Verarbeitungsverzeichnis aktuell halten: So etablierst du einen einfachen Pflege-Prozess

Die meisten Verarbeitungsverzeichnisse werden einmal erstellt und dann vergessen. Irgendwann vor ein paar Jahren, als das Thema DSGVO akut war, hat jemand alle Verarbeitungen zusammengetragen, dokumentiert und abgeheftet. Seitdem: Stille.

Das Problem: Dein Unternehmen hat sich seitdem weiterentwickelt. Ihr nutzt neue Tools, habt Prozesse geändert, Dienstleister gewechselt. Das Verarbeitungsverzeichnis (kurz: VVZ) nicht.

Ein VVZ ist kein statisches Dokument. Es muss mit dem Unternehmen wachsen. Die gute Nachricht: Wer einen einfachen Pflege-Rhythmus etabliert, spart sich Stress bei Audits, Betroffenenanfragen und der nächsten Zertifizierung. In diesem Artikel zeige ich dir, welche Anlässe eine Aktualisierung erfordern, wie du das organisatorisch verankerst und wie das konkret in DigimojoCOMPLY aussieht.

Warum das VVZ kein Einmalprojekt ist

Das Verarbeitungsverzeichnis nach Art. 30 DSGVO dokumentiert, welche personenbezogenen Daten du verarbeitest, zu welchem Zweck, wie lange und an wen du sie weitergibst. Das klingt nach einer einmaligen Bestandsaufnahme. Ist es aber nicht.

Unternehmen sind dynamisch. Jeden Monat passiert etwas, das Auswirkungen auf die Datenverarbeitung haben kann:

Ihr führt ein neues CRM ein. Die IT stellt auf einen anderen Cloud-Anbieter um. Eine Abteilung nutzt plötzlich ein KI-Tool für Textgenerierung. Ein Dienstleister wird gekündigt und durch einen anderen ersetzt. Der Datenschutz-Koordinator wechselt in eine andere Rolle.

Jede dieser Änderungen kann bedeuten, dass das, was im VVZ steht, nicht mehr der Realität entspricht. Und ein VVZ, das nicht zur Realität passt, ist im Ernstfall wertlos.

Die 5 Trigger-Events: Wann du prüfen solltest

Statt das VVZ einmal im Jahr komplett durchzuarbeiten, ist es sinnvoller, auf konkrete Anlässe zu reagieren. Diese fünf Trigger-Events sollten eine Prüfung auslösen:

1. ‍Neue Software oder Systeme: Jedes Tool, das personenbezogene Daten verarbeitet, gehört ins VVZ. Das gilt für das neue Projektmanagement-Tool genauso wie für die App, die jemand „mal eben ausprobieren“ wollte. Besonders kritisch: SaaS-Lösungen und KI-Tools, die oft ohne Rücksprache mit IT oder Datenschutz eingeführt werden.‍
2. Neue oder geänderte Prozesse: Wenn ihr einen neuen Geschäftsbereich aufbaut, einen Prozess digitalisiert oder die Arbeitsweise grundlegend ändert, prüfe, ob sich dadurch Datenflüsse ändern. Ein klassisches Beispiel: Die Personalabteilung führt ein digitales Onboarding ein. Plötzlich werden Bewerberdaten anders verarbeitet als vorher.‍
3. Dienstleisterwechsel: Ein neuer IT-Dienstleister, ein Wechsel des Newsletter-Tools, ein anderer Cloud-Anbieter für Backups. Sobald sich externe Empfänger ändern, muss das VVZ aktualisiert werden. Das betrifft auch die Frage, ob ein Auftragsverarbeitungsvertrag (AVV) vorliegt und ob Daten in ein Drittland übermittelt werden.‍
4. Personalwechsel bei Verantwortlichen: Wenn der Abteilungsleiter wechselt, der Datenschutz-Koordinator das Unternehmen verlässt oder neue Ansprechpartner benannt werden, sollte das VVZ die aktuellen Verantwortlichkeiten widerspiegeln. Das ist nicht nur Dokumentationspflicht, sondern auch praktisch: Bei einer Betroffenenanfrage muss klar sein, wer zuständig ist.‍
5. Änderungen bei Aufbewahrungsfristen: Gesetzliche Änderungen oder interne Policy-Updates können dazu führen, dass Löschfristen angepasst werden müssen. Wenn sich die steuerlichen Aufbewahrungspflichten ändern oder ihr intern entscheidet, Bewerberdaten kürzer zu speichern, gehört das ins VVZ.

Was passiert, wenn das VVZ veraltet ist?

Ein veraltetes VVZ führt nicht automatisch zu einem Bußgeld. Aber es wird zum Problem, sobald es gebraucht wird.

• ‍Bei Betroffenenanfragen: Du musst erklären können, welche Daten du verarbeitest, woher sie stammen und an wen du sie weitergibst. Wenn das VVZ falsch ist, gibst du falsche Auskünfte. Das kann zu berechtigten Beschwerden führen.
• ‍Bei Audits oder Zertifizierungen: Prüfer vergleichen Dokumentation mit Realität. Wenn im VVZ steht, dass ihr Tool X nutzt, ihr aber längst auf Tool Y umgestiegen seid, gibt es Findings. Bei ISO 27001 oder TISAX kann das die Zertifizierung gefährden.
• ‍Bei Datenschutzvorfällen: Wenn personenbezogene Daten abfließen, brauchst du schnell einen Überblick: Welche Daten sind betroffen? Welche Systeme? Welche Dienstleister? Ein aktuelles VVZ spart hier wertvolle Zeit in einer Stresssituation.
• ‍Bei Dienstleisterwechseln: Du musst wissen, welche Verarbeitungen betroffen sind, wenn ein Auftragsverarbeiter ausgetauscht wird. Ohne aktuelles VVZ wird das zur Recherche-Aktion.

Der VVZ-Pflege-Zyklus: So verankerst du das organisatorisch

Die beste Strategie: Mach die VVZ-Pflege zur Routine, nicht zum Projekt. Ein einfacher Zyklus mit vier Schritten reicht aus.

1. ‍Prüfen: Setz dir alle drei Monate einen 30-Minuten-Blocker. Geh die Verarbeitungen einmal durch und frag dich: Hat sich hier was geändert? Neue Tools? Neue Prozesse? Personalwechsel? Du musst nicht jedes Detail prüfen. Ein kurzer Scan reicht, um offensichtliche Änderungen zu erkennen.‍
2. Aktualisieren: Wenn du Änderungen findest, passe die Einträge an. Das kann bedeuten: eine neue Applikation hinzufügen, einen Dienstleister aktualisieren, eine Rolle neu zuweisen. In einem guten System dauert das wenige Minuten pro Änderung.‍
3. Dokumentieren: Halte fest, wann und warum du etwas geändert hast. Das ist nicht nur für dich hilfreich, sondern auch für Audits. Es zeigt, dass du das Thema ernst nimmst und einen Prozess hast.‍
4. Wiederholen: Nächstes Quartal, gleicher Ablauf. Mit der Zeit wird das zur Gewohnheit und kostet kaum noch Überwindung.

Zusätzliche Tipps für die organisatorische Verankerung:

Binde die IT ein. Die IT weiß, wenn neue Tools eingeführt werden. Ein kurzer Rückkanal genügt: „Neues System? Kurze Info an den DSB.“ Das muss kein formaler Prozess sein, eine kurze Mail oder Slack-Nachricht reicht.

Sensibilisiere die Abteilungen. Die Fachabteilungen kennen ihre Prozesse am besten. Ein jährlicher Check-in pro Abteilung („Hat sich bei euch was geändert?“) liefert oft mehr als jede interne Recherche.

Block dir einen festen Termin. Quartalsweise 30 Minuten im Kalender. Wenn es drinsteht, passiert es auch.

Praxis-Tutorial: VVZ-Pflege in DigimojoCOMPLY

Wie sieht das in der Praxis aus? Lass mich dir anhand von Screenshots zeigen, wie du einen VVZ-Eintrag in DigimojoCOMPLY prüfst und aktualisierst.

Verarbeitung öffnen und Felder verstehen

[SCREENSHOT 1: Grundangaben einer Verarbeitung]

Jede Verarbeitung hat Pflichtfelder (mit ¹ markiert) und optionale Felder (mit ²). Die Pflichtfelder entsprechen den Anforderungen nach Art. 30 DSGVO: Bezeichnung, Zweck, Betroffene, Datenkategorien, Rechtsgrundlage, Löschfristen. Die optionalen Felder helfen dir, zusätzliche Informationen zu dokumentieren, die bei Audits oder internen Fragen nützlich sind.

Links siehst du die Navigation durch die verschiedenen Bereiche: Grundangaben, Empfänger intern, Systeme & Applikationen, Empfänger extern, Rechtsgrundlage & Löschung, Informationspflicht und Risikobewertung/DSFA. Der Fortschrittsbalken zeigt dir, wie vollständig die Pflichtangaben ausgefüllt sind.

Verknüpfungen nutzen: Applikationen, Dienstleister, Systeme

[SCREENSHOT 2: Systeme & Applikationen mit automatischer Verknüpfung]

Das Besondere in COMPLY: Wenn du eine Applikation wie „Google Workspace" hinzufügst, werden verknüpfte Dienstleister und Systeme automatisch angezeigt. Im Screenshot siehst du, wie die Applikation mit dem Dienstleister (Google Ireland Limited) und den genutzten Systemen verknüpft ist. Du musst nicht alles manuell pflegen. Die Verknüpfungen sorgen dafür, dass Änderungen an einer Stelle automatisch an anderen Stellen sichtbar werden.

Bei externen Empfängern siehst du sofort, ob eine Auftragsverarbeitung nach Art. 28 DSGVO vorliegt und ob Daten in ein Drittland übermittelt werden. Das ist wichtig für die Bewertung, ob zusätzliche Schutzmaßnahmen nötig sind.

Rollen und Verantwortlichkeiten

Bearbeiter, Eigentümer, fachlicher Ansprechpartner, Verantwortlicher: Jede Verarbeitung hat klare Zuständigkeiten. Bei Personalwechsel kannst du die Rollen mit wenigen Klicks anpassen, ohne die gesamte Dokumentation neu aufzusetzen.

DSFA-Erforderlichkeit prüfen

Bei Verarbeitungen mit potenziell hohem Risiko kannst du direkt eine Erforderlichkeitsprüfung für die Datenschutz-Folgenabschätzung starten. COMPLY führt dich durch die relevanten Fragen und dokumentiert das Ergebnis. So hast du einen Nachweis, dass du die Prüfung durchgeführt hast – auch wenn keine DSFA erforderlich ist.

Fazit

VVZ-Pflege ist keine Raketenwissenschaft. Es geht nicht darum, perfekte Dokumentation zu haben. Es geht darum, einen einfachen Prozess zu etablieren, der sicherstellt, dass die Dokumentation mit der Realität Schritt hält.

Der Schlüssel liegt in zwei Dingen: klare Trigger, die eine Prüfung auslösen, und ein fester Rhythmus, der verhindert, dass das Thema einschläft. Quartalsweise 30 Minuten reichen aus. Das ist weniger Aufwand als die Panik-Aktion vor dem nächsten Audit.

Wenn du Fragen zur VVZ-Pflege hast oder Unterstützung bei der Einbindung in eure Prozesse brauchst, melde dich gerne bei uns.