VVT-Software: Das Verzeichnis von Verarbeitungstätigkeiten audit-fest führen

Nach Art. 30 DSGVO muss jeder Verantwortliche mit mindestens 250 Beschäftigten und in vielen kleineren Konstellationen ein Verzeichnis von Verarbeitungstätigkeiten (VVT) führen. Die Aufsichtsbehörden verlangen es in schriftlicher Form, auf Anfrage und vollständig. Wer es mit einer unstrukturierten Excel-Liste oder einer Sammlung von Word-Dateien beantwortet, läuft in zwei Risiken zugleich: Bußgelder nach Art. 83 DSGVO bis zu 20 Mio. Euro oder vier Prozent des weltweiten Jahresumsatzes und die persönliche Haftung der Geschäftsleitung nach § 130 OWiG. Beide Risiken summieren sich, wenn das Verzeichnis im Audit als nicht aktuell oder unvollständig auffällt.

Eine VVT-Software adressiert genau diese Lücke. Sie bündelt Verarbeitungstätigkeiten, technische und organisatorische Maßnahmen, Auftragsverarbeiter, Drittlandtransfers und Löschfristen in einem System mit Versionierung, vollständiger Berichtslinie, klarem Rollenmodell und maschinenlesbarer Exportfunktion. Dieser Beitrag erklärt, welche Funktionen das Tool wirklich abdecken muss, wo Excel an Grenzen stößt, welche acht Kriterien vor dem Kauf zählen und wie CIVAC als Compliance-Plattform und Officer-as-a-Service den Datenschutzbeauftragten entlastet, ohne den Verantwortlichen aus der Pflicht zu nehmen. Lizenzieren Sie den Workspace für Ihre internen Beauftragten, oder lassen Sie unsere Beauftragten bestellen. Beide Modelle teilen sich denselben Datenstand und denselben Audit-Trail.

Art. 30 Abs. 1 DSGVO zählt die Pflichtinhalte des Verzeichnisses für Verantwortliche abschließend auf: Name und Kontaktdaten des Verantwortlichen und des Datenschutzbeauftragten, Zwecke der Verarbeitung, Kategorien betroffener Personen und personenbezogener Daten, Kategorien von Empfängern einschließlich der Empfänger in Drittländern, Drittlandtransfers samt geeigneter Garantien nach Art. 46 DSGVO, geplante Löschfristen sowie eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen nach Art. 32 DSGVO. Jeder dieser Punkte ist Pflicht, keiner ist optional.

Art. 30 Abs. 2 DSGVO regelt das Pendant für Auftragsverarbeiter mit eigener, leicht abweichender Inhaltsliste. Beide Varianten sind schriftlich, auch elektronisch, zu führen und der Aufsichtsbehörde auf Anfrage zur Verfügung zu stellen. Die Erleichterung für Unternehmen unter 250 Beschäftigten greift nur, wenn keine risikoreiche Verarbeitung, keine regelmäßige Verarbeitung und keine besonderen Datenkategorien nach Art. 9 oder strafrechtlich relevante Daten nach Art. 10 DSGVO vorliegen. In der Praxis fällt diese Ausnahme bei den meisten KMU weg, weil mindestens HR-Daten und Bewerberprozesse regelmäßig verarbeitet werden.

Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden (DSK) hat in mehreren Kurzpapieren klargestellt, dass ein Verzeichnis nicht erst auf Zuruf erstellt werden darf. Es muss zum Zeitpunkt der Anfrage bestehen, vollständig sein und die tatsächliche Verarbeitungslandschaft abbilden. Wer Lücken erst nach Erhalt eines Auskunftsersuchens schließt, hat den Nachweis der Vorab-Pflicht bereits verloren. Der Prüfer ruft an, der Nachweis liegt bereit. Genau diese Belegbarkeit unterscheidet eine geführte Compliance-Funktion von einer dokumentarischen Fassade. Auch der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit hat in seinen Tätigkeitsberichten wiederholt darauf hingewiesen, dass das Verzeichnis als zentrales Steuerungsinstrument zu führen ist und nicht als bürokratische Pflichtübung. Wer Art. 30 DSGVO als operatives Werkzeug versteht, hat im Ernstfall die Antwort schon parat.

Excel-Listen sind als Einstiegswerkzeug verbreitet, weil sie schnell verfügbar sind und keine Lizenzkosten verursachen. Im laufenden Betrieb erzeugen sie aber vier strukturelle Probleme. Erstens fehlt eine Versionsgeschichte: Wer hat wann welchen Eintrag geändert, und welche Fassung galt zum Stichtag eines Audits? Eine geteilte Datei auf einem Netzlaufwerk beantwortet diese Frage nicht zuverlässig, selbst wenn SharePoint Versionsstände speichert, fehlt die inhaltliche Differenzdarstellung pro Verarbeitungstätigkeit.

Zweitens fehlt das Rollen- und Berechtigungsmodell. Eine Fachabteilung soll ihre eigene Verarbeitungstätigkeit pflegen, aber nicht die der Personalabteilung lesen oder ändern können. Bewerberdaten in HR sind besonders sensibel und dürfen nicht im offenen Verzeichnis liegen. In Excel ist diese Trennung praktisch nicht abbildbar, ohne mit Dutzenden separaten Dateien zu arbeiten, die niemand mehr zusammenführen kann.

Drittens fehlen die Verknüpfungen. Eine Verarbeitungstätigkeit hängt an einem Verfahren, einem Auftragsverarbeitungsvertrag, einer TOM-Beschreibung, einer Datenschutz-Folgenabschätzung und einer Löschregel. In einer flachen Tabelle bleiben diese Bezüge implizit. Ändert sich der Auftragsverarbeiter, müssen Dutzende Zeilen manuell nachgezogen werden, ohne dass irgendwo nachweisbar wird, dass alle relevanten Tätigkeiten aktualisiert wurden. Bei einer Aufsichtsanfrage zu einem bestimmten Dienstleister fehlt die saubere Antwortliste.

Das vierte Problem ist die Ausleitung. Eine Aufsichtsbehörde verlangt das Verzeichnis im strukturierten Format und mit Stand zu einem konkreten Datum. Wer dafür Stunden mit manuellem Filtern verbringt, signalisiert dem Prüfer, dass das System operativ nicht im Griff ist. Andere führen Compliance wie einen Aktenschrank. Wir führen sie wie Software. Eine VVT-Software liefert einen Audit-Export auf Knopfdruck, mit Datum, Versionsstand und Vollständigkeitsindikatoren je Verarbeitungstätigkeit. Das spart nicht nur Zeit, es liefert auch ein klares Signal an die Aufsichtsbehörde, dass das Verzeichnis im Tagesgeschäft tatsächlich gepflegt wird und nicht nur für den Prüfungstag rekonstruiert wurde.

Eine VVT-Software muss die Pflichtinhalte aus Art. 30 DSGVO als strukturierte Felder abbilden, nicht als Freitext. Nur strukturierte Felder erlauben Filterung, Reporting und Vollständigkeitsprüfung. Dazu gehören: Verarbeitungszweck, Rechtsgrundlage nach Art. 6 oder Art. 9 DSGVO, Kategorien betroffener Personen, Kategorien personenbezogener Daten, Empfängerkategorien, Drittlandtransfers mit Mechanismus nach Art. 46 DSGVO, Löschfristen mit konkreter Regel sowie eine Verknüpfung zu den TOMs nach Art. 32 DSGVO. Jedes Feld ist ein eigener Suchschlüssel und ein eigener Filter.

Die zweite Säule ist die Versionierung. Jede Änderung an einer Verarbeitungstätigkeit erzeugt einen neuen Versionsstand, mit Zeitstempel, Bearbeiter und Änderungsgrund. Die Software muss frühere Stände auf Knopfdruck rekonstruieren können. Dazu gehört auch die Sperrung von Tätigkeiten, die nicht mehr aktiv sind, ohne dass die Historie verschwindet. Die dritte Säule ist die Anbindung an die Berichtslinie. Der DSB unterzeichnet die Stellungnahme, die Geschäftsleitung kennzeichnet die Kenntnisnahme, der Verantwortliche bleibt im Vordergrund. Bestellurkunde, unterschrieben, abgelegt, belegbar.

Vierte Säule: Schnittstellen. Eine VVT-Software ist nicht isoliert. Sie hängt am Auftragsverarbeiter-Register, am Verzeichnis der Datenschutz-Folgenabschätzungen, am Datenpannen-Meldepfad nach Art. 33 DSGVO und am Auskunftsmanagement nach Art. 15 DSGVO. CIVAC bündelt diese Module im Workspace, sodass ein Eintrag im VVT automatisch in die nachgelagerten Prozesse einfließt. Die fünfte Säule ist die EU-Datenresidenz: Die Software, in der das VVT geführt wird, darf nicht selbst zum Drittlandtransfer-Problem werden. Sechste Säule: vorausgefüllte Audit-Vorlagen, die typische Tätigkeiten standardisieren und Fachabteilungen einen schnellen Einstieg geben, ohne dass jedes Verzeichnis von Null beginnt. Eine siebte Säule, die in vielen Häusern unterschätzt wird, ist das Mehrsprachen-Handling.

Das Verzeichnis ist kein Werk des Datenschutzbeauftragten allein. Verantwortlich für Inhalt und Vollständigkeit bleibt nach Art. 24 DSGVO die Leitung des Verantwortlichen, in der Regel die Geschäftsführung. Der DSB überwacht, berät und prüft nach Art. 39 DSGVO, schreibt aber nicht selbst alle Einträge. Die operative Pflicht liegt bei den Fachabteilungen, die die jeweilige Verarbeitungstätigkeit kennen: HR für Personaldaten, Marketing für Kampagnen, IT für Logdaten, Vertrieb für CRM, Finanzbuchhaltung für Zahlungsdaten, Einkauf für Lieferantenkontakte.

Eine audit-feste VVT-Software bildet dieses Modell als Workflow ab. Fachabteilungen tragen Verarbeitungstätigkeiten ein und beantworten strukturierte Fragen, etwa zur Rechtsgrundlage oder zu Löschfristen. Der DSB erhält die Tätigkeit zur Prüfung, kommentiert, fordert Nachbesserung und gibt frei oder hebt Bedenken nach Art. 39 DSGVO an die Geschäftsleitung. Jede dieser Aktionen erzeugt einen Audit-Eintrag. Damit ist nachvollziehbar, wer wann welche Entscheidung getroffen hat. Die DSB-Stellungnahme bleibt dokumentiert, auch wenn die Geschäftsleitung anders entscheidet.

Die Compliance-Beauftragten profitieren von derselben Architektur, weil Geldwäsche-Risikoanalysen, Hinweisgeberkanal und VVT in einer Berichtslinie zusammenlaufen können. CIVAC stellt die zugrundeliegende Plattform und übernimmt auf Wunsch die Rolle: Lizenzieren Sie den Workspace für Ihre internen Beauftragten, oder lassen Sie unsere Beauftragten bestellen. Beide Modelle teilen sich denselben Datenstand, dieselben Vorlagen und denselben Audit-Trail. Wechselt das Modell im Lauf der Zeit, etwa weil eine interne DSB-Position vakant wird, entsteht kein Bruch in der Dokumentation und keine Migration auf eine neue Plattform. Auch die Vertretungsregel im Urlaubs- oder Krankheitsfall bleibt vertraglich abgesichert, sodass der Verantwortliche keine Personalfrage tragen muss, wenn der DSB einmal nicht verfügbar ist.

Ein Verzeichnis ohne Anbindung an die TOMs nach Art. 32 DSGVO bleibt unvollständig. Die DSGVO verlangt für jede Verarbeitungstätigkeit eine allgemeine Beschreibung der Schutzmaßnahmen. In der Praxis sind das Zutrittskontrolle, Zugangskontrolle, Zugriffskontrolle, Weitergabekontrolle, Eingabekontrolle, Auftragskontrolle, Verfügbarkeitskontrolle und Trennungskontrolle, mittlerweile häufig orientiert an Anhang A der ISO/IEC 27001:2022 mit 93 Controls. Eine VVT-Software erlaubt es, TOMs einmal zentral zu pflegen und einer Verarbeitungstätigkeit zuzuordnen, statt sie pro Tätigkeit zu kopieren. Änderungen an den TOMs schlagen damit konsistent auf alle Tätigkeiten durch.

Der zweite Anschluss ist der Datenpannen-Meldepfad. Art. 33 DSGVO verpflichtet den Verantwortlichen, eine meldepflichtige Verletzung innerhalb von 72 Stunden nach Kenntnis an die Aufsichtsbehörde zu melden. Frist läuft ab Kenntnis. Eine Plattform, die das VVT führt, kann eine Datenpanne direkt mit der betroffenen Verarbeitungstätigkeit, den betroffenen Datenkategorien und den dokumentierten TOMs verknüpfen. Damit ist die Meldung in der Sache binnen Stunden vollständig, statt aus Excel-Tabellen rekonstruiert zu werden. Die Benachrichtigung der betroffenen Personen nach Art. 34 DSGVO kann mit denselben Datenpunkten vorbereitet werden.

Die dritte Verknüpfung betrifft die Datenschutz-Folgenabschätzung nach Art. 35 DSGVO. Tätigkeiten mit hohem Risiko müssen vor Aufnahme einer DSFA unterzogen werden. Eine VVT-Software kennzeichnet diese Tätigkeiten anhand der Kriterien des Europäischen Datenschutzausschusses und startet einen DSFA-Prozess automatisch. Das senkt die Wahrscheinlichkeit, dass risikoreiche Verarbeitungen nachträglich auffallen, etwa bei einer Aufsichtsprüfung oder einem Beschwerdeverfahren. Die DSFA bleibt mit der ursprünglichen Tätigkeit verknüpft, sodass auch Jahre später nachvollziehbar bleibt, welche Risikobewertung die Aufnahme der Verarbeitung getragen hat. So wird das Verzeichnis zum gemeinsamen Gedächtnis der Datenschutzorganisation.

Die Frage nach den Kosten lässt sich nicht über Lizenzgebühren allein beantworten. Drei Posten zählen. Erstens die Software selbst, in der Regel ein jährlicher Workspace-Preis mit Modulen für VVT, AVV, DSFA, Datenpannen, Auskünfte und Berichtslinie. Zweitens der interne Personalaufwand: Ein DSB im Mittelstand investiert ohne Tool typischerweise 30 bis 60 Prozent seiner Arbeitszeit in administrative Tätigkeiten, die eine Plattform auf 15 bis 25 Prozent senkt. Drittens das Risiko: Ein Bußgeld nach Art. 83 DSGVO kann 20 Mio. Euro oder vier Prozent des weltweiten Jahresumsatzes betragen, je nachdem, welcher Betrag höher ist.

Das CIVAC-SLA setzt für Standardvorgänge zwei Werktage, statt der klassischen zwei bis sechs Wochen. Dieser Geschwindigkeitsvorteil wirkt vor allem dort, wo viele Fachabteilungen parallel Tätigkeiten einbringen oder ändern, etwa nach Reorganisationen, Produkt-Launches oder M&A-Transaktionen. Wer einen externen DSB als Officer-as-a-Service bezieht, kauft nicht nur Beratung, sondern eine Person mit Bestellurkunde, Berichtslinie und Werkzeug, alles aus einer Hand. Die Vertretungsregelung im Urlaubs- und Krankheitsfall ist mitvertraglich abgesichert und damit kein Personalrisiko des Mandanten.

Für Konzerne mit mehreren Gesellschaften lohnt sich der zentrale Workspace, weil die Mandantenfähigkeit erlaubt, Verzeichnisse pro Gesellschaft zu führen und gleichzeitig konzernweite Standards für TOMs, Löschfristen und AVV durchzusetzen. Das spart Doppelpflege und macht die Berichtslinie an den Konzerndatenschutzbeauftragten belastbar. Audit-fest, dokumentiert, Art.-30-DSGVO-fest. Auch der Vergleich der Tochterunternehmen untereinander gelingt, weil dieselben Strukturen verwendet werden und Abweichungen sichtbar bleiben, etwa bei Empfängerkategorien oder Drittlandtransfers. Bei M&A-Transaktionen sparen einheitliche Verzeichnisse mehrere Wochen in der Due-Diligence-Phase, weil der Käufer die Datenschutzlage über alle Töchter in einem einheitlichen Format prüfen kann.

Vor dem Kauf einer VVT-Software lohnt ein strukturierter Vergleich entlang von acht Kriterien. Erstens: Werden alle Pflichtinhalte aus Art. 30 Abs. 1 und Abs. 2 DSGVO als strukturierte Felder abgebildet, nicht als Freitext? Zweitens: Gibt es eine vollständige Versionshistorie mit Wiederherstellung von Vorständen und Differenzansicht zwischen zwei Zeitpunkten? Drittens: Lässt sich ein Rollenmodell abbilden, das Fachabteilung, DSB, Datenschutzkoordinatoren und Leitung unterscheidet, mit unterschiedlichen Lese- und Schreibrechten pro Bereich? Viertens: Bestehen Verknüpfungen zu AVV, DSFA, Datenpannen, Auskünften und TOMs, sodass eine Änderung an einer Stelle alle betroffenen Datensätze als prüfungswürdig markiert?

Fünftens: Wo werden die Daten verarbeitet? Eine VVT-Software mit Hosting außerhalb der EU produziert selbst einen Drittlandtransfer und konterkariert das Anliegen. CIVAC bietet EU-Datenresidenz und betreibt ein ISMS nach ISO/IEC 27001:2022 mit 93 Controls. Sechstens: Sind 490 einsatzbereite Audit-Vorlagen vorhanden, die typische Verarbeitungstätigkeiten in HR, Marketing, IT, Vertrieb und Finanzen vorausgefüllt liefern und die Bestandsaufnahme verkürzen? Siebtens: Gibt es eine API oder strukturierte Exporte für Audits und Aufsichtsanfragen, einschließlich PDF, XLSX und maschinenlesbarer Formate?

Achtens, und oft unterschätzt: Bietet der Anbieter ein Officer-as-a-Service-Modell? Eine Software ohne Mensch ist im Audit nicht hilfreich, wenn die Bestellurkunde fehlt oder der DSB überlastet ist. CIVAC liefert beides: den Workspace für interne Beauftragte und die Möglichkeit, einen externen Datenschutzbeauftragten über dieselbe Plattform zu bestellen. Wer diese acht Kriterien systematisch prüft, vermeidet teure Tool-Migrationen nach 18 Monaten und sichert eine Compliance-Architektur, die mehrere Audit-Zyklen trägt. Ein Tool-Wechsel kostet schnell Quartale an interner Bindung und destabilisiert die Dokumentation.

Die Migration von einer Excel-Liste oder mehreren Word-Dokumenten in eine VVT-Software gelingt in drei Schritten. Schritt eins ist die Bestandsaufnahme. Welche Verarbeitungstätigkeiten existieren tatsächlich? Welche sind dokumentiert, welche fehlen? In den meisten Unternehmen klafft eine Lücke zwischen dem, was im Tagesgeschäft passiert, und dem, was im Verzeichnis steht. Ein strukturierter Workshop mit den Fachabteilungen schließt diese Lücke binnen zwei bis vier Wochen. Erfahrungsgemäß tauchen dabei zwischen 20 und 40 Prozent zusätzliche Tätigkeiten auf, die im alten Verzeichnis fehlten.

Schritt zwei ist die Übernahme in die Software. Die 490 CIVAC-Audit-Vorlagen decken die häufigsten Tätigkeiten ab und liefern für HR, Bewerbermanagement, Newsletter, Kundenbeziehungsmanagement, IT-Logfiles, Videoüberwachung, Zeiterfassung und Beschwerdemanagement vorausgefüllte Strukturen. Fachabteilungen ergänzen die spezifischen Inhalte. Die parallele Pflege in Excel wird beendet, sobald die erste Vollständigkeitsprüfung in der Plattform abgeschlossen ist. Erst der harte Schnitt verhindert, dass zwei Quellen entstehen, die mit der Zeit auseinanderlaufen und im Audit beide ihre eigenen Lücken offenbaren.

Schritt drei ist der laufende Betrieb. Jede neue Verarbeitungstätigkeit entsteht im Workflow, nicht mehr ad hoc. Die DSB-Stellungnahme nach Art. 39 DSGVO wird Teil des Prozesses, die Geschäftsleitung kennzeichnet die Kenntnisnahme, und die Aufsichtsbehörde erhält bei Anfragen einen Stichtagsexport innerhalb von Stunden. Wer den Migrationspfad sauber geht, vermeidet das häufigste Audit-Problem: ein offiziell geführtes, aber inhaltlich veraltetes Verzeichnis, das in Stichproben sofort auffällt. Die ISO/IEC 27001:2022 ISMS-Anbindung sichert dabei die technische Integrität der Daten und liefert nebenbei Nachweise für Auftraggeber, die einen ISO-zertifizierten Auftragsverarbeiter erwarten. So entsteht ein Verzeichnis, das nicht nur Aufsichtsbehörden, sondern auch Kunden-Audits ohne zusätzlichen Aufwand standhält.

Eine VVT-Software ist kein Selbstzweck. Sie ist das Werkzeug, mit dem der Datenschutzbeauftragte Art. 30 DSGVO operativ umsetzt und gleichzeitig die Geschäftsleitung entlastet. Wer sein Verzeichnis heute noch in Excel führt, kann den nächsten Audit-Termin als Anlass nehmen, das System grundsätzlich umzustellen. Die acht Auswahlkriterien aus diesem Beitrag bieten dafür einen sauberen Rahmen. Die Migration dauert in den meisten Mittelstandsunternehmen vier bis acht Wochen, in größeren Konzernstrukturen drei bis sechs Monate, mit klaren Etappen und einem nachvollziehbaren Ergebnis.

CIVAC ist eine Compliance-Plattform und Officer-as-a-Service. Lizenzieren Sie den Workspace für Ihre internen Beauftragten, oder lassen Sie unsere Beauftragten bestellen. Beide Modelle teilen sich denselben Datenstand, dieselben 490 Audit-Vorlagen und dieselbe Berichtslinie. Sie wählen, ob Ihr DSB intern besetzt bleibt oder als externer Officer-as-a-Service mit Bestellurkunde und Vertretungsregel über uns kommt. In beiden Fällen ist die Plattform identisch, und der Wechsel zwischen den Modellen ist jederzeit möglich, ohne dass die Dokumentation bricht.

Aus dem Lesen einen Auftrag machen. Senden Sie uns eine kurze Beschreibung Ihrer Ausgangslage an info@civac.de oder nutzen Sie das Kontaktformular auf civac.de. Sie erhalten innerhalb von zwei Werktagen einen Vorschlag mit Lizenzumfang, Migrationsplan und, sofern gewünscht, einer Bestellurkunde für den externen Datenschutzbeauftragten. Der erste Termin klärt die konkreten Verarbeitungstätigkeiten Ihrer Branche, die TOM-Lage und die Anforderungen Ihrer wichtigsten Auftraggeber. Danach steht fest, ob ein Workspace genügt oder ob ein Officer-as-a-Service-Modell die tragfähigere Antwort ist. Der Prüfer ruft an, der Nachweis liegt bereit, und die Berichtslinie an die Geschäftsleitung bleibt sauber dokumentiert.