Wer ein Verzeichnis von Verarbeitungstätigkeiten (VVT) pflegen möchte, kann sich mit zahlreichen Tools behelfen. Tatsächlich kannst du ein VVT sogar mit Excel erstellen. Wie das funktioniert, worauf du bei einer gesetzeskonformen Dokumentation mit Excel achten musst und welche Alternativen es gibt, erfährst du in diesem Beitrag.
Ein Verzeichnis von Verarbeitungstätigkeiten (VVT) ist nach Artikel 30 der Datenschutz-Grundverordnung (DSGVO) für grundsätzlich jedes Unternehmen vorgeschrieben. Mit dem Verzeichnis werden Vorgänge bzw. Prozesse dokumentiert, in denen personenbezogene Daten verarbeitet werden. Diese sogenannten Verarbeitungstätigkeiten tragen die Datenschutzverantwortlichen im Unternehmen im VVT ein.
Einzug halten dort Tätigkeiten wie beispielsweise das Erheben, Speichern und Verarbeiten von personenbezogenen Kund:innendaten. Zweck des VVT ist es, dir und insbesondere behördlichen Prüfer:innen einen Überblick über die Verarbeitungstätigkeiten zu schaffen. Es stellt die Basis für ein effektives Datenschutzmanagement dar und kann sogar in anderen Bereichen Mehrwerte schaffen.
Wie ein VVT praktisch auszusehen hat und mit welchen Tools du es erstellst, ist gesetzlich nicht vorgeschrieben. Wichtig ist allerdings, dass das Verzeichnis vollständig ist. Es muss tatsächlich alle Verarbeitungstätigkeiten in deinem Unternehmen erfassen. Bei einer behördlichen Prüfung droht sonst ein Bußgeld, wenn sich herausstellt, dass das VVT lückenhaft ist. Pflege dein Verzeichnis deshalb sorgsam und behalte den Überblick. Das kannst du bereits mit Excel machen, wenn du weißt, worauf du achten musst.
Von Mathematiker:innen über Investment-Spezialist:innen bis zu Ingenieur:innen – Tabellenkalkulationsprogramme wie Microsoft Excel sind flexible, universell einsetzbare Tools, die viele Berufsgruppen gerne nutzen. Für Datenschutzverantwortliche kann die Software im Alltag ebenfalls hilfreich sein.
Mit einem Excel-Sheet lassen sich alle Prozesse dokumentieren, die gesetzlich für ein VVT vorgeschrieben sind. Prinzipiell erfüllt ein in Excel erstelltes VVT so alle gesetzlichen Vorgaben an die Dokumentation von Verarbeitungstätigkeiten. Allerdings ist ein umfassendes Datenschutzmanagement mit Excel nur bedingt möglich – dazu gleich mehr. Zunächst geben wir dir einen Überblick, welche Angaben mit Excel darstellbar sind:
Im VVT beschreibst du, was bei einer Verarbeitungstätigkeit grundlegend geschieht. Ebenso ist anzugeben, welche Abteilung (Organisationseinheit) beziehungsweise welche Person in deinem Unternehmen für die entsprechenden Vorgänge verantwortlich ist. Bei den Angaben arbeitest du idealerweise mit einzelnen Spalten und füllst die Verarbeitungstätigkeiten je zeilenweise ein.
Folgende Angaben sind in dem Excel-Sheet zu speichern:
Bezeichnung der Verarbeitungstätigkeit
Beschreibung des Prozesses der Datenverarbeitung
verantwortliche Organisationseinheit (inklusive weiterer Organisationseinheiten)
verantwortliche Person(en)
Tipp:
Für die Beschreibung des Prozesses der Datenverarbeitung benötigst du etwas Platz in der jeweils dazugehörigen Zelle. Damit die Beschreibung nicht horizontal über die nächsten Zellen hinweg läuft oder optisch gar darunter verschwindet, wenn die nächste Zelle mit Inhalt gefüllt ist, solltest du mit der Excel-Funktion „Zeilenumbruch“ arbeiten. Du findest sie im Menüreiter im Bereich „Ausrichtung“. Die Funktion begrenzt den Text mit automatischen Zeilenumbrüchen auf die Spaltenbreite.
Im Folgenden musst du für jede Verarbeitungstätigkeit angeben, welche Art von personenbezogenen Daten dein Unternehmen konkret verarbeitet und warum es das macht.
Halte dazu folgende Angaben im Tabellenblatt fest:
Zweck der Datenverarbeitung
Angabe der Rechtsgrundlage (Artikel 6 beziehungsweise Artikel 9 DSGVO)
Nachweise der Einhaltung der Rechtsgrundlage
Kategorie der betroffenen Personen
Datenkategorie (gegebenenfalls Datentypen)
Ein korrekt geführtes VVT muss tatsächlich sehr genaue Angaben darüber enthalten, wer personenbezogene Daten verarbeitet und wie dies genau geschieht. Hierzu ist von dir zu beantworten, wer die Daten im Detail nutzt und wie die Daten gespeichert werden.
Lege die folgenden Angaben in deinem VVT an:
Datenquelle
Datenspeicherort (inklusive eingesetzter Software und Server)
Interne Empfänger
Externe Empfänger (mit Angabe, ob die Verarbeitung in einem Drittland erfolgt, und mit Nachweis geeigneter Garantien)
Beantworte nun die folgende Frage: Wie lange werden die Daten in deinem Unternehmen verarbeitet und wie löscht ihr sie wieder?
Speichere dazu folgende Informationen in deiner Tabelle und ordne sie den jeweiligen Datenkategorien zu:
Gesetzliche Aufbewahrungsfrist(en)
Speicherdauer und Begründung
Beginn der Aufbewahrungsfrist
Art der Löschung
Löschpraxis
In einem gut gepflegten VVT machst du nicht nur Angaben darüber, wie dein Unternehmen Verarbeitungstätigkeiten durchführt. Ebenso ist anzugeben, welche technischen und organisatorischen Maßnahmen (TOM) ihr in puncto Datenschutz habt und (wirklich) umsetzt.
Dokumentiere eure TOM folgendermaßen in Excel:
Bezeichnung der technischen oder organisatorischen Maßnahme
Beschreibung der technischen oder organisatorischen Maßnahme
Zuordnung zu Risiken und Gewährleistungszielen
Die Schwellwertanalyse klärt, ob eine Verarbeitungstätigkeit ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat. Dadurch ergibt sich die Erforderlichkeit eine Datenschutz-Folgenabschätzung (DSFA) nach Artikel 35 DSGVO durchzuführen. Diesbezüglich empfiehlt es sich, in Excel mit einer Frageliste zu arbeiten. Zudem musst du eine Bewertung und Begründung verfassen, ob und warum eine DSFA überhaupt erforderlich ist.
Erstelle eine Frageliste und beantworte für jede Verarbeitungstätigkeit, ob folgende Punkte zutreffen, mit Ja oder Nein:
Findet ein Profiling der betroffenen Person statt?
Findet eine automatisierte Entscheidungsfindung mit bedeutsamer Auswirkung statt?
Erfolgt eine systematische Überwachung, Kontrolle oder Beobachtung?
Werden sensible personenbezogene Daten verarbeitet?
Erfolgt eine Datenverarbeitung in großem Umfang?
Erfolgt ein Abgleich beziehungsweise Zusammenführen von Datensätzen?
Werden Daten von schutzbedürftigen Personen verarbeitet?
Erfolgt der Einsatz neuer Technologien?
Ergibt sich aus der Verarbeitung eine rechtliche Auswirkung für betroffene Personen?
Du merkst: Mit Excel ein Verfahrensverzeichnis zu erstellen, ist grundsätzlich möglich – wenn auch etwas umständlich. Tatsächlich hat es drei konkrete Vorteile, ein VVT mit Excel zu realisieren.
Du musst dich nicht in eine neue Software einarbeiten: Vermutlich hat jede:r schon mal ein Tabellenkalkulationsprogramm wie Excel benutzt. Dementsprechend bedarf es für gewöhnlich keiner Einarbeitungszeit und du kannst mit einem VVT in Excel mehr oder weniger sofort loslegen.
Dein Unternehmen spart Geld: Excel ist genau wie Word oder PowerPoint auf den meisten Büro-PCs vorinstalliert und gemeinhin in den Office-Paketen enthalten. Dementsprechend fallen keine zusätzlichen Software-Kosten an. Du nutzt, was du hast.
Du bist sehr flexibel in der Verzeichnisgestaltung: Excel-basierte Lösungen sind nahezu universell einsetzbar und lassen sich beliebig auf ein Unternehmen abstimmen, variabel einrichten und jederzeit anpassen. Mit Programmierkenntnissen erstellst du zudem Makros und Automatisierungsprozesse.
Den drei Vorteilen von Excel als VVT-Tool stehen auf der anderen Seite jedoch doppelt so viele Nachteile gegenüber.
Du kannst zwar verschiedene Tabellenblätter für verschiedene Datensätze anlegen. Diese miteinander zu verknüpfen, gestaltet sich jedoch schwierig. Dadurch machst du dir doppelte Arbeit. Wenn sich beispielsweise der Serverstandort eines Dienstleisters ändert, musst du dafür alle Verarbeitungstätigkeiten durchsuchen und diesen manuell ändern. Die gleiche Problematik ergibt sich bei einer Datenschutz-Folgenabschätzung: Wird diese in einem separaten Excel-Dokument gepflegt, ist die Synchronisierung mit den Informationen aus dem VVT eine ständige Herausforderung.
Du wirst dich langfristig ärgern: Ein vollständiges VVT in Excel anzulegen und vollumfänglich und vorschriftsgemäß zu pflegen, ist eine höchst kleinteilige Arbeit. Das birgt viel Fehlerpotenzial, was insbesondere bei einer behördlichen Prüfung zum Problem werden kann. Denk dran: Du hast bestimmt auch mal einen schlechten Tag, bist müde und verrutscht beim Dokumentieren in den Zeilen. Hinzu kommen Formatierungsfehler, du vergisst zu speichern und so weiter. Aus der Praxis wissen wir: Ab ungefähr 40 notwendigen Angaben verliert sich der Überblick schnell – und ein VVT in Excel benötigt erfahrungsgemäß weit mehr als 40 Zeilen und Spalten.
Du verschenkst das Potenzial automatisierter Prozesse: Wenn du Excel o. ä. nutzt, musst du leider auf viele praktische Automatisierungsfunktionen verzichten. Hierzu zählen beispielsweise eine automatische Benachrichtigung an dich, wenn sich Verarbeitungstätigkeiten verändern, oder eine automatische Anpassung von Kategorien in allen Datensätzen.
Es werden Probleme bei der Auswertung auf Dich zukommen: Ein Verzeichnis von Verarbeitungstätigkeiten in Excel auszuwerten, ist ein kompliziertes Unterfangen. Allein ein Dashboard mit allen wichtigen Infos als Überblick lässt sich nur umständlich in Excel realisieren. Zudem kann eine Auswertung unbemerkt fehlerhaft werden, wenn du in Zeilen oder Spalten verrutscht.
Du behältst die Qualität nicht im Blick: Excel präsentiert dir weder eine Übersicht über den Status quo, noch kontrolliert das Programm die Richtigkeit und den Umfang deiner Eingaben. Außerdem gestaltet es sich schwierig, Änderungen in einzelnen Verarbeitungstätigkeiten im Detail nachzuvollziehen.
Als Datenschutzverantwortlicher kannst du nicht alle Prozesse im Unternehmen kennen und bist auf die Zuarbeit aller Abteilungen angewiesen. Mit Excel machst du dir das Leben selbst schwer – denn je komplexer dein VVT in Excel wird, desto höher ist die Schwelle für deine Kolleg:innen, sich am Dokumentationsprozess zu beteiligen oder direkt im Dokument mitzuarbeiten.
Bilanz: Offenbar steht es 6:3 gegen Excel als VVT-Tool. Und tatsächlich raten wir dir davon ab, ein VVT mit Excel zu erstellen. Auch wenn es im ersten Moment vielleicht naheliegend klingt: Ja, es kostet dich nichts, und ja, du wirst dich schnell in die Dokumentationsarbeit mit Excel einarbeiten.
Aus den vorher genannten Gründen machen die Nachteile einer Excel-basierten Lösung allerdings deren Vorteile nicht wett. Und dies sollte dir klar sein, bevor du es später schmerzlich in der Praxis oder im schlimmsten Fall während einer Datenschutzprüfung bemerkst. Denn im Zweifelsfall musst du deine Dokumentation nicht nur komplett neu aufsetzen, sondern riskierst womöglich außerdem ein Bußgeld. Die beste Option ist und bleibt eine professionelle Datenschutzmanagement-Software. Entsprechende Tools bieten viele praktische Funktionen, die dir den Dokumentationsalltag einfacher machen.
Auf dem Markt gibt es einige Tools speziell für das Datenschutzmanagement. In der Regel verfügt jede Datenschutz-Software über eine eingebaute VVT-Funktion. Folgende Features darfst du von einer professionellen Datenschutzmanagement-Software erwarten:
vordefinierte Eingabefelder für alle Angaben gemäß Artikel 30 DSGVO
Vorauswahl von Datenkategorien und Datentypen
Verknüpfung von Verarbeitungstätigkeiten mit TOM, DSFA und externen Datenempfängern
vordefinierte gesetzliche Aufbewahrungsfristen
Vorlagen, um Prozesse für Verarbeitungstätigkeit zu identifizieren
Vorlagen, um auf Beschreibungen der Datenverarbeitung aufzubauen
automatisierte Schwellwertanalyse
Zuweisung von Verantwortlichkeiten pro Verarbeitungstätigkeit
Aufgaben- und Kommentarfunktion
automatische Benachrichtigungen per E-Mail bei Änderungen
Export des VVT mit nur einem Klick
Erinnerungsfunktion zur regelmäßigen Überprüfung der Dokumentation
übersichtliches VVT-Reporting mit einem Dashboard
Versionskontrolle
Auch wenn es möglich ist, ein VVT über viele Jahre mit Excel zu pflegen, solltest du dich lieber für eine moderne Datenschutzmanagement-Software entscheiden. Im Gegensatz zu einem Tabellenkalkulationsprogramm ist eine professionelle Datenschutz-Software speziell auf die Bedürfnisse von Datenschutzverantwortlichen und gesetzliche Anforderungen ausgelegt.
Probiere es doch einfach aus. Schon in kleinen Betrieben profitieren Datenschützer:innen von den komfortablen Funktionen. Du wirst ein übersichtliches Dashboard, Automatisierungsfunktionen und die Features für die Zusammenarbeit im Tool überaus schätzen.
Gerne kannst du die Datenschutzmanagement-Software von caralegal kostenlos ausprobieren. Unser Team führt dich in einem persönlichen Termin durch alle Funktionen und geht auf deine Herausforderungen ein. Wir sind uns sicher, dass wir dich mit unserer Lösung überzeugen können. Also lass uns gemeinsam Daten schützen!
Lesetipp: Noch mehr Insights und Tricks rund um das VVT erfährst du in diesen Beiträgen:
Entdecke weitere Beiträge zu diesem Thema:
Wir informieren monatlich zu den Best Practices aus der Welt des Datenschutzmanagements und mehr.
Mit einem Klick auf "Abonnieren" stimmen Sie dem Versand unseres monatlichen Newsletters (mit Infos zu Datenschutzthemen, Fachartikeln und Veranstaltungen) sowie der aggregierten Nutzungsanalyse (Messung der Öffnungsrate mittels Pixel, Messung der Klicks auf Links) in den E-Mails zu. Sie finden einen Abmeldelink in jedem Newsletter und können darüber Ihre Einwilligung widerrufen. Mehr Informationen erhalten Sie in unserer Datenschutzerklärung.
en_US