Kostenlose Vorlage (VVT) des
Verzeichnis von Verarbeitungstätigkeiten

Mit sehr vielen Beispielen, so dass Sie diese nur übernehmen und ggf. leicht anpassen müssen

Kostenloser Download

Muster für das Verzeichnis von Verarbeitungstätgkeiten (VVT) mit vielen Beispielen aus meiner Praxiserfahrung für die jeweiligen Verarbeitungstätigkeiten.

WICHTIG: ich arbeite aktuell an einer neuen Version der Vorlage mit vielen neuen Beispielen und Erweiterungen. Tragen Sie sich deshalb am besten unten in meinem Newsletter ein, damit Sie nichts verpassen!

Hier herunterladen

Datei-Typ	Microsoft Excel
Version	1.0
Aktualisiert	21.01.2023

Über eine Bewertung würde ich mich sehr freuen (einfach mit der linken Maustaste auf die Anzahl der Sterne klicken, die Sie mir geben möchten).
1 Stern 2 Sterne 3 Sterne 4 Sterne 5 Sterne (38 Bewertung(en)

Nutzungsrechte

Sie dürfen diese Vorlage für eigene Datenschutzanforderungen oder für Ihre Kunden kostenfrei einsetzen und nach Belieben ändern, sofern Sie mich als Quelle benennen: Vorlage von EMODEON (www.emodeon.de).

Nicht erlaubt ist die Veröffentlichung oder öffentliche Zugänglichmachung (z.B. auf einer eigenen Internetseite) der Vorlage als eigenes Muster, ohne dass wesentliche Änderungen vorgenommen worden sind.

Die Verwendung erfolgt auf eigene Gefahr. Ich hafte nicht für Schäden, die aufgrund der Verwendung der Vorlage entstehen.

Wenn Sie auf dieser Seite gelandet sind, dann suchen Sie nach einer guten Vorlage für das Verzeichnis von Verarbeitungstätigkeiten (auch VVT oder Verarbeitungsverzeichnis genannt). Darum will ich mir an dieser Stelle den ganzen Text, warum ein VVT erforderlich ist, ersparen (Details hierzu finden Sie in meinem Blogartikel). Die zum VVT relevanten Artikel der DSGVO habe ich Ihnen aber ganz am Ende des Textes bereit gestellt.

Mit meiner kostenlosen Vorlage für das VVT möchte ich Ihnen als Verantwortlichen oder als externen oder internen Datenschutzbeauftragten (DSB) helfen, den Nachweispflichten gegenüber Ihrer Aufsichtsbehörde nachzukommen.

Aber da ich es nicht leiden kann, wenn viel Aufwand (und somit auch Kosten) in ein Dokument nur für die Schublade (falls einmal die Aufsichtsbehörde fragen sollte) erzeugt wird, würde ich mich freuen, wenn diese Vorlage des VVT für Sie auch ein Arbeitsmittel wird, mit dem Sie einen Überblick über die Prozesse und personenbezogenen Daten haben, die Sie verarbeiten.

Deshalb habe ich das VVT auch eingeteilt in einen rechtlich geforderten und einen erweiterten Teil.

Kurze Tipps zur Bearbeitung des VVTs

Speichern Sie sich das VVT auf Ihren PC/Laptop als Vorlage
Speichern Sie dann eine Version mit Ihrem Firmennamen und einer Versionsnummer oder einem Datum (z.B. VVT_Musterunternehmen_23-01-01)
Nun löschen Sie die Verarbeitungstätigkeiten aus dem VVT, die Ihr Unternehmen nicht hat
Jetzt schauen Sie sich die jeweiligen Zeilen der Verarbeitungstätigkeit an, die Sie auch in Ihrem Unternehmen haben und ändern oder ergänzen hier die Inhalte in den jeweiligen Zellen
Löschen Sie auch die Spalten bei den jeweiligen Rubriken heraus, die Sie nicht benötigen (z.B. Marketing in Spalte I, wenn Sie diesen Bereich nicht haben). Wichtig ist aber, dass Sie zu jeder Verarbeitungstätigkeit ein Kreuz bei einem internen Verantwortlichen haben
Füllen Sie auch die Tabs „Deckblatt“, „Übergreifende Regelungen“ und „Angaben zum Verantwortlichen“ mit Ihren Daten bzw. Ihren Prozessen

Und wenn Sie sich einfach allein nicht die Zeit für das Ausfüllen des VVTs nehmen, dann buchen Sie doch mein 1,5 Stunden-Webinar, wir machen dies gemeinsam und Sie können gleich Ihre offenen Fragen klären.

Mehr Tipps zum Ausfüllen der einzelnen Spalten

Laufende Nummer

Es ist sinnvoll, zu jeder Verarbeitungstätigkeit eine laufende Nummer zu haben, auf die man sich beziehen kann. Auch habe ich zu der Nummer der Verarbeitungstätigkeit eine gleiche Nummer für die Datenart der Löschfrist (ist bei mir eine 2. Excelliste).

Bezeichnung der Verarbeitungstätigkeit

Dies ist rechtlich nicht gefordert. Es macht aber Sinn, dass Sie für jede Verarbeitungstätigkeit eine kurze Bezeichnung haben. So können Sie sich auch intern in Ihrem Unternehmen besser über die jeweiligen Tätigkeiten austauschen, wenn jeder das gleiche Wording hat.

Zweck der Datenverarbeitung

Da es keine Datenverarbeitung ohne einen Zweck geben darf, erklären Sie in dieser Spalte, warum Sie die personenbezogenen Daten verarbeiten.

Die Zwecke müssen eindeutig und so aussagekräftig sein, dass die Aufsichtsbehörde die Zulässigkeit der Verarbeitung vorläufig einschätzen kann.

HINWEIS: Die Zwecke in grauer Schrift sind Empfehlungen der in Klammern angegebenen Aufsichtsbehörden.

Intern Verantwortlicher

Bei größeren Unternehmen empfiehlt es sich, hier den fachlich verantwortlichen Bereich für die Verarbeitung einzutragen. So können Sie später auch sehr gut filtern, welcher Fachbereich für welche Verarbeitungstätigkeit verantwortlich ist.

Bei kleineren Unternehmen können Sie diese Spalten löschen, da Sie den Verantwortlichen schon im Tab „Angaben zum Verantwortlichen“ angegeben haben.

Kategorien betroffener Personen

Hier beschreiben Sie, für welche Personengruppe bzw. Kategorie von Betroffenen Sie die Daten verarbeiten.

Kategorien personenbezogener Daten

Tun Sie sich einen Gefallen und versuchen Sie, diese Daten wirklich detailliert so darzustellen, wie ich sie in der Tabelle vorgegeben habe. Denn Sie sollten meiner Meinung nach wirklich wissen, welche Daten Sie von Ihren Kunden und Mitarbeitern GENAU verarbeiten.

Die besonderer Kategorien personenbezogener Daten (Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen sowie die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person) habe ich in einem Rosa zur besseren Trennung von den anderen Daten dargestellt.

Wie Sie sehen, habe ich hier auch eine „Personalakte“ dargestellt, die Sie an Ihr Unternehmen anpassen können. Auch die Trennung von Mitarbeiterdaten zu Kunden- und Lieferantendaten läßt sich in der Tabelle sehr gut darstellen.

Kategorien der Empfänger

Hier hinterlegen Sie die internen (in Ihrem Unternehmen) und externen Empfänger der von Ihnen verarbeiteten personenbezogenen Daten.

Ich habe noch unterschieden in „z“ für „Zugriff auf Daten“ und „x“ für „Übermittlung der Daten“. Das müssen Sie aber nicht, es reicht, wenn Sie überall ein „x“ eintragen (aber ein Prüfer könnte durchaus nachfragen, wer Zugriff hat und wem übermittelt wird).

Darüber hinaus wird hier hinterlegt, wenn Sie die Daten in ein Drittland übermitteln. Zu Drittländern sollte in jedem Fall eine Aussage getroffen werden, also auch angegeben werden, wenn eine Übermittlung in Drittländer nicht stattfindet und auch nicht geplant ist. Eine Übermittlung in Drittländer erfolgt auch, wenn sich dort der Server befindet oder der Mailversand hierüber abgewickelt wird. Ebenso kann eine Übermittlung in Drittländer vorliegen, wenn Supportdienstleistungen aus diesem erbracht werden.

Gesetzliche Aufbewahrungsfrist

Hier ist es ein wenig „tricky“, da die DSGVO die Fristen für die Löschung der Daten haben möchte, in den Empfehlungen aber von den rechtlichen Aufbewahrungsfristen die Rede ist. Denn es gibt einen Unterschied zwischen Aufbewahrungs- und Löschfristen.

Beispiel: Laut §257 Handelsgesetzbuch, auf das oft verwiesen wird, müssen Belege für Buchungen 10 Jahre aufbewahrt werden. Also wäre die Aufbewahrungsfrist: 10 Jahre. Da im Gesetz aber auch „zum Schluss eines Kalenderjahres“ steht, wäre die Aufbewahrungsfrist laut Gesetz immer noch 10 Jahre, die Löschfrist (also dann, wenn die Daten gelöscht werden können): 11 Jahre (da es zu aufwändig ist, z.B. eine Löschfrist von 10 Jahren und 2 Monaten zu hinterlegen). Wenn das Geschäftsjahr des Unternehmens dann auch noch auf die Mitte des Jahres fällt, dann wäre die Löschfrist u.U. auch: 12 Jahre. Die rrechtliche Aufbewahrungsfrist aber immer noch: 10 Jahre.

Darüber hinaus gibt es für manche Datenkategorien auch keine rechtlichen Aufbewahrungsfristen, wie z.B. für Protoll- oder Backupdaten.

Damit Sie alles hier auf einen Blick haben, würde ich in dieser Spalte sowohl die Aufbewahrungsfristen als auch die Löschfristen hinterlegen, falls diese abweichend sein sollten.

Hinweis: die rechtlichen Grundlagen bzw. Gesetze habe ich in der Spalte „Rechtsgrundlage“ im erweiterten Teil des VVT aufgeführt.

Technische und organisatorische Maßnahmen

Hier können Sie einen Link auf die sogenannten TOMs hinterlegen oder auch, wenn Sie die TOMs alle am gleichen Ort gespeichert haben, einen Verweis auf den Tab „Übergreifende Regelungen“ geben und dort auf die TOMs referenzieren.

Wenn es Besonderheiten bei einzelnen Verarbeitungen gibt (siehe meine Beispiele), dann können Sie diese hier auch hinterlegen.

Wenn Sie ein kleines Unternehmen haben, machen Sie aus den TOMs auch keine Wissenschaft. Es ist nur wichtig zu dokumentieren, was Sie bzw. Ihr IT-Dienstleister gemacht hat, um das Risiko für die von Ihnen verarbeiteten personenbezogenen Daten zu minimieren (ein „ausschließen“ halte ich bei der technischen Entwicklung heutzutage nicht mehr für möglich). Auch müssen Sie irgendwo dokumentieren, dass sie die Wirksamkeit dieser Maßnahmen regelmäßig überprüfen.

Lassen Sie sich automatisch über Anpassungen und Erweiterungen dieser Vorlage informieren

Wenn Sie über Änderungen und Erweiterungen dieser Vorlage durch z.B. neue Rechtssprechungen oder Praxiserfahrungen informiert werden möchten, melden Sie sich unverbindlich zu meinem Newsletter an:

Meinen Newsletter können Sie natürlich jederzeit wieder abbestellen.
Ihre E-Mail-Adresse wird nur für den Zweck der Erbringung des Newsletters verwendet, niemals für Werbezwecke von mir und natürlich nicht an Dritte weitergegeben.

Tipps zum Ausfüllen des erweiterten Teils des VVT

Rechtsgrundlage

Erstaunlicherweise ist dies kein Pflichtelement laut DSGVO. Aber es bietet sich definitiv an, zu jeder Verarbeitungstätigkeit eine Rechtsgrundlage anzugeben und alle VVTs, die ich kenne, machen dies auch.

Verwendete Software

Aus Gründen der Transparenz würde ich empfehlen, hier zu hinterlegen, welche Software Sie für die jeweilige Verarbeitungstätigkeit nutzen.

Dies ist auch wirklich hilfreich, wenn Sie einmal die Software austauschen müssen. Dann filtern Sie im VVT einfach nach der Software und Sie wissen sofort, für welche Verarbeitungstätigkeit diese genutzt wird.

HINWEIS: falls Ihr Unternehmen eine komplexe IT-Architektur hat oder sehr viele Verarbeitungstätigkeiten, würde ich empfehlen, den Part der Software in ein 2. Excelsheet zu überführen. Ich mache dies fast immer, da ich hier dann auch die Standardlöschfristen und die Löschmatrix besser einbauen kann.

Speicherort

Hier hinterlegen Sie, wo genau die personenbezogenen Daten gespeichert sind.

Zugriffsberechtigungen/Protokollierung von Zugriffen

Können Sie hier pro Verarbeitungstätigkeit angeben oder, wenn Sie alles in einem Dokument haben, diese Spalte löschen und einen Eintrag im Tab „Übergreifende Regelungen“ machen.

Test- und Freigabekonzept

Können Sie hier pro Verarbeitungstätigkeit angeben oder, wenn Sie alles in einem Dokument haben, diese Spalte löschen und einen Eintrag im Tab „Übergreifende Regelungen“ machen.

Betroffenenrecht

Je eine Spalte zum Ankreuzen mit der Erläuterung des jeweiligen Artikels als Kommentar. Hierdurch kann gewährleistet werden, dass an alle Betroffenenrechte gedacht wurde.
Daneben gibt es noch Spalten für den Link auf die Maßnahmen/Prozesse sowie auf Datenschutzerklärungen / Maßnahmen zur Sicherstellung der Informationspflicht („Recht auf transparente Information“).

Hinweis: Zur besseren Veranschaulichung würde ich eine grafische Darstellung der Prozesse empfehlen. Am besten BPMN, es reicht aber auch jede andere anschauliche Darstellung

Kontaktieren Sie mich, falls Ihnen noch Hinweise fehlen, Sie noch Fragen oder auch Anregungen haben. Ich würde gern mit Ihrer Hilfe ein verständliches und vollumfängliches VVT zur Verfügung stellen, damit Datenschutz hier ein wenig einfacher für alle wird. Gern können Sie mir auch einen Kommentar bei meinem Blog-Artikel zur Vorlage hinterlassen.

Bitte haben Sie Verständnis dafür, dass EMODEON keinerlei Haftung für etwaige Fehler übernimmt und dies keine Rechtsberatung darstellt.

Wenn Sie die rechtlichen Anforderungen besser verstehen bzw. nachlesen möchten, habe ich Ihnen HIER eine Gegenüberstellung der rechtlichen Anforderungen mit den Empfehlungen der Datenschutzkonferenz, der Aufsichtsbehörden, Bitkom und GGD zu meiner EMODEON-Vorlage hinterlegt.

Und hier nun auch die rechtlichen Grundlagen aus der DSGVO zum Verzeichnis von Verarbeitungstätigkeiten:

Artikel 4: Begriffsbestimmungen

Art. 4 DSGVO – Begriffsbestimmungen

Im Sinne dieser Verordnung bezeichnet der Ausdruck:

„personenbezogene Daten“ alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann;
„Verarbeitung“ jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung;

(Quelle: www.dsgvo-gesetz.de)

Artikel 9: Verarbeitung besonderer Kategorien personenbezogener Daten

Art. 4 DSGVO – Verarbeitung besonderer Kategorien personenbezogener Daten

Zusammenfassung (für Unternehmen):

Die Verarbeitung personenbezogener Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person ist untersagt.

Dies gilt nicht, wenn

Diese Daten dürfen zu den oben genannten Zwecken aber nur verarbeitet werden, wenn diese Daten von Fachpersonal oder unter dessen Verantwortung verarbeitet werden und dieses Fachpersonal dem Berufsgeheimnis unterliegt, oder wenn die Verarbeitung durch eine andere Person erfolgt, die ebenfalls einer Geheimhaltungspflicht unterliegt.

(Quelle: dsgvo-gesetz.de)

Artikel 10: Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten

Art. 10 DSGVO – Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten

Zusammenfassung (für Unternehmen):

Die Verarbeitung personenbezogener Daten über strafrechtliche Verurteilungen und Straftaten oder damit zusammenhängende Sicherungsmaßregeln aufgrund von Artikel 6 Absatz 1 darf nur unter behördlicher Aufsicht vorgenommen werden. Ein umfassendes Register der strafrechtlichen Verurteilungen darf nur unter behördlicher Aufsicht geführt werden.

(Quelle: dsgvo-gesetz.de)

Artikel 30: Verzeichnis von Verarbeitungstätigkeiten

Art. 30 DSGVO – Verzeichnis von Verarbeitungstätigkeiten

Die Inhalte des Art. 30 habe ich schon im Blogartikel zusammengefasst.

(Quelle: dsgvo-gesetz.de)

Kostenlose Vorlage (VVT) des
Verzeichnis von Verarbeitungstätigkeiten

Kostenloser Download

Kurze Tipps zur Bearbeitung des VVTs

Und wenn Sie sich einfach allein nicht die Zeit für das Ausfüllen des VVTs nehmen, dann buchen Sie doch mein 1,5 Stunden-Webinar, wir machen dies gemeinsam und Sie können gleich Ihre offenen Fragen klären.

Mehr Tipps zum Ausfüllen der einzelnen Spalten

Lassen Sie sich automatisch über Anpassungen und Erweiterungen dieser Vorlage informieren

Tipps zum Ausfüllen des erweiterten Teils des VVT

Art. 4 DSGVO – Begriffsbestimmungen

Art. 4 DSGVO – Verarbeitung besonderer Kategorien personenbezogener Daten

Art. 10 DSGVO – Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten

Art. 30 DSGVO – Verzeichnis von Verarbeitungstätigkeiten

Ich freue mich auf Ihre Fragen und Ihr Feedback!

So können Sie mich erreichen:

Kostenlose Vorlage (VVT) des Verzeichnis von Verarbeitungstätigkeiten

Kostenloser Download

Kurze Tipps zur Bearbeitung des VVTs

Und wenn Sie sich einfach allein nicht die Zeit für das Ausfüllen des VVTs nehmen, dann buchen Sie doch mein 1,5 Stunden-Webinar, wir machen dies gemeinsam und Sie können gleich Ihre offenen Fragen klären.

Mehr Tipps zum Ausfüllen der einzelnen Spalten

Lassen Sie sich automatisch über Anpassungen und Erweiterungen dieser Vorlage informieren

Tipps zum Ausfüllen des erweiterten Teils des VVT

Art. 30 DSGVO – Verzeichnis von Verarbeitungstätigkeiten

Ich freue mich auf Ihre Fragen und Ihr Feedback!

So können Sie mich erreichen:

Kostenlose Vorlage (VVT) des
Verzeichnis von Verarbeitungstätigkeiten