office@datenschutz.immobilien

030 20 63 07 94

Das Verzeichnis der Verarbeitungstätigkeiten

Verzeichnis der Verarbeitungstätigkeiten nach DSGVO für Maklerbüros

Diesen Beitrag teilen

Das Verzeichnis der Verarbeitungstätigkeiten nach Art. 30 DSGVO ist der Dreh- und Angelpunkt des Datenschutz-Systems in den Immobilienbüros. Lesen Sie in diesem Beitrag, wie das VVT aufgebaut sein muss und was wichtig für Ihr Immobilienbüro ist.

Das Verzeichnis der Verarbeitungstätigkeiten (VVT) ist Bestandteil der erforderlichen Unterlagen, die jedes Immobilienbüro benötigt. Es ist vergleichbar mit einem Prozesshandbuch für datenschutzrechtliche Verarbeitungsvorgänge in Immobilienbüros.

Überblick über den Inhalt dieses Beitrags

In diesem Beitrag erläutern wir die Inhalte des Verzeichnisses der Verarbeitungstätigkeiten, wie die einzelnen Dokumente aus dem Datenschutzbereich jedes Immobilienbüros zusammenspielen, erläutern, wer das Verzeichnis erstellen muss und geben Beispiele für einzelne Verarbeitungstätigkeiten.

Alle Verarbeitungsvorgänge schriftlich zusammenfassen

Im VVT müssen alle wesentlichen Verarbeitungsvorgänge, die in einem Immobilienbüro anfallen, schriftlich niedergelegt werden. In Art. 30 Abs. 3 DSGVO ist festgelegt, dass das VVT schriftlich, auch in elektronischer Form, geführt werden muss.

Pflicht zur Führung des VVT – Bußgeld bei Verstoß

Das VVT kann jederzeit von der Aufsicht Datenschutz zur Einsicht angefordert werden und die Unternehmen müssen das VVT dann vorlegen. Verstößt ein Unternehmen gegen die Pflicht, ein VVT zu führen, ist dies nach Art. 83 Abs. 4 a DSGVO ein Pflichtenverstoß, der zu einem Bußgeld führen kann.

Inhalt des VVT

Der erforderliche Inhalt des Verzeichnisses der Verarbeitungstätigkeiten ergibt sich aus Art. 30 DSGVO.

Nach Art. 30 Abs. 1 Satz 2 DSGVO muss das VVCT folgende Angaben umfassen:

  1. den Namen und die Kontaktdaten des Verantwortlichen und gegebenenfalls des gemeinsam mit ihm Verantwortlichen, des Vertreters des Verantwortlichen sowie eines etwaigen Datenschutzbeauftragten;
  2. die Zwecke der Verarbeitung;
  3. eine Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten;
  4. die Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, einschließlich Empfänger in Drittländern oder internationalen Organisationen;
  5. gegebenenfalls Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation, einschließlich der Angabe des betreffenden Drittlands oder der betreffenden internationalen Organisation, sowie bei den in Artikel 49 Absatz 1 Unterabsatz 2 genannten Datenübermittlungen die Dokumentierung geeigneter Garantien;
  6. wenn möglich, die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien;
  7. wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Artikel 32 Absatz 1.

Die beiden wichtigsten Teile eines jeden Verarbeitungsvorgangs

Die Auflistung in Art 30 Abs. 1 DSGVO nimmt keine Wertigkeit der erforderlichen Angaben vor. Die wichtigsten Teile eines jeden Verarbeitungsvorgangs sind

  1. die Beschreibung der Kategorien der personenbezogenen Daten, die verarbeitet werden und
  2. die Kategorien von Empfängern der personenbezogenen Daten für jeden Verarbeitungsvorgang.

Zusammenspiel weiterer Aufzeichnungen

Jedes Immobilienunternehmen muss verschiedene Dokumente im Rahmen des Datenschutz-Management-Systems vorhalten. Dazu zählen mindestens:

  • Information für Kunden (betroffene Personen) nach Art. 14 und 14 DSGVO, die sog. Datenschutzhinweise
  • Löschkonzept
  • Auflistung der technischen und organisatorischen Maßnahmen (TOM)
  • Verzeichnis der Verarbeitungstätigkeiten
  • Erforderliche Einwilligungen
  • Liste der Auftragsverarbeitungsverträge und die Verträge (AVV) selbst
  • (weitere)

Bei der Erstellung des VVT greifen die verschiedenen Dokumente aus dem Datenschutz-Management-System ineinander.

Die erforderlichen Aufzeichnungen, die jedes Immobilienbüro vorhalten muss, ergänzen sich und sollten inhaltlich aufeinander abgestimmt sein. Wenn es um die Verarbeitung von personenbezogenen Daten in einem Verarbeitungsvorgang, der im VVT beschrieben wird, geht, dann müssen die Kategorien von personenbezogenen Daten, die verarbeitet werden, beschrieben werden. In dem Informationsschreiben nach Art. 13 und 14 DSGVO müssen die gleichen Angaben enthalten sein. Diese Angaben, die an die jeweils betroffene Person übermittelt werden müssen, müssen ebenfalls vollständig angeben, welche personenbezogenen Daten dieser Person im Unternehmen verarbeitet werden und an wen diese weitergegeben werden.

Aus dem Löschkonzept werden die Löschfristen für die einzelnen Daten übernommen, die ebenfalls im VVT angegeben werden müssen.

Die TOM ergänzen das Verzeichnis der Verarbeitungstätigkeiten und vervollständigen dieses.

Wer muss das VVT erstellen?

In Art. 30 DSGVO ist festgehalten, dass

  • Jeder Verantwortliche für die Verarbeitung personenbezogener Daten (Art. 30 Abs. 1 DSGVO) und
  • Jeder Auftragsverarbeiter (Art. 30 abs.2 DSGVO)

ein VVT erstellen und führen muss.

Unterstützung vom Datenschutzbeauftragten

Sofern ein Datenschutzbeauftragter in einem Immobilienunternehmen bestellt werden muss (ab 20 Personen Zugriff auf personenbezogene Daten oder Verarbeitung sensibler Daten nach Art. 9 DSGVO) oder ein Datenschutzbeauftragter freiwillig eingesetzt ist, unterstützt dieser die Unternehmen bei der Erstellung des VVT und bei der Identifikation der einzelnen Verarbeitungsvorgänge, die im VVT beschrieben werden müssen.

Beispiele für Verarbeitungstätigkeiten im Immobilienbüro

Art. 30 DSGVO ist nicht aussagekräftig, wenn es um die einzelnen Verarbeitungsvorgänge geht, die im VVT beschrieben werden müssen. Die Regelung dort lautet, dass die Verantwortlichen

„führen ein Verzeichnis aller Verarbeitungstätigkeiten, die ihrer Zuständigkeit unterliegen.“

Was sind jedoch „alle Verarbeitungstätigkeiten“?

Aus der Handreichung der Datenschutzkonferenz zu den Verzeichnissen der Verarbeitungstätigkeiten ergibt sich:

„Dieses Verzeichnis betrifft sämtliche ganz oder teilweise automatisierte Verarbeitungen sowie nichtautomatisierte Verarbeitungen personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen.  Für jede einzelne Verarbeitungstätigkeit ist eine Beschreibung nach Maßgabe des Art. 30 DS-GVO anzufertigen. Als Verarbeitungstätigkeit wird im Allgemeinen ein Geschäftsprozess auf geeignetem Abstraktionsniveau verstanden. Es ist ein strenger Maßstab anzulegen, so dass jeder neue Zweck der Verarbeitung eine eigene Verarbeitungstätigkeit darstellt. Bei einer nur geringen Zweckänderung muss geprüft werden, ob eine bereits bestehende Beschreibung einer Verarbeitungstätigkeit angepasst werden muss oder ob eine vollständig neue Beschreibung anzufertigen ist. Die Summe der Einzelbeiträge ergibt das Verzeichnis von Verarbeitungstätigkeiten.“

Konkrete Beispiele Verarbeitungstätigkeiten Immobilienfirmen

Aus der Handreichung der Datenschutzkonferenz folgt, dass die einzelnen zu beschreibenden Verarbeitungsvorgänge ein bestimmtes Abstraktionsniveau haben können (und dürfen). Damit muss nicht jeder einzelne Speichervorgang von Daten auch einzeln im VVT beschrieben werden.

Welche Vorgänge genau zu beschreiben sind, hat die Aufsicht Datenschutz bislang nicht erkennen lassen.

Die folgenden Verarbeitungsvorgänge in Immobilienbüros bieten sich für die Darstellung im VVT an:

  • Vermietung
  • Verkauf von Immobilien
  • Planung und Konzeption von Neubauten (Projektentwicklung)
  • Nachweis/Vermittlung von Immobilien
  • Verwaltung (WEG, Mietwohn-, Sondereigentumsverwaltung)
  • Wertermittlung
  • Erstellung von Energieausweisen
  • Verarbeitung von Mitarbeitendenunterlagen
  • Videoüberwachung
  • Protokollierung von Nutzungsdaten
  • Betrieb, Unterhaltung Webseite
  • Newsletterversand
  • Einsatz einer Software
  • Verarbeitung von Partnerdaten (Lizenznehmende, freie Mitarbeitende, Vertragspartner, Gemeinschaftsgeschäfte)
  • Nutzung von Archivsystemen
  • Verarbeitung von sensiblen Daten nach Art. 9 DSGVO (z.B. Vergabe bestimmter Wohnungen, die an Gesundheitsanforderungen geknüpft sind)
  • Weitere …

Vorlage für ein VVT

Es existieren verschiedene Vorlagen für ein VVT und werden im Internet kostenlos bereitgestellt. Auf der Webseite des Bundesdatenschutzbeauftragten ist eine Vorlage einsehbar, die genutzt werden kann.

Link (KLICK hier) 

Unterstützung bei der Erstellung Verzeichnis der Verarbeitungstätigkeiten

Für Fragen bei der Erstellung des Verzeichnisses der Verarbeitungstätigkeiten wenden Sie sich direkt an die Johns Datenschutz GmbH.

Zum Kontakt Johns Datenschutz GmbH (KLICK hier)