Verzeichnis von Verarbeitungstätigkeiten

Was ist das Verarbeitungsverzeichnis?

Das Verzeichnis von Verarbeitungstätigkeiten (VVT) nach Art. 30 DSGVO ist eines der zentralen Dokumentationsinstrumente der Datenschutz-Grundverordnung. Es dokumentiert alle Prozesse, bei denen personenbezogene Daten verarbeitet werden, und dient als Nachweis der DSGVO-Compliance gegenüber Aufsichtsbehörden.

Das VVT ist nicht nur eine regulatorische Pflicht, sondern auch ein wertvolles internes Steuerungsinstrument: Es verschafft einen Überblick über alle Datenflüsse im Unternehmen und ist die Basis für die Risikobewertung, die Datenschutz-Folgenabschätzung und die Dokumentation der technischen und organisatorischen Maßnahmen.

Wer muss ein Verarbeitungsverzeichnis führen?

Grundsätzlich sind sowohl Verantwortliche (Art. 30 Abs. 1) als auch Auftragsverarbeiter (Art. 30 Abs. 2) verpflichtet, ein Verarbeitungsverzeichnis zu führen. Die Pflicht trifft also nahezu jedes Unternehmen.

Art. 30 Abs. 5 sieht eine Ausnahme für Unternehmen mit weniger als 250 Mitarbeitern vor. Diese Ausnahme greift jedoch nur, wenn die Verarbeitung nicht:

• ein Risiko für die Rechte und Freiheiten der betroffenen Personen birgt
• nicht nur gelegentlich erfolgt
• besondere Datenkategorien (Art. 9) oder Daten über strafrechtliche Verurteilungen (Art. 10) umfasst

In der Praxis ist diese Ausnahme nahezu bedeutungslos: Jedes Unternehmen, das Mitarbeiterdaten verarbeitet (Lohnabrechnung, Personalakte), Kundendaten speichert oder eine Website mit Kontaktformular betreibt, verarbeitet Daten nicht nur gelegentlich. Aufsichtsbehörden empfehlen daher allen Unternehmen, ein VVT zu führen.

Pflichtinhalte nach Art. 30 Abs. 1 (Verantwortliche)

Für den Verantwortlichen muss das Verarbeitungsverzeichnis folgende Angaben je Verarbeitungstätigkeit enthalten:

• Name und Kontaktdaten: des Verantwortlichen, ggf. des gemeinsam Verantwortlichen, des Vertreters und des Datenschutzbeauftragten
• Zwecke der Verarbeitung: eindeutig und konkret formuliert (z. B. "Lohnabrechnung" statt "Personalverwaltung")
• Kategorien betroffener Personen: Mitarbeiter, Kunden, Bewerber, Lieferanten, Website-Besucher
• Kategorien personenbezogener Daten: Stammdaten, Kontaktdaten, Bankdaten, Gesundheitsdaten, etc.
• Kategorien von Empfängern: intern (Abteilungen) und extern (Auftragsverarbeiter, Finanzbehörden, etc.)
• Übermittlungen in Drittländer: einschließlich der Rechtsgrundlage für die Übermittlung (Angemessenheitsbeschluss, SCCs, etc.)
• Löschfristen: vorgesehene Fristen für die Löschung der verschiedenen Datenkategorien
• Allgemeine Beschreibung der TOMs: Verweis auf die detaillierte TOM-Dokumentation

Pflichtinhalte nach Art. 30 Abs. 2 (Auftragsverarbeiter)

Der Auftragsverarbeiter muss ein separates Verzeichnis führen, das folgende Informationen enthält:

• Name und Kontaktdaten des Auftragsverarbeiters und jedes Verantwortlichen, in dessen Auftrag er tätig ist
• Kategorien von Verarbeitungen, die im Auftrag jedes Verantwortlichen durchgeführt werden
• Übermittlungen in Drittländer einschließlich der Dokumentation geeigneter Garantien
• Allgemeine Beschreibung der technischen und organisatorischen Maßnahmen

Beispiel-Verarbeitungstätigkeiten

Praktische Umsetzung: Excel vs. GRC-Tool

Viele Unternehmen starten mit einer Excel-Tabelle für ihr Verarbeitungsverzeichnis. Das funktioniert anfänglich, stößt aber bei wachsender Komplexität schnell an Grenzen:

• Versionskontrolle: Wer hat wann was geändert? Bei Excel schwer nachvollziehbar.
• Verknüpfungen: TOMs, Auftragsverarbeiter, Löschfristen und Betroffenenrechte hängen zusammen — in Excel sind diese Querverbindungen kaum abbildbar.
• Kollaboration: Fachbereiche müssen ihre Verarbeitungstätigkeiten selbst pflegen — in einer Excel-Datei per E-Mail ein Albtraum.
• Nachweisführung: Aufsichtsbehörden erwarten Audit-Trails und Änderungshistorien.

Ein GRC-Tool wie Kopexa löst diese Probleme: Strukturiertes Verarbeitungsverzeichnis mit automatischen Verknüpfungen zu TOMs, Auftragsverarbeitern und Löschfristen. Fachbereiche pflegen ihre Einträge direkt in der Plattform, und jede Änderung wird im Audit-Trail dokumentiert.

Häufige Fehler beim Verarbeitungsverzeichnis

• Zu grob: "Personalverwaltung" als eine Verarbeitungstätigkeit — stattdessen sollte man Lohnabrechnung, Bewerbermanagement, Zeiterfassung etc. getrennt dokumentieren.
• Keine Aktualisierung: Das VVT wird einmal erstellt und dann vergessen. Neue Systeme, geänderte Prozesse und neue Dienstleister müssen zeitnah nachgetragen werden.
• Fehlende Löschfristen: Pauschale Angaben wie "nach Bedarf" genügen nicht. Jede Datenkategorie braucht eine konkrete Frist mit Rechtsgrundlage.
• Kein Auftragsverarbeiter-VVT: Wer als Dienstleister Daten im Auftrag verarbeitet, muss ein eigenes Verzeichnis nach Art. 30 Abs. 2 führen.

Weitere Informationen zur Rolle des Datenschutzbeauftragten bei der Pflege des Verarbeitungsverzeichnisses und eine vollständige Übersicht aller DSGVO-Pflichten findest du auf unserer Seite zu den DSGVO-Anforderungen.