Jede Kommune muss ein Verzeichnis von Verarbeitungstätigkeiten führen – das schreibt Artikel 30 der DSGVO vor. Anders als in Unternehmen gelten in der öffentlichen Verwaltung jedoch eigene Rechtsgrundlagen, eigene Strukturen und zusätzliche Pflichten. Dieser Beitrag erklärt, worauf es beim VVT einer Kommune ankommt, wo die Unterschiede zur Privatwirtschaft liegen und wie ein praxistauglicher Aufbau aussieht.
Was ist das VVT – und warum ist es für Kommunen Pflicht?
Das Verzeichnis von Verarbeitungstätigkeiten dokumentiert, welche personenbezogenen Daten eine Stelle zu welchem Zweck und auf welcher Rechtsgrundlage verarbeitet. Es ist das zentrale Nachweisdokument der Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO.
Für Kommunen gilt die Pflicht uneingeschränkt. Die in Art. 30 Abs. 5 DSGVO genannte Ausnahme für Stellen mit weniger als 250 Beschäftigten greift in der Verwaltung praktisch nie: Eine Kommune verarbeitet personenbezogene Daten regelmäßig, umfangreich und teils in besonderen Kategorien (etwa im Sozial- oder Gesundheitsbereich). Damit ist das VVT in jeder Gemeinde, jeder Stadt und jedem Landkreis zu führen – unabhängig von der Größe.
Der zentrale Unterschied: die Rechtsgrundlage
Hier liegt der wichtigste Unterschied zur Privatwirtschaft. Unternehmen stützen ihre Verarbeitungen meist auf Vertrag (Art. 6 Abs. 1 lit. b) oder berechtigtes Interesse (lit. f). Für Kommunen sieht das anders aus: Die meisten kommunalen Verarbeitungen beruhen auf Art. 6 Abs. 1 lit. e DSGVO – der Wahrnehmung einer Aufgabe im öffentlichen Interesse oder in Ausübung öffentlicher Gewalt. Diese Aufgabe muss zusätzlich durch eine Rechtsgrundlage im nationalen Recht ausgefüllt werden, etwa durch das jeweilige Fachgesetz (Meldegesetz, Baugesetzbuch, Sozialgesetzbuch) und durch das Landesdatenschutzgesetz des jeweiligen Bundeslandes. Das berechtigte Interesse (lit. f) ist für hoheitliches Handeln ausgeschlossen. Art. 6 Abs. 1 UAbs. 2 DSGVO stellt klar, dass Behörden sich bei der Erfüllung ihrer Aufgaben nicht auf lit. f stützen dürfen.
Für das VVT bedeutet das: In der Spalte „Rechtsgrundlage" steht bei einer Kommune fast nie „berechtigtes Interesse", sondern eine Kombination aus lit. e und der konkreten fachgesetzlichen Norm. Wer eine VVT-Vorlage aus der Privatwirtschaft übernimmt, übernimmt damit oft falsche Rechtsgrundlagen.
Welche Angaben gehören in das kommunale VVT?
Die Pflichtangaben ergeben sich aus Art. 30 Abs. 1 DSGVO. Für jede Verarbeitungstätigkeit sind Name und Kontaktdaten des Verantwortlichen (die Kommune, vertreten durch den Bürgermeister bzw. die Hauptverwaltungsbeamtin) sowie des Datenschutzbeauftragten zu dokumentieren, ebenso die Zwecke der Verarbeitung, eine Beschreibung der Kategorien betroffener Personen und der Datenkategorien, die Kategorien von Empfängern, gegebenenfalls Drittlandübermittlungen, die vorgesehenen Löschfristen und eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen (TOM).
Ergänzend empfiehlt sich für Kommunen die Angabe der konkreten Rechtsgrundlage je Verarbeitung – formal nicht in Art. 30 verlangt, in der Aufsichtspraxis aber regelmäßig erwartet.
Wie wird das VVT in der Verwaltung strukturiert?
Eine Kommune lässt sich nicht wie ein Unternehmen über Abteilungen gliedern. Bewährt hat sich eine Gliederung entlang der Ämter beziehungsweise Fachbereiche: Einwohnermeldewesen und Bürgerbüro, Bauamt, Sozial- und Jugendamt, Ordnungsamt, Personalverwaltung (Beschäftigtendaten im öffentlichen Dienst) sowie Kämmerei und Finanzen. Jedes Amt meldet seine Verarbeitungstätigkeiten an die zentrale Stelle, die das VVT pflegt. In der Praxis übernimmt diese Koordination häufig der Datenschutzbeauftragte gemeinsam mit den jeweiligen Fachverantwortlichen.
Besondere Themen, die im Unternehmens-VVT fehlen
Das kommunale VVT muss Verarbeitungen abbilden, die es in der Privatwirtschaft so nicht gibt: das Meldewesen auf Grundlage des Bundesmeldegesetzes, Sozialleistungen mit besonderen Datenkategorien (SGB), Bauleitplanung und Bauanträge, das Ratsinformationssystem und die Veröffentlichung von Sitzungsunterlagen sowie Schnittstellen zur Informationsfreiheit (IFG/Landes-Transparenzgesetze) und zum Archivrecht (Aussonderung statt Löschung). Diese Punkte zeigen, warum ein generisches VVT-Muster für Unternehmen in der Verwaltung schnell an Grenzen stößt.
Wer ist verantwortlich – und welche Rolle hat der DSB?
Verantwortlicher im Sinne der DSGVO ist die Kommune als öffentliche Stelle, nach außen vertreten durch die Verwaltungsspitze. Der Datenschutzbeauftragte führt das VVT nicht selbst mit Inhalten, sondern überwacht, berät und koordiniert. Wichtig: In Behörden ist die Bestellung eines Datenschutzbeauftragten nach Art. 37 Abs. 1 lit. a DSGVO immer Pflicht – die aus dem Unternehmenskontext bekannte 20-Personen-Schwelle des § 38 BDSG gilt hier nicht.
Fazit
Ein VVT für eine Kommune ist mehr als eine ausgefüllte Tabelle. Es verlangt die richtigen Rechtsgrundlagen (lit. e plus Fachrecht statt berechtigtem Interesse), eine Gliederung entlang der Ämter und die Berücksichtigung verwaltungsspezifischer Themen wie Meldewesen, Sozialdaten und Archivrecht. Ein aus der Privatwirtschaft übernommenes Muster führt hier regelmäßig zu Fehlern.
Häufige Fragen (FAQ)
Muss auch eine kleine Gemeinde ein VVT führen?
Ja. Die Ausnahme für Stellen unter 250 Beschäftigten greift praktisch nie, da Kommunen regelmäßig und teils besondere Kategorien personenbezogener Daten verarbeiten.
Auf welche Rechtsgrundlage stützt eine Kommune ihre Verarbeitungen?
Überwiegend auf Art. 6 Abs. 1 lit. e DSGVO (öffentliche Aufgabe) in Verbindung mit dem jeweiligen Fachgesetz und dem Landesdatenschutzgesetz. Das berechtigte Interesse (lit. f) ist für hoheitliches Handeln ausgeschlossen.
Ist ein Datenschutzbeauftragter in der Kommune Pflicht?
Ja, immer. Nach Art. 37 Abs. 1 lit. a DSGVO müssen Behörden und öffentliche Stellen unabhängig von ihrer Größe einen Datenschutzbeauftragten bestellen.
Kann man ein VVT-Muster aus der Privatwirtschaft verwenden?
Nur eingeschränkt. Rechtsgrundlagen, Struktur und mehrere Verarbeitungsthemen unterscheiden sich grundlegend. Ein verwaltungsspezifisches Muster ist vorzuziehen.
Über den Autor
Dr. Sait Yalazay ist TÜV-zertifizierter Datenschutzbeauftragter, international anerkannter Datenschutzbeauftragter (CIPP).
