Conformité

DSGVO-Verarbeitungsverzeichnis: Vorlage für KMU

Gesetzliche Pflicht, 12 Pflichtangaben, Beispiel für KMU und häufige Fehler. Fertige Vorlage für Ihr Verarbeitungsverzeichnis.

6 avril 20263 min de lectureWarDek Team

DSGVO-Verarbeitungsverzeichnis: Vollständige Vorlage für KMU

Das Verzeichnis von Verarbeitungstätigkeiten (VVT) nach Artikel 30 DSGVO ist ein Kerndokument des Datenschutzmanagements. Bei Prüfungen durch die Aufsichtsbehörde wird es zuerst angefordert — und sein Fehlen kann bereits ein Bußgeld nach sich ziehen.

Wer muss ein VVT führen?

Grundsätzlich: Jedes Unternehmen

Artikel 30 Abs. 5 DSGVO sieht eine Ausnahme für Unternehmen mit weniger als 250 Mitarbeitern vor — aber diese Ausnahme entfällt, wenn:

In der Praxis: Die Aufsichtsbehörden gehen davon aus, dass jedes Unternehmen ein VVT führen muss. Die Ausnahme ist faktisch bedeutungslos.

Die 12 Pflichtangaben nach Artikel 30

Für den Verantwortlichen (Art. 30 Abs. 1)

| Nr. | Angabe | Erläuterung | |---|---|---| | 1 | Name und Kontaktdaten | Des Verantwortlichen und ggf. gemeinsam Verantwortlicher | | 2 | Datenschutzbeauftragter | Name und Kontaktdaten des DSB | | 3 | Zwecke der Verarbeitung | Konkret, nicht „Geschäftszwecke" | | 4 | Kategorien betroffener Personen | Kunden, Mitarbeiter, Bewerber, Lieferanten | | 5 | Kategorien personenbezogener Daten | Name, E-Mail, Bankdaten, Gesundheitsdaten | | 6 | Kategorien von Empfängern | Steuerberater, Cloud-Provider, Behörden | | 7 | Übermittlungen an Drittländer | USA (z.B. Microsoft), Garantien (SCCs, Angemessenheitsbeschluss) | | 8 | Löschfristen | Konkrete Fristen pro Datenkategorie | | 9 | Technische und organisatorische Maßnahmen | Verschlüsselung, Zugriffskontrolle, Backups |

Für den Auftragsverarbeiter (Art. 30 Abs. 2)

| Nr. | Angabe | Erläuterung | |---|---|---| | 10 | Name und Kontaktdaten | Des Auftragsverarbeiters und des Auftraggebers | | 11 | Kategorien von Verarbeitungen | Beschreibung der Verarbeitungstätigkeiten | | 12 | Übermittlungen und TOMs | Wie Abs. 1, Nr. 7 und 9 |

Vorlage: Verarbeitungstätigkeit (Beispiel)

Personalverwaltung

Verarbeitungstätigkeit: Personalverwaltung und Lohnabrechnung
Verantwortlicher: Muster GmbH, Musterstraße 1, 10115 Berlin
DSB: Max Mustermann, [email protected]

Zweck:
  - Begründung, Durchführung und Beendigung von Arbeitsverhältnissen
  - Lohn- und Gehaltsabrechnung
  - Arbeitszeiterfassung

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung),
                 Art. 88 DSGVO i.V.m. § 26 BDSG

Betroffene Personen:
  - Aktuelle Mitarbeiter
  - Ehemalige Mitarbeiter
  - Bewerber

Datenkategorien:
  - Stammdaten (Name, Adresse, Geburtsdatum)
  - Vertragsdaten (Gehalt, Arbeitszeit, Position)
  - Bankverbindung
  - Sozialversicherungsnummer
  - Steuer-ID
  - Krankheitstage (besondere Kategorie, Art. 9)

Empfänger:
  - Finanzamt (gesetzliche Pflicht)
  - Krankenkasse (Meldepflichten)
  - Steuerberater (AV-Vertrag vorhanden)
  - DATEV eG (Lohnabrechnung, AV-Vertrag)

Drittlandübermittlung: Nein

Löschfristen:
  - Bewerbungsunterlagen: 6 Monate nach Abschluss des Verfahrens
  - Lohn- und Gehaltsunterlagen: 10 Jahre (§ 147 AO)
  - Personalakten: 3 Jahre nach Austritt (§ 195 BGB)

TOMs:
  - Zugriff auf Personaldaten nur für HR und Geschäftsleitung
  - Verschlüsselte Übertragung (TLS)
  - Backup täglich, verschlüsselt
  - Zugriffsprotokollierung aktiv

Kundenmanagement / CRM

Verarbeitungstätigkeit: Kundenmanagement und Vertrieb
Verantwortlicher: Muster GmbH

Zweck:
  - Kundenbeziehungsmanagement
  - Angebotserstellung und Rechnungslegung
  - Kundenkommunikation

Rechtsgrundlage: Art. 6 Abs. 1 lit. b (Vertrag),
                 Art. 6 Abs. 1 lit. f (berechtigtes Interesse)

Betroffene Personen: Kunden, Interessenten, Ansprechpartner

Datenkategorien:
  - Kontaktdaten (Name, E-Mail, Telefon)
  - Unternehmensdaten
  - Kommunikationshistorie
  - Angebote und Rechnungen

Empfänger:
  - CRM-Anbieter (HubSpot — AV-Vertrag, SCCs für USA)
  - Steuerberater (Rechnungsdaten)

Drittlandübermittlung: USA (HubSpot) — Angemessenheitsbeschluss + SCCs

Löschfristen:
  - Aktive Kunden: Dauer der Geschäftsbeziehung
  - Rechnungsdaten: 10 Jahre (§ 147 AO)
  - Interessenten ohne Geschäft: 12 Monate nach letztem Kontakt

TOMs:
  - Rollenbasiertes Zugriffskonzept im CRM
  - 2-Faktor-Authentifizierung
  - Regelmäßige Löschläufe automatisiert

Website und Web-Analytics

Verarbeitungstätigkeit: Website-Betrieb und Nutzungsanalyse

Zweck:
  - Bereitstellung der Website
  - Anonymisierte Nutzungsanalyse zur Verbesserung

Rechtsgrundlage: Art. 6 Abs. 1 lit. a (Einwilligung für Analytics),
                 Art. 6 Abs. 1 lit. f (techn. notwendige Cookies)

Betroffene Personen: Website-Besucher

Datenkategorien:
  - IP-Adresse (anonymisiert)
  - Geräteinformationen
  - Seitenaufrufe und Verweildauer
  - Referrer-URL

Empfänger:
  - Hosting-Provider (Hetzner, Deutschland)
  - Matomo (selbst gehostet, keine Drittländer)

Drittlandübermittlung: Nein

Löschfristen:
  - Server-Logs: 7 Tage
  - Analytics-Daten: 26 Monate (anonymisiert)

TOMs:
  - IP-Anonymisierung aktiv
  - Cookie-Banner mit Opt-In
  - Matomo selbst gehostet

Häufige Fehler beim VVT

| Fehler | Warum problematisch | Lösung | |---|---|---| | „Geschäftszwecke" als Zweckangabe | Zu unspezifisch, Aufsichtsbehörde beanstandet | Konkrete Zwecke je Verarbeitungstätigkeit | | Keine Löschfristen | Zentrale DSGVO-Anforderung fehlt | Frist pro Datenkategorie definieren | | VVT einmal erstellt, nie aktualisiert | Veraltet innerhalb weniger Monate | Quartalsweise Review | | Auftragsverarbeiter fehlen | Unvollständig | Jeden Dienstleister mit Datenzugriff eintragen | | Keine TOMs beschrieben | Pflichtangabe fehlt | Mindestens 5 konkrete Maßnahmen pro Verarbeitungstätigkeit | | VVT nur als PDF | Schwer aktualisierbar | Excel, Datenbank oder spezialisierte Software |

Format und Pflege

Empfohlene Werkzeuge

| Werkzeug | Geeignet für | Kosten | |---|---|---| | Excel/Sheets | Kleine KMU (< 20 Verarbeitungstätigkeiten) | Kostenlos | | Datenschutz-Software (Datenschutz-Guru, Proliance 360) | Mittelstand | Ab 50 EUR/Monat | | Selbst entwickelte Lösung | Große Organisationen | Individuell |

Pflegeprozess

  1. Bei Einführung neuer Verarbeitungstätigkeiten → VVT aktualisieren
  2. Bei Dienstleisterwechsel → Empfänger und Drittlandtransfers prüfen
  3. Quartalsweise → Gesamtreview auf Aktualität
  4. Jährlich → Vollständige Überprüfung mit DSB

Fazit

Das Verarbeitungsverzeichnis ist kein bürokratisches Pflichtdokument, sondern das Fundament Ihres Datenschutzmanagements. Es verschafft Überblick, erleichtert die Auskunftspflicht und zeigt der Aufsichtsbehörde, dass Sie Datenschutz ernst nehmen. Beginnen Sie mit den offensichtlichsten Verarbeitungstätigkeiten und bauen Sie systematisch aus.

Scannen Sie Ihre Website kostenlos mit WarDek — OWASP, NIS2, DSGVO, AI Act Compliance in einem Scan.

#DSGVO#Verarbeitungsverzeichnis#Artikel 30#Datenschutz

Scannez votre site gratuitement

WarDek détecte les vulnérabilités mentionnées dans cet article en quelques secondes.

Lancer un scan gratuitVoir les offres WarDek
Retour à Conformité