Was ist ein Verarbeitungsverzeichnis (VVT) nach Art. 30 DSGVO?

Grundsätzlich ist jeder Verantwortliche im Sinne der DSGVO verpflichtet, ein Verarbeitungsverzeichnis zu führen (Art. 30 Abs. 1 DSGVO). Das gilt auch für Auftragsverarbeiter (Art. 30 Abs. 2). Die oft zitierte Ausnahme für Unternehmen mit weniger als 250 Mitarbeitern greift in der Praxis fast nie, da sie nur gilt, wenn die Verarbeitung „nicht nur gelegentlich" erfolgt — was bei E-Mail, Lohnabrechnung oder Website-Tracking immer der Fall ist. In der Praxis bedeutet das: Jeder Ihrer Mandanten braucht ein VVT. Ob Einzelunternehmer mit 3 Mitarbeitern oder Mittelständler mit 500 — die Pflicht besteht. Als externer DSB ist es Ihre Aufgabe, dies sicherzustellen und bei der Erstellung zu unterstützen.

Art. 30 Abs. 1 DSGVO definiert die Mindestinhalte für das VVT des Verantwortlichen: Name und Kontaktdaten des Verantwortlichen (und ggf. des DSB), Zwecke der Verarbeitung, Kategorien betroffener Personen und personenbezogener Daten, Kategorien von Empfängern, Übermittlungen an Drittländer, vorgesehene Löschfristen sowie eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen (TOM). Für Auftragsverarbeiter gelten nach Art. 30 Abs. 2 leicht abweichende Anforderungen. Hier müssen zusätzlich die Kategorien der im Auftrag durchgeführten Verarbeitungen dokumentiert werden. Ein häufiger Fehler: Viele Unternehmen sind gleichzeitig Verantwortliche und Auftragsverarbeiter — und brauchen daher zwei Verzeichnisse.

Der häufigste Fehler ist ein veraltetes VVT. Viele Unternehmen erstellen es einmalig und aktualisieren es nie. Dabei ändern sich Verarbeitungstätigkeiten laufend: Ein neues CRM wird eingeführt, ein Dienstleister wechselt, die Rechtsgrundlage ändert sich. Weitere typische Fehler: Zu grobe Beschreibungen (z. B. „Kundenverwaltung" statt konkreter Verarbeitungstätigkeiten), fehlende Löschfristen, unvollständige TOM-Dokumentation und das Vergessen von Auftragsverarbeitungen. Als externer DSB sollten Sie bei jedem Mandanten mindestens jährlich prüfen, ob das VVT noch aktuell ist.

Als externer DSB mit 10, 15 oder 20 Mandanten stehen Sie vor einer besonderen Herausforderung: Jedes VVT muss individuell sein, aber viele Verarbeitungstätigkeiten ähneln sich branchenübergreifend. Die Lösung sind gute Vorlagen, die Sie pro Mandant anpassen. Ein digitales Tool wie Trustee.eu ermöglicht es, Branchenvorlagen als Ausgangspunkt zu nutzen, individuelle Anpassungen pro Mandant vorzunehmen und über alle Mandanten hinweg den Überblick zu behalten — inklusive automatischer Erinnerung, wenn ein VVT zur Überprüfung ansteht.