für die beschrieben sein.
Verarbeitungstätigkeiten verantwortlich sind, bspw.
5. Beschreibung der Kategorien betroffener
innerhalb einer Unternehmensgruppe, sind hier
Personen und der Kategorien personenbezo-
Name und Kontaktdaten (ladungsfähige Anschrift)
gener Daten (Art. 30 Abs. 1 lit. c DS-GVO)
des oder der weiteren Verantwortlichen anzuge-
Als betroffene Personengruppen kommen bei-
ben (Firma/ladungsfähige Anschrift; Art. 30 Abs. 1
spielsweise Kunden, Interessenten, Arbeitnehmer,
lit. a DS-GVO, Art. 26 Abs. 1 DS-GVO)
Schuldner, Versicherungsnehmer usw. in Betracht.
GDD-Praxishilfe DS-GVO Va / Stand: März 2020 23Erläuterungen Hauptblätter
Den einzelnen Personengruppen sind die jeweils Laut Gesetz sind nur die Kategorien von Empfän-
auf sie bezogenen verwendeten Daten oder Daten- gern anzugeben. Bei genauerer Darstellung sind
kategorien zuzuordnen. Damit sind keine personen- spätere Änderungen zu berücksichtigen und die re-
bezogenen Daten, sondern „Datenbezeichnungen“/ gelmäßige Pflege der Angaben ist zu gewährleisten.
Datenkategorien gemeint (z.B. „Adresse“, „Ge-
7. Datenübermittlungen in Drittländer oder
burtsdatum“, „Bankverbindung“). Werden solche
internationale Organisationen (Art. 30
Datenkategorien angegeben, so müssen diese so
Abs. 1 lit. e DS-GVO)
konkret wie möglich sein. Nicht ausreichend, da zu
allgemein, sind etwa Angaben wie „Kundendaten“ Drittländer sind solche außerhalb der EU/des EWR.
oder Ähnliches. Beispiele für internationale Organisationen: Insti-
Beispiele: tutionen der UNO, der EU
>> K
unden: Adressdaten, Kontaktkoordinaten Lediglich in Ausnahmefällen wird es erforderlich
(einschl. Telefon-, Fax- und E-Mail-Daten), sein, Angaben zu geeigneten Garantien anzugeben,
Vertragsdaten, Bonitätsdaten, Betreu- nämlich dann, wenn keine der genannten Garantien
ungsinformationen einschließl. Kunden- vorliegt, sind hier andere getroffene Garantien zu
entwicklung, Produkt- bzw. Vertragsinte- dokumentieren (Art. 49 Abs. 1. UAbs. 2 DS-GVO)15.
resse, Statistikdaten, Abrechnungs- und
Leistungsdaten, Bankverbindung
15 Dies betrifft nur folgenden Ausnahmefall:
>> B
eschäftigtendaten (Lohn und Gehalt): Die Übermittlung kann nicht auf
Kontaktdaten, Bankverbindung, Sozialversi- > eine Bestimmung der Art. 45 oder 46 – einschließlich der
cherungsdaten, etc. verbindlichen internen Datenschutzvorschriften oder
> eine der Ausnahmen für einen bestimmten Fall gemäß
6. K
ategorien von Empfängern, denen die Daten Art. 49 Abs. 1 Satz 1 Buchstaben a bis g
gestützt werden und folgende Bedingungen sind alle erfüllt:
offengelegt worden sind oder noch offenge-
> die Übermittlung erfolgt nicht wiederholt,
legt werden (Art. 30 Abs. 1 lit. d DS-GVO)
> betrifft nur eine begrenzte Zahl von betroffenen Personen,
Empfängerkategorien sind insbesondere am Pro- > ist für die Wahrung der zwingenden berechtigten Inte-
zess beteiligte weitere Stellen des Unternehmens/ ressen des Verantwortlichen erforderlich ist, sofern die
Interessen oder die Rechte und Freiheiten der betroffenen
Konzerns oder andere Gruppen von Personen oder Person nicht überwiegen,
Stellen, die Daten – ggf. über Schnittstellen – er- > der Verantwortliche hat alle Umstände der Datenübermitt-
lung beurteilt und auf der Grundlage dieser Beurteilung
halten, z.B. in den Prozess eingebundene weitere
angemessene Garantien in Bezug auf den Schutz personen-
Fachabteilungen, Vertragspartner, Kunden, Be- bezogener Daten vorgesehen,
hörden, Versicherungen, Auftragsverarbeiter (z.B. > der Verantwortliche hat die Aufsichtsbehörde von der
Übermittlung in Kenntnis gesetzt und
Dienstleistungsrechenzentrum, Call-Center, Daten-
> der Verantwortliche hat die betroffene Person über
vernichter, Anwendungsentwicklung, Cloud Service die Übermittlung und seine zwingenden berechtigten
Provider) usw. Interessen unterrichtet.
GDD-Praxishilfe DS-GVO Va / Stand: März 2020 24Sie können auch lesen
