VVT mit Excel: Wie es geht und welche Alternative es gibt

Was ist ein VVT und warum ist es erforderlich?

Ein Verzeichnis von Verarbeitungstätigkeiten (VVT) ist nach Artikel 30 der Datenschutz-Grundverordnung (DSGVO) für grundsätzlich jedes Unternehmen vorgeschrieben. Mit dem Verzeichnis werden Vorgänge bzw. Prozesse dokumentiert, in denen personenbezogene Daten verarbeitet werden. Diese sogenannten Verarbeitungstätigkeiten tragen die Datenschutzverantwortlichen im Unternehmen im VVT ein. Einzug halten dort Tätigkeiten wie beispielsweise das Erheben, Speichern und Verarbeiten von personenbezogenen Kund:innendaten. Zweck des VVT ist es, dir und insbesondere behördlichen Prüfer:innen einen Überblick über die Verarbeitungstätigkeiten zu schaffen. Es stellt die Basis für ein effektives Datenschutzmanagement dar und kann sogar in anderen Bereichen Mehrwerte schaffen.

Wie ein VVT praktisch auszusehen hat und mit welchen Tools du es erstellst, ist gesetzlich nicht vorgeschrieben. Wichtig ist allerdings, dass das Verzeichnis vollständig ist. Es muss tatsächlich alle Verarbeitungstätigkeiten in deinem Unternehmen erfassen. Bei einer behördlichen Prüfung droht sonst ein Bußgeld, wenn sich herausstellt, dass das VVT lückenhaft ist. Pflege dein Verzeichnis deshalb sorgsam und behalte den Überblick. Das kannst du bereits mit Excel machen, wenn du weißt, worauf du achten musst.

VVT mit Excel erstellen: Wie geht das?

Von Mathematiker:innen über Investment-Spezialist:innen bis zu Ingenieur:innen – Tabellenkalkulationsprogramme wie Microsoft Excel sind flexible, universell einsetzbare Tools, die viele Berufsgruppen gerne nutzen. Für Datenschutzverantwortliche kann die Software im Alltag ebenfalls hilfreich sein. Mit einem Excel-Sheet lassen sich alle Prozesse dokumentieren, die gesetzlich für ein VVT vorgeschrieben sind. Prinzipiell erfüllt ein in Excel erstelltes VVT so alle gesetzlichen Vorgaben an die Dokumentation von Verarbeitungstätigkeiten. Allerdings ist ein umfassendes Datenschutzmanagement mit Excel nur bedingt möglich – dazu gleich mehr. Zunächst geben wir dir einen Überblick, welche Angaben mit Excel darstellbar sind:

Prozessbeschreibung und Verantwortlichkeiten dokumentieren

Im VVT beschreibst du, was bei einer Verarbeitungstätigkeit grundlegend geschieht. Ebenso ist anzugeben, welche Abteilung (Organisationseinheit) beziehungsweise welche Person in deinem Unternehmen für die entsprechenden Vorgänge verantwortlich ist. Bei den Angaben arbeitest du idealerweise mit einzelnen Spalten und füllst die Verarbeitungstätigkeiten je zeilenweise ein. 

Folgende Angaben sind in dem Excel-Sheet zu speichern:

• Bezeichnung der Verarbeitungstätigkeit
• Beschreibung des Prozesses der Datenverarbeitung 
• verantwortliche Organisationseinheit (inklusive weiterer Organisationseinheiten)
• verantwortliche Person(en)

💡Tipp:   

Zweck der Verarbeitung und Datenkategorien festhalten

Im Folgenden musst du für jede Verarbeitungstätigkeit angeben, welche Art von personenbezogenen Daten dein Unternehmen konkret verarbeitet und warum es das macht.

Halte dazu folgende Angaben im Tabellenblatt fest:

• Zweck der Datenverarbeitung
• Angabe der Rechtsgrundlage (Artikel 6 beziehungsweise Artikel 9 DSGVO)
• Nachweise der Einhaltung der Rechtsgrundlage
• Kategorie der betroffenen Personen
• Datenkategorie (gegebenenfalls Datentypen

Interne und externe Empfänger erfassen

Ein korrekt geführtes VVT muss tatsächlich sehr genaue Angaben darüber enthalten, wer personenbezogene Daten verarbeitet und wie dies genau geschieht. Hierzu ist von dir zu beantworten, wer die Daten im Detail nutzt und wie die Daten gespeichert werden. 

Lege die folgenden Angaben in deinem VVT an:

• Datenquelle
• Datenspeicherort (inklusive eingesetzter Software und Server) 
• interne Empfänger
• externe Empfänger (mit Angabe, ob die Verarbeitung in einem Drittland erfolgt, und mit Nachweis geeigneter Garantien)

Speicherdauer und Löschfristen festschreiben

Beantworte nun die folgende Frage: Wie lange werden die Daten in deinem Unternehmen verarbeitet und wie löscht ihr sie wieder?

Speichere dazu folgende Informationen in deiner Tabelle und ordne sie den jeweiligen Datenkategorien zu:

• gesetzliche Aufbewahrungsfrist(en)
• Speicherdauer und Begründung
• Beginn der Aufbewahrungsfrist
• Art der Löschung
• Löschpraxis

Technische und organisatorische Maßnahmen beschreiben

In einem gut gepflegten VVT machst du nicht nur Angaben darüber, wie dein Unternehmen Verarbeitungstätigkeiten durchführt. Ebenso ist anzugeben, welche technischen und organisatorischen Maßnahmen (TOM) ihr in puncto Datenschutz habt und (wirklich) umsetzt.

Dokumentiere eure TOM folgendermaßen in Excel:

• Bezeichnung der technischen oder organisatorischen Maßnahme
• Beschreibung der technischen oder organisatorischen Maßnahme
• Zuordnung zu Risiken und Gewährleistungszielen

Schwellwertanalyse durchführen

Die Schwellwertanalyse klärt, ob eine Verarbeitungstätigkeit ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat. Dadurch ergibt sich die Erforderlichkeit eine Datenschutz-Folgenabschätzung (DSFA) nach Artikel 35 DSGVO durchzuführen. Diesbezüglich empfiehlt es sich, in Excel mit einer Frageliste zu arbeiten. Zudem musst du eine Bewertung und Begründung verfassen, ob und warum eine DSFA überhaupt erforderlich ist.

Erstelle eine Frageliste und beantworte für jede Verarbeitungstätigkeit, ob folgende Punkte zutreffen, mit Ja oder Nein:

• Findet ein Profiling der betroffenen Person statt?
• Findet eine automatisierte Entscheidungsfindung mit bedeutsamer Auswirkung statt?
• Erfolgt eine systematische Überwachung, Kontrolle oder Beobachtung?
• Werden sensible personenbezogene Daten verarbeitet?
• Erfolgt eine Datenverarbeitung in großem Umfang?
• Erfolgt ein Abgleich beziehungsweise Zusammenführen von Datensätzen?
• Werden Daten von schutzbedürftigen Personen verarbeitet?
• Erfolgt der Einsatz neuer Technologien?
• Ergibt sich aus der Verarbeitung eine rechtliche Auswirkung für betroffene Personen?

VVT in Excel erstellen: Die Vor- und Nachteile im Überblick

Du merkst: Mit Excel ein Verfahrensverzeichnis zu erstellen, ist grundsätzlich möglich – wenn auch etwas umständlich. Tatsächlich hat es drei konkrete Vorteile, ein VVT mit Excel zu realisieren.

Vorteile eines VVT mit Excel

1. Bekanntheit

Du musst dich nicht in eine neue Software einarbeiten: Vermutlich hat jede:r schon mal ein Tabellenkalkulationsprogramm wie Excel benutzt. Dementsprechend bedarf es für gewöhnlich keiner Einarbeitungszeit und du kannst mit einem VVT in Excel mehr oder weniger sofort loslegen.

2. Kostenersparnis

Dein Unternehmen spart Geld: Excel ist genau wie Word oder PowerPoint auf den meisten Büro-PCs vorinstalliert und gemeinhin in den Office-Paketen enthalten. Dementsprechend fallen keine zusätzlichen Software-Kosten an. Du nutzt, was du hast.

3. Flexibilität

Du bist sehr flexibel in der Verzeichnisgestaltung: Excel-basierte Lösungen sind nahezu universell einsetzbar und lassen sich beliebig auf ein Unternehmen abstimmen, variabel einrichten und jederzeit anpassen. Mit Programmierkenntnissen erstellst du zudem Makros und Automatisierungsprozesse.

Nachteile eines VVT mit Excel

Den drei Vorteilen von Excel als VVT-Tool stehen auf der anderen Seite jedoch doppelt so viele Nachteile gegenüber.

1. Keine Verknüpfungen

Du kannst zwar verschiedene Tabellenblätter für verschiedene Datensätze anlegen. Diese miteinander zu verknüpfen, gestaltet sich jedoch schwierig. Dadurch machst du dir doppelte Arbeit. Wenn sich beispielsweise der Serverstandort eines Dienstleisters ändert, musst du dafür alle Verarbeitungstätigkeiten durchsuchen und diesen manuell ändern. Die gleiche Problematik ergibt sich bei einer Datenschutz-Folgenabschätzung: Wird diese in einem separaten Excel-Dokument gepflegt, ist die Synchronisierung mit den Informationen aus dem VVT eine ständige Herausforderung.

2. Manuelle Arbeit und Unübersichtlichkeit

Du wirst dich langfristig ärgern: Ein vollständiges VVT in Excel anzulegen und vollumfänglich und vorschriftsgemäß zu pflegen, ist eine höchst kleinteilige Arbeit. Das birgt viel Fehlerpotenzial, was insbesondere bei einer behördlichen Prüfung zum Problem werden kann. Denk dran: Du hast bestimmt auch mal einen schlechten Tag, bist müde und verrutscht beim Dokumentieren in den Zeilen. Hinzu kommen Formatierungsfehler, du vergisst zu speichern und so weiter. Aus der Praxis wissen wir: Ab ungefähr 40 notwendigen Angaben verliert sich der Überblick schnell – und ein VVT in Excel benötigt erfahrungsgemäß weit mehr als 40 Zeilen und Spalten.

3. Keine Automatisierung

Du verschenkst das Potenzial automatisierter Prozesse: Wenn du Excel o. ä. nutzt, musst du leider auf viele praktische Automatisierungsfunktionen verzichten. Hierzu zählen beispielsweise eine automatische Benachrichtigung an dich, wenn sich Verarbeitungstätigkeiten verändern, oder eine automatische Anpassung von Kategorien in allen Datensätzen.

4. Komplizierte Auswertung

Es werden Probleme bei der Auswertung auf Dich zukommen: Ein Verzeichnis von Verarbeitungstätigkeiten in Excel auszuwerten, ist ein kompliziertes Unterfangen. Allein ein Dashboard mit allen wichtigen Infos als Überblick lässt sich nur umständlich in Excel realisieren. Zudem kann eine Auswertung unbemerkt fehlerhaft werden, wenn du in Zeilen oder Spalten verrutscht.

5. Fehlende Qualitätskontrolle und Versionierung

Du behältst die Qualität nicht im Blick: Excel präsentiert dir weder eine Übersicht über den Status quo, noch kontrolliert das Programm die Richtigkeit und den Umfang deiner Eingaben. Außerdem gestaltet es sich schwierig, Änderungen in einzelnen Verarbeitungstätigkeiten im Detail nachzuvollziehen.

6. Datenschutz ist und bleibt eine Silo-Aufgabe

Als Datenschutzverantwortlicher kannst du nicht alle Prozesse im Unternehmen kennen und bist auf die Zuarbeit aller Abteilungen angewiesen. Mit Excel machst du dir das Leben selbst schwer – denn je komplexer dein VVT in Excel wird, desto höher ist die Schwelle für deine Kolleg:innen, sich am Dokumentationsprozess zu beteiligen oder direkt im Dokument mitzuarbeiten.

Die Alternative zum VVT mit Excel: Eine professionelle Datenschutzmanagement-Software

Bilanz: Offenbar steht es 6:3 gegen Excel als VVT-Tool. Und tatsächlich raten wir dir davon ab, ein VVT mit Excel zu erstellen. Auch wenn es im ersten Moment vielleicht naheliegend klingt: Ja, es kostet dich nichts, und ja, du wirst dich schnell in die Dokumentationsarbeit mit Excel einarbeiten. 

Aus den vorher genannten Gründen machen die Nachteile einer Excel-basierten Lösung allerdings deren Vorteile nicht wett. Und dies sollte dir klar sein, bevor du es später schmerzlich in der Praxis oder im schlimmsten Fall während einer Datenschutzprüfung bemerkst. Denn im Zweifelsfall musst du deine Dokumentation nicht nur komplett neu aufsetzen, sondern riskierst womöglich außerdem ein Bußgeld. Die beste Option ist und bleibt eine professionelle Datenschutzmanagement-Software. Entsprechende Tools bieten viele praktische Funktionen, die dir den Dokumentationsalltag einfacher machen.

Für deinen VVT-Workflow: Praktische Funktionen eines Datenschutztools

Auf dem Markt gibt es einige Tools speziell für das Datenschutzmanagement. In der Regel verfügt jede Datenschutz-Software über eine eingebaute VVT-Funktion. Folgende Features darfst du von einer professionellen Datenschutzmanagement-Software erwarten:

Strukturierter und verknüpfter Workflow

• vordefinierte Eingabefelder für alle Angaben gemäß Artikel 30 DSGVO
• Vorauswahl von Datenkategorien und Datentypen
• Verknüpfung von Verarbeitungstätigkeiten mit TOM, DSFA und externen Datenempfängern     
• vordefinierte gesetzliche Aufbewahrungsfristen     

Unterstützung durch Vorlagen und Vorschläge 

• Vorlagen, um Prozesse für Verarbeitungstätigkeit zu identifizieren
• Vorlagen, um auf Beschreibungen der Datenverarbeitung aufzubauen
• automatisierte Schwellwertanalyse     

Zusammenarbeit fördern

• Zuweisung von Verantwortlichkeiten pro Verarbeitungstätigkeit
• Aufgaben- und Kommentarfunktion
• automatische Benachrichtigungen per E-Mail bei Änderungen     

Sonstiges

• Export des VVT mit nur einem Klick
• Erinnerungsfunktion zur regelmäßigen Überprüfung der Dokumentation
• übersichtliches VVT-Reporting mit einem Dashboard
• Versionskontrolle

Fazit: VVT mit Excel – kannst du machen, aber dann ist es halt …

Auch wenn es möglich ist, ein VVT über viele Jahre mit Excel zu pflegen, solltest du dich lieber für eine moderne Datenschutzmanagement-Software entscheiden. Im Gegensatz zu einem Tabellenkalkulationsprogramm ist eine professionelle Datenschutz-Software speziell auf die Bedürfnisse von Datenschutzverantwortlichen und gesetzliche Anforderungen ausgelegt.

Probiere es doch einfach aus. Schon in kleinen Betrieben profitieren Datenschützer:innen von den komfortablen Funktionen. Du wirst ein übersichtliches Dashboard, Automatisierungsfunktionen und die Features für die Zusammenarbeit im Tool überaus schätzen.

Gerne kannst du die Datenschutzmanagement-Software von caralegal kostenlos ausprobieren. Unser Team führt dich in einem persönlichen Termin durch alle Funktionen und geht auf deine Herausforderungen ein. Wir sind uns sicher, dass wir dich mit unserer Lösung überzeugen können. Also lass uns gemeinsam Daten schützen!

Lesetipp: Noch mehr Insights und Tricks rund um das VVT erfährst du in diesen Beiträgen: