Jedes Unternehmen, das personenbezogene Daten verarbeitet, muss ein Verzeichnis der Verarbeitungstätigkeiten führen. Was bedeutet das? Welche Inhalte und Aufgaben hat das Verzeichnis? Ein Überblick für Immobilienfirmen.

Das Verzeichnis von Verarbeitungstätigkeiten (auch Verarbeitungsverzeichnis genannt) ist ein Dokument, das gemäß Art. 30 DSGVO von Unternehmen und Organisationen erstellt werden muss, die personenbezogene Daten verarbeiten. Es soll eine Übersicht über die Verarbeitungstätigkeiten geben, die im Unternehmen durchgeführt werden, und umfassende Informationen über den Umgang mit personenbezogenen Daten liefern.

Vorschrift: Art 30 DSGVO

Das Verzeichnis der Verarbeitungstätigkeiten (VVT) ist schriftlich zu führen und kann auch digital vorgehalten werden. Verantwortlich dafür ist die Geschäftsleitung in den Immobilienfirmen. Art. 30 DSGVO legt diese Verpflichtung fest. Bei einem Verstoß gegen die Pflicht, das VVT zu führen, sieht Art. 83 DSGVO ein Bußgeld bis zu 10 Mio. EUR vor.

Wichtiges Kontrollinstrument

Die Funktion des Verzeichnisses der Verarbeitungstätigkeiten ist, dass es als internes Kontrollinstrument dient, um die Einhaltung der Datenschutzbestimmungen sicherzustellen. Es ermöglicht den Überblick über alle Verarbeitungstätigkeiten im Unternehmen und erleichtert die Identifizierung von Risiken und Schwachstellen im Umgang mit personenbezogenen Daten.

Die Verantwortlichkeit für die Erstellung des Verzeichnisses von Verarbeitungstätigkeiten liegt beim Verantwortlichen oder Auftragsverarbeiter gemäß Art. 30 Abs. 1 DSGVO. In der Regel wird dies von der Geschäftsleitung delegiert.

Wie wird ein VVT erstellt?

Ein Verzeichnis der Verarbeitungstätigkeiten kann auf verschiedene Weise erstellt werden, abhängig von der Größe und Komplexität des Unternehmens oder der Organisation. Im Allgemeinen sollte das Verzeichnis alle Verarbeitungstätigkeiten im Zusammenhang mit personenbezogenen Daten enthalten, einschließlich der Zwecke der Verarbeitung, der Kategorien von betroffenen Personen und personenbezogenen Daten, der Empfänger von personenbezogenen Daten, der Dauer der Speicherung von personenbezogenen Daten und der Sicherheitsmaßnahmen.

In 10 Schritten zum VVT

Um ein Verzeichnis der Verarbeitungstätigkeiten zu erstellen, können folgende Schritte helfen:

1. Bestimmung der Zuständigkeit: Ein Verantwortlicher oder Auftragsverarbeiter muss benannt werden, der für die Erstellung und Aktualisierung des Verzeichnisses verantwortlich ist.
2. Identifikation von Verarbeitungstätigkeiten: Sammlung von Informationen über alle Verarbeitungstätigkeiten im Unternehmen, einschließlich derjenigen, die von Auftragsverarbeitern durchgeführt werden.
3. Kategorisierung von personenbezogenen Daten: Identifikation der verschiedenen Arten von personenbezogenen Daten, die verarbeitet werden, und ihrer Kategorien.
4. Identifikation von betroffenen Personen: Identifikation der verschiedenen Gruppen von betroffenen Personen, deren personenbezogene Daten verarbeitet werden.
5. Dokumentation von Zwecken und Rechtsgrundlagen: Dokumentation der Zwecke der Verarbeitung und der entsprechenden Rechtsgrundlagen für jede Verarbeitungstätigkeit.
6. Dokumentation von Empfängern: Dokumentation aller Empfänger von personenbezogenen Daten.
7. Dokumentation von Datenübermittlungen: Dokumentation aller Übermittlungen von personenbezogenen Daten an Empfänger in Drittländern.
8. Dokumentation von Löschfristen: Dokumentation der Löschfristen für personenbezogene Daten.
9. Dokumentation von technischen und organisatorischen Maßnahmen: Dokumentation der technischen und organisatorischen Maßnahmen zur Sicherung der personenbezogenen Daten.
10. Regelmäßige Aktualisierung: Regelmäßige Überprüfung und Aktualisierung des Verzeichnisses der Verarbeitungstätigkeiten, insbesondere bei Änderungen der Verarbeitungstätigkeiten im Unternehmen.

Es ist wichtig zu beachten, dass das Verzeichnis der Verarbeitungstätigkeiten gemäß Art. 30 DSGVO auf Anfrage den Aufsichtsbehörden vorgelegt werden muss. Daher sollte das Verzeichnis vollständig und genau sein und auf dem aktuellen Stand gehalten werden.

Wie oft muss ein Verzeichnis der Verarbeitungstätigkeiten aktualisiert werden?

Artikel 30 Absatz 4 DSGVO: Das VVT muss „laufend aktualisiert“ werden. Es gibt jedoch keine explizite Vorgabe, wie oft das Verzeichnis aktualisiert werden muss.

Das Verzeichnis sollte auf jeden Fall aktualisiert werden, wenn sich Änderungen an den Verarbeitungstätigkeiten im Unternehmen ergeben, wie z.B. bei der Einführung neuer Systeme oder Verfahren, Änderungen in den Zwecken der Verarbeitung, Änderungen der Rechtsgrundlage oder wenn neue Datenkategorien verarbeitet werden.

Empfehlung: Aktualisierung einmal im Jahr

Wir empfehlen, das Verzeichnis der Verarbeitungstätigkeiten regelmäßig zu überprüfen und gegebenenfalls zu aktualisieren, z.B. einmal im Jahr. Eine regelmäßige Überprüfung kann sicherstellen, dass das Verzeichnis der Verarbeitungstätigkeiten auf dem neuesten Stand ist und das Unternehmen den Anforderungen der DSGVO entspricht.

Es ist auch wichtig zu beachten, dass das Verzeichnis der Verarbeitungstätigkeiten auf Anfrage der Aufsichtsbehörden vorgelegt werden muss. Daher sollte das Verzeichnis stets vollständig, aktuell und genau gehalten werden.

Typische Verarbeitungstätigkeiten in Immobilienfirmen

Typische Verarbeitungstätigkeiten in Immobilienfirmen sind beispielsweise die Verarbeitung von personenbezogenen Daten von Mietern, Eigentümern, Interessenten und Geschäftspartnern, die Erstellung von Miet- oder Kaufverträgen, die Durchführung von Besichtigungen, die Organisation von Hausmeisterdiensten, die Abwicklung von Zahlungen und die Kontrolle der Mietzahlungen.

Typische Verarbeitungstätigkeiten Immobilienmaklerbüro

Typische Verarbeitungstätigkeiten in Immobilienmaklerbüros sind die Verarbeitung von personenbezogenen Daten von Kunden und Interessenten, die Organisation von Besichtigungen, die Erstellung von Exposés und die Verhandlung von Miet- oder Kaufverträgen.

In das Verzeichnis der Verarbeitungstätigkeiten eines Immobilienmaklerbüros könnte aufgenommen werden:

1. Kundenmanagement: Dies umfasst die Verarbeitung von personenbezogenen Daten von Kunden, wie Name, Adresse, Kontaktdaten, Anforderungen und Präferenzen, um Immobilienangebote zu präsentieren und Kundenanfragen zu beantworten.
2. Vertragsmanagement: Hierzu gehören die Verarbeitung von personenbezogenen Daten von Kunden und Vermietern, wie Name, Adresse, Bankverbindung, Vertragsdaten und -bedingungen, um Verträge für Vermietungen oder Verkäufe abzuschließen.
3. Marketing und Werbung: Dies beinhaltet die Verarbeitung von personenbezogenen Daten von Kunden, um Marketing- und Werbemaßnahmen durchzuführen und Kundenbeziehungen zu pflegen.
4. Objektverwaltung: Hierzu gehören die Verarbeitung von personenbezogenen Daten von Vermietern und Eigentümern, wie Name, Adresse, Kontaktdaten, Miet- und Kaufverträge, Verwaltung von Mieteinnahmen und -ausgaben und Unterstützung bei der Vermietung oder dem Verkauf von Immobilien.
5. Archivierung: Hierbei geht es um die Verarbeitung von personenbezogenen Daten von Kunden, die archiviert werden müssen, um gesetzliche Anforderungen zu erfüllen.
6. Bewertungen und Gutachten: Wenn das Immobilienmaklerbüro Bewertungen und Gutachten für Immobilien durchführt, müssen auch diese Verarbeitungstätigkeiten in das Verzeichnis aufgenommen werden, da es sich um eine Verarbeitung personenbezogener Daten handelt.

Typische Verarbeitungstätigkeiten Hausverwaltung

Typische Verarbeitungstätigkeiten in Hausverwaltungen sind die Verarbeitung von personenbezogenen Daten von Mietern und Eigentümern, die Erstellung von Miet- oder Kaufverträgen, die Organisation von Hausmeisterdiensten, die Abwicklung von Zahlungen und die Kontrolle der Mietzahlungen.

Typische Verarbeitungstätigkeiten für ein Wohnungsunternehmen

Typische Verarbeitungstätigkeiten für ein Verzeichnis der Verarbeitungstätigkeiten in einer Wohnungsgesellschaft könnten sein:

1. Vermietung von Wohnungen und Gewerbeimmobilien: Hierzu gehören die Verarbeitung von personenbezogenen Daten von Mietern und Interessenten, wie z.B. Name, Adresse, Kontaktdaten, Einkommensnachweise, Miethistorie, Kreditwürdigkeitsprüfungen, usw.
2. Buchhaltung und Zahlungsverkehr: Dies umfasst die Verarbeitung von personenbezogenen Daten von Mietern und Lieferanten, wie z.B. Name, Adresse, Bankverbindung, Zahlungshistorie, Rechnungen und Ausgaben.
3. Hausverwaltung und -betreuung: Dies beinhaltet die Verarbeitung von personenbezogenen Daten von Mietern und Hausbesitzern, wie z.B. Name, Adresse, Kontaktdaten, Reparaturanfragen, Wartungs- und Serviceaufzeichnungen, usw.
4. Marketing und Kundenbindung: Hierzu gehören die Verarbeitung von personenbezogenen Daten von Mietern und Interessenten, um Marketing- und Werbemaßnahmen durchzuführen und Kundenbeziehungen zu pflegen.
5. Videoüberwachung: Wenn eine Wohnungsgesellschaft eine Videoüberwachung auf ihren Grundstücken durchführt, muss dies ebenfalls in das Verzeichnis der Verarbeitungstätigkeiten aufgenommen werden, da es sich um eine Verarbeitung personenbezogener Daten handelt.
6. Archivierung: Hierbei geht es um die Verarbeitung von personenbezogenen Daten von Mietern und Interessenten, die archiviert werden müssen, um gesetzliche Anforderungen zu erfüllen.
7. Personalverwaltung: Wenn eine Wohnungsgesellschaft Mitarbeiter beschäftigt, müssen auch die Verarbeitungstätigkeiten im Zusammenhang mit der Personalverwaltung, wie z.B. die Verarbeitung von Bewerbungen, Personalakten, Gehaltsabrechnungen und Sozialversicherungsdaten, in das Verzeichnis aufgenommen werden.

Typische Verarbeitungstätigkeiten Finanzierungsvermittlung

Typische Verarbeitungstätigkeiten für ein Verzeichnis der Verarbeitungstätigkeiten bei einem Finanzierungsvermittler können sein:

1. Kundenmanagement: Dies beinhaltet die Verarbeitung von personenbezogenen Daten von Kunden, wie Name, Adresse, Kontaktdaten, Einkommensnachweise und Kreditwürdigkeit, um Finanzierungsoptionen zu präsentieren und Kundenanfragen zu beantworten.
2. Vertragsmanagement: Hierzu gehören die Verarbeitung von personenbezogenen Daten von Kunden und Kreditgebern, wie Name, Adresse, Bankverbindung, Vertragsdaten und -bedingungen, um Finanzierungsverträge abzuschließen.
3. Marketing und Werbung: Dies beinhaltet die Verarbeitung von personenbezogenen Daten von Kunden, um Marketing- und Werbemaßnahmen durchzuführen und Kundenbeziehungen zu pflegen.
4. Kreditrisikobewertung: Hierbei geht es um die Verarbeitung von personenbezogenen Daten von Kunden, um deren Kreditwürdigkeit und Bonität zu bewerten und Kreditentscheidungen zu treffen.
5. Datenanalyse und -verarbeitung: Hierzu gehören die Verarbeitung von personenbezogenen Daten von Kunden, um statistische Analysen durchzuführen und den Geschäftsbetrieb zu optimieren.
6. Archivierung: Hierbei geht es um die Verarbeitung von personenbezogenen Daten von Kunden, die archiviert werden müssen, um gesetzliche Anforderungen zu erfüllen.
7. IT-Sicherheit: Hierbei geht es um die Verarbeitung von personenbezogenen Daten von Kunden, um die IT-Sicherheit des Unternehmens und seiner Systeme zu gewährleisten.

Weitere Verarbeitungstätigkeiten

Diese jeweiligen Aufzählungen für die unterschiedlichen Firmenstrukturen sind nicht erschöpfend und es können weitere Verarbeitungstätigkeiten hinzukommen, je nach Größe und Umfang der Firmen. Es ist auch zu beachten, dass einzelne Firmen unterschiedliche Aufgaben und teilweise unterschiedliche Unternehmenszweige haben können. Deshalb ist es wichtig, alle relevanten Verarbeitungstätigkeiten zu identifizieren und in das Verzeichnis aufzunehmen, um den Anforderungen der DSGVO zu entsprechen.