VVT mit Excel erstellen: Anleitung, Grenzen & die bessere Alternative als VVT-Tool

Das Verzeichnis von Verarbeitungstätigkeiten (VVT) ist eines der zentralen Steuerungsdokumente im Datenschutz. Es zeigt, welche personenbezogenen Daten in Ihrem Unternehmen zu welchem Zweck, auf welcher Rechtsgrundlage und mit welchen Schutzmaßnahmen verarbeitet werden. Kurz gesagt: Wenn Sie wissen wollen, wo im Unternehmen welche Daten fließen, wer beteiligt ist, welche Dienstleister eingebunden sind, welche Löschfristen gelten oder ob eine DSFA nötig ist, dann liefert Ihnen das VVT hierfür die Grundlage.

Ein gutes VVT hilft Ihnen zum Beispiel dabei:

• Verarbeitungstätigkeiten systematisch zu erfassen (Datenverarbeitungsprozesse)
• Verantwortlichkeiten sichtbar zu machen
• Datenschutzlücken schneller zu erkennen
• auf Prüfungen und Rückfragen vorbereitet zu sein
• Folgeprozesse wie DSFA oder das Löschkonzept besser zu steuern

Mehr zur Rolle des VVT im Datenschutzmanagement lesen Sie im Beitrag Verzeichnis von Verarbeitungstätigkeiten (VVT) im Datenschutz – Anforderungen nach Art. 30 DSGVO.

Laut Art. 30 DSGVO muss ein VVT bestimmte Mindestangaben enthalten. Diese bilden die rechtliche Grundlage Ihrer Dokumentation. Dazu gehören insbesondere die Zwecke der Verarbeitung, die Kategorien betroffener Personen und Daten, die Empfänger, mögliche Übermittlungen in Drittländer, Löschfristen sowie eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen. Auch Angaben zum Verantwortlichen und, sofern vorhanden, zum Datenschutzbeauftragten müssen enthalten sein. Die folgende Tabelle zeigt beispielhaft die Struktur eines solchen Eintrags.

Diese Angaben sind zwingend erforderlich für ein rechtskonformes VVT und nicht optional.

Ein in Excel erstelltes VVT kann die Mindestanforderungen nach Art. 30 DSGVO erfüllen, sofern alle erforderlichen Angaben vollständig dokumentiert sind. Zunächst geben wir Ihnen eine Schritt-für-Schritt-Anleitung, wie Sie ein VVT mit Excel erstellen:

1. Excel-Struktur festlegen
2. Pflichtangaben nach Art. 30 DSGVO dokumentieren
3. Empfänger und Datenflüsse dokumentieren
4. Löschfristen und Speicherdauer definieren
5. Technische und organisatorische Maßnahmen (TOM) dokumentieren
6. Datenschutz-Folgenabschätzung (DSFA) prüfen

1. Excel-Struktur festlegen

   Zunächst legen Sie die Struktur Ihrer Excel-Datei fest. Es empfiehlt sich, das VVT in mehrere Tabellenblätter zu gliedern, etwa ein Hauptblatt für die Verarbeitungstätigkeiten sowie separate Tabellenblätter für technische und organisatorische Maßnahmen (TOM), Datenschutz-Folgenabschätzungen (DSFA) und zentrale Metainformationen wie Version oder Verantwortlichkeiten.

   Jede Zeile bildet eine Verarbeitungstätigkeit ab, während die Spalten die jeweiligen Merkmale dieser Verarbeitung enthalten. Dabei sollten neben der Bezeichnung und Beschreibung des Prozesses auch die zuständige Organisationseinheit sowie eine eindeutige ID oder laufende Nummer erfasst werden, um Prozesse eindeutig zuordnen und referenzieren zu können. Ergänzend empfiehlt sich eine einfache Versionierung, um Änderungen nachvollziehbar zu dokumentieren.

   Praxis-Tipp: Für längere Beschreibungen nutzen Sie in Excel die Funktion „Zeilenumbruch“. Für wiederkehrende Angaben wie Fachbereiche oder Kategorien betroffener Personen können Dropdown-Listen helfen, Eingaben zu standardisieren und Fehler zu vermeiden.

   In der Praxis liegt die größte Herausforderung häufig in der Identifikation der Verarbeitungstätigkeiten. Gehen Sie systematisch Ihre Prozesse durch und prüfen Sie, wo personenbezogene Daten verarbeitet werden und welche Abteilungen beteiligt sind. Die vollständige Erhebung kann zeitaufwendig sein und erfordert die Mitarbeit verschiedener Fachbereiche.

2. Pflichtangaben nach Art. 30 DSGVO dokumentieren

   Im nächsten Schritt halten Sie fest, warum personenbezogene Daten verarbeitet werden und welche Daten konkret betroffen sind. Sie geben also den Zweck der Verarbeitung an und beschreiben, welche Kategorien betroffener Personen und Daten verarbeitet werden. In Excel bedeutet das konkret, dass Sie für jede Verarbeitungstätigkeit eigene Spalten für Zweck, betroffene Personen und Datenkategorien anlegen und diese je Zeile füllen. In der Praxis empfiehlt es sich außerdem, die jeweilige Rechtsgrundlage nach Art. 6 oder Art. 9 DSGVO zu ergänzen, auch wenn diese nicht zu den Pflichtangaben nach Art. 30 gehört.

   Typische Einträge in Excel können beispielsweise so aussehen:

   • Zweck: „Durchführung des Bewerbungsverfahrens“
   • betroffene Personen: „Bewerber:innen“
   • Datenkategorien: „Kontaktdaten, Lebenslauf, Qualifikationen“

   Weitere Beispiele finden Sie in unserer Sammlung mit 100+ Verarbeitungstätigkeiten aus verschiedenen Unternehmensbereichen.

   Der Gedanke dahinter bleibt derselbe: Sie machen transparent, welche Daten Ihr Unternehmen verarbeitet und warum. Besonders bei der Auswahl der Rechtsgrundlage – etwa beim berechtigten Interesse – ist eine sorgfältige Prüfung erforderlich. In solchen Fällen sollte die zugrunde liegende Interessenabwägung nachvollziehbar dokumentiert oder auf eine separate Bewertung verwiesen werden.

3. Empfänger und Datenflüsse dokumentieren

   Ein Verzeichnis von Verarbeitungstätigkeiten (VVT) muss präzise aufzeigen, wer Zugriff auf personenbezogene Daten hat und wie die zugehörige Verarbeitung organisatorisch eingebunden ist. In Excel wird dies typischerweise über eigene Spalten für interne Empfänger, externe Empfänger und Drittlandübermittlungen abgebildet.

   Über die Kategorien interner und externer Empfänger hinaus sollte dokumentiert werden, ob eine Übermittlung von Daten in Drittländer erfolgt und welche spezifischen Garantien in diesem Fall zur Anwendung kommen.

   Typische Einträge in Excel können beispielsweise sein:

   • interne Empfänger: „HR-Abteilung, Fachabteilung“
   • externe Empfänger: „Lohnabrechnungsdienstleister, Recruiting-Tool“
   • Drittlandübermittlung: „ja (USA, Standardvertragsklauseln)“ oder „nein“

   Für eine operative Nutzung des VVT kann es sinnvoll sein, ergänzend auch Datenquellen oder die dafür eingesetzten Systeme zu erfassen. In der Praxis kann hierfür eine separate Spalte genutzt werden, z. B. für „System/Tool“ (z. B. „SAP“, „Salesforce“) oder „Datenquelle“ (z. B. „Direkterhebung beim Betroffenen“).

4. Löschfristen und Speicherdauer definieren

   Die Festlegung der Speicherdauer und Löschfristen ist ein zentraler Bestandteil des Verarbeitungsverzeichnisses (VVT). Gemäß Art. 5 Abs. 1 lit. e) DSGVO ist das Prinzip der Speicherbegrenzung einzuhalten: Daten dürfen nicht länger gespeichert werden, als es der Verarbeitungszweck erfordert. Das VVT muss daher konkrete Löschfristen oder präzise Kriterien dafür nennen. In Excel wird dies in der Regel über eigene Spalten für Speicherdauer, Löschfrist und Beginn der Frist abgebildet. Diese werden für jede Verarbeitungstätigkeit befüllt.

   Typische Einträge in Excel können beispielsweise sein:

   • Speicherdauer: „während des Beschäftigungsverhältnisses“
   • Löschfrist: „6 Monate nach Beendigung“
   • Fristbeginn: „mit Vertragsende“

   Um die Rechenschaftspflicht (Art. 5 Abs. 2 DSGVO) zu erfüllen und die Umsetzung des Löschkonzepts zu vereinfachen, präzisieren viele Unternehmen die abstrakten Vorgaben durch kalendermäßig bestimmbare Dauern (z. B. "10 Jahre nach Vertragsende") und definieren den exakten Fristbeginn. Eine klare Definition von Was, Wann und Wie lange ist essenziell für effektives Datenmanagement und Compliance. Ergänzend ist es sinnvoll, ein separates Tabellenblatt für Löschkonzepte oder detaillierte Aufbewahrungsregeln zu führen und im VVT darauf zu verweisen.

5. Technische und organisatorische Maßnahmen (TOM) dokumentieren

   Art. 30 DSGVO verlangt eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen (TOM) im Verzeichnis von Verarbeitungstätigkeiten (VVT), da diese das Fundament für die Einhaltung der Datenschutzgrundsätze und der Rechenschaftspflicht bilden.

   Die empfohlenen Angaben im VVT umfassen die Nennung der TOM-Kategorie, eine kurze Beschreibung, den Bezug zu Schutzzielen (z. B. Vertraulichkeit), die Risikominimierung und einen Verweis auf die zentrale Dokumentation. In Excel wird dies typischerweise über eine eigene Spalte für TOM abgebildet, in der die relevanten Maßnahmen je Verarbeitungstätigkeit kurz beschrieben oder kategorisiert werden.

   Typische Einträge in Excel können beispielsweise sein:

   • „Zugriffskontrolle (Rollen- und Berechtigungskonzept)“
   • „Verschlüsselung bei der Datenübertragung“
   • „Backups und Wiederherstellungskonzepte“

   Die Dokumentationstiefe im VVT sollte auf eine allgemeine, zusammenfassende Beschreibung der TOM-Kategorien beschränkt bleiben; detaillierte Spezifikationen gehören in die separate TOM-Dokumentation in einem eigenen Tabellenblatt in Excel, auf das im VVT verwiesen wird. Wie Sie TOM strukturiert und digital verwalten, zeigen wir im Beitrag technische und organisatorische Maßnahmen einfach digital managen.

6. Datenschutz-Folgenabschätzung (DSFA) prüfen

   Abschließend prüfen Sie, ob die beabsichtigte Verarbeitung ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen mit sich bringt. Die Schwellwertanalyse dient dazu, festzustellen, ob eine Datenschutz-Folgenabschätzung (DSFA) erforderlich ist.

   Es ist ratsam, hierfür eine Excel-basierte Frageliste zu verwenden. In der Praxis wird hierfür häufig eine eigene Spalte oder ein separates Tabellenblatt verwendet, in dem die einzelnen Kriterien je Verarbeitungstätigkeit mit „Ja“ oder „Nein“ bewertet werden. Zudem ist eine Bewertung und Begründung zu erstellen, aus der hervorgeht, ob und warum eine DSFA notwendig ist. Diese Bewertung sollte dokumentiert und ergänzend mit weiteren Datenschutzdokumentationen verknüpft werden. Im VVT selbst sollte zumindest das Ergebnis (z. B. „DSFA erforderlich: ja/nein“) festgehalten werden.

   Typische Prüfkriterien sind beispielsweise:

   (je mehr Kriterien zutreffen, desto eher kann ein hohes Risiko vorliegen)

   • Findet ein Profiling der betroffenen Person statt?
   • Erfolgt eine automatisierte Entscheidungsfindung mit bedeutsamer Auswirkung?
   • Liegt eine systematische Überwachung, Kontrolle oder Beobachtung vor?
   • Werden sensible personenbezogene Daten verarbeitet?
   • Erfolgt die Datenverarbeitung in großem Umfang?
   • Erfolgt ein Abgleich bzw. Zusammenführen von Datensätzen?
   • Werden Daten von schutzbedürftigen Personen verarbeitet?
   • Kommt der Einsatz neuer Technologien zum Tragen?
   • Ergibt sich aus der Verarbeitung eine rechtliche Auswirkung für betroffene Personen?

   Wichtig: Nicht jede Verarbeitung erfordert zwingend eine DSFA, jedoch muss jede verantwortliche Stelle das Vorliegen eines hohen Risikos prüfen und nachvollziehbar dokumentieren.

Mit Excel ein Verzeichnis von Verarbeitungstätigkeiten zu erstellen, ist grundsätzlich möglich, wenn auch etwas umständlich. Tatsächlich hat ein VVT mit Excel drei konkrete Vorteile.

1. Bekanntheit: Sie müssen sich nicht in eine neue Software einarbeiten: Tabellenkalkulationsprogramme wie Excel sind in den meisten Unternehmen etabliert und können ohne Einarbeitung genutzt werden.
2. Kostenersparnis: Excel ist häufig bereits Teil bestehender Office-Pakete. Zusätzliche Software-Kosten entstehen daher nicht.
3. Flexibilität: Excel lässt sich individuell anpassen und flexibel gestalten. Strukturen können jederzeit verändert oder erweitert werden.

Den Vorteilen stehen jedoch einige Herausforderungen gegenüber:

1. Keine Verknüpfungen: Informationen wie Dienstleister, TOM oder Löschfristen müssen manuell in mehreren Tabellen gepflegt werden. Änderungen müssen entsprechend mehrfach nachgezogen werden.
2. Manuelle Arbeit und Unübersichtlichkeit: Ein vollständiges VVT in Excel anzulegen und vollumfänglich und vorschriftsgemäß zu pflegen, ist eine höchst kleinteilige Arbeit. Das birgt viel Fehlerpotenzial, was insbesondere bei einer behördlichen Prüfung zum Problem werden kann.
3. Keine Automatisierung: Sie verschenken das Potenzial automatisierter Prozesse: Wenn Sie Excel o. ä. nutzen, müssen Sie leider auf viele praktische Automatisierungsfunktionen, wie Erinnerungen, Workflows oder automatische Prüfungen verzichten.
4. Komplizierte Auswertung: Ein Verzeichnis von Verarbeitungstätigkeiten in Excel auszuwerten, ist ein kompliziertes Unterfangen. Allein ein Dashboard mit allen wichtigen Infos als Überblick lässt sich nur umständlich in Excel realisieren. Zudem kann eine Auswertung unbemerkt fehlerhaft werden, wenn Sie in Zeilen oder Spalten verrutschen.
5. Fehlende Qualitätskontrolle und Versionierung: Excel präsentiert Ihnen weder eine Übersicht über den Status quo, noch kontrolliert das Programm die Richtigkeit und den Umfang Ihrer Eingaben. Außerdem gestaltet es sich schwierig, Änderungen in einzelnen Verarbeitungstätigkeiten im Detail nachzuvollziehen.
6. Eingeschränkte Zusammenarbeit: Als Datenschutzverantwortlicher können Sie nicht alle Prozesse im Unternehmen kennen und sind auf die Zuarbeit aller Fachabteilungen angewiesen. Die Einbindung von Fachbereichen ist in Excel oft umständlich, insbesondere bei komplexeren Verzeichnissen.

Für kleinere Organisationen mit wenigen Verarbeitungstätigkeiten kann ein VVT in Excel eine pragmatische Einstiegslösung sein. Mit zunehmender Komplexität, beispielsweise durch mehrere Systeme, Dienstleister oder regulatorische Anforderungen, stoßen Excel-basierte Lösungen jedoch schnell an ihre Grenzen.

Genau hier setzt eine moderne Datenschutzmanagement-Software wie caralegal an: Sie verbindet automatisierte Prozesse, klare Verantwortlichkeiten und rechtssichere Dokumentation und macht so den Datenschutz in Unternehmen nachhaltig steuerbar. 

Im Unterschied zu Excel werden Verarbeitungstätigkeiten, DSFA, TOM und Löschkonzepte nicht isoliert gepflegt, sondern zentral miteinander verknüpft. Änderungen wirken sich automatisch auf alle relevanten Bereiche aus.

Eine strukturierte Entscheidungshilfe bei der Wahl des für Sie besten Tools bietet unsere Checkliste für Datenschutzmanagement-Software.

Für ein dauerhaft effizientes, revisionssicheres und DSGVO-konformes Verzeichnis von Verarbeitungstätigkeiten ist eine spezialisierte Datenschutzmanagement-Software dem VVT in Excel deutlich überlegen.

Auch wenn Excel als Einstieg dienen kann, stößt es bei wachsender Komplexität schnell an seine Grenzen. Eine professionelle Lösung ermöglicht strukturierte Prozesse, bessere Zusammenarbeit und eine verlässliche Nachweisführung.

Moderne VVT-Tools wie caralegal verbinden diese Anforderungen in einem System und helfen dabei, Datenschutz nicht nur zu dokumentieren, sondern aktiv zu steuern. Für eine strategische Perspektive auf das VVT empfehlen wir außerdem den Blogbeitrag: Beyond Art. 30 – Warum das VVT der Schlüssel für eine wertschöpfende Datenstrategie ist.