Verarbeitungsverzeichnis & Datenschutz-Dokumentation nach Art. 30 DSGVO
Das Verzeichnis von Verarbeitungstätigkeiten ist keine lästige Pflichtübung, sondern das Herzstück Ihrer Datenschutz-Dokumentation. Es belegt im Ernstfall gegenüber der Aufsichtsbehörde, dass Sie wissen, welche personenbezogenen Daten Sie wofür verarbeiten – und es ist die Grundlage für AV-Verträge, technisch-organisatorische Maßnahmen und ein sauberes Löschkonzept. Ich baue Ihr Verarbeitungsverzeichnis rechtssicher auf und halte es so, dass es lebt statt im Ordner zu verstauben.
Das Verarbeitungsverzeichnis – die Pflicht, an der alles andere hängt
Nach Art. 30 DSGVO ist nahezu jedes Unternehmen verpflichtet, ein Verzeichnis von Verarbeitungstätigkeiten zu führen. Die oft zitierte Ausnahme für Betriebe unter 250 Mitarbeitern greift in der Praxis kaum: Sobald Sie regelmäßig personenbezogene Daten verarbeiten – also Kundendaten, Personaldaten oder Bewerberdaten –, besteht die Pflicht ohnehin. Genau das trifft auf praktisch jedes KMU zu. Wer im Falle einer Prüfung kein vollständiges und aktuelles VVT vorlegen kann, signalisiert der Aufsichtsbehörde sofort, dass die Datenschutz-Organisation im Argen liegt – mit allen Konsequenzen für das Bußgeldrisiko.
Das Verarbeitungsverzeichnis ist dabei mehr als eine Liste. Es zwingt Sie, jede Verarbeitung sauber zu durchdenken: Welche Daten, zu welchem Zweck, auf welcher Rechtsgrundlage, wie lange, an wen weitergegeben, mit welchen Schutzmaßnahmen? Aus diesen Antworten ergibt sich der Rest Ihrer Datenschutz-Dokumentation fast von selbst. Wo Daten an Dienstleister fließen, brauchen Sie einen Vertrag zur Auftragsverarbeitung. Wo Sie schützen müssen, brauchen Sie nachweisbare technisch-organisatorische Maßnahmen. Wo Aufbewahrungsfristen enden, brauchen Sie ein Löschkonzept. Das VVT ist der rote Faden, der diese Bausteine verbindet.
In über 100 betreuten Unternehmen habe ich vor allem eins gesehen: Verzeichnisse, die einmal mit einer Excel-Vorlage angelegt und dann nie wieder angefasst wurden. Genau daran scheitert der Datenschutz im Alltag. Ein neues Tool, ein neuer Dienstleister, eine neue Marketing-Software – und das Verzeichnis stimmt nicht mehr. Ich baue Ihr Verarbeitungsverzeichnis so auf, dass es ein lebendiges Dokument bleibt, das mit Ihrem Unternehmen mitwächst, statt mit dem Datum seiner Erstellung zu veralten.
Ihre Datenschutz-Dokumentation – vollständig und prüfungsfest
Verarbeitungsverzeichnis nach Art. 30
Ich erfasse alle Verarbeitungstätigkeiten Ihres Unternehmens strukturiert: Zweck, Rechtsgrundlage, Datenkategorien, Empfänger, Löschfristen und Schutzmaßnahmen – prüfungsfest und in der von der Aufsichtsbehörde erwarteten Form.
AV-Verträge prüfen & aufsetzen
Für jeden Dienstleister, der Daten in Ihrem Auftrag verarbeitet, braucht es einen Vertrag zur Auftragsverarbeitung nach Art. 28 DSGVO. Ich identifiziere die Lücken und sorge für rechtssichere AV-Verträge.
Technisch-organisatorische Maßnahmen
Ihre TOMs nach Art. 32 DSGVO werden dokumentiert und auf Wirksamkeit geprüft – von der Zutrittskontrolle über Verschlüsselung bis zum Berechtigungskonzept. So belegen Sie ein angemessenes Schutzniveau.
Löschkonzept & Aufbewahrungsfristen
Daten dürfen nicht ewig liegen bleiben. Ich entwickle ein nachvollziehbares Löschkonzept, das gesetzliche Aufbewahrungsfristen und Löschpflichten in Einklang bringt – die häufigste Lücke in deutschen KMU.
Laufende Pflege statt Karteileiche
Ich halte Ihre Dokumentation aktuell: Neue Tools, neue Prozesse, neue Dienstleister werden eingepflegt, bevor sie zum Problem werden. Ein VVT ist nur so viel wert wie sein Pflegestand.
Muster & Vorlagen zum Start
Sie wollen erst einmal selbst loslegen? Eine praxiserprobte Muster-Vorlage für Ihr Verarbeitungsverzeichnis stelle ich Ihnen kostenlos zur Verfügung. Fordern Sie sie über das Kontaktformular an.
In vier Schritten zur prüfungsfesten Dokumentation
Bestandsaufnahme der Verarbeitungen
In strukturierten Interviews mit Ihren Abteilungen erfasse ich, welche Daten wo, wofür und mit welchen Tools verarbeitet werden. Diese Datenflussanalyse ist die Grundlage des gesamten Verzeichnisses.
Aufbau des Verarbeitungsverzeichnisses
Jede Tätigkeit wird vollständig dokumentiert: Zweck, Rechtsgrundlage, Datenkategorien, Empfänger, Fristen, TOMs. Lücken und rechtlich heikle Verarbeitungen werden dabei sichtbar und priorisiert.
AV-Verträge, TOMs & Löschkonzept
Parallel prüfe ich Ihre Auftragsverarbeitungs-Verträge, dokumentiere die technisch-organisatorischen Maßnahmen und erarbeite ein Löschkonzept mit klaren Fristen je Datenkategorie.
Übergabe & laufende Pflege
Sie erhalten eine vollständige, prüfungsfeste Dokumentation und eine klare Anleitung, wann sie aktualisiert werden muss. Auf Wunsch übernehme ich die laufende Pflege im Rahmen der Datenschutzbetreuung.
Verarbeitungsverzeichnis & Dokumentation anfragen
Erzählen Sie uns kurz, worum es geht. Sie erhalten eine ehrliche Einschätzung – kostenlos und unverbindlich.
- Antwort innerhalb von 24 Stunden
- Fester Ansprechpartner, kein Callcenter
- Transparente Preise, keine versteckten Kosten
Lieber direkt? +49 (0) 7071 7703-71 · thomas@kowoll-protects.de
Verarbeitungsverzeichnis & Dokumentation anfragen
Ich melde mich innerhalb von 24 Stunden – unverbindlich und kostenlos.
Verarbeitungsverzeichnis & Dokumentation – häufige Fragen
Muss mein KMU wirklich ein Verarbeitungsverzeichnis führen?
In aller Regel ja. Die in Art. 30 Abs. 5 DSGVO genannte Ausnahme für Unternehmen unter 250 Beschäftigten greift nur, wenn die Verarbeitung lediglich gelegentlich erfolgt und kein Risiko für die Betroffenen birgt. Da praktisch jedes Unternehmen regelmäßig Kunden- und Personaldaten verarbeitet, ist die Pflicht für nahezu alle KMU einschlägig. Mehr zum Hintergrund im Glossar-Eintrag VVT.
Was gehört alles in das Verzeichnis von Verarbeitungstätigkeiten?
Für jede Verarbeitung müssen Sie Zweck, Rechtsgrundlage, betroffene Personengruppen und Datenkategorien, Empfänger der Daten, geplante Löschfristen sowie eine allgemeine Beschreibung der technisch-organisatorischen Maßnahmen dokumentieren. Bei Datenübermittlungen in Drittländer kommen weitere Angaben hinzu. Ich sorge dafür, dass keine dieser Pflichtangaben fehlt und das Verzeichnis in der von der Aufsichtsbehörde erwarteten Struktur vorliegt.
Worin unterscheiden sich VVT, AV-Vertrag und TOMs?
Das Verarbeitungsverzeichnis dokumentiert, welche Verarbeitungen Sie durchführen. Ein AV-Vertrag regelt das Verhältnis zu Dienstleistern, die Daten in Ihrem Auftrag verarbeiten – etwa Ihr Cloud- oder Newsletter-Anbieter. Die TOMs beschreiben die konkreten technischen und organisatorischen Schutzmaßnahmen. Alle drei greifen ineinander, weshalb ich sie gemeinsam betrachte. Wie Auftragsverarbeitung genau funktioniert, lesen Sie im Ratgeber Auftragsverarbeitung.
Reicht nicht eine einmal ausgefüllte Excel-Vorlage?
Für den Einstieg ist eine gute Vorlage hilfreich, und genau die stelle ich Ihnen über das Kontaktformular zur Verfügung. Entscheidend ist aber die Pflege: Ein Verarbeitungsverzeichnis ist ein lebendiges Dokument. Jedes neue Tool, jeder neue Dienstleister und jeder geänderte Prozess muss eingepflegt werden. Ein einmal erstelltes und dann vergessenes Verzeichnis ist im Ernstfall wertlos, weil es nicht den tatsächlichen Stand abbildet.
Wer ist für die Erstellung des Verzeichnisses verantwortlich?
Verantwortlich ist das Unternehmen selbst, also die Geschäftsführung als Verantwortlicher im Sinne der DSGVO. Der Datenschutzbeauftragte erstellt das Verzeichnis nicht von Amts wegen, unterstützt aber maßgeblich beim Aufbau und der Pflege. Als externer Datenschutzbeauftragter übernehme ich diese Arbeit für Sie und stelle sicher, dass Ihre Dokumentation jederzeit prüfungsfähig bleibt.
Was passiert, wenn die Aufsichtsbehörde das Verzeichnis anfordert?
Die Aufsichtsbehörde kann das Verarbeitungsverzeichnis jederzeit anfordern und Sie müssen es auf Verlangen vorlegen. Fehlt es oder ist es offensichtlich unvollständig, ist das ein eigenständiger Verstoß und zugleich ein Indiz dafür, dass auch die übrige Datenschutz-Organisation lückenhaft ist. Mit einer sauberen Dokumentation – idealwerweise eingebettet in ein laufendes DSGVO-Management oder geprüft im Datenschutz-Audit – treten Sie souverän auf statt unter Zeitdruck zu improvisieren.
Verarbeitungsverzeichnis aufbauen, das auch wirklich aktuell bleibt?
Lassen Sie uns in einem kostenlosen Erstgespräch klären, wo Ihre Dokumentation steht und was zuerst angepackt werden sollte. Gerne stelle ich Ihnen vorab meine praxiserprobte Muster-Vorlage für das Verarbeitungsverzeichnis zur Verfügung.