Datenschutz

VVT- einfach erklärt

Die seit 2018 geltende Datenschutz-Grundverordnung (DSGVO) sieht zum Nachweis ihrer Einhaltung ein Verzeichnis der Verarbeitungstätigkeiten (VVT) (Art. 30 DSGVO) vor. Dabei handelt es sich um eine spezielle Dokumentationspflicht des Verantwortlichen. In der Praxis ist das VVT der zentrale Bestandteil der Dokumentation. Es kann zwar nicht von jeder Person offen eingesehen werden, doch die zuständige Aufsichtsbehörde kann die Vorlage im Rahmen der behördlichen Kontrolle jederzeit anfragen. Im Rahmen des Pilotprojekts „Umsetzung der DSGVO an der RUB“ wurden bereits diverse Dokumente zu den verschiedenen Verarbeitungstätigkeiten der teilnehmenden Organisationseinheiten aus Wissenschaft und Verwaltung erstellt. Nachdem nun erfolgten Abschluss des Projekts und Auswertung der Ergebnisse, soll das VVT jetzt um alle anderen Bereiche der RUB erweitert werden. Ein guter Anlass, um sich die grundlegenden Informationen noch einmal vor Augen zu führen:

Warum ist ein VVT sinnvoll?

Neben der gesetzlichen Pflicht, geht es zunächst um die eigene Übersicht, die z.B. hilft, wenn betroffene Personen Auskunftsrechte geltend machen. Weiterhin unterstützt es dabei, die Datenschutzerklärung etwa auf einer Website vollständig zu halten. In diesem Zusammenhang ist die Klarstellung wichtig, dass es sich beim Aufbau des VVT nicht um ein (zeitlich begrenztes) Projekt handelt, sondern um einen fortlaufenden Prozess.

Wer ist verpflichtet und wann mus ein VVT erstellt werden?

Grundsätzlich gehören alle Verfahren und Prozesse, bei denen personenbezogene Daten verarbeitet werden, in das Verzeichnis der Verarbeitungstätigkeiten. Personenbezogene Daten sind solche, die sich auf eine natürliche Person beziehen und diese zumindest identifizierbar machen. Verpflichtet sind diejenigen Stellen oder Personen, die über Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheiden.

Was passiert, wenn ich kein VVT habe oder es unvollständig ist?

Kann die verantwortliche Stelle auf Verlangen der Aufsichtsbehörde kein VVT vorlegen oder ist dies unvollständig, so droht der RUB als öffentliche Stelle zwar nicht direkt ein Bußgeld, jedoch ist zum Beispiel im Rahmen von Schadensersatzprozessen der betroffenen Personen die Wahrscheinlichkeit hoch, dass bei einem Fehlen des VVT zuungunsten der Hochschule von einer mangelhaften Dokumentation auszugehen ist..

Was sind Verarbeitungstätigkeiten und welche gibt es?

Eine Verarbeitungstätigkeit ist ein Vorgang, bei dem personenbezogene Daten für einen oder mehrere Zwecke verarbeitet werden. Unter einer Verarbeitung versteht man digitalisierte, aber auch nicht automatisierte Abläufe, bei denen mit personenbezogenen Daten umgegangen wird. Möchte man mit der Eintragung der Verarbeitungstätigkeiten beginnen, kann man sich einen Überblick darüber verschaffen, was im eigenen Bereich bearbeitet wird.

Hilfe

Wo finde ich Beratung und Unterstützung?

Das Team des Datenschutzbeauftragten der RUB hilft Ihnen bei Fragen und Problemen gerne weiter.

RUBinform 01/2021 | Sabine Sonneborn
Stabsstelle Datenschutz

zur Startseite