Verzeichnis von Verarbeitungstätigkeiten automatisch erstellen: Warum Ihr Excel-VVT längst veraltet ist

Es gibt einen Moment, den jeder Datenschutzbeauftragte kennt. Die Aufsichtsbehörde bittet um das Verzeichnis von Verarbeitungstätigkeiten – und Sie öffnen eine Excel-Datei, deren letzte Änderung vierzehn Monate zurückliegt. Drei der aufgeführten Systeme wurden inzwischen abgelöst. Das neue CRM fehlt komplett. Und ob die Marketing-Abteilung immer noch Geburtsdaten speichert, weiß niemand so genau.

Das Problem ist nicht, dass Sie schlampig dokumentiert haben. Das Problem ist, dass ein statisches Dokument eine lebende Systemlandschaft beschreiben soll. Das kann nicht funktionieren – und die DSGVO verlangt es trotzdem.

Was Art. 30 DSGVO wirklich verlangt

Das Verzeichnis von Verarbeitungstätigkeiten (VVT) ist keine Kür. Art. 30 DSGVO verpflichtet Verantwortliche, sämtliche Verarbeitungstätigkeiten schriftlich zu führen: Zwecke der Verarbeitung, Kategorien betroffener Personen, Kategorien personenbezogener Daten, Empfänger, Drittlandübermittlungen, Löschfristen und eine Beschreibung der technischen und organisatorischen Maßnahmen.

Die oft zitierte Ausnahme für Unternehmen unter 250 Mitarbeitern? In der Praxis fast wertlos. Art. 30 Abs. 5 DSGVO greift nur, wenn die Verarbeitung gelegentlich erfolgt, kein Risiko birgt und keine besonderen Datenkategorien umfasst. Wer Kundendaten im CRM pflegt, Gehälter abrechnet oder einen Newsletter verschickt, verarbeitet regelmäßig – und braucht das Verzeichnis. Also praktisch jeder.

Auf Anfrage muss das VVT der Aufsichtsbehörde vorgelegt werden (Art. 30 Abs. 4). Ein fehlendes oder grob veraltetes Verzeichnis kann nach Art. 83 Abs. 4 DSGVO mit bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes geahndet werden. Häufiger als das Bußgeld ist allerdings der Folgeschaden: Ein lückenhaftes VVT signalisiert der Behörde, dass es sich lohnt, genauer hinzusehen.

📷 BILD-PLATZHALTER: Aufgeschlagenes, offensichtlich veraltetes Excel-Verzeichnis neben einem Prüfschreiben einer Datenschutz-Aufsichtsbehörde auf einem Schreibtisch.

Warum das Excel-VVT systematisch scheitert

1. Das Dokument altert schneller, als Sie es pflegen können.

Jede neue SaaS-Anwendung, jede zusätzliche Spalte in der Kundendatenbank, jeder neue Export an einen Dienstleister verändert Ihre Verarbeitungslandschaft. Das Excel merkt davon nichts. Studien zur Schatten-IT gehen davon aus, dass in mittelständischen Unternehmen ein erheblicher Teil der genutzten Anwendungen der IT gar nicht bekannt ist. Ihr VVT beschreibt den Stand des letzten Workshops – nicht den Stand Ihrer Systeme. Und die Behörde prüft Letzteres.

2. Die Fragebogen-Methode dokumentiert Meinungen, keine Daten.

Der klassische Weg zum VVT: Der Datenschutzbeauftragte schickt Fragebögen an die Fachabteilungen. Der Vertriebsleiter kreuzt an, was er zu wissen glaubt. Was dabei herauskommt, ist die Selbstauskunft der Abteilungen – nicht die Realität der Datenbanken. Dass in der Lieferantentabelle seit Jahren eine Spalte mit privaten Mobilnummern mitläuft, steht in keinem Fragebogen. Es steht in der Datenbank.

3. Niemand kennt die Altsysteme.

Die kritischsten personenbezogenen Daten liegen selten im neuen, gut dokumentierten System. Sie liegen im Access-Export von 2019, in der “temporären” CSV-Ablage des Controllings, in der Datenbank des abgekündigten Shopsystems. Die Kollegen, die diese Systeme aufgesetzt haben, sind längst weg. Was niemand kennt, kann niemand ins Verzeichnis eintragen – und genau dort passieren Datenpannen.

Was “automatisch” konkret bedeutet

Die Lösung ist ein Perspektivwechsel: Nicht Menschen befragen, sondern Daten ansehen. Ein datengetriebenes VVT entsteht in umgekehrter Richtung – von unten nach oben:

Schritt 1: Bestandsaufnahme der echten Daten. Anbindung der tatsächlichen Datenquellen – Datenbanken, Dateiablagen, Exporte. Nicht das, was im Intranet dokumentiert ist, sondern das, was auf den Servern liegt.

Schritt 2: Automatische Erkennung personenbezogener Daten. Jede Spalte wird analysiert: Namen, E-Mail-Adressen, Telefonnummern, IBAN, Geburtsdaten, Steuer-IDs. Moderne Erkennung kombiniert Mustererkennung mit semantischer Analyse und findet auch die Mobilnummern-Spalte, die “Bemerkung_2” heißt.

Schritt 3: Vorschlag der Verarbeitungstätigkeiten. Aus den gefundenen Datenkategorien und ihrer Herkunft lassen sich Verarbeitungstätigkeiten ableiten und als Verzeichniseinträge vorschlagen – inklusive Datenkategorien und betroffener Personengruppen. Der Mensch prüft, ergänzt Zwecke und Rechtsgrundlagen und gibt frei. Die Maschine liefert die Vollständigkeit, der Mensch die rechtliche Bewertung.

Schritt 4: Kontinuierlicher Abgleich statt jährlichem Großputz. Kommt eine neue Tabelle mit personenbezogenen Daten hinzu, meldet das System die Abweichung. Das Verzeichnis bleibt aktuell, weil es an die Realität gekoppelt ist – nicht an den Kalender.

📷 BILD-PLATZHALTER: Screenshot eines Datenkatalogs, in dem PII-Spalten automatisch rot markiert sind und rechts daneben ein daraus generierter VVT-Eintrag mit Datenkategorien und betroffenen Personengruppen angezeigt wird.

Genau nach diesem Prinzip arbeitet datamastr: Datenquellen anbinden, personenbezogene Daten automatisch erkennen lassen, geführt durch den VVT-Assistenten gehen – und ein prüffähiges Verzeichnis exportieren. Was früher zwei Wochen Workshops kostete, dauert im Kern noch Minuten. Die Verarbeitung läuft dabei vollständig auf Servern in Deutschland.

Die Einwände – und was an ihnen dran ist

“Ein Tool kann keine Zwecke und Rechtsgrundlagen bestimmen.” Stimmt. Die rechtliche Bewertung bleibt Aufgabe des Verantwortlichen, daran ändert keine Software etwas. Aber die mühsame Hälfte der Arbeit – herausfinden, welche Daten wo liegen – ist keine juristische Frage. Sie ist eine Datenfrage, und Datenfragen lassen sich automatisieren.

“Unsere Daten sind zu sensibel für ein externes Tool.” Ein berechtigter Punkt, der zur Gegenfrage führt: Wo läuft die Analyse, und wer sieht die Daten? Achten Sie auf Hosting in Deutschland, einen Auftragsverarbeitungsvertrag nach Art. 28 DSGVO und darauf, dass keine Daten an US-Clouddienste oder externe KI-Anbieter fließen. Anbieter, die das nicht schriftlich zusagen können, scheiden aus.

“Wir haben doch schon ein VVT.” Die spannendere Frage ist, ob es stimmt. Ein Abgleich zwischen dokumentiertem Verzeichnis und tatsächlichem Datenbestand fördert fast immer Überraschungen zutage. Wann haben Sie das zuletzt geprüft?

Der realistische Weg für den Mittelstand

Niemand muss am ersten Tag die komplette Systemlandschaft anbinden. Der pragmatische Einstieg: Beginnen Sie mit den zwei, drei Systemen, in denen die meisten personenbezogenen Daten liegen – typischerweise CRM, ERP und die Kundendatenbank. Schon dieser Ausschnitt deckt in den meisten mittelständischen Unternehmen den Großteil der kritischen Verarbeitungen ab.

Von dort wächst das Verzeichnis mit jedem angebundenen System. Die Rechenschaftspflicht aus Art. 5 Abs. 2 DSGVO verlangt ohnehin keinen perfekten Endzustand, sondern nachweisbare, systematische Bemühung. Ein VVT, das aus den echten Daten erzeugt und laufend abgeglichen wird, ist genau dieser Nachweis.

Die nächste Anfrage der Aufsichtsbehörde kommt – die Frage ist nur, ob Sie dann eine vierzehn Monate alte Excel-Datei öffnen oder einen aktuellen Export ziehen. Der Unterschied zwischen beidem sind ein paar Stunden Einrichtung. datamastr können Sie mit einem Demo-Datensatz kostenlos ausprobieren, bevor Sie auch nur eine eigene Zeile hochladen.