Verarbeitungsverzeichnis: So erstellen Sie es DSGVO-konform

Das Verzeichnis von Verarbeitungstätigkeiten (kurz: Verarbeitungsverzeichnis) ist DAS zentrale Dokument für den Bereich Datenschutz. Es ist sozusagen das Datenschutzhandbuch im Unternehmen. Deshalb kommt ihm eine besondere Bedeutung zu. Welche Unternehmen ein Verarbeitungsverzeichnis laut DSGVO benötigen, wie es aufgebaut sein sollte und was es enthalten muss, erfahren Sie hier.

Hinweis: Gendergerechte Sprache ist uns wichtig. Daher verwenden wir auf diesem Portal, wann immer möglich, genderneutrale Bezeichnungen. Daneben weichen wir auf das generische Maskulinum aus. Hiermit sind ausdrücklich alle Geschlechter (m/w/d) mitgemeint. Diese Vorgehensweise hat lediglich redaktionelle Gründe und beinhaltet keinerlei Wertung.

Mann im Anzug hebt ein Ordner mit Dokumenten in der Hand
© Contrastwerkstatt - stock.adobe.com
 |  Zuletzt aktualisiert am:20.10.2023

Was ist ein Verarbeitungsverzeichnis und wozu dient es?

Gemäß Art. 30 DSGVO muss jedes Unternehmen, das personenbezogene Daten verarbeitet, ein Verzeichnis von Verarbeitungstätigkeiten (VVT) erstellen. Dieses soll vor allem Transparenz, Zweckbindung und Richtigkeit der Datenverarbeitung sicherstellen. Das Verarbeitungsverzeichnis ist als Beweismittel für Unternehmen anzusehen, sollte es sich einmal gegen Anschuldigungen rechtfertigen müssen.

Info

So gut wie jedes Unternehmen muss ein Verarbeitungsverzeichnis führen

Zwar existieren offiziell Ausnahmen, wann Firmen von einer solchen Pflicht entbunden sind, aber diese greifen eigentlich so gut wie nie.

Denn selbst wenn Sie Namen und Telefonnummern Ihrer Kunden hin und wieder für einen Auftrag notieren, gilt das meistens schon als Grundlage dafür, dass Sie ein Verarbeitungsverzeichnis anfertigen müssen.

Hierbei spielt es keine Rolle, ob Ihr Unternehmen weniger als 250 Mitarbeiter umfasst.

Die Form des Verarbeitungsverzeichnisses

Für das Verarbeitungsverzeichnis gibt es keine genauen Formvorschriften. Die Ausgestaltung der Dokumentation bleibt jedem Unternehmen selbst überlassen. Entscheidend ist, dass darin alle Pflichtangaben enthalten sind, die die Datenschutzgrundverordnung (DSGVO) verlangt. Welche dies sind, erfahren Sie unter dem Punkt „Inhalt“.

Wie detailliert der Inhalt des Verarbeitungsverzeichnisses sein muss, wird ebenfalls nicht im Gesetz genannt. Das Verzeichnis muss jedoch aus sich heraus verständlich sein. Der Datenschutzaufsichtsbehörde – und nur ihr – muss Einblick gewährt werden. Diese muss anhand des Verarbeitungsverzeichnisses idealerweise ohne Rückfragen erkennen können, ob das betreffende Unternehmen rechtskonform aufgestellt ist. Ansonsten droht eine DSGVO-Abmahnung.

Ob das Verzeichnis der Verarbeitungstätigkeiten nun aber in Papierform abgelegt ist oder es sich in Word- bzw. Excel-Dateien in einem speziellen Ordner auf der Festplatte befindet, ist nicht vorgegeben. Allerdings dürfte es aus praktischen Gesichtspunkten vorteilhaft sein, wenn das Verarbeitungsverzeichnisin elektronischer Form geführt wird. Zudem kann vor allem bei größeren Unternehmen eine spezielle Datenschutz-Software bzw. ein Informationssicherheitsmanagement-System hilfreich sein.

Der Aufbau des Verarbeitungsverzeichnisses

Wie sieht nun der grundsätzliche Aufbau des Verarbeitungsverzeichnisses aus? Grob lässt sich dieser in drei Bereiche unterteilen:

  • Als Erstes sollte das Verarbeitungsverzeichnis mit einer Art Deckblatt beginnen, auf dem Sie die Daten der verantwortlichen Stelle, also Ihres Unternehmens, sowie eines eventuell vorhandenen Datenschutzbeauftragten aufführen. Hier müssen Sie jeweils Name, Anschrift und Kontaktdaten nennen.
  • Der Mittelteil des Verarbeitungsverzeichnisses besteht aus den Beschreibungen der einzelnen Verarbeitungstätigkeiten, die es in Ihrem Unternehmen gibt. Es geht im Kern also um die Analyse der eigenen Geschäftsprozesse sowie deren Beschreibung gemäß den Vorgaben aus der DSGVO (Art. 30). Alle einzelnen Beschreibungen der Verarbeitungstätigkeiten bilden gemeinsam den zweiten Teil.
  • Im letzten Teil führen Sie die technischen und organisatorischen Maßnahmen (kurz: TOM) auf, die für alle Verarbeitungstätigkeiten gelten. Dort finden sich beispielsweise Angaben zu Maßnahmen der IT-Sicherheit, der Gebäudesicherheit, aber ggf. auch Arbeitsanweisungen, wie etwa eine Clean-Desk-Policy, oder eventuelle Betriebsvereinbarungen etc.

Alle drei Bereiche zusammen bilden das Verarbeitungsverzeichnis.

Tipp

Muster Verarbeitungsverzeichnis

Nutzen Sie unser kostenloses Muster, um ganz einfach Ihr eigenes Verarbeitungsverzeichnis zu erstellen – rechtssicher nach den Vorgaben der DSGVO.

Inhalt und Umsetzung des Verarbeitungsverzeichnisses

Eine Schwierigkeit liegt häufig darin, dass die Verantwortlichen nicht wissen, was überhaupt als Prozess bzw. Verarbeitungstätigkeit hinsichtlich des Verarbeitungsverzeichnisses gilt und wie fein aufgegliedert die Vorgänge dort aufgeführt werden müssen.

Eine verlockende Herangehensweise könnte dabei daraus bestehen, sich an eingesetzter Software zu orientieren. Hierbei könnte man beispielsweise davon ausgehen, dass es sich bei der Verwendung von „Outlook“ um einen Prozess in Form eines Bereichs handelt, bei dem verschiedene personenbezogene Daten verarbeitet werden. Allerdings ist von dieser Einteilung abzuraten, da gerade bei Outlook und ähnlichen Programmen unterschiedliche Daten- und Verarbeitungsformen eingebunden sind (z.B. E-Mails, Termine, Kontakte, Aufgaben etc.). Somit ist dieser Ansatz mit Blick auf die DSGVO nicht empfehlenswert.

Gehen Sie stattdessenvon den einzelnen Bereichen – wie eben E-Mails, Termine, Kontakte usw. – aus und legen Sie fest, dass dies einzelne Prozesse, bzw. Verarbeitungstätigkeiten sind. Outlook ist hierbei nur das „Werkzeug“, das Sie für diese Vorgänge einsetzen. Und dieses Werkzeug tauschen Sie vielleicht irgendwann einmal aus; aber der Vorgang an sich bleibt gleich.

Für die konkrete Umsetzung des Verarbeitungsverzeichnisses (nach Erstellung des Deckblatts) können Sie z.B. eine Excel-Tabelle anlegen. Die erste Spalte im Excel-Dokument befüllen Sie untereinander mit den Abteilungen, die in Ihrem Unternehmen existieren; also beispielweise mit „Geschäftsführung“, „Marketing“, „IT“, „Buchhaltung“, „Personalabteilung“ etc.

Damit haben Sie zumindest schon einmal ganz grob eine Unterteilung in verschiedene Prozesse, die Sie später dann „nur“ noch mit den Pflichtangaben aus Art. 30 DSGVO versehen müssen. Zu diesen Angaben gehören:

  • Zweck der Verarbeitungstätigkeit (also z.B. Kundenbetreuung, Personalverwaltung oder Werbezwecke)
  • Kategorien der betroffenen Personen (beispielsweise Kunden, Mitarbeiter, Lieferanten etc.),
  • Kategorien der von der Datenverarbeitung betroffenen Daten (wie etwa Name, Adressdaten, Kontaktdaten, Vertragsdaten usw.)
  • evtl. auch die Kategorien von besonders sensiblen Daten im Sinne von Art. 9 DSGVO (also z.B. Gesundheitsdaten)
  • Kategorien von Empfängern der Daten (z.B. Bank, Finanzamt, Krankenkasse o.ä.),
  • eine evtl. geplante Übermittlung der Daten in Drittländer außerhalb der EU
  • einschlägige Lösch- bzw. Aufbewahrungsfristen (z.B. 10 Jahre gem. Steuerrecht, 6 Monate für Daten abgelehnter Bewerber, 2 Jahre bei bestehenden Gewährleistungspflichten usw.).

Mit einer solchen Tabelle haben Sie bereits ein in Grundzügen vorhandenes Verarbeitungsverzeichnis, auf das Sie nun aufbauen können. Natürlich ist es sinnvoll und aus juristischer Sicht auch ratsam, die Prozesse noch feiner und spezifischer aufzuschlüsseln.
Welche unterschiedlichen Informationen Sie pro Person angeben sollten, erfahren Sie hier in unserem kostenlosen Muster Verarbeitungsverzeichnis zum Herunterladen. Wie ein Verfahrensverzeichnis gemäß DSGVO zum Beispiel ausgefüllt aussehen kann, sehen Sie auch auf der Website des Bayerischen Landesamt für Datenschutz (LDA Bayern). Dort finden Sie spezielle Vorlagen von Verarbeitungsverzeichnissen für Handwerksbetriebe, Einzelhändler oder für Vereine.

Lexware Newsletter

Möchten Sie zukünftig wichtige News zu Gesetzes­änderungen, hilfreiche Praxis-Tipps und kostenlose Tools für Unternehmen erhalten? Dann abonnieren Sie unseren Newsletter.