Datenschutz & IT-Sicherheit

Verarbeitungsverzeichnis in 5 Schritten erstellen (Art. 30 DSGVO)

Zuletzt aktualisiert:
In einem Satz

Das Verarbeitungsverzeichnis (Art. 30 DSGVO) listet systematisch alle Verarbeitungen personenbezogener Daten. Pflichtinhalte: Verantwortlicher und DSB, Zwecke, Kategorien Betroffener und Daten, Empfänger, Drittland-Übermittlungen, Löschfristen, TOMs (Art. 32). Ausnahme nur für Unternehmen unter 250 Mitarbeitern UND ohne risikoreiche / regelmäßige / sensible Verarbeitung, praktisch trifft die Pflicht fast jedes Unternehmen. Aufsichtsbehörden verlangen das VVT als erste Unterlage bei Kontrollen. Keine Rechtsberatung.

Das Verarbeitungsverzeichnis ist das zentrale Dokument der DSGVO-Compliance. Wer es hat, hat den Überblick, wer es nicht hat, weiß meist nicht, welche Tools welche Daten verarbeiten. Aufsichtsbehörden fragen es regelmäßig als erstes ab.

Fünf Schritte führen vom leeren Blatt zum belastbaren VVT, auch ohne externes Beratungs-Mandat.

1

Schritt 1: Datenflüsse identifizieren

Mit den Abteilungen sprechen: Was wird gemacht, mit welchen Daten, mit welchen Tools? Klassische Cluster: HR (Bewerbung, Personalakte, Lohn), Marketing (Newsletter, Tracking, CRM), Vertrieb (CRM, Angebote), Buchhaltung, IT-Logs, Kundenservice. Tipp: pro Abteilung 30-Minuten-Workshop mit standardisierten Fragen. Output: Rohliste aller Verarbeitungen, typischerweise 15–40 pro KMU.

2

Schritt 2: Pflichtinhalte für jede Verarbeitung erfassen

Nach Art. 30 Abs. 1 pro Verarbeitung: Name und Kontakt Verantwortlicher und DSB, Zwecke, Kategorien Betroffener (Mitarbeitende, Kunden, Bewerber…), Kategorien Daten (Stammdaten, Vertragsdaten, Gesundheit…), Empfänger (intern/extern), Drittland-Transfers, Löschfristen, allgemeine Beschreibung der TOMs. Tipp: Standardvorlage als Excel oder VVT-Tool (z. B. ProSoft, DataGuard, OneTrust) nutzen.

3

Schritt 3: Rechtsgrundlagen sauber zuordnen

Jede Verarbeitung braucht eine Rechtsgrundlage nach Art. 6 DSGVO: (a) Einwilligung, (b) Vertrag, (c) rechtliche Verpflichtung, (d) lebenswichtige Interessen, (e) öffentliche Aufgabe, (f) berechtigtes Interesse. Bei sensiblen Daten zusätzlich Art. 9. Bei Beschäftigtendaten häufig § 26 BDSG. Tipp: pro Zeile genau eine Rechtsgrundlage, wenn unklar, mit DSB klären.

4

Schritt 4: AVVs und Sub-Verarbeiter erfassen

Pro Verarbeitung: Welche Auftragsverarbeiter sind beteiligt (Hosting, SaaS, Druck, Lettershop, Personalvermittlung)? AVV vorhanden? Sub-Verarbeiter dokumentiert? Drittland-Bezug? Tipp: Vendor-Liste pflegen mit Anbieter, AVV-Status, AVV-Datum, TOM-Anlage, Sub-Verarbeiter, Drittland. Diese Liste ist Gold wert bei Audits und beim jährlichen Review.

5

Schritt 5: Pflege und jährlicher Review

Das VVT lebt: bei neuen Tools, geänderten Zwecken, Wegfall von Verarbeitungen aktualisieren. Mindestens jährlich vollständiger Review mit den Abteilungen, auch um „verwaiste“ Verarbeitungen zu finden. Versionierung pflegen (Datum, Änderungsgrund). Aufsichtsbehörden achten auf Aktualität, ein VVT von 2019 wirkt unglaubwürdig.

Fazit

Sonderfall Auftragsverarbeiter (Art. 30 Abs. 2)

Wer als Auftragsverarbeiter tätig ist (z. B. Agentur, Hosting-Anbieter, Lohnbüro), führt zusätzlich ein eigenes Verzeichnis nach Art. 30 Abs. 2: für jeden Auftraggeber Name, Kategorien Verarbeitungen, Drittländer, TOM-Beschreibung. Praxis-Tipp: gemeinsame Vorlage für eingehende und ausgehende AVVs.

Tools, die helfen

Für kleine Teams reicht Excel/Google Sheets mit klarer Struktur. Ab ~10 Verarbeitungen werden spezialisierte Tools (DataGuard, ProSoft, Caralegal, OneTrust) effizienter, sie ermöglichen Versionierung, Workflow für Freigaben, automatische Verknüpfung von AVVs, Risikoanalysen und TIAs.

FAQs

Brauchen Vereine und Soloselbständige ein VVT?
Sobald regelmäßig personenbezogene Daten verarbeitet werden (Mitgliederliste, Newsletter, Spendenverwaltung), greift die VVT-Pflicht. Auch ein Einzelunternehmer mit Kunden-Adressdatei muss ein VVT führen. Umfang ist dann aber deutlich überschaubarer.
Muss das VVT öffentlich sein?
Externe Information geschieht über die Datenschutzerklärung (Art. 13/14), nicht über das VVT. Manche Unternehmen veröffentlichen freiwillig eine zusammengefasste Version. Pflicht ist das nicht.
Wie detailliert muss eine Verarbeitung beschrieben sein?
Schlecht: „Marketing-Aktivitäten“. Gut: „Versand monatlicher Kunden-Newsletter über Brevo (AVV vom 12.04.2024, Server EU), Empfänger nach Opt-in, Stammdaten + Klick-Tracking, Speicherdauer bis Widerruf + 3 Jahre Beweisaufbewahrung.“ Die Aufsichtsbehörden veröffentlichen Muster.
Frameworks praktisch anwenden

Fachkraft für Datenschutz und -sicherheit (IHK)

Im Lehrgang verwandelst du dieses Wissen in einen konkreten Umsetzungsplan — mit Templates, Use Cases und IHK-Zertifikat.

Kostenlos testen
Über thekey.academy

thekey.academy ist eine deutsche Online-Lernplattform für IHK-zertifizierte berufliche Weiterbildung — 25 Lehrgänge zu KI, Führung, Resilienz, Marketing und HR. 100 % online, self-paced, mit IHK-Zertifikat.