Es gibt diesen einen Moment, den jeder kennt, der schon einmal ein Verzeichnis von Verarbeitungstätigkeiten gepflegt hat: Die Aufsichtsbehörde meldet sich, verlangt nach Art. 30 Abs. 4 DSGVO das aktuelle Verzeichnis, und man öffnet die Excel-Datei, die seit vierzehn Monaten niemand mehr angefasst hat. Die Spalte “Empfänger” ist halb leer. Zwei Fachbereiche haben inzwischen ein neues CRM eingeführt, das nirgends auftaucht. Und die eine Kollegin, die wusste, welche Tabelle die richtige war, ist seit dem Frühjahr in Elternzeit.
Das ist der Punkt, an dem sich die Frage entscheidet: Reicht eine VVT-Vorlage in Excel, oder muss das Verzeichnis automatisch aus den echten Daten entstehen? Beide Wege führen formal zu einem Dokument. Nur einer davon hält der Realität stand.
Warum die Excel-Vorlage so beliebt ist
Die ehrliche Antwort zuerst: Eine Excel-Vorlage ist der schnellste Weg zum ersten Verzeichnis. Es gibt sie kostenlos bei jeder Landesdatenschutzbehörde, sie ist in einer Stunde ausgefüllt, und sie kostet nichts. Für ein kleines Unternehmen mit fünf klar umrissenen Verarbeitungen kann das genügen.
Art. 30 Abs. 3 DSGVO verlangt lediglich die Schriftform, “was auch in einem elektronischen Format erfolgen kann”. Eine Tabelle erfüllt diese Formvorschrift. Wer glaubt, für ein rechtskonformes VVT brauche es zwingend eine Software, irrt. Das Gesetz schreibt kein Werkzeug vor.
Das Problem ist nicht die Form. Das Problem ist die Pflege.
Die vier Stellen, an denen die Vorlage scheitert
Eine Vorlage ist eine Momentaufnahme. Ein Verzeichnis muss ein lebendes Dokument sein. Zwischen diesen beiden Zuständen liegen genau vier Bruchstellen.
1. Das Verzeichnis veraltet schneller, als es jemand merkt. Jede neue Software, jeder gewechselte Dienstleister, jede neue Datenkategorie muss von Hand nachgetragen werden. In der Praxis passiert das nicht. Verarbeitungen entstehen im Fachbereich, nicht im Datenschutzbüro. Bis die Information ankommt, ist die Tabelle bereits falsch. Und ein Verzeichnis, das die Wirklichkeit nicht abbildet, ist im Ernstfall wertlos.
BILD-PLATZHALTER: Eine unübersichtliche Excel-Tabelle mit vielen leeren Zellen und einer gelb markierten Zeile, daneben ein Kalenderblatt, das ein Datum vor über einem Jahr zeigt.
2. Die inhaltlichen Pflichtangaben werden geraten. Art. 30 Abs. 1 DSGVO zählt genau auf, was drinstehen muss: Zwecke der Verarbeitung, Kategorien betroffener Personen, Kategorien personenbezogener Daten, Empfänger, Drittlandübermittlungen, Löschfristen und eine Beschreibung der technischen und organisatorischen Maßnahmen. In der Vorlage stehen diese Spalten als leere Überschriften. Wer sie füllt, schreibt hinein, was er zu wissen glaubt, nicht was tatsächlich in den Systemen liegt. Steht in der CRM-Datenbank ein Feld mit Gesundheitsdaten, das niemand als besondere Kategorie nach Art. 9 DSGVO erkannt hat? Die Vorlage wird es nie verraten.
3. Niemand prüft, ob die Angaben stimmen. Eine Tabelle validiert sich nicht selbst. Sie nimmt jede Eingabe widerspruchslos an, auch die falsche. Genau das ist gefährlich, denn Art. 5 Abs. 2 DSGVO legt dem Verantwortlichen die Rechenschaftspflicht auf: Man muss die Einhaltung nicht nur behaupten, sondern nachweisen können. Ein Verzeichnis, das auf Vermutungen beruht, ist kein Nachweis. Es ist eine Behauptung im Tabellenformat.
4. Das Wissen hängt an einer Person. Die Excel-Vorlage lebt auf einem Netzlaufwerk und im Kopf desjenigen, der sie angelegt hat. Fällt diese Person aus, weiß niemand mehr, welche Version gilt, welche Zeile geprüft wurde und welche nur so aussieht. Wer schon einmal drei fast identische Dateien mit Namen wie “VVT_final”, “VVT_final_v2” und “VVT_final_wirklich” auf demselben Laufwerk gefunden hat, kennt das Ergebnis dieser Abhängigkeit. Kontinuität ist bei einem gesetzlich vorgeschriebenen Verzeichnis kein Luxus, sondern Voraussetzung.
Diese vier Bruchstellen haben eine Gemeinsamkeit: Keine davon ist ein Fehler der Vorlage selbst. Sie sind die zwangsläufige Folge davon, dass ein statisches Dokument einen dynamischen Zustand abbilden soll. Die Datenlandschaft verändert sich täglich. Die Tabelle nicht.
Was “automatisch erstellen” konkret bedeutet
An dieser Stelle wird der Begriff oft schwammig. “Automatisch” heißt nicht, dass eine KI sich ein Verzeichnis ausdenkt. Das wäre nur die Vorlage mit mehr Marketing.
Automatisch heißt: Das Verzeichnis entsteht aus den tatsächlich vorhandenen Datenbeständen. Ein System liest die Struktur der angeschlossenen Datenbanken und Dateien, erkennt, welche Spalten personenbezogene Daten enthalten, klassifiziert sie nach Datenkategorie und schlägt die passenden Art.-30-Einträge vor. Der Mensch prüft und bestätigt, statt bei null anzufangen.
Der Unterschied ist fundamental. Die Vorlage fragt: Was glaubst du, verarbeitest du? Der datengetriebene Ansatz zeigt: Das hier liegt tatsächlich in deinen Systemen. Genau darauf zielt datamastr: Das Werkzeug scannt die echten Daten, markiert die personenbezogenen Felder und überführt sie in einen prüffähigen VVT-Eintrag, statt eine weitere leere Tabelle bereitzustellen. Der Serverstandort liegt dabei in Deutschland, was bei einem Verzeichnis, das selbst voller personenbezogener Metadaten steckt, kein Nebendetail ist.
Der entscheidende Vorteil zeigt sich beim nächsten Systemwechsel. Kommt eine neue Datenquelle hinzu, taucht sie beim erneuten Scan auf, statt in einem Fachbereich unbemerkt zu bleiben. Das Verzeichnis wächst mit der Datenlandschaft mit, anstatt Quartal für Quartal weiter von ihr abzudriften. Aus einem jährlichen Kraftakt wird eine laufende Bestätigung.
BILD-PLATZHALTER: Screenshot eines Datenkatalogs, in dem einzelne Tabellenspalten automatisch rot als personenbezogene Daten markiert sind, mit einer Seitenleiste, die die zugehörige DSGVO-Datenkategorie anzeigt.
Wo die Vorlage trotzdem genügt und wo nicht
Fair bleiben heißt: Nicht jedes Unternehmen braucht eine Automatisierung. Wer drei Verarbeitungen hat, alle Systeme selbst betreibt und die Datenlandschaft in einem Kopf behält, kommt mit einer sauber gepflegten Tabelle durch. Für dieses Szenario ist die Excel-Vorlage der Behörde ehrlich gesagt völlig ausreichend.
Die Rechnung kippt, sobald die Zahl der Systeme, Fachbereiche und Datenquellen wächst. Dann wird die manuelle Pflege zum Vollzeitproblem, und die Wahrscheinlichkeit, dass das Verzeichnis der Wirklichkeit entspricht, sinkt mit jedem Quartal.
Ein weit verbreiteter Irrtum sei hier ausgeräumt: Die Ausnahme in Art. 30 Abs. 5 DSGVO für Organisationen mit weniger als 250 Beschäftigten befreit fast niemanden. Sie greift nur, wenn die Verarbeitung kein Risiko für die Betroffenen birgt, nur gelegentlich erfolgt und keine besonderen Datenkategorien nach Art. 9 DSGVO umfasst. Wer Personaldaten oder Kundendaten regelmäßig verarbeitet, verarbeitet nicht “nur gelegentlich”. Für praktisch jeden Mittelständler mit laufendem Geschäftsbetrieb gilt die Pflicht in vollem Umfang.
Was die Prüfung tatsächlich kostet, wenn das Verzeichnis fehlt
Die abstrakte Drohung wird konkret bei Art. 83 Abs. 4 DSGVO: Verstöße gegen die Verzeichnispflicht aus Art. 30 können mit Geldbußen von bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes geahndet werden, je nachdem, welcher Betrag höher ist. Das ist der gesetzliche Rahmen, keine Prognose für den Einzelfall.
Wichtiger als die Maximalsumme ist die Botschaft dahinter: Ein fehlendes oder erkennbar veraltetes Verzeichnis ist für eine Behörde das erste Signal, dass die Datenschutzorganisation nicht funktioniert. Es ist die Frage, nach der man als Erstes gefragt wird. Und die Antwort “Wir haben da eine Excel-Datei, aber die ist gerade nicht ganz aktuell” ist genau die Antwort, die man in diesem Moment nicht geben will.
Der Übergang muss kein Großprojekt sein
Viele scheuen den Wechsel, weil sie eine monatelange Einführung mit externen Beratern vor Augen haben. Das muss nicht sein. Der pragmatische Weg beginnt klein: Man schließt eine einzige Datenquelle an, etwa die CRM-Datenbank, und vergleicht das automatisch erzeugte Ergebnis mit dem, was in der alten Excel-Tabelle stand. In den meisten Fällen tauchen dabei Felder auf, die im manuellen Verzeichnis fehlten, und Einträge im Verzeichnis, für die es in den Daten gar keine Entsprechung mehr gibt.
Genau dieser Abgleich ist der eigentliche Erkenntnisgewinn. Er macht sichtbar, wie weit die gepflegte Vorlage von der Realität abweicht, bevor eine Behörde denselben Abgleich vornimmt. Wer klein anfängt, kann ein solches Werkzeug testen, ohne die bestehende Dokumentation über Bord zu werfen. Der Einstieg muss nichts kosten: Bei datamastr ist der FREE-Einstieg kostenlos (1 Nutzer, 3 Datenbestände); der Ausbau auf mehr Quellen im TEAM-Tarif kostet 399 Euro pro Monat bei jährlicher Abrechnung.
BILD-PLATZHALTER: Zwei nebeneinander gestellte Verzeichnisse, links eine statische Excel-Tabelle, rechts eine automatisch generierte Ansicht mit grünen Häkchen bei bestätigten und roten Markierungen bei neu entdeckten Datenfeldern.
Die eigentliche Entscheidung
Die Frage “Excel-Vorlage oder automatisch erstellen” ist im Kern keine Werkzeugfrage. Sie ist eine Frage danach, ob das Verzeichnis der Realität folgt oder ihr hinterherhinkt.
Eine Vorlage dokumentiert einen Wunschzustand von vorgestern. Ein datengetriebenes Verzeichnis dokumentiert, was heute in den Systemen liegt. Bei einer Prüfung zählt nur das Zweite. Alles andere ist ein Dokument, das aussieht wie ein Nachweis, aber keiner ist.
Wer wissen will, wo die eigene Organisation gerade steht, muss nicht bei null anfangen. Der kostenlose DSGVO-Schnellcheck von datamastr beantwortet in 12 Fragen und rund 3 Minuten, wie prüffähig das eigene Datenschutzniveau tatsächlich ist, mit Sofort-Ergebnis und ohne Registrierung: https://app.datamastr.com/dsgvo-check/
Und falls die ehrliche Antwort lautet, dass die Excel-Datei seit Monaten niemand mehr geöffnet hat, ist genau das der Moment, es anders zu machen.