Verarbeitungsverzeichnis in 5 Schritten erstellen (Art. 30 DSGVO)
Das Verarbeitungsverzeichnis (Art. 30 DSGVO) listet systematisch alle Verarbeitungen personenbezogener Daten. Pflichtinhalte: Verantwortlicher und DSB, Zwecke, Kategorien Betroffener und Daten, Empfänger, Drittland-Übermittlungen, Löschfristen, TOMs (Art. 32). Ausnahme nur für Unternehmen unter 250 Mitarbeitern UND ohne risikoreiche / regelmäßige / sensible Verarbeitung, praktisch trifft die Pflicht fast jedes Unternehmen. Aufsichtsbehörden verlangen das VVT als erste Unterlage bei Kontrollen. Keine Rechtsberatung.
Das Verarbeitungsverzeichnis ist das zentrale Dokument der DSGVO-Compliance. Wer es hat, hat den Überblick, wer es nicht hat, weiß meist nicht, welche Tools welche Daten verarbeiten. Aufsichtsbehörden fragen es regelmäßig als erstes ab.
Fünf Schritte führen vom leeren Blatt zum belastbaren VVT, auch ohne externes Beratungs-Mandat.
Schritt 1: Datenflüsse identifizieren
Mit den Abteilungen sprechen: Was wird gemacht, mit welchen Daten, mit welchen Tools? Klassische Cluster: HR (Bewerbung, Personalakte, Lohn), Marketing (Newsletter, Tracking, CRM), Vertrieb (CRM, Angebote), Buchhaltung, IT-Logs, Kundenservice. Tipp: pro Abteilung 30-Minuten-Workshop mit standardisierten Fragen. Output: Rohliste aller Verarbeitungen, typischerweise 15–40 pro KMU.
Schritt 2: Pflichtinhalte für jede Verarbeitung erfassen
Nach Art. 30 Abs. 1 pro Verarbeitung: Name und Kontakt Verantwortlicher und DSB, Zwecke, Kategorien Betroffener (Mitarbeitende, Kunden, Bewerber…), Kategorien Daten (Stammdaten, Vertragsdaten, Gesundheit…), Empfänger (intern/extern), Drittland-Transfers, Löschfristen, allgemeine Beschreibung der TOMs. Tipp: Standardvorlage als Excel oder VVT-Tool (z. B. ProSoft, DataGuard, OneTrust) nutzen.
Schritt 3: Rechtsgrundlagen sauber zuordnen
Jede Verarbeitung braucht eine Rechtsgrundlage nach Art. 6 DSGVO: (a) Einwilligung, (b) Vertrag, (c) rechtliche Verpflichtung, (d) lebenswichtige Interessen, (e) öffentliche Aufgabe, (f) berechtigtes Interesse. Bei sensiblen Daten zusätzlich Art. 9. Bei Beschäftigtendaten häufig § 26 BDSG. Tipp: pro Zeile genau eine Rechtsgrundlage, wenn unklar, mit DSB klären.
Schritt 4: AVVs und Sub-Verarbeiter erfassen
Pro Verarbeitung: Welche Auftragsverarbeiter sind beteiligt (Hosting, SaaS, Druck, Lettershop, Personalvermittlung)? AVV vorhanden? Sub-Verarbeiter dokumentiert? Drittland-Bezug? Tipp: Vendor-Liste pflegen mit Anbieter, AVV-Status, AVV-Datum, TOM-Anlage, Sub-Verarbeiter, Drittland. Diese Liste ist Gold wert bei Audits und beim jährlichen Review.
Schritt 5: Pflege und jährlicher Review
Das VVT lebt: bei neuen Tools, geänderten Zwecken, Wegfall von Verarbeitungen aktualisieren. Mindestens jährlich vollständiger Review mit den Abteilungen, auch um „verwaiste“ Verarbeitungen zu finden. Versionierung pflegen (Datum, Änderungsgrund). Aufsichtsbehörden achten auf Aktualität, ein VVT von 2019 wirkt unglaubwürdig.
Fazit
Sonderfall Auftragsverarbeiter (Art. 30 Abs. 2)
Wer als Auftragsverarbeiter tätig ist (z. B. Agentur, Hosting-Anbieter, Lohnbüro), führt zusätzlich ein eigenes Verzeichnis nach Art. 30 Abs. 2: für jeden Auftraggeber Name, Kategorien Verarbeitungen, Drittländer, TOM-Beschreibung. Praxis-Tipp: gemeinsame Vorlage für eingehende und ausgehende AVVs.
Tools, die helfen
Für kleine Teams reicht Excel/Google Sheets mit klarer Struktur. Ab ~10 Verarbeitungen werden spezialisierte Tools (DataGuard, ProSoft, Caralegal, OneTrust) effizienter, sie ermöglichen Versionierung, Workflow für Freigaben, automatische Verknüpfung von AVVs, Risikoanalysen und TIAs.
FAQs
Fachkraft für Datenschutz und -sicherheit (IHK)
Im Lehrgang verwandelst du dieses Wissen in einen konkreten Umsetzungsplan — mit Templates, Use Cases und IHK-Zertifikat.
Kostenlos testenthekey.academy ist eine deutsche Online-Lernplattform für IHK-zertifizierte berufliche Weiterbildung — 25 Lehrgänge zu KI, Führung, Resilienz, Marketing und HR. 100 % online, self-paced, mit IHK-Zertifikat.
:quality(85))