- Das Verarbeitungsverzeichnis nach Art. 30 DSGVO ist für nahezu jedes Unternehmen Pflicht, nicht nur für große Konzerne.
- Pro Verarbeitungstätigkeit müssen mindestens 7 Pflichtangaben dokumentiert werden: Verantwortlicher, Zweck, Kategorien betroffener Personen, Datenkategorien, Empfänger, Drittlandtransfers und Löschfristen.
- Typische Verarbeitungstätigkeiten im Mittelstand sind Lohnabrechnung, CRM-Nutzung, E-Mail-Kommunikation und Bewerbermanagement.
- Löschfristen ergeben sich aus gesetzlichen Aufbewahrungspflichten und dem Grundsatz der Speicherbegrenzung nach Art. 5 Abs. 1 lit. e DSGVO.
- Ein VVA ist kein einmaliges Projekt, sondern ein lebendes Dokument, das bei jeder neuen Verarbeitungstätigkeit aktualisiert werden muss.
Warum das Verarbeitungsverzeichnis so wichtig ist
Wenn die Datenschutzaufsichtsbehörde bei dir anklopft, ist das Verarbeitungsverzeichnis eines der ersten Dokumente, das sie sehen will. Es ist gewissermaßen die Landkarte deiner gesamten Datenverarbeitung: Welche personenbezogenen Daten verarbeitest du, warum, wie lange und an wen gibst du sie weiter? Ohne diese Übersicht fehlt dir nicht nur die Grundlage für eine saubere Datenschutz-Dokumentation, sondern auch der Nachweis, dass du die DSGVO ernst nimmst.
Art. 30 DSGVO schreibt das Verarbeitungsverzeichnis (oft auch VVA oder Verzeichnis von Verarbeitungstätigkeiten genannt) seit Mai 2018 vor. Wer mit einem ISMS arbeitet, kann das VVA als natürlichen Bestandteil der ISMS-Dokumentation führen. Trotzdem haben viele mittelständische Unternehmen bis heute kein vollständiges Verzeichnis, oder sie haben eines erstellt und es dann in einer Schublade verschwinden lassen. Beides ist riskant, denn die Bußgelder für fehlende oder mangelhafte Dokumentation können empfindlich ausfallen.
Dieser Artikel führt dich durch den gesamten Prozess: von der Frage, ob du überhaupt ein VVA führen musst, über die konkreten Pflichtangaben bis hin zu praxisnahen Beispieleinträgen, die du als Vorlage verwenden kannst.
Wer muss ein Verarbeitungsverzeichnis führen?
Die kurze Antwort: fast jedes Unternehmen. Art. 30 Abs. 5 DSGVO enthält zwar eine Ausnahme für Unternehmen mit weniger als 250 Mitarbeitern, aber diese Ausnahme greift nur, wenn die Verarbeitung personenbezogener Daten nicht regelmäßig erfolgt. Und genau hier wird es praktisch relevant.
Sobald du eine Lohnabrechnung machst, ein CRM-System nutzt, Bewerbungen entgegennimmst oder Newsletter verschickst, verarbeitest du regelmäßig personenbezogene Daten. Das trifft auf praktisch jedes Unternehmen zu, egal ob drei oder dreihundert Mitarbeiter. Die Ausnahme des Art. 30 Abs. 5 ist damit in der Praxis so gut wie nie anwendbar.
Darüber hinaus gilt die Pflicht zum VVA unabhängig von der Unternehmensgröße immer dann, wenn du:
- Besondere Kategorien personenbezogener Daten verarbeitest (Gesundheitsdaten, Religionszugehörigkeit, Gewerkschaftsmitgliedschaft, biometrische Daten)
- Daten verarbeitest, die sich auf strafrechtliche Verurteilungen beziehen
- Die Verarbeitung ein Risiko für die Rechte und Freiheiten der betroffenen Personen birgt
Die Datenschutzkonferenz (DSK) empfiehlt deshalb unmissverständlich: Jedes Unternehmen sollte ein Verarbeitungsverzeichnis führen. Punkt. Es gibt keinen vernünftigen Grund, darauf zu verzichten, und viele gute Gründe, eines zu haben.
Die zwei Perspektiven: Verantwortlicher und Auftragsverarbeiter
Art. 30 unterscheidet zwischen dem Verzeichnis des Verantwortlichen (Art. 30 Abs. 1) und dem Verzeichnis des Auftragsverarbeiters (Art. 30 Abs. 2). Die meisten Unternehmen sind in erster Linie Verantwortliche, können aber gleichzeitig auch als Auftragsverarbeiter tätig sein, etwa wenn sie IT-Dienstleistungen für andere Unternehmen erbringen.
Das Verzeichnis des Verantwortlichen ist umfangreicher und enthält mehr Pflichtangaben. Das Verzeichnis des Auftragsverarbeiters ist schlanker und fokussiert sich auf die Kategorien der Verarbeitungen, die im Auftrag durchgeführt werden.
Falls du sowohl Verantwortlicher als auch Auftragsverarbeiter bist, brauchst du beide Verzeichnisse. In der Praxis lassen sich diese aber gut in einem Dokument zusammenfassen, solange die Perspektiven klar getrennt sind.
Pflichtangaben pro Verarbeitungstätigkeit
Für jede einzelne Verarbeitungstätigkeit, die du als Verantwortlicher durchführst, verlangt Art. 30 Abs. 1 DSGVO folgende Angaben:
1. Name und Kontaktdaten des Verantwortlichen
Hier trägst du den Namen deines Unternehmens ein, die Anschrift und die Kontaktdaten des Datenschutzbeauftragten (falls du einen benannt hast). Bei gemeinsam Verantwortlichen nach Art. 26 DSGVO gehören auch die Angaben des anderen Verantwortlichen hierhin.
2. Zweck der Verarbeitung
Der Zweck muss konkret und nachvollziehbar beschrieben werden. "Geschäftliche Zwecke" reicht nicht aus. Besser: "Durchführung der monatlichen Lohn- und Gehaltsabrechnung für Mitarbeiter" oder "Verwaltung von Kundenbeziehungen und Vertriebsaktivitäten". Je präziser du den Zweck formulierst, desto leichter fällt später die Beurteilung, ob eine bestimmte Datenverarbeitung noch vom ursprünglichen Zweck gedeckt ist.
3. Kategorien betroffener Personen
Wessen Daten werden verarbeitet? Typische Kategorien sind: Mitarbeiter, Bewerber, Kunden, Interessenten, Lieferanten, Websitebesucher, Geschäftspartner. Pro Verarbeitungstätigkeit können mehrere Kategorien relevant sein.
4. Kategorien personenbezogener Daten
Welche Arten von Daten verarbeitest du? Hier listest du die Datenkategorien auf, nicht die einzelnen Datenfelder. Also nicht "Vorname, Nachname, Straße, PLZ, Ort", sondern "Stammdaten, Kontaktdaten". Weitere typische Kategorien: Bankdaten, Vertragsdaten, Kommunikationsdaten, Nutzungsdaten, Gesundheitsdaten, Bewerbungsdaten.
Besonders wichtig: Wenn du besondere Kategorien nach Art. 9 DSGVO verarbeitest (Gesundheitsdaten, Religionszugehörigkeit, Gewerkschaftsmitgliedschaft), muss das hier explizit erkennbar sein.
5. Kategorien von Empfängern
An wen werden die Daten weitergegeben? Das umfasst sowohl interne Empfänger (Abteilungen) als auch externe (Auftragsverarbeiter, Finanzbehörden, Sozialversicherungsträger). Auch geplante Offenlegungen an Empfänger in Drittländern gehören hierhin.
6. Übermittlungen in Drittländer
Wenn personenbezogene Daten in Länder außerhalb des EWR übermittelt werden, musst du das Drittland benennen und die Garantien dokumentieren, auf die du dich stützt. Das können Angemessenheitsbeschlüsse der EU-Kommission sein (wie das EU-US Data Privacy Framework), Standardvertragsklauseln (SCCs) oder verbindliche interne Datenschutzvorschriften (BCRs).
Dieser Punkt wird gerne unterschätzt. Mehr zu den Grundlagen findest du im Artikel zum internationalen Datentransfer. Sobald du Cloud-Dienste wie Microsoft 365, Google Workspace, Salesforce oder AWS nutzt, findet in der Regel eine Drittlandübermittlung statt, selbst wenn die Server in der EU stehen, der Anbieter aber ein US-Unternehmen ist.
7. Löschfristen
Art. 30 Abs. 1 lit. f verlangt die "vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien". Das bedeutet: Du musst pro Datenkategorie angeben, wann die Daten gelöscht werden. Wo das nicht möglich ist, solltest du zumindest die Kriterien beschreiben, anhand derer die Löschfrist bestimmt wird.
8. Technische und organisatorische Maßnahmen (optional, aber empfohlen)
Art. 30 Abs. 1 lit. g nennt als letzte Angabe eine "allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Art. 32 Abs. 1". Das Wort "wenn möglich" in der Norm zeigt, dass dieser Punkt nicht zwingend ist. In der Praxis empfiehlt es sich aber, zumindest auf das TOM-Dokument zu verweisen, das du ohnehin erstellen solltest.
Beispieleinträge für typische Verarbeitungstätigkeiten
Theorie ist gut, aber ein konkretes Beispiel sagt mehr als tausend Worte. Die folgenden Einträge kannst du als Vorlage nehmen und an dein Unternehmen anpassen.
Beispiel 1: Lohn- und Gehaltsabrechnung
| Feld | Inhalt |
|---|---|
| Bezeichnung | Lohn- und Gehaltsabrechnung |
| Verantwortlicher | Musterunternehmen GmbH, Musterstraße 1, 10115 Berlin |
| Zweck | Durchführung der monatlichen Lohn- und Gehaltsabrechnung, Erfüllung steuer- und sozialversicherungsrechtlicher Pflichten |
| Rechtsgrundlage | Art. 6 Abs. 1 lit. b DSGVO (Arbeitsvertrag), Art. 6 Abs. 1 lit. c DSGVO (gesetzliche Pflichten) |
| Betroffene Personen | Mitarbeiter (aktive und ehemalige) |
| Datenkategorien | Stammdaten, Kontaktdaten, Bankverbindung, Steueridentifikationsnummer, Sozialversicherungsnummer, Gehaltsdaten, Steuerklasse, Arbeitszeiten, Fehlzeiten, ggf. Gesundheitsdaten (Krankmeldungen), Religionszugehörigkeit (Kirchensteuer) |
| Empfänger | Finanzbehörden, Sozialversicherungsträger, Berufsgenossenschaften, externer Lohnabrechnungsdienstleister (Auftragsverarbeiter), Kreditinstitut (Gehaltsüberweisung) |
| Drittlandtransfer | Nein |
| Löschfristen | Lohnunterlagen: 6 Jahre nach Ende des Kalenderjahres (§ 257 HGB), Lohnkonten und Buchungsbelege: 10 Jahre nach Ende des Kalenderjahres (§ 147 AO), Sozialversicherungsunterlagen: 5 Jahre nach Ende des Kalenderjahres |
| TOMs | Verweis auf TOM-Dokument, Abschnitt Zugriffskontrolle und Verschlüsselung |
Beachte bei der Lohnabrechnung: Hier fallen regelmäßig besondere Kategorien personenbezogener Daten an, nämlich Gesundheitsdaten (Krankmeldungen, Schwerbehinderteneigenschaft) und Religionszugehörigkeit (Kirchensteuer). Das erhöht die Anforderungen an die Schutzmaßnahmen erheblich.
Beispiel 2: E-Mail-Kommunikation
| Feld | Inhalt |
|---|---|
| Bezeichnung | Geschäftliche E-Mail-Kommunikation |
| Verantwortlicher | Musterunternehmen GmbH |
| Zweck | Geschäftliche Kommunikation mit Kunden, Lieferanten, Partnern und intern |
| Rechtsgrundlage | Art. 6 Abs. 1 lit. b DSGVO (Vertragsanbahnung/-erfüllung), Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an geschäftlicher Kommunikation) |
| Betroffene Personen | Mitarbeiter, Kunden, Interessenten, Lieferanten, Geschäftspartner |
| Datenkategorien | Kontaktdaten (Name, E-Mail-Adresse), Kommunikationsinhalte, Metadaten (Zeitstempel, IP-Adressen) |
| Empfänger | E-Mail-Provider (Auftragsverarbeiter), ggf. IT-Dienstleister für Archivierung |
| Drittlandtransfer | Ja, USA (bei Nutzung von Microsoft 365/Google Workspace), Grundlage: EU-US Data Privacy Framework / Standardvertragsklauseln |
| Löschfristen | Geschäftsbriefe: 6 Jahre (§ 257 HGB), Steuerlich relevante E-Mails: 10 Jahre (§ 147 AO), Sonstige: 3 Jahre nach letztem Kontakt bzw. nach Wegfall des Verarbeitungszwecks |
| TOMs | Transportverschlüsselung (TLS), Zugriffskontrolle über Benutzerkonten, Spam- und Malware-Filter |
Die E-Mail-Kommunikation wird oft übersehen, weil sie als selbstverständlich gilt. Gerade hier ist aber der Drittlandtransfer ein kritischer Punkt, den du sauber dokumentieren musst.
Beispiel 3: CRM-System
| Feld | Inhalt |
|---|---|
| Bezeichnung | Kunden- und Interessentenverwaltung im CRM-System |
| Verantwortlicher | Musterunternehmen GmbH |
| Zweck | Verwaltung von Kundenbeziehungen, Vertriebssteuerung, Angebotserstellung, Kundensupport |
| Rechtsgrundlage | Art. 6 Abs. 1 lit. b DSGVO (Vertragsdurchführung), Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Kundenpflege und Vertrieb) |
| Betroffene Personen | Kunden, Interessenten, Ansprechpartner bei Geschäftspartnern |
| Datenkategorien | Stammdaten (Name, Firma, Position), Kontaktdaten, Kommunikationshistorie, Vertragsdaten, Kaufhistorie, Supportanfragen |
| Empfänger | CRM-Anbieter (Auftragsverarbeiter), ggf. E-Mail-Marketing-Tool (Auftragsverarbeiter) |
| Drittlandtransfer | Abhängig vom CRM-Anbieter dokumentieren |
| Löschfristen | Kundendaten: 3 Jahre nach Vertragsende und Ablauf der gesetzlichen Aufbewahrungspflichten, Interessenten ohne Vertragsschluss: 2 Jahre nach letztem Kontakt, Kommunikationshistorie: analog zu den zugehörigen Stammdaten |
| TOMs | Rollenbasierte Zugriffskontrolle, Protokollierung von Zugriffen, verschlüsselte Übertragung |
Beispiel 4: Bewerbermanagement
| Feld | Inhalt |
|---|---|
| Bezeichnung | Bewerbermanagement und Recruiting |
| Verantwortlicher | Musterunternehmen GmbH |
| Zweck | Entgegennahme, Sichtung und Bearbeitung von Bewerbungen, Durchführung von Bewerbungsverfahren |
| Rechtsgrundlage | Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche Maßnahmen), § 26 BDSG (Beschäftigtendatenschutz), bei Talentpool: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) |
| Betroffene Personen | Bewerber |
| Datenkategorien | Stammdaten, Kontaktdaten, Bewerbungsunterlagen (Anschreiben, Lebenslauf, Zeugnisse), ggf. Foto, ggf. Gesundheitsdaten (Schwerbehinderung bei Angabe durch Bewerber) |
| Empfänger | Personalabteilung, Fachabteilung (einstellende Führungskraft), ggf. Bewerbermanagementsystem-Anbieter (Auftragsverarbeiter) |
| Drittlandtransfer | Abhängig vom eingesetzten Bewerbertool dokumentieren |
| Löschfristen | Absage: 6 Monate nach Abschluss des Bewerbungsverfahrens (Schutzfrist AGG), Talentpool mit Einwilligung: bis zum Widerruf, maximal 2 Jahre, Einstellung: Überführung in Personalakte |
| TOMs | Zugriffsbeschränkung auf HR und beteiligte Führungskraft, verschlüsselte Speicherung der Bewerbungsunterlagen, sichere Löschung nach Fristablauf |
Die 6-Monats-Frist bei Absagen ist besonders praxisrelevant: Sie gibt dir genug Zeit, um dich gegen mögliche AGG-Klagen (Allgemeines Gleichbehandlungsgesetz) zu verteidigen. Danach müssen die Daten gelöscht werden, es sei denn, der Bewerber hat einer längeren Speicherung zugestimmt.
Löschfristen richtig definieren
Die Löschfristen sind erfahrungsgemäß der schwierigste Teil des VVA, weil sie von der jeweiligen Verarbeitungstätigkeit, den gesetzlichen Aufbewahrungspflichten und dem konkreten Verarbeitungszweck abhängen. Hier eine Übersicht der wichtigsten gesetzlichen Aufbewahrungsfristen, die dir als Orientierung dienen kann:
10 Jahre (§ 147 AO, § 257 HGB):
- Jahresabschlüsse und Bilanzen
- Buchungsbelege
- Lohnkonten
- Rechnungen (ein- und ausgehend)
6 Jahre (§ 257 HGB):
- Geschäftsbriefe (empfangen und gesendet)
- Handelsbriefe
- Lohnunterlagen (soweit nicht steuerlich relevant)
5 Jahre:
- Sozialversicherungsunterlagen
- Beitragsnachweise
3 Jahre (§ 195 BGB, allgemeine Verjährung):
- Vertragsdaten nach Vertragsende (wenn keine speziellere Frist greift)
6 Monate:
- Bewerbungsunterlagen nach Absage (AGG-Schutzfrist)
Das Prinzip hinter der Löschfristbestimmung lässt sich in drei Schritte unterteilen. Erstens prüfst du, ob es eine gesetzliche Aufbewahrungspflicht gibt. Falls ja, darfst und musst du die Daten so lange aufbewahren. Zweitens prüfst du, ob es darüber hinaus einen legitimen Zweck gibt, die Daten noch zu speichern, etwa die Verteidigung gegen Rechtsansprüche. Drittens löschst du die Daten, sobald kein Zweck und keine Pflicht mehr besteht. Der Grundsatz der Speicherbegrenzung aus Art. 5 Abs. 1 lit. e DSGVO verlangt, dass personenbezogene Daten nur so lange gespeichert werden, wie es für den Verarbeitungszweck erforderlich ist.
Ein häufiger Fehler: Viele Unternehmen definieren zwar Löschfristen im VVA, setzen die Löschung dann aber nie um. Das VVA dokumentiert deine Soll-Fristen, aber du musst sicherstellen, dass die Daten tatsächlich gelöscht werden, wenn die Frist abläuft. Ein reiner Papiertiger hilft dir bei einer Prüfung nicht weiter.
Aufbau und Struktur des Verarbeitungsverzeichnisses
Es gibt keine vorgeschriebene Form für das VVA. Du kannst es als Excel-Tabelle führen, als Word-Dokument, in einem spezialisierten Datenschutz-Tool oder in deinem ISMS. Wichtig ist, dass es schriftlich vorliegt (Art. 30 Abs. 3 DSGVO erlaubt auch ein elektronisches Format) und dass du es der Aufsichtsbehörde auf Anfrage zur Verfügung stellen kannst.
Für den Aufbau empfiehlt sich eine klare Struktur mit einem Eintrag pro Verarbeitungstätigkeit. Eine Verarbeitungstätigkeit ist dabei ein zusammenhängender Geschäftsprozess mit einem definierten Zweck. "Personalverwaltung" als eine einzige Verarbeitungstätigkeit wäre zu grob. Besser: Lohn- und Gehaltsabrechnung, Bewerbermanagement, Arbeitszeiterfassung, Reisekostenabrechnung jeweils als eigene Einträge.
Als Granularität hat sich bewährt: Ein Eintrag pro Fachprozess, der einen eigenständigen Verarbeitungszweck verfolgt. Das führt bei einem mittelständischen Unternehmen typischerweise zu 15 bis 40 Verarbeitungstätigkeiten. In ISMS Lite lassen sich Verarbeitungstätigkeiten strukturiert erfassen und mit den zugehörigen Assets, AVVs und TOMs verknüpfen.
Hier eine Liste typischer Verarbeitungstätigkeiten, die in den meisten Unternehmen vorkommen:
- Lohn- und Gehaltsabrechnung
- Bewerbermanagement / Recruiting
- Personalverwaltung und Personalakte
- Arbeitszeiterfassung
- Reisekostenabrechnung
- Geschäftliche E-Mail-Kommunikation
- Telefonie und Mobilfunk
- CRM / Kundenverwaltung
- Angebots- und Auftragsverwaltung
- Buchhaltung / Finanzbuchhaltung
- Rechnungsstellung
- Lieferantenverwaltung
- Website-Betrieb und Webanalyse
- Newsletter-Versand
- Videoüberwachung (falls vorhanden)
- Zutrittskontrollsystem
- IT-Administration und Benutzerverwaltung
- Datensicherung / Backup
- Protokollierung (Logging)
Gehe diese Liste durch und prüfe, welche Verarbeitungstätigkeiten in deinem Unternehmen stattfinden. Vergiss dabei nicht die weniger offensichtlichen Prozesse wie die Protokollierung von IT-Systemen oder die Verwaltung von Besucherlisten.
Praxistipps zur dauerhaften Pflege
Ein Verarbeitungsverzeichnis zu erstellen ist das eine. Es aktuell zu halten, ist die eigentliche Herausforderung. Hier sind die wichtigsten Maßnahmen, mit denen du sicherstellst, dass dein VVA nicht veraltet:
Verantwortlichkeit klar zuweisen
Bestimme eine verantwortliche Person (typischerweise der Datenschutzbeauftragte oder der Datenschutzkoordinator), die das VVA pflegt. Jede Fachabteilung sollte einen Ansprechpartner haben, der Änderungen an Verarbeitungstätigkeiten meldet.
Änderungsprozess etablieren
Definiere einen klaren Prozess: Wann muss das VVA aktualisiert werden? Mindestens bei folgenden Anlässen:
- Einführung einer neuen Software oder eines neuen Cloud-Dienstes
- Wechsel eines Dienstleisters oder Auftragsverarbeiters
- Neue Geschäftsprozesse, die personenbezogene Daten verarbeiten
- Änderung von Löschfristen oder Aufbewahrungspflichten
- Organisatorische Veränderungen (neue Abteilung, Fusion, Ausgliederung)
Regelmäßige Überprüfung einplanen
Auch wenn keine konkreten Änderungen anstehen, solltest du das VVA mindestens einmal jährlich vollständig überprüfen. Dabei gehst du jeden Eintrag durch und prüfst: Stimmen die Angaben noch? Hat sich etwas an den eingesetzten Systemen, den Empfängern oder den Löschfristen geändert? Diese jährliche Überprüfung lässt sich gut mit dem internen Datenschutz-Audit verbinden.
Versionierung einführen
Führe eine Versionsnummer und ein Änderungsdatum für das VVA. So kannst du jederzeit nachvollziehen, wann welche Änderungen vorgenommen wurden. Bei einer Prüfung durch die Aufsichtsbehörde zeigt eine saubere Versionierung, dass du dein VVA aktiv pflegst.
Verknüpfung mit anderen Dokumenten
Das VVA steht nicht isoliert. Es ist eng verknüpft mit anderen Datenschutz-Dokumenten:
- Datenschutz-Folgenabschätzungen (DSFA): Wenn eine Verarbeitungstätigkeit ein hohes Risiko birgt, muss sie durch eine DSFA ergänzt werden. Im VVA solltest du darauf verweisen.
- Auftragsverarbeitungsverträge (AVVs): Jeder im VVA genannte Auftragsverarbeiter muss einen AVV haben. Prüfe die Konsistenz regelmäßig.
- TOM-Dokumentation: Die im VVA optional genannten technischen und organisatorischen Maßnahmen sollten mit deinem TOM-Dokument übereinstimmen.
- Löschkonzept: Die Löschfristen aus dem VVA sollten sich in einem operativen Löschkonzept widerspiegeln, das beschreibt, wie die Löschung technisch und organisatorisch umgesetzt wird.
- Informationspflichten: Die Angaben im VVA bilden die Grundlage für deine Datenschutzinformationen nach Art. 13 und 14 DSGVO. Stimmen die Zwecke und Rechtsgrundlagen im VVA nicht mit deiner Datenschutzerklärung überein, hast du ein Problem.
Häufige Fehler und wie du sie vermeidest
In der Beratungspraxis sehen wir immer wieder dieselben Fehler. Wenn du diese vermeidest, bist du schon besser aufgestellt als die meisten Unternehmen.
Zu grobe Verarbeitungstätigkeiten: "Personalwesen" als eine Verarbeitungstätigkeit ist zu unspezifisch. Unterteile in Lohnabrechnung, Bewerbermanagement, Arbeitszeiterfassung und weitere einzelne Prozesse. Nur so kannst du Zwecke, Rechtsgrundlagen und Löschfristen sinnvoll differenzieren.
Fehlende Rechtsgrundlage: Art. 30 verlangt zwar formal nur den "Zweck", nicht die Rechtsgrundlage. Die Aufsichtsbehörden erwarten aber, dass du die Rechtsgrundlage mit dokumentierst. Und du brauchst sie ohnehin für deine Informationspflichten nach Art. 13 und 14 DSGVO.
Unvollständige Empfänger: Vergiss nicht die Auftragsverarbeiter. Jeder Cloud-Dienst, jeder externe IT-Dienstleister, jeder Hosting-Provider ist ein Empfänger. Auch Behörden (Finanzamt, Sozialversicherungsträger) sind Empfänger.
Pauschal "3 Jahre" als Löschfrist: Löschfristen müssen differenziert sein. Nicht alle Daten innerhalb einer Verarbeitungstätigkeit haben dieselbe Löschfrist. Steuerlich relevante Daten haben andere Fristen als reine Kommunikationsdaten.
VVA einmal erstellt und nie aktualisiert: Ein VVA mit Datum von 2018, das seitdem nicht angefasst wurde, ist für die Aufsichtsbehörde ein deutliches Signal, dass der Datenschutz in deinem Unternehmen nicht gelebt wird.
Drittlandtransfers ignoriert: Prüfe bei jedem Auftragsverarbeiter, ob Daten in Drittländer übermittelt werden. Das gilt auch dann, wenn der Server in der EU steht, der Anbieter aber seinen Sitz in den USA hat und von dort auf die Daten zugreifen kann.
Die Rolle des VVA im Gesamtkontext
Das Verarbeitungsverzeichnis ist mehr als nur eine Pflichtübung. Richtig eingesetzt, wird es zu einem zentralen Steuerungsinstrument für deinen Datenschutz. Es beantwortet die grundlegende Frage: Was machen wir eigentlich mit personenbezogenen Daten? Und von dieser Frage leiten sich viele weitere Datenschutzmaßnahmen ab.
Wenn du ein ISMS betreibst, ist das VVA ein natürlicher Bestandteil deiner Dokumentation. Die Verarbeitungstätigkeiten lassen sich den relevanten Assets zuordnen, die Risikobewertung kann auf den im VVA dokumentierten Datenflüssen aufbauen, und die TOMs lassen sich direkt mit den einzelnen Verarbeitungstätigkeiten verknüpfen.
Auch für die Zusammenarbeit mit Geschäftspartnern ist ein aktuelles VVA Gold wert. Wenn ein Kunde dich als Auftragsverarbeiter prüft und du innerhalb von Minuten ein vollständiges, gepflegtes VVA vorlegen kannst, macht das einen professionellen Eindruck und beschleunigt den gesamten Prozess.
Erste Schritte: So gehst du vor
Falls du noch kein VVA hast oder dein bestehendes Verzeichnis grundlegend überarbeiten willst, empfiehlt sich folgendes Vorgehen:
-
Bestandsaufnahme: Erstelle zunächst eine Liste aller Geschäftsprozesse, bei denen personenbezogene Daten verarbeitet werden. Befrage dazu die Fachabteilungen. Hilfreich ist auch ein Blick auf die eingesetzten IT-Systeme und Cloud-Dienste.
-
Priorisierung: Beginne mit den Verarbeitungstätigkeiten, die besonders sensible Daten betreffen oder ein hohes Risiko bergen. Lohnabrechnung, Bewerbermanagement und Gesundheitsdaten sollten zuerst dokumentiert werden.
-
Dokumentation: Fülle die Pflichtangaben pro Verarbeitungstätigkeit aus. Nutze die Beispieleinträge aus diesem Artikel als Vorlage und passe sie an.
-
Qualitätssicherung: Lasse das VVA vom Datenschutzbeauftragten oder einem externen Datenschutzberater prüfen. Vier Augen sehen mehr als zwei.
-
Pflege etablieren: Richte den Änderungsprozess ein und plane die erste jährliche Überprüfung.
Weiterführende Artikel
- Technische und organisatorische Maßnahmen (TOMs) dokumentieren
- Auftragsverarbeitung: AVV prüfen und Dienstleister bewerten
- DSGVO-Datenpanne melden: Wann, wie und an wen
- Informationssicherheitsrichtlinie schreiben: Aufbau, Inhalt und Beispiel
- IT-Asset-Management für das ISMS: Inventar, Kritikalität und Klassifizierung
Das Verarbeitungsverzeichnis ist kein Hexenwerk, aber es erfordert Sorgfalt und Kontinuität. Wer sich die Mühe macht, es ordentlich aufzubauen und zu pflegen, schafft damit die Grundlage für einen nachweisbaren, gelebten Datenschutz und spart sich im Ernstfall eine Menge Ärger.