VVT mit Excel: Wie es geht und welche Alternative es gibt
Wer ein Verzeichnis von Verarbeitungstätigkeiten (VVT) pflegen möchte, kann sich mit zahlreichen Tools behelfen. Tatsächlich kannst du ein VVT sogar mit Excel erstellen. Wie das funktioniert, worauf du bei einer gesetzeskonformen Dokumentation mit Excel achten musst und welche Alternativen es gibt, erfährst du in diesem Beitrag.

Was ist ein VVT und warum ist es erforderlich?
Ein Verzeichnis von Verarbeitungstätigkeiten (VVT) ist nach Artikel 30 der Datenschutz-Grundverordnung (DSGVO) für grundsätzlich jedes Unternehmen vorgeschrieben. Mit dem Verzeichnis werden Vorgänge bzw. Prozesse dokumentiert, in denen personenbezogene Daten verarbeitet werden. Diese sogenannten Verarbeitungstätigkeiten tragen die Datenschutzverantwortlichen im Unternehmen im VVT ein. Einzug halten dort Tätigkeiten wie beispielsweise das Erheben, Speichern und Verarbeiten von personenbezogenen Kund:innendaten. Zweck des VVT ist es, dir und insbesondere behördlichen Prüfer:innen einen Überblick über die Verarbeitungstätigkeiten zu schaffen. Es stellt die Basis für ein effektives Datenschutzmanagement dar und kann sogar in anderen Bereichen Mehrwerte schaffen.
Wie ein VVT praktisch auszusehen hat und mit welchen Tools du es erstellst, ist gesetzlich nicht vorgeschrieben. Wichtig ist allerdings, dass das Verzeichnis vollständig ist. Es muss tatsächlich alle Verarbeitungstätigkeiten in deinem Unternehmen erfassen. Bei einer behördlichen Prüfung droht sonst ein Bußgeld, wenn sich herausstellt, dass das VVT lückenhaft ist. Pflege dein Verzeichnis deshalb sorgsam und behalte den Überblick. Das kannst du bereits mit Excel machen, wenn du weißt, worauf du achten musst.
VVT mit Excel erstellen: Wie geht das?
Von Mathematiker:innen über Investment-Spezialist:innen bis zu Ingenieur:innen – Tabellenkalkulationsprogramme wie Microsoft Excel sind flexible, universell einsetzbare Tools, die viele Berufsgruppen gerne nutzen. Für Datenschutzverantwortliche kann die Software im Alltag ebenfalls hilfreich sein. Mit einem Excel-Sheet lassen sich alle Prozesse dokumentieren, die gesetzlich für ein VVT vorgeschrieben sind. Prinzipiell erfüllt ein in Excel erstelltes VVT so alle gesetzlichen Vorgaben an die Dokumentation von Verarbeitungstätigkeiten. Allerdings ist ein umfassendes Datenschutzmanagement mit Excel nur bedingt möglich – dazu gleich mehr. Zunächst geben wir dir einen Überblick, welche Angaben mit Excel darstellbar sind:
Prozessbeschreibung und Verantwortlichkeiten dokumentieren
Im VVT beschreibst du, was bei einer Verarbeitungstätigkeit grundlegend geschieht. Ebenso ist anzugeben, welche Abteilung (Organisationseinheit) beziehungsweise welche Person in deinem Unternehmen für die entsprechenden Vorgänge verantwortlich ist. Bei den Angaben arbeitest du idealerweise mit einzelnen Spalten und füllst die Verarbeitungstätigkeiten je zeilenweise ein.
Folgende Angaben sind in dem Excel-Sheet zu speichern:
- Bezeichnung der Verarbeitungstätigkeit
- Beschreibung des Prozesses der Datenverarbeitung
- verantwortliche Organisationseinheit (inklusive weiterer Organisationseinheiten)
- verantwortliche Person(en)
💡Tipp:
Beispielsweise für die Beschreibung des Prozesses der Datenverarbeitung benötigst du etwas Platz in der jeweils dazugehörigen Zelle. Damit die Beschreibung nicht horizontal über die nächsten Zellen hinweg läuft oder optisch gar darunter verschwindet, wenn die nächste Zelle mit Inhalt gefüllt ist, solltest du mit der Excel-Funktion „Zeilenumbruch“ arbeiten. Du findest sie im Menüreiter im Bereich „Ausrichtung“. Die Funktion begrenzt den Text mit automatischen Zeilenumbrüchen auf die Spaltenbreite.
Zweck der Verarbeitung und Datenkategorien festhalten
Im Folgenden musst du für jede Verarbeitungstätigkeit angeben, welche Art von personenbezogenen Daten dein Unternehmen konkret verarbeitet und warum es das macht.
Halte dazu folgende Angaben im Tabellenblatt fest:
- Zweck der Datenverarbeitung
- Angabe der Rechtsgrundlage (Artikel 6 beziehungsweise Artikel 9 DSGVO)
- Nachweise der Einhaltung der Rechtsgrundlage
- Kategorie der betroffenen Personen
- Datenkategorie (gegebenenfalls Datentypen
Interne und externe Empfänger erfassen
Ein korrekt geführtes VVT muss tatsächlich sehr genaue Angaben darüber enthalten, wer personenbezogene Daten verarbeitet und wie dies genau geschieht. Hierzu ist von dir zu beantworten, wer die Daten im Detail nutzt und wie die Daten gespeichert werden.
Lege die folgenden Angaben in deinem VVT an:
- Datenquelle
- Datenspeicherort (inklusive eingesetzter Software und Server)
- interne Empfänger
- externe Empfänger (mit Angabe, ob die Verarbeitung in einem Drittland erfolgt, und mit Nachweis geeigneter Garantien)
Speicherdauer und Löschfristen festschreiben
Beantworte nun die folgende Frage: Wie lange werden die Daten in deinem Unternehmen verarbeitet und wie löscht ihr sie wieder?
Speichere dazu folgende Informationen in deiner Tabelle und ordne sie den jeweiligen Datenkategorien zu:
- gesetzliche Aufbewahrungsfrist(en)
- Speicherdauer und Begründung
- Beginn der Aufbewahrungsfrist
- Art der Löschung
- Löschpraxis
Technische und organisatorische Maßnahmen beschreiben
In einem gut gepflegten VVT machst du nicht nur Angaben darüber, wie dein Unternehmen Verarbeitungstätigkeiten durchführt. Ebenso ist anzugeben, welche technischen und organisatorischen Maßnahmen (TOM) ihr in puncto Datenschutz habt und (wirklich) umsetzt.
Dokumentiere eure TOM folgendermaßen in Excel:
- Bezeichnung der technischen oder organisatorischen Maßnahme
- Beschreibung der technischen oder organisatorischen Maßnahme
- Zuordnung zu Risiken und Gewährleistungszielen
Schwellwertanalyse durchführen
Die Schwellwertanalyse klärt, ob eine Verarbeitungstätigkeit ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat. Dadurch ergibt sich die Erforderlichkeit eine Datenschutz-Folgenabschätzung (DSFA) nach Artikel 35 DSGVO durchzuführen. Diesbezüglich empfiehlt es sich, in Excel mit einer Frageliste zu arbeiten. Zudem musst du eine Bewertung und Begründung verfassen, ob und warum eine DSFA überhaupt erforderlich ist.
Erstelle eine Frageliste und beantworte für jede Verarbeitungstätigkeit, ob folgende Punkte zutreffen, mit Ja oder Nein:
- Findet ein Profiling der betroffenen Person statt?
- Findet eine automatisierte Entscheidungsfindung mit bedeutsamer Auswirkung statt?
- Erfolgt eine systematische Überwachung, Kontrolle oder Beobachtung?
- Werden sensible personenbezogene Daten verarbeitet?
- Erfolgt eine Datenverarbeitung in großem Umfang?
- Erfolgt ein Abgleich beziehungsweise Zusammenführen von Datensätzen?
- Werden Daten von schutzbedürftigen Personen verarbeitet?
- Erfolgt der Einsatz neuer Technologien?
- Ergibt sich aus der Verarbeitung eine rechtliche Auswirkung für betroffene Personen?
VVT in Excel erstellen: Die Vor- und Nachteile im Überblick
Du merkst: Mit Excel ein Verfahrensverzeichnis zu erstellen, ist grundsätzlich möglich – wenn auch etwas umständlich. Tatsächlich hat es drei konkrete Vorteile, ein VVT mit Excel zu realisieren.
Vorteile eines VVT mit Excel
1. Bekanntheit
Du musst dich nicht in eine neue Software einarbeiten: Vermutlich hat jede:r schon mal ein Tabellenkalkulationsprogramm wie Excel benutzt. Dementsprechend bedarf es für gewöhnlich keiner Einarbeitungszeit und du kannst mit einem VVT in Excel mehr oder weniger sofort loslegen.
2. Kostenersparnis
Dein Unternehmen spart Geld: Excel ist genau wie Word oder PowerPoint auf den meisten Büro-PCs vorinstalliert und gemeinhin in den Office-Paketen enthalten. Dementsprechend fallen keine zusätzlichen Software-Kosten an. Du nutzt, was du hast.
3. Flexibilität
Du bist sehr flexibel in der Verzeichnisgestaltung: Excel-basierte Lösungen sind nahezu universell einsetzbar und lassen sich beliebig auf ein Unternehmen abstimmen, variabel einrichten und jederzeit anpassen. Mit Programmierkenntnissen erstellst du zudem Makros und Automatisierungsprozesse.
Nachteile eines VVT mit Excel
Den drei Vorteilen von Excel als VVT-Tool stehen auf der anderen Seite jedoch doppelt so viele Nachteile gegenüber.
1. Keine Verknüpfungen
Du kannst zwar verschiedene Tabellenblätter für verschiedene Datensätze anlegen. Diese miteinander zu verknüpfen, gestaltet sich jedoch schwierig. Dadurch machst du dir doppelte Arbeit. Wenn sich beispielsweise der Serverstandort eines Dienstleisters ändert, musst du dafür alle Verarbeitungstätigkeiten durchsuchen und diesen manuell ändern. Die gleiche Problematik ergibt sich bei einer Datenschutz-Folgenabschätzung: Wird diese in einem separaten Excel-Dokument gepflegt, ist die Synchronisierung mit den Informationen aus dem VVT eine ständige Herausforderung.
2. Manuelle Arbeit und Unübersichtlichkeit
Du wirst dich langfristig ärgern: Ein vollständiges VVT in Excel anzulegen und vollumfänglich und vorschriftsgemäß zu pflegen, ist eine höchst kleinteilige Arbeit. Das birgt viel Fehlerpotenzial, was insbesondere bei einer behördlichen Prüfung zum Problem werden kann. Denk dran: Du hast bestimmt auch mal einen schlechten Tag, bist müde und verrutscht beim Dokumentieren in den Zeilen. Hinzu kommen Formatierungsfehler, du vergisst zu speichern und so weiter. Aus der Praxis wissen wir: Ab ungefähr 40 notwendigen Angaben verliert sich der Überblick schnell – und ein VVT in Excel benötigt erfahrungsgemäß weit mehr als 40 Zeilen und Spalten.
3. Keine Automatisierung
Du verschenkst das Potenzial automatisierter Prozesse: Wenn du Excel o. ä. nutzt, musst du leider auf viele praktische Automatisierungsfunktionen verzichten. Hierzu zählen beispielsweise eine automatische Benachrichtigung an dich, wenn sich Verarbeitungstätigkeiten verändern, oder eine automatische Anpassung von Kategorien in allen Datensätzen.
4. Komplizierte Auswertung
Es werden Probleme bei der Auswertung auf Dich zukommen: Ein Verzeichnis von Verarbeitungstätigkeiten in Excel auszuwerten, ist ein kompliziertes Unterfangen. Allein ein Dashboard mit allen wichtigen Infos als Überblick lässt sich nur umständlich in Excel realisieren. Zudem kann eine Auswertung unbemerkt fehlerhaft werden, wenn du in Zeilen oder Spalten verrutscht.
5. Fehlende Qualitätskontrolle und Versionierung
Du behältst die Qualität nicht im Blick: Excel präsentiert dir weder eine Übersicht über den Status quo, noch kontrolliert das Programm die Richtigkeit und den Umfang deiner Eingaben. Außerdem gestaltet es sich schwierig, Änderungen in einzelnen Verarbeitungstätigkeiten im Detail nachzuvollziehen.
6. Datenschutz ist und bleibt eine Silo-Aufgabe
Als Datenschutzverantwortlicher kannst du nicht alle Prozesse im Unternehmen kennen und bist auf die Zuarbeit aller Abteilungen angewiesen. Mit Excel machst du dir das Leben selbst schwer – denn je komplexer dein VVT in Excel wird, desto höher ist die Schwelle für deine Kolleg:innen, sich am Dokumentationsprozess zu beteiligen oder direkt im Dokument mitzuarbeiten.
Die Alternative zum VVT mit Excel: Eine professionelle Datenschutzmanagement-Software
Bilanz: Offenbar steht es 6:3 gegen Excel als VVT-Tool. Und tatsächlich raten wir dir davon ab, ein VVT mit Excel zu erstellen. Auch wenn es im ersten Moment vielleicht naheliegend klingt: Ja, es kostet dich nichts, und ja, du wirst dich schnell in die Dokumentationsarbeit mit Excel einarbeiten.
Aus den vorher genannten Gründen machen die Nachteile einer Excel-basierten Lösung allerdings deren Vorteile nicht wett. Und dies sollte dir klar sein, bevor du es später schmerzlich in der Praxis oder im schlimmsten Fall während einer Datenschutzprüfung bemerkst. Denn im Zweifelsfall musst du deine Dokumentation nicht nur komplett neu aufsetzen, sondern riskierst womöglich außerdem ein Bußgeld. Die beste Option ist und bleibt eine professionelle Datenschutzmanagement-Software. Entsprechende Tools bieten viele praktische Funktionen, die dir den Dokumentationsalltag einfacher machen.
Für deinen VVT-Workflow: Praktische Funktionen eines Datenschutztools
Auf dem Markt gibt es einige Tools speziell für das Datenschutzmanagement. In der Regel verfügt jede Datenschutz-Software über eine eingebaute VVT-Funktion. Folgende Features darfst du von einer professionellen Datenschutzmanagement-Software erwarten:
Strukturierter und verknüpfter Workflow
- vordefinierte Eingabefelder für alle Angaben gemäß Artikel 30 DSGVO
- Vorauswahl von Datenkategorien und Datentypen
- Verknüpfung von Verarbeitungstätigkeiten mit TOM, DSFA und externen Datenempfängern
- vordefinierte gesetzliche Aufbewahrungsfristen
Unterstützung durch Vorlagen und Vorschläge
- Vorlagen, um Prozesse für Verarbeitungstätigkeit zu identifizieren
- Vorlagen, um auf Beschreibungen der Datenverarbeitung aufzubauen
- automatisierte Schwellwertanalyse
Zusammenarbeit fördern
- Zuweisung von Verantwortlichkeiten pro Verarbeitungstätigkeit
- Aufgaben- und Kommentarfunktion
- automatische Benachrichtigungen per E-Mail bei Änderungen
Sonstiges
- Export des VVT mit nur einem Klick
- Erinnerungsfunktion zur regelmäßigen Überprüfung der Dokumentation
- übersichtliches VVT-Reporting mit einem Dashboard
- Versionskontrolle
Fazit: VVT mit Excel – kannst du machen, aber dann ist es halt …
Auch wenn es möglich ist, ein VVT über viele Jahre mit Excel zu pflegen, solltest du dich lieber für eine moderne Datenschutzmanagement-Software entscheiden. Im Gegensatz zu einem Tabellenkalkulationsprogramm ist eine professionelle Datenschutz-Software speziell auf die Bedürfnisse von Datenschutzverantwortlichen und gesetzliche Anforderungen ausgelegt.
Probiere es doch einfach aus. Schon in kleinen Betrieben profitieren Datenschützer:innen von den komfortablen Funktionen. Du wirst ein übersichtliches Dashboard, Automatisierungsfunktionen und die Features für die Zusammenarbeit im Tool überaus schätzen.
Gerne kannst du die Datenschutzmanagement-Software von caralegal kostenlos ausprobieren. Unser Team führt dich in einem persönlichen Termin durch alle Funktionen und geht auf deine Herausforderungen ein. Wir sind uns sicher, dass wir dich mit unserer Lösung überzeugen können. Also lass uns gemeinsam Daten schützen!
Lesetipp: Noch mehr Insights und Tricks rund um das VVT erfährst du in diesen Beiträgen:
Diese Beiträge könnten Sie auch interessieren
Datenschutz 2023: Das erwartet Unternehmen
Das Jahr 2023 wartet mit einer Vielzahl an Entwicklungen auf für Datenschützer:innen in Deutschland, Europa und der Welt. Und auch wir werden nicht stillstehen, sondern den Schwung aus 2022 mitnehmen, um uns und unsere Produkte weiterhin rasant weiterzuentwickeln....
DSGVO trifft auf KRITIS: Datenschutzmanagement in der Energiewirtschaft
Datenschutz spielt heute in so gut wie jeder Branche eine bedeutende Rolle. Hierzu zählt nicht zuletzt die Energiewirtschaft. Aufgrund ihrer besonderen Charakteristik und aktuellen Entwicklungen ist der Energiesektor auch datenschutzrechtlich gesehen sehr interessant....
Standardvertragsklauseln: Alles Wichtige über die neuen SCCs
Ab dem 27.12.2022 müssen alle Standardvertragsklauseln dem von der EU vorgegebenen neuen Muster entsprechen. Dann läuft die letzte Übergangsfrist für einen Prozess ab, der mit dem Schrems-II-Urteil des Europäischen Gerichtshofs (EuGH) bereits 2020 begonnen hat. In...