Verzeichnis der Verarbeitungstätigkeiten
Im Verzeichnis der Verarbeitungstätigkeiten dokumentiert die Universität datenschutzkonform alle Verarbeitungen personenbezogener Daten.
Finger tippen auf einer Laptop-Tastatur. Über der Tastatur sind Hologramme von Ordnern und Dokumenten zu sehen.
Das Verzeichnis der Verarbeitungstätigkeiten (kurz VVT) ist ein zentrales Element der Datenschutz-Compliance. Gemäß der Datenschutz-Grundverordnung (DS-GVO, Art. 30 Abs. 1Externer Link) der Europäischen Union sind alle Organisationen, die personenbezogene Daten verarbeiten, verpflichtet, ein solches Verzeichnis zu führen.
Auf dieser Seite erhalten Sie relevante Informationen zum Verzeichnis der Universität und wie Einträge erstellt und eingereicht werden können.
-
Was ist das Verzeichnis der Verarbeitungstätigkeiten?
Das VVT ist eine strukturierte Auflistung aller Prozesse innerhalb der Universität, bei denen personenbezogene Daten verarbeitet werden. Es dokumentiert wesentliche Details, darunter die Art der verarbeiteten Daten, die Zwecke der Verarbeitung, die Empfänger der Daten sowie die eingesetzten organisatorischen und technischen Sicherheitsmaßnahmen.
-
Welchen Nutzen hat das Verzeichnis der Verarbeitungstätigkeiten?
- Rechtliche Konformität: Es hilft uns die DS-GVO-Vorschriften einzuhalten und bietet im Fall von Überprüfungen durch eine Aufsichtsbehörde Nachweise über die Datenverarbeitung.
- Transparenz und Kontrolle: Durch die systematische Erfassung aller Verarbeitungstätigkeiten gewinnen wir einen besseren Überblick und mehr Kontrolle über unsere Datenverarbeitung.
- Risikomanagement: Eine gute Dokumentation unterstützt bei der Identifizierung und Bewertung von Risiken im Zusammenhang mit Datenverarbeitungsprozessen.
-
Wann ist ein Eintrag notwendig?
Ein Eintrag in das VVT ist für jede Verarbeitungstätigkeit erforderlich, bei der personenbezogene Daten verarbeitet werden. Aufzunehmen sind alle ganz oder teilweise automatisierten Verarbeitungstätigkeiten – also alle Tätigkeiten, die ganz oder teilweise mit Hilfe von IT-Systemen personenbezogene Daten verarbeiten.
Die Dokumentation der Verarbeitungstätigkeiten in den zentralen, administrativen Bereichen der Universität wird intern durch die entsprechenden Abteilungen organisiert. Dies umfasst zum Beispiel alle Tätigkeiten rund um das Studierendenmanagement und die Mitarbeitendenverwaltung.
Verarbeitungstätigkeiten mit personenbezogene Daten im wissenschaftlichen Bereich (z.B. Datenerhebung bei Proband:innen einer Studie) müssen durch die/den verantwortlichen Forschenden erfasst werden (s. Abschnitt „Wie ist ein Eintrag vorzunehmen?“).
Gemäß Art. 30 Abs. 2Externer Link DSGVO müssen auch alle Verarbeitungen im Zusammenhang mit Auftragsverarbeitern erfasst werden. Wenn also ein externer Dienstleister mit der Verarbeitung personenbezogener Daten betraut wird, ist hierfür ein entsprechender Eintrag anzulegen (s. Abschnitt „Wie ist ein Eintrag vorzunehmen?“).
-
Wie ist ein Eintrag vorzunehmen?
Die Universität Jena führt das VVT in einer Datenschutzmanagement-Software. Einträge müssen von der verantwortlichen Person erstellt werden und können anschließend über die Datenschutzbeauftragte aufgenommen werden. Wichtig ist, dass im VVT die Verarbeitung dokumentiert wird und nicht eine Software beziehungsweise ein IT-Dienst. Es geht also darum welche (personenbezogenen) Daten erhoben, gespeichert, verarbeitet (im engeren Sinne), übermittelt und gelöscht werden.
Information
Im VVT sollen alle Verarbeitungstätigkeiten ausreichend konkret dargestellt sein, jedoch muss nicht zu sehr ins Detail gegangen werden. Um Redundanzen zu vermeiden und den Aufwand für die Erstellung und Führung des Verzeichnisses zu reduzieren, können auch Verweise auf bestehende Dokumente aufgenommen werden, insbesondere solche, die im Rahmen des Informationssicherheitsmanagements angelegt wurden.
Vorbereitung
In einem ersten Schritt identifizieren Sie alle Verarbeitungstätigkeiten personenbezogener Daten innerhalb Ihres Verantwortungsbereichs.
Der Begriff der „Verarbeitungstätigkeit“ umfasst alle Verarbeitungsschritte und Vorgänge, die einem gemeinsamen Zweck dienen. Es muss daher nicht zu jedem einzelnen Verarbeitungsschritt bzw. Vorgang ein eigener Eintrag erfolgen. Ein zusammenfassender Verzeichniseintrag für die durch den Zweck definierten Schritte ist ausreichend. Insbesondere brauchen Verarbeitungsschritte, die keinem eigenen neuen Zweck dienen, sondern lediglich die Verarbeitungstätigkeit unterstützen, nicht als neuer Eintrag aufgenommen werden. Beispiel: Das Erheben, Nutzen und Löschen von Datensätzen bei einer Umfrage sind drei Verarbeitungsschritte, die als „Vorgangsreihe“(Art. 4 Nr. 2 DS-GVO) sinnvollerweise nicht auseinandergerissen werden sollten und in einem Eintrag dokumentiert werden können.
Beispiele für Verarbeitungstätigkeiten:
- Bewerbungen/Auswahlverfahren
- Zeiterfassung von Mitarbeitenden
- Versenden eines Newsletters
- E-Learningangebote (mit Erfassung personenbezogener Daten der Nutzenden)
- Forschungsvorhaben z. B. Erhebung von Proband:innendaten
- Umfragen
- etc.
Neben einem Tablett ist ein Startbereich und drei Schritte bis zum Ziel gezeichnet.
Foto: Adobe stockAblauf
- Erstellen eines Eintrages: Die Mindestinhalte ergeben sich aus Art. 30 DS-GVO. Nutzen Sie unsere Excel-Vorlage, um die Details strukturiert zu erfassen. Die Excelliste enthält zur Veranschaulichung einfache Beispiele. Beschäftigten der Universität steht das Muster im Abschnitt "Interne Dokumente zum VVT" zur Verfügung (Login erforderlich).
- Senden Sie die Dokumentation an die Datenschutzbeauftragte: Die fertiggestellte Liste schicken Sie an die Datenschutzbeauftragte unter datenschutz@uni-jena.de. Diese prüft die Einträge und fügt sie dem Verzeichnis der Universität hinzu.
- Datenpflege: Überprüfen Sie ihre Einträge einmal jährlich auf Aktualität und passen die Einträge wo notwendig an, um diese auf dem neuesten Stand zu halten.