Kostenlose Vorlage (VVT) des
Verzeichnis von Verarbeitungstätigkeiten

Mit sehr vielen Beispielen, so dass Sie diese nur übernehmen und ggf. leicht anpassen müssen

Kostenloser Download

Muster für das Verzeichnis von Verarbeitungstätgkeiten (VVT) mit vielen Beispielen aus meiner Praxiserfahrung für die jeweiligen Verarbeitungstätigkeiten.

WICHTIG: Ich erneuere meine Vorlage laufend. Deshalb abonnieren Sie am besten untenstehend meinen kostenlosen Newsletter, damit Ihnen wichtige Änderungen nicht entgehen.

Vorlage hier herunterladen

Datei-Typ	Microsoft Excel
Version	2.1 (Änderungen zur vorherigen Version ganz unten auf der Seite)
Aktualisiert	22.06.2023

Über eine Bewertung würde ich mich sehr freuen (einfach mit der linken Maustaste auf die Anzahl der Sterne klicken, die Sie mir geben möchten).
1 Stern 2 Sterne 3 Sterne 4 Sterne 5 Sterne (47 Bewertung(en)

Nutzungsrechte

Sie dürfen diese Vorlage für eigene Datenschutzanforderungen oder für Ihre Kunden kostenfrei einsetzen und nach Belieben ändern, sofern Sie mich als Quelle benennen: Vorlage von EMODEON (www.emodeon.de).

Nicht erlaubt ist die Veröffentlichung oder öffentliche Zugänglichmachung (z.B. auf einer eigenen Internetseite) der Vorlage als eigenes Muster, ohne dass wesentliche Änderungen vorgenommen worden sind.

Die Verwendung erfolgt auf eigene Gefahr. Ich hafte nicht für Schäden, die aufgrund der Verwendung der Vorlage entstehen.

Wenn Sie auf dieser Seite gelandet sind, dann suchen Sie nach einer guten Vorlage für das Verzeichnis von Verarbeitungstätigkeiten (auch VVT oder Verarbeitungsverzeichnis genannt). Darum will ich mir an dieser Stelle den ganzen Text, warum ein VVT erforderlich ist, ersparen (Details hierzu finden Sie in meinem Blogartikel). Die zum VVT relevanten Artikel der DSGVO habe ich Ihnen aber ganz am Ende des Textes bereit gestellt.

Mit meiner kostenlosen Vorlage für das VVT möchte ich Ihnen als Verantwortlichen oder als externen oder internen Datenschutzbeauftragten (DSB) helfen, den Nachweispflichten gegenüber Ihrer Aufsichtsbehörde nachzukommen.

Aber da ich es nicht leiden kann, wenn viel Aufwand (und somit auch Kosten) in ein Dokument nur für die Schublade (falls einmal die Aufsichtsbehörde fragen sollte) erzeugt wird, würde ich mich freuen, wenn diese Vorlage des VVT für Sie auch ein Arbeitsmittel wird, mit dem Sie einen Überblick über die Prozesse und personenbezogenen Daten haben, die Sie verarbeiten.

Deshalb habe ich das VVT auch eingeteilt in einen rechtlich geforderten und einen erweiterten Teil.

Kurze Tipps zur Bearbeitung des VVTs

Speichern Sie sich das VVT auf Ihren PC/Laptop ab
Speichern Sie dann eine Version mit Ihrem Firmennamen und einer Versionsnummer oder einem Datum (z.B. VVT_Musterunternehmen_23-06-01)
Nun löschen Sie die Verarbeitungstätigkeiten aus dem VVT, die Ihr Unternehmen nicht hat
Jetzt schauen Sie sich die jeweiligen Zeilen der Verarbeitungstätigkeit an, die Sie auch in Ihrem Unternehmen haben und ändern oder ergänzen hier die Inhalte
Löschen Sie auch die Spalten bei den jeweiligen Rubriken heraus, die Sie nicht benötigen (z.B. Marketing in Spalte I, wenn Sie diesen Bereich nicht haben). Wichtig ist aber, dass Sie zu jeder Verarbeitungstätigkeit ein Kreuz bei einem internen Verantwortlichen haben
Füllen Sie auch die Tabs „Deckblatt“, „Übergreifende Regelungen“ und „Angaben zum Verantwortlichen“ mit Ihren Daten bzw. Ihren Prozessen

Und wenn Sie sich einfach allein nicht die Zeit für das Ausfüllen des VVTs nehmen, dann buchen Sie doch mein 1,5 Stunden-Webinar, wir machen dies gemeinsam und Sie können gleich Ihre offenen Fragen klären.

Mehr Tipps zum Ausfüllen der einzelnen Spalten

Laufende Nummer

Es ist sinnvoll, zu jeder Verarbeitungstätigkeit eine laufende Nummer zu haben, auf die man sich beziehen kann. Auch habe ich zu der Nummer der Verarbeitungstätigkeit eine gleiche Nummer für die Datenart der Löschfrist (ist bei mir eine 2. Excelliste).

Bezeichnung der Verarbeitungstätigkeit

Dies ist rechtlich nicht gefordert. Es macht aber Sinn, dass Sie für jede Verarbeitungstätigkeit eine kurze Bezeichnung haben. So können Sie sich auch intern in Ihrem Unternehmen besser über die jeweiligen Tätigkeiten austauschen, wenn jeder das gleiche Wording hat.

Zweck der Datenverarbeitung

Da es keine Datenverarbeitung ohne einen Zweck geben darf, erklären Sie in dieser Spalte, warum Sie die personenbezogenen Daten verarbeiten.

Die Zwecke müssen eindeutig und so aussagekräftig sein, dass die Aufsichtsbehörde die Zulässigkeit der Verarbeitung vorläufig einschätzen kann.

Intern Verantwortlicher

Bei größeren Unternehmen empfiehlt es sich, hier den fachlich verantwortlichen Bereich für die Verarbeitung einzutragen. So können Sie später auch sehr gut filtern, welcher Fachbereich für welche Verarbeitungstätigkeit verantwortlich ist.

Bei kleineren Unternehmen können Sie diese Spalten löschen, da Sie den Verantwortlichen schon im Tab „Angaben zum Verantwortlichen“ angegeben haben.

Kategorien betroffener Personen

Hier beschreiben Sie, für welche Personengruppe bzw. Kategorie von Betroffenen Sie die Daten verarbeiten.

Kategorien personenbezogener Daten

Tun Sie sich einen Gefallen und versuchen Sie, diese Daten wirklich detailliert so darzustellen, wie ich sie in der Tabelle vorgegeben habe. Denn Sie sollten meiner Meinung nach wirklich wissen, welche Daten Sie von Ihren Kunden und Mitarbeitern GENAU verarbeiten.

Die besonderer Kategorien personenbezogener Daten (Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen sowie die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person) habe ich in einem Rosa zur besseren Trennung von den anderen Daten dargestellt.

Auch die Trennung von Mitarbeiterdaten zu Kunden- und Lieferantendaten läßt sich in der Tabelle sehr gut darstellen.

Kategorien der Empfänger

Hier hinterlegen Sie die internen (in Ihrem Unternehmen) und externen Empfänger der von Ihnen verarbeiteten personenbezogenen Daten.

Ich habe noch unterschieden in „z“ für „Zugriff auf Daten“ und „x“ für „Übermittlung der Daten“. Das müssen Sie aber nicht, es reicht, wenn Sie überall ein „x“ eintragen (aber ein Prüfer könnte durchaus nachfragen, wer Zugriff hat und wem übermittelt wird).

Darüber hinaus wird hier hinterlegt, wenn Sie die Daten in ein Drittland übermitteln. Zu Drittländern sollte in jedem Fall eine Aussage getroffen werden, also auch angegeben werden, wenn eine Übermittlung in Drittländer nicht stattfindet und auch nicht geplant ist. Eine Übermittlung in Drittländer erfolgt auch, wenn sich dort der Server befindet oder der Mailversand hierüber abgewickelt wird. Ebenso kann eine Übermittlung in Drittländer vorliegen, wenn Supportdienstleistungen aus diesem erbracht werden.

Gesetzliche Aufbewahrungsfrist

Hier ist es ein wenig „tricky“, da die DSGVO die Fristen für die Löschung der Daten haben möchte, in den Empfehlungen aber von den rechtlichen Aufbewahrungsfristen die Rede ist. Denn es gibt einen Unterschied zwischen Aufbewahrungs- und Löschfristen.

Beispiel: Laut §257 Handelsgesetzbuch, auf das oft verwiesen wird, müssen Belege für Buchungen 10 Jahre aufbewahrt werden. Also wäre die Aufbewahrungsfrist: 10 Jahre. Da im Gesetz aber auch „zum Schluss eines Kalenderjahres“ steht, wäre die Aufbewahrungsfrist laut Gesetz immer noch 10 Jahre, die Löschfrist (also dann, wenn die Daten gelöscht werden können): 11 Jahre (da es zu aufwändig ist, z.B. eine Löschfrist von 10 Jahren und 2 Monaten zu hinterlegen). Wenn das Geschäftsjahr des Unternehmens dann auch noch auf die Mitte des Jahres fällt, dann wäre die Löschfrist u.U. auch: 12 Jahre. Die rechtliche Aufbewahrungsfrist aber immer noch: 10 Jahre.

Darüber hinaus gibt es für manche Datenkategorien auch keine rechtlichen Aufbewahrungsfristen, wie z.B. für Protoll- oder Backupdaten.

Wenn Sie viele Verarbeitungen haben, würde ich an Ihrer Stelle so wie ich eine 2. Tabelle mit den Löschfristen und noch weiteren Daten zur Löschung anlegen. Sollten Sie sehr wenige Vearbeitungen haben, können Sie die Löschfristen auch direkt in die Spalte der Aufbewahrungsfristen mit eintragen, falls diese abweichend sein sollten.

Hinweis: die rechtlichen Grundlagen zum Nachweis der Rechtmäßigkeit der Verarbeitung habe ich in der Spalte „Rechtsgrundlage“ im erweiterten Teil des VVT aufgeführt.

Datenarten der Verarbeitung

Diese Spalte hilft Ihnen bei der besseren Trennung der personenbezogenen Daten. Denn da der Begriff „Datenkategorie“ sehr übergreifend und in der DSGVO nicht definiert ist, kommt es in meiner Beratungspraxis regelmäßig in den Fachbereichen zur totalen Verwirrung, wenn ich nur mit dem Begriff „Datenkategorie“ arbeite. So bediene ich mich der DIN 66398 und nutze die Datenarten.

Beispiel aus der Praxis: Sie haben die Verarbeitung „Personalmanagement“ mit sehr vielen Datenarten, u.a. den Datenarten Personalunterlagen, Arbeitsunfähigkeitsbescheinigungen und Darlehensunterlagen. Jede dieser Datenart hat eine andere Aufbewahrungsfrist, eine andere Löschfrist und könnte in anderen Systemen liegen. Wenn Sie nun mit den Fachbereichen über die jeweilige Datenart reden, versteht jeder sofort, um welche Daten es sich handelt. Und sprechen Sie mit der IT über die Löschung dieser Daten, weiß auch diese (meist), was gemeint ist.

WICHTIGER HINWEIS: sollten Sie den VVT für ein größeres Unternehmen anlegen oder haben Sie einen strengen Auditor 😉 oder wollen Sie es sehr genau machen, empfiehlt sich folgendes Vorgehen: legen Sie für alle Verarbeitungen, die sehr viele Datenarten haben wie z.B. das Personalmanagement, einen 2. Tab im VVT an. Und hier hinterlegen Sie für jede Datenart in einer eigenen Zeile die Datenmerkmale (Name, Vorname usw.) und auch die genauen Prozesse rund um die Verarbeitung dieser Datenart. So wissen Sie GENAU, welche Daten sie wie verarbeiten und können auch später hier immer wieder nachschauen, auch bei Audits.

Lassen Sie sich automatisch über Anpassungen und Erweiterungen dieser Vorlage informieren

Wenn Sie über Änderungen und Erweiterungen dieser Vorlage durch z.B. neue Rechtssprechungen oder Praxiserfahrungen informiert werden möchten, melden Sie sich unverbindlich zu meinem Newsletter an:

Meinen Newsletter können Sie natürlich jederzeit wieder abbestellen.
Ihre E-Mail-Adresse wird nur für den Zweck der Erbringung des Newsletters verwendet, niemals für Werbezwecke von mir und natürlich nicht an Dritte weitergegeben.

Tipps zum Ausfüllen des erweiterten Teils des VVT

Rechtsgrundlage

Erstaunlicherweise ist dies kein Pflichtelement laut DSGVO. Aber es bietet sich definitiv an, zu jeder Verarbeitungstätigkeit eine Rechtsgrundlage anzugeben. Sollte sich die Rechtsgrundlage auf eine Einwilligung beziehen, vermerken Sie, wo diese Einwilligung gespeichert ist.

Verwendete Software

Aus Gründen der Transparenz würde ich empfehlen, hier zu hinterlegen, welche Software Sie für die jeweilige Verarbeitungstätigkeit nutzen.

Dies ist auch wirklich hilfreich, wenn Sie einmal die Software austauschen müssen. Dann filtern Sie im VVT einfach nach der Software und Sie wissen sofort, für welche Verarbeitungstätigkeit diese genutzt wird.

Betroffenenrecht

Diese Spalten dienen Ihnen zur Kontrolle, ob Sie auch für jede Verarbeitungstätigkeit an alle Betroffenenrechte gedacht haben. Sie können diese somit auch nach der Kontrolle löschen oder aber auch als Nachweis stehen lassen.

Hinweis: Zur besseren Veranschaulichung würde ich eine grafische Darstellung der Betroffenen-Prozesse empfehlen. Am besten BPMN, es reicht aber auch jede andere anschauliche Darstellung und sei es auf ein Blatt Papier und dann eingescannt. Den Hinweis auf den Ablageort dieser Prozesse hinterlegen Sie dann im Tab „Übergreifende Regelungen“, da es sehr wahrscheinlich reicht, eine grafische Übersicht für alle Betroffenenprozesse zu erstellen.

Kontaktieren Sie mich, falls Ihnen noch Hinweise fehlen, Sie noch Fragen oder auch Anregungen haben. Ich würde gern mit Ihrer Hilfe ein verständliches und vollumfängliches VVT zur Verfügung stellen, damit Datenschutz hier ein wenig einfacher für alle wird. Gern können Sie mir auch einen Kommentar bei meinem Blog-Artikel zur Vorlage hinterlassen.

Bitte haben Sie Verständnis dafür, dass EMODEON keinerlei Haftung für etwaige Fehler übernimmt und dies keine Rechtsberatung darstellt.

Wenn Sie die rechtlichen Anforderungen besser verstehen bzw. nachlesen möchten, habe ich Ihnen HIER eine Gegenüberstellung der rechtlichen Anforderungen mit den Empfehlungen der Datenschutzkonferenz, der Aufsichtsbehörden, Bitkom und GGD zu meiner EMODEON-Vorlage hinterlegt.

Und hier nun auch die rechtlichen Grundlagen aus der DSGVO zum Verzeichnis von Verarbeitungstätigkeiten:

Artikel 4: Begriffsbestimmungen

Art. 4 DSGVO – Begriffsbestimmungen

Im Sinne dieser Verordnung bezeichnet der Ausdruck:

„personenbezogene Daten“ alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann;
„Verarbeitung“ jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung;

(Quelle: www.dsgvo-gesetz.de)

Artikel 7: Bedingungen für die Einwilligung

Beruht die Verarbeitung auf einer Einwilligung, muss der Verantwortliche nachweisen können, dass die betroffene Person in die Verarbeitung ihrer personenbezogenen Daten eingewilligt hat.
Erfolgt die Einwilligung der betroffenen Person durch eine schriftliche Erklärung, die noch andere Sachverhalte betrifft, so muss das Ersuchen um Einwilligung in verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache so erfolgen, dass es von den anderen Sachverhalten klar zu unterscheiden ist. ²Teile der Erklärung sind dann nicht verbindlich, wenn sie einen Verstoß gegen diese Verordnung darstellen.
Die betroffene Person hat das Recht, ihre Einwilligung jederzeit zu widerrufen. ²Durch den Widerruf der Einwilligung wird die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. ³Die betroffene Person wird vor Abgabe der Einwilligung hiervon in Kenntnis gesetzt. ⁴Der Widerruf der Einwilligung muss so einfach wie die Erteilung der Einwilligung sein.
Bei der Beurteilung, ob die Einwilligung freiwillig erteilt wurde, muss dem Umstand in größtmöglichem Umfang Rechnung getragen werden, ob unter anderem die Erfüllung eines Vertrags, einschließlich der Erbringung einer Dienstleistung, von der Einwilligung zu einer Verarbeitung von personenbezogenen Daten abhängig ist, die für die Erfüllung des Vertrags nicht erforderlich sind.

(Quelle: dsgvo-gesetz.de)

Artikel 9: Verarbeitung besonderer Kategorien personenbezogener Daten

Art. 4 DSGVO – Verarbeitung besonderer Kategorien personenbezogener Daten

Zusammenfassung (für Unternehmen):

Die Verarbeitung personenbezogener Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person ist untersagt.

Dies gilt nicht, wenn

Diese Daten dürfen zu den oben genannten Zwecken aber nur verarbeitet werden, wenn diese Daten von Fachpersonal oder unter dessen Verantwortung verarbeitet werden und dieses Fachpersonal dem Berufsgeheimnis unterliegt, oder wenn die Verarbeitung durch eine andere Person erfolgt, die ebenfalls einer Geheimhaltungspflicht unterliegt.

(Quelle: dsgvo-gesetz.de)

Artikel 10: Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten

Art. 10 DSGVO – Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten

Zusammenfassung (für Unternehmen):

Die Verarbeitung personenbezogener Daten über strafrechtliche Verurteilungen und Straftaten oder damit zusammenhängende Sicherungsmaßregeln aufgrund von Artikel 6 Absatz 1 darf nur unter behördlicher Aufsicht vorgenommen werden. Ein umfassendes Register der strafrechtlichen Verurteilungen darf nur unter behördlicher Aufsicht geführt werden.

(Quelle: dsgvo-gesetz.de)

Artikel 13 - 21

Da es zu mühselig ist, jeden dieser einzelnen Artikel zu übernehmen, hier der Link auf die Gesetzestexte mit Start von Artikel 13:

(Quelle: dsgvo-gesetz.de)

Artikel 30: Verzeichnis von Verarbeitungstätigkeiten

Art. 30 DSGVO – Verzeichnis von Verarbeitungstätigkeiten

Die Inhalte des Art. 30 habe ich schon im Blogartikel zusammengefasst.

(Quelle: dsgvo-gesetz.de)

Vorherige Versionen der VVT-Vorlage und was sich genau geändert hat:

Version 2.0

Da seit der Einstellung meiner ersten Version der VVT-Vorlage schon 5 Monate vergangen sind (und somit wieder diverse Löschkonzept-Projekte und Webinare beendet wurden), habe ich wieder neue Praxis-Erfahrungswerte sammeln können und meine Vorlage umfassend geändert. Hier die hauptsächlichen Änderungen:

Viele kleine Textänderungen bei den Zwecken
Viele kleine Anpassungen bei den Datenkategorien
Einige neue Verarbeitungen
Rechtsgrundlagen zu den Aufbewahrungsfristen direkt in diese Spalte
Bei den Rechtsgrundlagen Art. 9 Abfragen ergänzt
Spalte „TOMs“ gelöscht, da es zumeist übergreifende TOMs gibt und dafür Vermerk im Tab „Übergreifende Regelungen“
Spalte Speicherorte gelöscht, da diese überschaulicher in einer IT-Landschaftsübersicht dargestellt werden sollten und Verweis dann im Tab „Übergreifende Regelungen“
Bei den Betroffenenrechten die Informationspflicht nach Art. 13 und Art. 14 ergänzt

Die Version 1.0 zum Vergleich finden Sie noch hier:

EMODEON_VORLAGE_erweitertes-VVT__V1-0_2023-01-21

Version 2.1

Ich habe folgende Änderungen durchgeführt:

Bei den weiteren Rechtsgrundlagen der Datenverarbeitung bei den Personalverarbeitungen § 26 Abs. 1 BDSG herausgenommen. Warum, können Sie in meinem Blogartikel nachlesen.
Bei der Beschreibung der Datenkategorien habe ich „PERSONALAKTE“ in „MITARBEITERDATEN“ geändert.
Die Spalte „Informationspflicht nach Art. 13 DSGVO“ habe ich von den Betroffenenrechten zu den Rechtsgrundlagen verschoben, da dies thematisch einfach besser passt. Denn wenn Sie sich zu einer Verabeitung Gedanken über die Rechtsgrundlage machen, können Sie auch hier gleich überlegen bzw. überprüfen, ob Sie dem Betroffenen die Verarbeitung/Erhebung seiner Daten mitgeteilt haben (siehe Artikel 13 DSGVO).

Die Version 2.0 zum Vergleich finden Sie noch hier:

EMODEON_VORLAGE_erweitertes-VVT__V1-0_2023-01-21

Kostenlose Vorlage (VVT) des Verzeichnis von Verarbeitungstätigkeiten

Kostenloser Download

Kurze Tipps zur Bearbeitung des VVTs

Und wenn Sie sich einfach allein nicht die Zeit für das Ausfüllen des VVTs nehmen, dann buchen Sie doch mein 1,5 Stunden-Webinar, wir machen dies gemeinsam und Sie können gleich Ihre offenen Fragen klären.

Mehr Tipps zum Ausfüllen der einzelnen Spalten

Lassen Sie sich automatisch über Anpassungen und Erweiterungen dieser Vorlage informieren

Tipps zum Ausfüllen des erweiterten Teils des VVT

Artikel 7: Bedingungen für die Einwilligung

Art. 30 DSGVO – Verzeichnis von Verarbeitungstätigkeiten

Ich freue mich auf Ihre Fragen und Ihr Feedback!

Kostenlose Vorlage (VVT) des
Verzeichnis von Verarbeitungstätigkeiten