Das Verzeichnis von Verarbeitungstätigkeiten (VVT) ist eines der zentralen Instrumente im Datenschutzmanagement nach der Datenschutz-Grundverordnung (DSGVO). Dennoch herrscht in vielen Unternehmen Unsicherheit darüber, wie ein solches Verzeichnis konkret aussehen sollte. Dieser Beitrag zeigt, welche Inhalte erforderlich sind, wie ein VVT strukturiert sein kann und worauf es in der Praxis ankommt.
Was ist ein Verzeichnis von Verarbeitungstätigkeiten?
Das Verzeichnis von Verarbeitungstätigkeiten dokumentiert sämtliche Prozesse, bei denen personenbezogene Daten verarbeitet werden. Es dient als Nachweis gegenüber Aufsichtsbehörden und ist ein wesentliches Element der Rechenschaftspflicht.
Sowohl Verantwortliche als auch Auftragsverarbeiter sind verpflichtet, ein entsprechendes Verzeichnis zu führen – mit jeweils leicht unterschiedlichen Anforderungen.
Gesetzliche Grundlage
Die Anforderungen an das VVT ergeben sich aus Artikel 30 der DSGVO. Dieser definiert klar, welche Mindestangaben enthalten sein müssen. Ziel ist es, Transparenz über die Datenverarbeitung zu schaffen und Risiken besser bewerten zu können.
Wie ist ein VVT aufgebaut?
Ein Verzeichnis von Verarbeitungstätigkeiten ist in der Praxis meist tabellarisch aufgebaut. Jede Verarbeitungstätigkeit wird als eigener Eintrag geführt. Typische Struktur:
1. Allgemeine Angaben
- Name und Kontaktdaten des Verantwortlichen
- ggf. Vertreter des Unternehmens
- Kontaktdaten des Datenschutzbeauftragten
2. Beschreibung der Verarbeitungstätigkeit
- Bezeichnung der Verarbeitung (z. B. „Mitarbeiterverwaltung“, „Kundenmanagement“)
- Zweck der Verarbeitung
- Rechtsgrundlage (z. B. Vertragserfüllung, Einwilligung, gesetzliche Pflicht)
3. Kategorien betroffener Personen
- Kunden
- Mitarbeitende
- Lieferanten
- Website-Besucher
4. Kategorien personenbezogener Daten
- Stammdaten (Name, Adresse)
- Kontaktdaten
- Vertragsdaten
- Zahlungsinformationen
- ggf. besondere Kategorien personenbezogener Daten
5. Empfänger der Daten
- Interne Stellen
- Externe Dienstleister (z. B. IT-Provider, Steuerberater)
- Behörden
6. Drittlandübermittlungen
- Werden Daten außerhalb der EU/des EWR verarbeitet?
- Falls ja: Angabe der geeigneten Garantien (z. B. Standardvertragsklauseln)
7. Löschfristen
- Konkrete Fristen oder Kriterien für die Löschung der Daten
8. Technische und organisatorische Maßnahmen (TOMs)
- Zugriffskontrollen
- Verschlüsselung
- Backup-Konzepte
- Berechtigungssysteme
Beispielhafte Darstellung
Ein typischer Eintrag im VVT könnte so aussehen:
| Verarbeitung | Zweck | Betroffene | Daten-kategorien | Empfänger | Löschfrist |
|---|---|---|---|---|---|
| Kunden-verwaltung | Vertragsab-wicklung | Kunden | Name, Adresse, Zahlungsdaten | Buchhaltung, CRM-System | 10 Jahre |
In der Praxis werden diese Tabellen häufig durch zusätzliche Felder ergänzt, etwa zur Risikobewertung oder zur Verknüpfung mit Datenschutz-Folgenabschätzungen.
Praktische Umsetzung im Unternehmen
Ein gutes VVT ist mehr als eine Pflichtübung. Es sollte:
- vollständig sein (alle relevanten Prozesse erfassen)
- aktuell gehalten werden
- verständlich formuliert sein
- prüfbar und strukturiert dokumentiert sein
Viele Unternehmen nutzen dafür spezialisierte Softwarelösungen oder strukturierte Excel-Vorlagen.
Häufige Fehler vermeiden
In der Praxis treten immer wieder typische Probleme auf:
- Unvollständige Erfassung der Prozesse
- Zu allgemeine oder unklare Beschreibungen
- Fehlende Aktualisierung
- Keine klare Zuständigkeit für die Pflege
Ein Datenschutzbeauftragter kann hier unterstützen und die Qualität des Verzeichnisses sicherstellen.
Fazit
Das Verzeichnis von Verarbeitungstätigkeiten ist ein zentrales Werkzeug für Transparenz und Datenschutz-Compliance. Richtig umgesetzt, bietet es nicht nur einen Überblick über alle Datenflüsse im Unternehmen, sondern hilft auch, Risiken frühzeitig zu erkennen und gezielt zu steuern.
Unternehmen sollten das VVT daher nicht als reine Dokumentationspflicht verstehen, sondern als strategisches Instrument für ein funktionierendes Datenschutzmanagement.
