30. Oktober 2025

Verarbeitungsverzeichnis - warum?

Warum ein Verarbeitungsverzeichnis (VVT)?
Warum auch für die "Kleinen"?

 

Weil es die Basis für die Umsetzung von Datenschutz ist!

 

Weil ohne es verschiedene Umsetzungspflichten kaum erfüllt werden könnten.

Wer denkt, damit zu "Entbürokratisieren", dass kleine und mittlere Unternehmen kein Verarbeitungsverzeichnis mehr führen müssen, hat meiner Meinung nach noch nie in der Praxis Datenschutz umgesetzt.


Hier ein paar Slides zu einigen Querverbindungen aus dem Verzeichnis und ins Verzeichnis.

 

Nicht schön, aber der Versuch darzustellen, wie wichtig das "VVT" ist.

 

Hier ein paar Querverbindungen ins Verarbeitungsverzeichnis (VVT) und aus dem Verarbeitungsverzeichnis. 

 

Das hat keinen Anspruch auf Vollständigkeit.

 

Je umfangreicher man sein Verzeichnis über die Pflichtinhalte hinaus führen will, umso mehr Anforderungen an die Dokumentation aus der DSGVO kann man damit abdecken. 

 

Und im Zeitalter von KI vielleicht sogar automatisieren!

 

Schauen wir uns doch mal an, welche Begriffe so in der DSGVO herumschwirren und wie diese mit dem VVT zusammenhängen könnten. 

 

Viele Angaben sind für das VVT selbst, aber auch für weitere Dokumentation und Prozesse erforderlich. 

 

Bitte beachten, dass die Angaben (also die blauen Kästchen) immer gleich bleiben. 

 

Es ändert sich nur der Bezug zu oder aus verschiedenen Vorgaben der DSGVO. 

 

Hier also die für das VVT selbst erforderlichen Pflichtangaben. Das MUSS drin stehen. 

 

Wenn man nun noch die Inhalte hinzu nimmt, die für die Erfüllung der Informationspflichten - also die "Datenschutzhinweise" nach Art. 13 DSGVO nötig sind, wird schnell klar, dass man diese Infos mindestens doppelt verwerten kann. 

 

Nicht alle, aber die meisten. 

 

Viel Unterschied macht es dann auch nicht mehr, wenn man nach Art. 14 DSGVO informieren muss. 

 

In einem gut gepflegten VVT hat man alle Angaben und muss nur noch die erforderlichen herauspicken. 

 

In DSMS-Software geht das "auf Knopfdruck".

 

Auch wenn ein Betroffener Auskunft nach Art. 15 DSGVO verlangt, sind einige der Infos schon im Verarbeitungsverzeichnis angelegt. 

 

Klar ist aber auch, dass man bei einer Auskunft nicht um detaillierte Auflistungen und Kopien herum kommt. 

 

Wer nicht weiß, wie er das machen soll und wie eine Auskunft zu formulieren ist, der kann sich gerne mal mein Paket "Muster/Prozess Ausübung Betroffenenrechte Art. 15 - 22 DSGVO" im Datenschutzdocs-Shop ansehen. 

 

Kein Witz:

Ein Teil der Daten zu Regelungen, die in einem Auftragsverarbeitungsvertrag (AVV) enthalten sein sollten, finden sich komplett im VVT. 

 

Vielleicht nicht sooo interessant für den "normalen" Verantwortlichen, aber spätestens wenn man als Auftragsverarbeiter einen AVV ausformulieren soll, kann man diese Daten aus der relevanten Verarbeitung übernehmen.

 

Spätestens beim Erstellen des VVT stolpert man zwangsläufig über die Begriffe "Empfänger der Daten" und "Drittlandübermittlungen" .

 

Man muss sich also über diese beiden Punkte Gedanken machen und in der Folge etwa AVVs abschließen, Garantien wie Angemessenheits-Beschlüsse oder Standard-Vertragsklauseln dokumentieren und vielleicht sogar ein TIA durchführen. 

 

Ohne eine Pflicht zum Führen eines VVT - wann würde man darauf kommen? Die meisten Verantwortlichen erst bei Nachfrage der Aufsichtsbehörde, behaupte ich jetzt einfach mal. 

 

Der "risikobasierte Ansatz" wird nicht nur beim Datenschutzbeauftragten genannt. 

 

Wer ein VVT erstellt, erkennt anhand der Pflichtangaben ganz schnell, ob und wie riskant eine Verarbeitung sein könnte. 

 

Wenn man es erweitert, kann man auch noch eine kleine Risikobewertung, Schutzbedarfs-Feststellung oder gar DSFA Erforderlichkeits-Prüfung anhängen!

 

Zugegeben - die technischen & organisatorischen Maßnahmen werden in der Praxis als separates Dokument und meist in der IT oder im ISMS geführt. 

 

Aber um bewerten zu können, ob diese angemessen und ausreichend sind, braucht man zum Teil - genau - Angaben aus dem VVT. 

 

Nicht zuletzt muss man das VVT aber auch als DAS Dokument für die Erfüllung der Nachweispflichten aus Art. 5 Abs. 2 DSGVO sehen. 

 

Wo sonst bitte werden diese Punkte dokumentiert, wenn es kein VVT für alle Verarbeitungen (egal ob "riskant" oder weniger riskant) gäbe? 

Fazit: 

Immer noch der Meinung, dieses "lästige" Dokument könnte man sich sparen? 

Ich lasse mich gerne überzeugen, aber leicht wird das nicht! 

 

Ach ja - wem die jpgs zu klein sind, der kann sich die slides gerne hier als PDF downloaden. 

Download
Warum VVT?
Slides aus der Website im PDF
Warum VVT_25Okt2025.pdf
Adobe Acrobat Dokument 85.7 KB
Download
Tags: Datenschutz, datenschutzhinweise, Verarbeitungsverzeichnis, AVV