Die DSGVO verlangt von fast jedem Unternehmen ein Dokument, das viele nie angelegt haben, nämlich das Verzeichnis von Verarbeitungstätigkeiten. Es klingt nach Bürokratie für Konzerne, betrifft aber auch Dich als Solo-Selbständige oder kleinen Betrieb, sobald Du Kundendaten verarbeitest.
Die gute Nachricht ist, dass dieses Verzeichnis kein juristisches Mammutwerk sein muss. Eine sauber gepflegte Tabelle reicht in den meisten Fällen völlig aus, und Du kannst sie an einem Nachmittag aufsetzen.
Dieser Beitrag gibt Dir eine allgemeine Orientierung, was hineingehört und wie Du das Verzeichnis schlank hältst. Eine verbindliche Rechtsberatung ersetzt er nicht. Bei konkreten Zweifeln sprichst Du mit einem Datenschutzbeauftragten oder einer Fachanwältin.
Was das Verzeichnis von Verarbeitungstätigkeiten ist
Das Verzeichnis von Verarbeitungstätigkeiten, oft als VVT abgekürzt, ist in Artikel 30 der DSGVO geregelt. Es listet auf, welche personenbezogenen Daten Du in Deinem Betrieb verarbeitest, zu welchem Zweck und auf welcher Rechtsgrundlage.
Personenbezogene Daten sind dabei mehr, als die meisten vermuten. Name, Adresse und E-Mail gehören dazu, ebenso Telefonnummern, IP-Adressen aus Deinem Webserver-Log oder Bankverbindungen Deiner Kunden.
Du dokumentierst dabei die Vorgänge hinter den Daten, nicht den Inhalt jeder einzelnen Datei. Eine Verarbeitungstätigkeit ist zum Beispiel die Buchhaltung, der Newsletter-Versand oder die Bewerberverwaltung. Jeder dieser Vorgänge wird eine Zeile in Deiner Tabelle.
Das Verzeichnis bleibt intern. Du veröffentlichst es nicht auf der Webseite, anders als die Datenschutzerklärung. Vorzeigen musst Du es nur, wenn eine Aufsichtsbehörde danach fragt, und dann zählt vor allem, dass es vollständig und nachvollziehbar ist.
Wer es führen muss
Die DSGVO nennt eine scheinbare Ausnahme für Betriebe mit weniger als 250 Beschäftigten. Diese Grenze hilft in der Praxis allerdings kaum weiter, denn sie greift nur, wenn drei Bedingungen gleichzeitig erfüllt sind.
Die Ausnahme entfällt nämlich, sobald die Verarbeitung ein Risiko für die Betroffenen birgt, sobald sie nicht nur gelegentlich erfolgt, oder sobald Du besondere Datenkategorien wie Gesundheitsdaten verarbeitest. Und genau das trifft auf nahezu jeden laufenden Geschäftsbetrieb zu.
Wer regelmäßig Kundendaten für Rechnungen speichert, Mitarbeiter beschäftigt oder einen Newsletter verschickt, verarbeitet eben nicht nur gelegentlich. Damit landest Du auch als kleiner Betrieb wieder in der Pflicht.
In der Praxis solltest Du deshalb davon ausgehen, dass das Verzeichnis für Dich gilt. Selbst wenn Du die Ausnahme für Dich beanspruchen könntest, hilft Dir das Verzeichnis bei jeder Auskunftsanfrage und bei einem Datenschutzvorfall enorm. Du sparst Dir im Ernstfall die hektische Suche, weil Du sofort weißt, welche Daten betroffen sind.
Was hineingehört
Artikel 30 schreibt vor, welche Angaben pro Verarbeitungstätigkeit dokumentiert werden. Du brauchst dafür keine Spezialsoftware, eine Tabelle mit klaren Spalten reicht. Pro Tätigkeit füllst Du diese Punkte aus:
- Verantwortlicher: Dein Name oder Deine Firma samt Kontaktdaten, bei Pflicht auch der Datenschutzbeauftragte.
- Zweck: Wofür Du die Daten verarbeitest, etwa Vertragsabwicklung, Buchhaltung oder Werbung.
- Betroffene und Datenarten: Wessen Daten es sind, also Kunden, Interessenten oder Beschäftigte, und welche Kategorien Du speicherst.
- Empfänger: Wer die Daten noch sieht, zum Beispiel Dein Steuerberater, ein Versanddienstleister oder ein Newsletter-Tool.
- Löschfristen: Wann die Daten wieder verschwinden, oft an gesetzliche Aufbewahrungsfristen gekoppelt.
- Schutzmaßnahmen: Eine allgemeine Beschreibung Deiner technischen und organisatorischen Sicherungen.
Bei den Empfängern und Löschfristen lohnt sich besondere Sorgfalt. Wer externe Dienstleister einsetzt, braucht für viele davon zusätzlich einen Vertrag zur Auftragsverarbeitung. Und die Löschfristen führen Dich direkt zu einem durchdachten Löschkonzept, das beide Dokumente verzahnt.
Wie Du es einfach erstellst und pflegst
Setz Dich für die erste Version nicht unter Druck. Du beginnst mit einer leeren Tabelle und gehst Deinen Arbeitsalltag gedanklich durch. Jeder Vorgang, bei dem Daten von Personen anfallen, wird eine Zeile.
Die meisten kleinen Betriebe kommen mit fünf bis zehn Tätigkeiten aus. Typisch sind Kundenverwaltung, Rechnungsstellung, das Kontaktformular der Webseite, der Newsletter und die Bewerberdaten. Schreib zuerst diese offensichtlichen Fälle auf, der Rest fällt Dir beim Durchgehen ein.
Viele Aufsichtsbehörden und Branchenverbände stellen kostenlose Muster-Vorlagen bereit. So eine Vorlage spart Dir das leere Blatt und zeigt Dir gleich, welche Spalten erwartet werden. Du füllst sie mit Deinen eigenen Vorgängen und passt sie an.
Wichtig ist, dass das Verzeichnis aktuell bleibt. Es ist kein Dokument, das Du einmal schreibst und dann vergisst. Immer wenn Du ein neues Tool einführst, einen Dienstleister wechselst oder eine neue Datenart erhebst, ergänzt Du die passende Zeile. Ein fester Termin einmal im Jahr hält das Verzeichnis verlässlich aktuell.
Häufige Lücken im Verzeichnis
Die meisten unvollständigen Verzeichnisse scheitern an den unscheinbaren Vorgängen, während die großen offensichtlich sind. Wer einmal weiß, wo die typischen Lücken sitzen, schließt sie in wenigen Minuten.
Am häufigsten fehlt das Webseiten-Tracking. Wer Statistik-Tools oder eingebettete Karten und Videos nutzt, gibt Besucherdaten an Dritte weiter, und dieser Vorgang gehört genauso ins Verzeichnis wie die Buchhaltung. Ebenso übersehen viele die eigene Mitarbeiterverwaltung, also Lohndaten, Urlaubslisten oder Arbeitszeiten.
Auch der Posteingang ist ein blinder Fleck. In Deinem E-Mail-Postfach sammeln sich über Jahre Kundendaten an, ohne dass jemand eine Löschfrist dafür festgelegt hat. Und Bewerbungen, die nach einer Absage liegenbleiben, sind ein Klassiker für eine fehlende Zeile. Geh Deine Tools und Postfächer einmal bewusst durch, dann findest Du diese stillen Datenquellen schnell.
Fazit
Das Verarbeitungsverzeichnis wirkt anfangs wie lästige Pflicht, ist aber vor allem eine ehrliche Bestandsaufnahme Deiner Datenflüsse. Wer es einmal sauber angelegt hat, behält den Überblick und beantwortet Behördenfragen oder Auskunftswünsche ohne Hektik.
Fang mit einer einfachen Tabelle an, trag Deine offensichtlichen Vorgänge ein und pflege sie einmal im Jahr nach. Damit hast Du die DSGVO-Pflichtdoku im Griff, ohne dass sie Deinen Alltag bremst.