Was ist ein VVT?

Das VVT ist ein zentrales Dokument, das jedes Unternehmen oder jede Organisation, die personenbezogene Daten verarbeitet und gemäß Artikel 30 der Datenschutz-Grundverordnung (DSGVO) führen muss. Es dient der Rechenschaftspflicht und der Transparenz.

Was ist der Zweck eines VVT?

Der Hauptzweck des VVT ist es, einen vollständigen Überblick über alle Datenverarbeitungsprozesse in einer Organisation zu geben. Es ist die Grundlage für ein funktionierendes Datenschutz-Managementsystem. Im Falle einer Prüfung durch die zuständige Aufsichtsbehörde kann die Vorlage vom VVT verlangt werden.

Wer muss ein VVT führen?

Grundsätzlich ist jeder Verantwortliche (der über Zweck und Mittel der Datenverarbeitung entscheidet) sowie jeder Auftragsverarbeiter (der Daten im Auftrag des Verantwortlichen verarbeitet) dazu verpflichtet, ein VVT zu führen.

Ausnahmen für VVT

Es gibt eine Ausnahmeregelung für Unternehmen mit weniger als 250 Mitarbeitern. Diese sind von der Pflicht befreit, es sei denn, dass:

• Verarbeitung nicht nur gelegentlich stattfindet.
• Verarbeitung besondere Kategorien personenbezogener Daten (z. B. Gesundheitsdaten, ethnische Herkunft) oder Daten über strafrechtliche Verurteilungen umfasst.

Da eine gelegentliche Verarbeitung in den meisten Organisationen selten vorkommt, sind viele zur Führung eines VVT verpflichtet.

Was muss ein VVT enthalten?

Nach Art. 30 DSGVO muss ein VVT bestimmte Mindestangaben enthalten, unter anderem:

• Name und Kontaktdaten des Verantwortlichen und ggf. des Datenschutzbeauftragten.
• Zwecke der Verarbeitung.
• Beschreibung der Kategorien betroffener Personen und Daten (z. B. Kunden, Mitarbeiter; Adressdaten, E-Mail).
• Kategorien von Empfängern, denen die Daten offengelegt werden.
• Angaben zu Datenübermittlungen in Drittländer (außerhalb der EU).
• Vorgesehenen Löschfristen für die verschiedenen Datenkategorien.
• Allgemeine Beschreibung der technischen und organisatorischen Sicherheitsmaßnahmen (TOMs).

Warum ist das VVT für Kommunen wichtig?

• Im kommunalen Alltag werden in fast allen Bereichen personenbezogene Daten verarbeitet. 
• Die DSGVO verpflichtet öffentliche Stellen zur Führung eines VVT.

VVT wird benötig, um:

• Rechenschaftspflicht zu erfüllen
  Das VVT dokumentiert die Rechtmäßigkeit der Datenverarbeitung – und kann bei Anfragen oder Prüfungen durch die Aufsichtsbehörde vorgelegt werden oder helfen.
• Transparenz zu schaffen
  Über das VVT lässt sich nachvollziehen, wer was und warum, mit welchen Daten macht.
• Fehler oder Risiken zu erkennen
  Das Verzeichnis schafft Rechtssicherheit – Lücken können sichtbar werden und Maßnahmen zur Schließung der Lücken können veranlasst werden.

Was gehört in ein kommunales VVT?

Ein vollständiges Verzeichnis enthält u. a. folgende Angaben:

• Zweck der Verarbeitung
• Kategorien betroffener Personen und Daten
• Kategorien von Empfängern
• Gegebenenfalls Angaben zur Datenübermittlung in ein Drittland
• Löschfristen je Datenkategorie
• Allgemeine Beschreibung der technischen und organisatorischen Schutzmaßnahmen

Vorschlag zur Vorgehensweise:

Bereichsweise Erfassung

• Regelung zur Bearbeitung des VVT treffen.  
• Orientierung am Organisationsaufbau (z.B. an  Struktur der Ämter/Organisationseinheiten und Sachgebiete) 

Regelmäßige Aktualisierung

• VVT regelmäßig überprüfen und zu aktualisieren, insbesondere wenn neue Verfahren oder IT-Systeme dazukamen

Unterstützung durch Datenschutzexpertise

• Frühzeitige Einbindung vom behördlichen, internen oder externen Datenschutzbeauftragten. 
• Die sicherkomm unterstützt hier gerne. Wir stehen Ihnen nicht nur beratend zur Seite, sondern unterstützen auch mit Formularen und/oder einer Schulung zur Erstellung des VVT.