Verarbeitungsverzeichnis DSGVO: Vorlage & Anleitung
Verarbeitungsverzeichnis DSGVO: Vorlage & Anleitung
Das Verzeichnis der Verarbeitungstätigkeiten (VVT) ist eine der zentralen Dokumentationspflichten der DSGVO. Artikel 30 verlangt von jedem Verantwortlichen, alle Verarbeitungstätigkeiten mit personenbezogenen Daten schriftlich zu dokumentieren. CERTISCAN unterstützt Sie dabei, indem alle Datenverarbeitungen automatisch im revisionssicheren Audit-Trail protokolliert werden.
Was ist ein Verarbeitungsverzeichnis?
Das Verarbeitungsverzeichnis (auch „Verzeichnis von Verarbeitungstätigkeiten", kurz VVT) ist ein internes Dokument, das alle Verarbeitungstätigkeiten Ihres Unternehmens mit personenbezogenen Daten systematisch auflistet. Es dient mehreren wichtigen Zwecken:
- Der eigenen Übersicht über alle Datenverarbeitungen im Unternehmen
- Als Nachweis gegenüber der Aufsichtsbehörde bei Prüfungen (Rechenschaftspflicht, Art. 5 Abs. 2 DSGVO)
- Als Grundlage für die Datenschutz-Folgenabschätzung bei risikoreichen Verarbeitungen
- Als Basis für die Datenschutzerklärung auf der Website
- Als Dokumentation für den Datenschutzbeauftragten
Pflicht für (fast) alle Unternehmen
Art. 30 Abs. 5 DSGVO enthält eine Ausnahme für Unternehmen mit weniger als 250 Mitarbeitern. Diese Ausnahme greift aber nur, wenn alle folgenden Bedingungen gleichzeitig erfüllt sind:
- Die Verarbeitung birgt kein Risiko für die Rechte und Freiheiten der Betroffenen
- Die Verarbeitung erfolgt nur gelegentlich (nicht regelmäßig)
- Es werden keine besonderen Datenkategorien verarbeitet (Art. 9 DSGVO: Gesundheit, Religion, Biometrie, politische Meinungen etc.)
| Unternehmenssituation | VVT Pflicht? | Begründung |
|---|---|---|
| GmbH mit 5 Mitarbeitern und Kundendatenbank | Ja | Regelmäßige Verarbeitung von Mitarbeiter- und Kundendaten |
| Arztpraxis mit Patientenakten | Ja | Besondere Datenkategorien (Gesundheitsdaten) |
| Online-Shop mit Kundenkonten | Ja | Regelmäßige Verarbeitung (Bestellungen, Zahlungen) |
| Reinigungsunternehmen mit Mitarbeiterdaten | Ja | Regelmäßig + ggf. Gesundheitsdaten (Krankmeldungen) |
| Steuerberater mit Mandantendaten | Ja | Regelmäßig + besondere Daten (Finanzdaten) |
| Verein ohne Mitarbeiter, nur Kontaktliste | Nein (wenn selten genutzt) | Ausnahme greift möglicherweise |
Die Pflichtangaben nach Art. 30 Abs. 1 DSGVO
Das VVT muss für jede einzelne Verarbeitungstätigkeit folgende Informationen enthalten:
1. Name und Kontaktdaten des Verantwortlichen
- Name der Organisation (vollständige Firma)
- Anschrift des Firmensitzes
- Name und Kontaktdaten des Geschäftsführers
- Ggf. Name und Kontaktdaten des gemeinsam Verantwortlichen (Art. 26 DSGVO)
- Ggf. Name und Kontaktdaten des Vertreters (bei Nicht-EU-Verantwortlichen)
- Kontaktdaten des Datenschutzbeauftragten (falls bestellt)
2. Zwecke der Verarbeitung
Jede Verarbeitungstätigkeit muss einen klar definierten, konkreten Zweck haben. Allgemeine Angaben wie „Geschäftszwecke" reichen nicht. Beispiele für korrekte Zweckangaben:
- Durchführung des Arbeitsverhältnisses (Personalverwaltung, Gehaltsabrechnung)
- Elektronische Erfassung der Arbeitszeiten nach §16 ArbZG (Zeiterfassung)
- Abwicklung von Kundenaufträgen (Vertragserfüllung)
- Versand von Newsletter-E-Mails (mit Einwilligung)
- Schutz des Eigentums und der Sicherheit (Videoüberwachung)
- Buchführung und steuerliche Pflichten
3. Kategorien betroffener Personen
- Mitarbeiter (inkl. Auszubildende, Praktikanten)
- Bewerber
- Kunden und Auftraggeber
- Lieferanten und Subunternehmer
- Website-Besucher
- Ansprechpartner bei Geschäftspartnern
4. Kategorien personenbezogener Daten
- Stammdaten (Name, Adresse, Geburtsdatum)
- Kontaktdaten (E-Mail, Telefon)
- Vertragsdaten (Vertragsnummer, Laufzeit)
- Finanzdaten (IBAN, Gehalt, Steuerdaten)
- Zeiterfassungsdaten (Arbeitszeiten, Pausen, Standort)
- Gesundheitsdaten (Krankmeldungen – besondere Kategorie!)
- Kommunikationsdaten (E-Mail-Inhalte, Gesprächsnotizen)
- Technische Daten (IP-Adresse, Browser, Endgerät)
5. Empfänger der Daten
Alle internen und externen Stellen, die Zugriff auf die Daten haben:
- Personalabteilung (intern)
- Geschäftsführung (intern)
- Steuerberater / Lohnbüro (extern, AVV erforderlich)
- SaaS-Anbieter (z.B. CERTISCAN – AVV inklusive)
- Finanzbehörden (gesetzliche Pflicht)
- Sozialversicherungsträger (gesetzliche Pflicht)
- Berufsgenossenschaft
6. Übermittlungen in Drittländer
Falls Daten außerhalb der EU/EWR verarbeitet werden, muss dokumentiert werden:
- Welches Drittland (z.B. USA, Indien)
- Welche Rechtsgrundlage (Angemessenheitsbeschluss, SCCs, BCRs)
- Welche Garantien bestehen
7. Löschfristen
| Datenkategorie | Löschfrist | Rechtsgrundlage |
|---|---|---|
| Buchhaltungsunterlagen | 10 Jahre | §257 HGB, §147 AO |
| Personalakten (steuerrelevant) | 10 Jahre nach Ausscheiden | §257 HGB |
| Zeiterfassungsdaten | 2 Jahre | §16 Abs. 2 ArbZG |
| Bewerberdaten (abgelehnt) | 6 Monate | AGG-Klagefrist |
| Kunden-Korrespondenz | 6 Jahre | §257 HGB |
| Video-Aufnahmen | 72 Stunden (max. 10 Tage) | Verhältnismäßigkeit |
| Newsletter-Einwilligungen | Bis Widerruf + 3 Jahre | Art. 7 Abs. 3 DSGVO + Nachweispflicht |
| Website-Logs | 7 Tage | Verhältnismäßigkeit |
8. Technische und organisatorische Maßnahmen (TOMs)
Eine allgemeine Beschreibung der Schutzmaßnahmen, die für die jeweilige Verarbeitungstätigkeit gelten:
- Verschlüsselung (AES-256 bei CERTISCAN)
- Zugangskontrollen (Passwortrichtlinien, Zwei-Faktor-Authentifizierung)
- Rollenbasierte Berechtigungen (RBAC)
- Regelmäßige Backups mit Wiederherstellungstests
- Pseudonymisierung wo möglich
- Mitarbeiterschulungen zum Datenschutz
- Physische Zugangskontrollen (Serverraum, Büro)
9. Rechtsgrundlage der Verarbeitung
Für jede Verarbeitungstätigkeit die passende Rechtsgrundlage nach Art. 6 DSGVO:
- Art. 6 Abs. 1 lit. a: Einwilligung (z.B. Newsletter, Foto auf Website)
- Art. 6 Abs. 1 lit. b: Vertragserfüllung (z.B. Gehaltszahlung, Kundenauftrag)
- Art. 6 Abs. 1 lit. c: Rechtliche Verpflichtung (z.B. Steueraufbewahrung, ArbZG)
- Art. 6 Abs. 1 lit. f: Berechtigtes Interesse (z.B. Videoüberwachung, Direktwerbung an Bestandskunden)
10. Auftragsverarbeitung
Dokumentation, ob die Verarbeitung durch einen Auftragsverarbeiter erfolgt und ob ein AVV geschlossen wurde.
Vorlage: Verarbeitungstätigkeit „Elektronische Zeiterfassung"
| Feld | Inhalt |
|---|---|
| Verarbeitungstätigkeit | Elektronische Arbeitszeiterfassung mittels SaaS-Lösung |
| Verantwortlicher | [Ihr Unternehmen], [Adresse], [Geschäftsführer] |
| Zweck | Erfüllung der Aufzeichnungspflicht nach §16 ArbZG, Lohnabrechnung, ArbZG-Compliance |
| Rechtsgrundlage | Art. 6 Abs. 1 lit. c DSGVO i.V.m. §16 ArbZG, BAG 13.09.2022 – 1 ABR 22/21 |
| Betroffene | Mitarbeiter, Leiharbeitnehmer, Auszubildende |
| Datenkategorien | Kommt/Geht-Zeiten, Pausen, GPS-Punkt (nur bei Stempelung), Arbeitsort, Überstunden |
| Empfänger | CERTISCAN GmbH (Auftragsverarbeiter, AVV vorhanden), Steuerberater (AVV vorhanden) |
| Drittland | Nein (Hosting Deutschland, Hetzner Cloud Nürnberg) |
| Löschfrist | 2 Jahre nach Ablauf des Kalenderjahres (§16 Abs. 2 ArbZG) |
| TOMs | AES-256-Verschlüsselung, RBAC, SHA-256 Audit-Trail, tägliche Backups, HTTPS/TLS |
Häufige Verarbeitungstätigkeiten in KMU
Typische Einträge, die in keinem VVT fehlen sollten – die meisten KMU kommen auf 8-15 Verarbeitungstätigkeiten:
- Personalverwaltung / Lohnabrechnung
- Elektronische Zeiterfassung
- Bewerbermanagement / Recruiting
- Kundenverwaltung / CRM
- Rechnungsstellung / Buchhaltung
- E-Mail-Kommunikation (geschäftlich)
- Website-Betrieb (Hosting, Server-Logs)
- Newsletter-Versand (mit Einwilligung)
- Videoüberwachung (falls vorhanden)
- Zutrittskontrolle / Schlüsselverwaltung
- Fuhrparkverwaltung / GPS-Tracking (falls vorhanden)
- Subunternehmer-Management
CERTISCAN: Verarbeitungen automatisch dokumentieren
CERTISCAN unterstützt Sie bei der DSGVO-Dokumentation auf mehreren Ebenen:
- Audit-Trail: Jede Datenverarbeitung wird automatisch mit Timestamp, Benutzer-ID und Aktion protokolliert
- SHA-256 Hash-Chain: Manipulationssicherer WORM-Audit-Trail (Write Once, Read Many) – nachträgliche Änderungen sind technisch unmöglich
- Datenexport: Vollständiger Export aller Organisationsdaten nach EU Data Act
- AVV inklusive: Auftragsverarbeitungsvertrag steht allen Kunden zur Verfügung
- Löschfristen: Konfigurierbare Aufbewahrungsfristen pro Datenart mit automatischer Erinnerung
- Zugriffsprotokoll: Wer hat wann auf welche Daten zugegriffen?
Vergleich: VVT-Erstellung manuell vs. digital
| Kriterium | Excel/Word | Datenschutz-Software | CERTISCAN Audit-Trail |
|---|---|---|---|
| Erstellungsaufwand | Hoch (manuell, keine Vorlagen) | Mittel (geführte Vorlagen) | Gering (automatisch) |
| Aktualität | Oft veraltet (vergessene Updates) | Bei regelmäßiger Pflege aktuell | Immer aktuell (Echtzeit) |
| Manipulationssicherheit | Keine (beliebig änderbar) | Mittel (Änderungsprotokoll) | SHA-256 Hash-Chain (WORM) |
| Kosten | 0 EUR (+ erheblicher Zeitaufwand) | 50-200 EUR/Mo | Im Tarif enthalten |
| Aufsichtsbehörde-tauglich | Ja (wenn aktuell und vollständig) | Ja | Ja |
| Automatische Löschfristen | Nein | Teilweise | Ja |
| Integration mit Verarbeitungen | Nein (separate Dokumente) | Teilweise | Vollständig integriert |
Tipps für die Praxis
- Klein anfangen: Beginnen Sie mit den 5 wichtigsten Verarbeitungstätigkeiten und ergänzen Sie nach und nach
- Verantwortlichkeit: Bestimmen Sie eine Person, die für die Pflege des VVT zuständig ist
- Jährliche Prüfung: Überprüfen Sie das VVT mindestens einmal jährlich auf Vollständigkeit und Aktualität
- Neue Prozesse: Prüfen Sie bei jeder neuen Software, jedem neuen Dienstleister und jeder Prozessänderung, ob das VVT angepasst werden muss
- DSB einbinden: Wenn Sie einen Datenschutzbeauftragten haben, binden Sie ihn in die Erstellung und Pflege ein
Fazit: Jetzt Verarbeitungsverzeichnis anlegen
Das VVT ist kein „Nice-to-have", sondern gesetzliche Pflicht für praktisch jedes Unternehmen. Ohne VVT riskieren Sie Bußgelder von bis zu 10 Millionen EUR. Beginnen Sie mit den wichtigsten Verarbeitungstätigkeiten und ergänzen Sie nach und nach. Mit CERTISCAN als Auftragsverarbeiter ist die Verarbeitungstätigkeit „Zeiterfassung / Personalverwaltung" bereits automatisch dokumentiert. Weitere Informationen zum Thema Datenschutz finden Sie in unserem DSGVO-Leitfaden und im Artikel zum Datenschutz bei Mitarbeiterdaten.
Häufig gestellte Fragen
Ist das Verarbeitungsverzeichnis für alle Unternehmen Pflicht?
Praktisch ja. Die Ausnahme für Unternehmen unter 250 Mitarbeitern greift nur, wenn die Verarbeitung nur gelegentlich erfolgt, kein Risiko birgt und keine besonderen Datenkategorien umfasst. Da fast jedes Unternehmen regelmäßig Mitarbeiter- und Kundendaten verarbeitet, ist die Ausnahme nahezu nie anwendbar.
Welche Angaben muss das Verarbeitungsverzeichnis enthalten?
Nach Art. 30 Abs. 1 DSGVO: Name und Kontaktdaten des Verantwortlichen, Zwecke der Verarbeitung, Kategorien betroffener Personen und Daten, Empfänger, Drittland-Übermittlungen, Löschfristen und eine Beschreibung der technischen und organisatorischen Maßnahmen.
In welcher Form muss das Verarbeitungsverzeichnis geführt werden?
Das VVT muss schriftlich geführt werden, wobei die elektronische Form zulässig ist (Art. 30 Abs. 3 DSGVO). Eine Excel-Tabelle, ein PDF oder eine Datenbank sind ausreichend.
Was droht ohne Verarbeitungsverzeichnis?
Das Fehlen eines VVT kann mit Bußgeldern von bis zu 10 Millionen EUR oder 2 % des Jahresumsatzes geahndet werden. Bei KMU verhängen die Aufsichtsbehörden typischerweise 5.000 bis 25.000 EUR.
Wie oft muss das Verarbeitungsverzeichnis aktualisiert werden?
Es gibt keine feste Frist, aber das VVT muss stets aktuell sein. Eine jährliche Überprüfung ist Minimum. Bei Änderungen an Verarbeitungsprozessen muss es unverzüglich angepasst werden.
Ist Ihr Unternehmen konform?
Testen Sie CERTISCAN 14 Tage kostenlos und bringen Sie Ihre Compliance auf den neuesten Stand.