Stell dir vor, du könntest dein VVT in nur 30 Minuten fertigstellen. Klingt unglaublich?

Mit der richtigen Vorlage ist es aber tatsächlich möglich! Und du hast richtig geraten, diese bekommst du bei uns – und das auch noch völlig kostenlos.

Du weißt nicht, wie ein Verarbeitungsverzeichnis aussehen könnte? Hier ist ein Auszug aus unserem Muster-VVT:

Du musst nur schon eine Idee haben, welche personenbezogenen Daten in deinem Unternehmen verarbeitet werden, und dann kann es auch schon losgehen. Lade dir einfach unser Vorlage herunter und fülle sie mit den Beispielen, die wir bereitgestellt haben. HIER KLICKEN.
Nicht wundern, du wirst auf die EMODEON-Hauptseite geleitet. In Kürze werden wir die VVT-Vorlage aber auch direkt in diesem Internetauftritt anbieten.

Oder du liest dir erst einmal unsere Tipps durch, bevor es in die Praxis geht – dafür benötigst du kein Vorwissen zu diesem Thema.

Warum brauche ich ein Verarbeitungsverzeichnis?

Diese Frage ist ganz einfach zu beantworten: weil sonst hohe Bußgelder drohen. Bis zu 10 Millionen Euro oder bis zu 4 % des Vorjahresumsatzes eines Unternehmens können verhängt werden.

Aber es geht um mehr als nur Bußgelder. Das VVT schafft Klarheit darüber, welche Kundendaten und Mitarbeiterinformationen verarbeitet werden. Es ist ein Schlüssel zur Transparenz im Unternehmen. Mit diesem Wissen können Firmen schnell auf IT-Anforderungen reagieren und Anfragen von Betroffenen effizient beantworten. Kurzum: Ein VVT ist unerlässlich für die Datensteuerung und Compliance (= Rechtstreue deines Unternehmens).

Muss ich ein VVT haben?

Ein Verarbeitungsverzeichnis ist für viele Unternehmen verpflichtend – ob groß oder klein. Hier sind die Kriterien:

  • Unternehmen über 250 Mitarbeiter
  • wenn die Datenverarbeitung Risiken für Rechte und Freiheiten der Betroffenen bergen (z. B. Videoüberwachungs- oder Scoring-Maßnahmen)
  • wenn die Verarbeitung regelmäßig erfolgt (z. B. stete Verarbeitung von Kundendaten)
  • wenn besondere Datenkategorien (z.B. Gesundheits- oder Religionsdaten) oder Daten über strafrechtliche Verurteilungen oder Straftaten verarbeitet werden

Durch den Passus der „Regelmäßigen Verarbeitung“ fallen fast alle Betriebe, inklusive Einzelunternehmer und Handwerker, unter diese Anforderungen, da alltägliche Aufgaben wie Personalverwaltung und Kundenkommunikation als regelmäßige Verarbeitungen zählen.

In der DSGVO selbst ist der Begriff „Verarbeitungstätigkeit“ übrigens nicht eindeutig definiert. Du kannst es dir aber so merken: „Verarbeitungstätigkeit“ umfasst alle Verarbeitungsschritte, die einem bestimmten Zweck dienen, wie zum Beispiel das Bewerbungsmanagement.

Wie muss ich das Verarbeitungsverzeichnis führen?

Eines vorneweg: Das VVT muss in schriftlicher Form vorliegen.

Wir persönlich empfehlen dir mit MS Excel zu arbeiten. Die Gründe sind praktisch: Selbst bei kleinen Firmen summieren sich oft viele Verarbeitungstätigkeiten. Mit MS Word müsstest du jede davon in einem einzelnen Dokument bearbeiten, was bei Änderungen mühsam ist. Excel ermöglicht es dir, mit Filtern schnell zu finden, was du suchst – und das alles übersichtlich in einem einzigen Dokument.

Wichtig ist, das VVT in Deutsch zu verfassen, um bei Kontrollen durch Behörden auf der sicheren Seite zu sein. Unternehmen, die Englisch als Unternehmenssprache verwenden, müssen sonst möglicherweise eine Übersetzung anfertigen lassen, wenn die Aufsichtsbehörde Einsicht verlangt.

Der Inhalt eines VVT

Jetzt wird es so richtig spannend! Was gehört denn eigentlich in ein Verarbeitungsverzeichnis? Im VVT müssen enthalten sein:

  • Namen und Kontaktdaten vom Verantwortlichen und Datenschutzbeauftragtem
  • Verarbeitungszwecke
  • Beschreibung der Kategorien von betroffenen Personen und betroffenen Daten
  • Kategorien von Empfängern von Datenübermittlungen
  • Offenlegungen aller Datenübertragungen in Drittländer (außerhalb der EU) samt der ggf. hierfür erforderlichen Garantien
  • Die vorgesehenen Löschfristen für die Daten (in der DSGVO steht zwar „wenn möglich“, es wird aber erwartet, dass diese Informationen vorliegen)
  • Beschreibung der allgemeinen Technisch-organisatorischen Maßnahmen (auch hier ist das „wenn möglich“ als Muss zu verstehen).

Darüber hinaus empfehlen wir noch einen erweiterten Teil des VVT mit:

  • Rechtsgrundlagen bzw. Nachweis der Rechtmäßigkeit der Verarbeitung inkl. Nachweis der Einwilligung
  • Verwendete Software bzw. Speicherort für die Verarbeitungstätigkeit
  • Maßnahmen zur Umsetzung des Betroffenenrechts

Diese Teile sind zwar gesetzlich nicht vorgeschrieben, aber sinnvoll, da somit alles zu einer Verarbeitungstätigkeit an einem Platz gespeichert ist. So kannst du das VVT auch als Nachweis der Einhaltung datenschutzrechtlicher Vorschriften nutzen und dieses im Falle einer Prüfung durch eine Aufsichtsbehörde vorlegen.

Los geht’s! Erstelle das Verarbeitungsverzeichnis für dein Unternehmen in nur 30 Minuten:

Hier geht es zur Vorlage!

0 Kommentare

Hinterlasse einen Kommentar

An der Diskussion beteiligen?
Hinterlasse uns deinen Kommentar!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert