Verzeichnis von Verarbeitungstätigkeiten (VVT), § 31 KDG

Das KDG schreibt in § 31 vor, dass Einrichtungen ein solches Verzeichnis für jedes Verfahren/für jeden Prozess mit folgenden Angaben vorhalten müssen:

1. Name und Anschrift der Verantwortlichen Stelle (Einrichtung) und die Kontaktdaten des betrieblichen Datenschutzbeauftragten (falls vorhanden);
2. Zweckbestimmung der Datenerhebung, -verarbeitung oder -nutzung (für das bestimmte Verfahren);
3. eine Beschreibung der betroffenen Personengruppe und der diesbezüglichen Daten oder Datenkategorien (von wem werden welche Daten aufgenommen?). Die Einteilung in Datenkategorien ist in der KDG-DVO beschrieben);
4. Empfänger oder Kategorien von Empfängern, denen die Daten mitgeteilt werden;
5. Regelfristen für die Löschung der Daten (genaue Angabe der gesetzlichen Aufbewahrungsfrist für dieses Verfahren);
6. eine geplante Datenübermittlung ins Ausland (Supportzugriff bei Wartungsverträgen);
7. eine allgemeine Beschreibung, die es ermöglicht, vorläufig zu beurteilen, ob die Maßnahmen nach § 26 KDG zur Gewährleistung der Sicherheit der Bearbeitung angemessen sind (Auflistung der technischen und organisatorischen Maßnahmen für dieses Verfahren).

Für die Erstellung eines Verzeichnisses von Verarbeitungstätigkeiten ist der jeweilige Verantwortliche für das Verfahren zuständig, er kann bei Bedarf fachlich von Mitarbeitern aus der IT und des betrieblichen Datenschutzbeauftragten unterstützt werden. Die Verzeichnisse dienen dem betrieblichen Datenschutzbeauftragten u.a. als Grundlage für die Einschätzung zur Notwendigkeit einer Datenschutz-Folgenabschätzung gemäß § 35 KDG und der Erleichterung der Erteilung von Auskünften an die betroffenen Personen (§§ 17 ff. KDG)

In den Unterordnern finden Sie hilfreiche Informationen und Mustervorlagen.