Verzeichnis der Verarbeitungstätigkeit (VVT)🔗
Das Verzeichnis der Verarbeitungstätigkeit (engl. Record of Processing Activities, RoPA) dokumentiert alle Verarbeitungstätigkeiten gemäß Art. 30 DSGVO.
Jeder Verantwortliche muss ein Verzeichnis führen, das folgende Angaben enthält:
- Name und Kontaktdaten des Verantwortlichen
- Zwecke der Verarbeitung
- Kategorien betroffener Personen und personenbezogener Daten
- Kategorien von Empfängern
- Übermittlungen in Drittländer
- Fristen für die Löschung
- Beschreibung der technischen und organisatorischen Maßnahmen (TOMs)
Verarbeitungstätigkeit anlegen🔗
- Klicke in der Seitenleiste auf + Verarbeitungstätigkeit hinzufügen
- Fülle die Grundlegenden Details aus:
- Bezeichnung: Kurzer Name (z.B. "Bewerbermanagement")
- Beschreiben Sie die Verarbeitungsaktivität: Detaillierte Beschreibung der Verarbeitung
- Zweck der Datenverarbeitung: Warum werden die Daten verarbeitet?
- Kategorien von betroffenen Personen: z.B. Mitarbeiter, Kunden, Bewerber
- Kategorien interner Empfänger: Interne Abteilungen mit Zugriff
- Kategorien externer Empfänger: Externe Dienstleister, Behörden
- Aufbewahrungsfrist: Wie lange werden Daten gespeichert?
- Erläuterung der Rechtsgrundlage: Art. 6 Abs. 1 DSGVO (Vertrag, berechtigtes Interesse, etc.)
- Verantwortliche Organisationseinheit: Zuständige Abteilung/Team
- Verwendung eines Prozessors: Gibt es Auftragsverarbeiter?
- Tab 2. Verarbeiteten Daten: Wähle Datenkategorien (Stammdaten, Vertragsdaten, Zahlungsdaten)
- Tab 3. Maßnahmen: Verknüpfe technische und organisatorische Maßnahmen (TOMs)
- Tab 4. Genehmigung: Setze Status (Entwurf / In Prüfung / Genehmigt)
- Tab Überblick: Zusammenfassung aller eingegebenen Informationen
- Speichern
Filter und Export🔗
Die VVT-Liste bietet Filter nach:
- Status: Entwurf, In Bearbeitung, Genehmigt
- DSGVO-relevant: Nur datenschutzrelevante Verarbeitungen
- Verantwortliche Organisationseinheit
- Verwendung von Auftragsverarbeitern
Export als PDF oder Excel für:
- Behördliche Anfragen
- Interne Audits
- Datenschutzbeauftragte
- Zertifizierungen
Verbindung zu anderen Modulen🔗
- Schwellwertanalyse → Ermittlung, ob DSFA erforderlich
- DSFA → Detaillierte Folgenabschätzung bei Hochrisiko-Verarbeitungen
- Auftragsverarbeiter → Verwaltung externer Dienstleister
- Löschkonzepte → Automatisierte Umsetzung der Aufbewahrungsfristen
Tipps🔗
- Ein VVT-Eintrag pro Verarbeitungszweck (nicht pro System!)
- Formuliere verständlich (auch für Nicht-IT-Fachleute)
- Jährlich überprüfen und bei neuen Verarbeitungen sofort erfassen
