Ein VVT zu erstellen ist Pflicht – es aktuell zu halten die Herausforderung. Als externer DSB übernehmen wir beides.
Das Verzeichnis von Verarbeitungstätigkeiten (kurz: VVT oder Verarbeitungsverzeichnis) dokumentiert alle Prozesse in Ihrem Unternehmen, bei denen personenbezogene Daten verarbeitet werden. Es ist ein zentrales Compliance-Instrument der DSGVO und dient der Rechenschaftspflicht nach Artikel 5 Absatz 2 DSGVO.
Definition: Das VVT ist eine strukturierte Übersicht aller Datenverarbeitungsvorgänge in Ihrem Unternehmen. Es zeigt, welche personenbezogenen Daten Sie verarbeiten, zu welchem Zweck und wie Sie diese schützen.
Das Verzeichnis unterstützt den Datenschutzbeauftragten bei der Aufgabenerfüllung nach Art. 39 DSGVO und macht Datenflüsse transparent – sowohl für die Aufsichtsbehörde als auch für betroffene Personen, die ihr Auskunftsrecht nach Art. 15 DSGVO ausüben.
Sie sehen gerade einen Platzhalterinhalt von YouTube. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
Mehr InformationenGrundsätzlich müssen alle Unternehmen und Auftragsverarbeiter ein VVT führen – unabhängig von der Unternehmensgröße. Die DSGVO sieht nur eine eingeschränkte Ausnahme vor. Verpflichtet sind alle Unternehmen mit mehr als 250 Mitarbeitern sowie alle kleineren Unternehmen, die regelmäßig personenbezogene Daten verarbeiten oder besonders schützenswerte Daten verarbeiten.
Faktisch sind nahezu alle Unternehmen verpflichtet – auch Selbstständige, Handwerker und Praxen. Denn bereits die Lohnabrechnung und das Führen von Personalakten, die Verwaltung einer Kundendatenbank, der Betrieb eines Webshops, der Versand von Newslettern oder das Bewerbermanagement zählen als regelmäßige Datenverarbeitung.
Die DSGVO sieht eine Ausnahme für kleine Unternehmen vor – allerdings nur unter sehr engen Voraussetzungen.
Ausnahme nach Art. 30 Abs. 5 DSGVO:
Unternehmen mit weniger als 250 Mitarbeitern sind von der VVT-Pflicht befreit, wenn alle drei Bedingungen erfüllt sind:
1. Nur gelegentliche Verarbeitung:
Die Datenverarbeitung erfolgt nicht regelmäßig oder dauerhaft. Beispiel: Ein Freelancer, der nur sporadisch Rechnungen an 2-3 Kunden schreibt.
2. Kein Risiko für Betroffene:
Die Verarbeitung birgt kein Risiko für Rechte und Freiheiten der Betroffenen. Beispiel: Einfache Adressverwaltung ohne sensible Daten.
3. Keine besonderen Datenkategorien:
Keine Verarbeitung von Gesundheitsdaten, biometrischen Daten, Daten zur sexuellen Orientierung (Art. 9 DSGVO) oder strafrechtlichen Verurteilungen (Art. 10 DSGVO). Beispiel: Keine Verarbeitung von Patientendaten, genetischen Daten oder Gewerkschaftszugehörigkeit.
In der Praxis greift diese Ausnahme kaum. Sobald Sie eine Kundendatenbank führen, Mitarbeiter beschäftigen oder einen Online-Shop betreiben, verarbeiten Sie regelmäßig personenbezogene Daten – und müssen ein VVT führen.
Die Nichtführung eines Verzeichnisses von Verarbeitungstätigkeiten oder die unvollständige Vorlage gegenüber der Aufsichtsbehörde kann teuer werden. Der Bußgeldrahmen nach Art. 83 Abs. 4 lit. a DSGVO liegt bei bis zu 10 Millionen Euro oder bis zu 2 Prozent des weltweiten Jahresumsatzes – je nachdem, welcher Betrag höher ist.
Beispiele aus der Praxis: Ein Unternehmen mit 50 Mitarbeitern, das kein VVT vorhanden hatte, erhielt ein Bußgeld von 15.000 Euro plus die Nachforderung zur Erstellung. Ein Unternehmen mit 120 Mitarbeitern wurde mit 8.500 Euro bestraft, weil das VVT unvollständig war und keine TOM-Beschreibung enthielt. Ein größeres Unternehmen mit 800 Mitarbeitern, das das VVT nicht auf Anfrage der Behörde vorlegen konnte, musste 250.000 Euro Bußgeld zahlen. Die Rechtsgrundlage für diese Sanktionen findet sich in Art. 83 Abs. 4 lit. a DSGVO in Verbindung mit Art. 30 DSGVO.
Die DSGVO unterscheidet zwischen zwei Arten von Verzeichnissen: eines für Verantwortliche (Art. 30 Abs. 1 DSGVO) und eines für Auftragsverarbeiter (Art. 30 Abs. 2 DSGVO).
Wichtige Begriffe:
Beide müssen jeweils ein eigenes VVT führen und dieses auf Verlangen der Aufsichtsbehörde unverzüglich vorlegen können – in deutscher Sprache oder deutscher Übersetzung.
Pflichtangabe | Verantwortlicher (Art. 30 Abs. 1 DSGVO) | Auftragsverarbeiter (Art. 30 Abs. 2 DSGVO) |
|---|---|---|
Name & Kontaktdaten | Name, Anschrift, Vertreter, Datenschutzbeauftragter | Name, Anschrift, Vertreter, Datenschutzbeauftragter |
Zweck der Verarbeitung | Beschreibung der Verarbeitungszwecke | Nicht erforderlich (wird vom Verantwortlichen vorgegeben) |
Kategorien betroffener Personen | z.B. Kunden, Mitarbeiter, Bewerber, Lieferanten | Nicht erforderlich |
Kategorien personenbezogener Daten | z.B. Adressdaten, Finanzdaten, Gesundheitsdaten | Nicht erforderlich |
Kategorien von Empfängern | z.B. Banken, Steuerberater, Sozialversicherungsträger | z.B. Sub-Auftragsverarbeiter, Cloud-Anbieter |
Rechtsgrundlage | z.B. Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung), Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) | Nicht erforderlich |
Drittlandtransfers | Empfänger außerhalb der EU + Garantien (z. B. Standardvertragsklauseln) | Empfänger außerhalb der EU + Garantien |
Löschfristen | Vorgesehene Fristen für Löschung oder regelmäßige Überprüfung | Nicht erforderlich |
TOM (Technische & organisatorische Maßnahmen) | Allgemeine Beschreibung nach Art. 32 Abs. 1 DSGVO | Allgemeine Beschreibung nach Art. 32 Abs. 1 DSGVO |
Profiling | Falls eingesetzt (z. B. automatisierte Entscheidungsfindung) | Nicht erforderlich |
Das VVT muss schriftlich geführt werden – elektronische Formate wie Excel-Tabellen oder Datenschutz-Software sind zulässig (Art. 30 Abs. 3 DSGVO). Für Auftragsverarbeiter ist zudem ein Auftragsverarbeitungsvertrag erforderlich, der die Datenverarbeitung im Auftrag regelt.
Das Verzeichnis von Verarbeitungstätigkeiten macht alle Datenströme und Verarbeitungsprozesse in Ihrem Unternehmen transparent. So gehen Sie systematisch vor:
Teilen Sie Ihr Unternehmen in organisatorische Bereiche oder Abteilungen ein. Das erleichtert die Übersicht und macht das VVT nachvollziehbar. Typische Bereiche sind Geschäftsführung, Personalwesen, Marketing und Vertrieb, IT und Systemadministration, Buchhaltung und Controlling, Kundenservice sowie Produktion oder Dienstleistungserbringung. Beginnen Sie am besten mit den datenintensivsten Bereichen wie Personalwesen und Marketing.
Identifizieren Sie für jeden Bereich die verantwortlichen Personen, die Auskunft über Datenverarbeitungsprozesse geben können. Im Personalwesen ist dies typischerweise die Personalleitung, im Marketing die Marketingleitung und in der IT der IT-Administrator. Diese Personen kennen die Prozesse im Detail und können Ihnen die notwendigen Informationen für das VVT liefern.
Listen Sie alle Anwendungen, Software-Tools und Systeme auf, die in jedem Bereich personenbezogene Daten speichern oder verarbeiten. Im Personalwesen gehören dazu etwa Lohnabrechnungssoftware wie DATEV, Bewerbermanagementsysteme und Zeiterfassungssysteme. Im Marketing sind es CRM-Systeme wie Salesforce, Newsletter-Tools wie Mailchimp oder Website-Analytics wie Google Analytics. Die IT nutzt E-Mail-Server, Cloud-Speicher wie Dropbox oder Microsoft 365 sowie Backup-Systeme. Vergessen Sie nicht automatisierte Verarbeitungen und externe Dienstleister wie Google, Cloud-Anbieter oder Steuerberater.
Legen Sie eine Excel-Tabelle an oder nutzen Sie eine Datenschutz-Software. Für die Excel-Vorlage empfiehlt sich folgende Spaltenstruktur: Spalte A für Bereich oder Abteilung (z. B. „Personalwesen“), Spalte B für die Verarbeitungstätigkeit (z. B. „Lohn- und Gehaltsabrechnung“), Spalte C für den Zweck (z. B. „Erfüllung arbeitsrechtlicher Pflichten“), Spalte D für die Rechtsgrundlage (z. B. „Art. 6 Abs. 1 lit. b DSGVO, § 26 BDSG“), Spalte E für Kategorien betroffener Personen (z. B. „Beschäftigte, Aushilfen, Praktikanten“), Spalte F für Kategorien personenbezogener Daten (z. B. „Name, Anschrift, Bankverbindung, Steuer-ID“), Spalte G für Empfänger (z. B. „Finanzamt, Krankenkassen, Banken“), Spalte H für Drittlandtransfers (z. B. „Nein“ oder „Ja – USA mit SCC“), Spalte I für Löschfristen (z. B. „10 Jahre nach Ende des Kalenderjahres gemäß § 147 AO“) und Spalte J für TOM (z. B. „Zugriffskontrolle, Verschlüsselung, Backups“).
Offizielle Muster der Datenschutzkonferenz sowie Hinweise der Bundesbeauftragten für Datenschutz finden Sie online als PDF-Download für Verantwortliche und Auftragsverarbeiter.
Sprechen Sie mit den Prozessverantwortlichen in den einzelnen Abteilungen. Sie wissen am besten, welche personenbezogenen Daten wie verarbeitet werden. Fragen Sie nach den verarbeiteten Daten und deren Zweck, den genutzten Software-Systemen, den Zugriffsberechtigen (intern und extern), den Aufbewahrungsfristen und den implementierten Sicherheitsmaßnahmen wie Passwortschutz, Verschlüsselung oder Zugriffsbeschränkungen. Führen Sie diese Interviews strukturiert durch und dokumentieren Sie die Antworten direkt in Ihrer Excel-Tabelle oder Software.
Füllen Sie für jeden identifizierten Prozess die Pflichtangaben gemäß Art. 30 DSGVO aus. Ein Beispiel für den Prozess „Newsletter-Versand“: Die Verarbeitungstätigkeit ist Newsletter-Versand, der Zweck sind Werbung und Kundenbindung, die Rechtsgrundlage ist Art. 6 Abs. 1 lit. a DSGVO (Einwilligung), betroffene Personen sind Newsletterabonnenten wie Kunden und Interessenten, verarbeitete Daten sind E-Mail-Adresse, Vorname, Nachname und Anmeldezeitpunkt, Empfänger ist der Newsletter-Tool-Anbieter wie Mailchimp, es erfolgt ein Drittlandtransfer in die USA mit Standardvertragsklauseln nach Art. 46 DSGVO, die Löschfrist ist bei Abmeldung sofort (ansonsten jährliche Überprüfung), und als TOM gelten Double-Opt-in-Verfahren, SSL-Verschlüsselung und Zugriffsbeschränkung.
Beschreiben Sie allgemein, welche Sicherheitsmaßnahmen Sie zum Schutz der verarbeiteten Daten getroffen haben (Art. 32 Abs. 1 DSGVO). Beispiele sind Zutrittskontrolle durch Zugangsbeschränkung zu Serverräumen, Alarmanlage und Schließsystem, Zugangskontrolle durch Passwortschutz, Zwei-Faktor-Authentifizierung und Berechtigungskonzept, Zugriffskontrolle durch rollenbasierte Zugriffe und Protokollierung von Zugriffen, Weitergabekontrolle durch Verschlüsselung bei E-Mail-Versand und sichere Datenträgervernichtung, Eingabekontrolle durch Logging von Datenänderungen und Versionierung, Verfügbarkeitskontrolle durch regelmäßige Backups, Notfallplan, Firewall und Virenschutz sowie Pseudonymisierung und Verschlüsselung durch SSL/TLS-Verschlüsselung und Anonymisierung von Daten.
Sie müssen nicht für jeden einzelnen Prozess alle TOM neu beschreiben. Verweisen Sie auf ein zentrales TOM-Konzept oder Ihr Datenschutzkonzept. Weitere Details zu technischen und organisatorischen Maßnahmen finden Sie in unserem separaten Leitfaden.
Um doppelte Dokumentationen zu vermeiden, dürfen Sie im VVT auf andere DSGVO-Dokumente verweisen. Dazu gehören das Datenschutzkonzept, die Datenschutz-Folgenabschätzung (DSFA) nach Art. 35 DSGVO, das Löschkonzept, die TOM-Dokumentation nach Art. 32 DSGVO sowie Auftragsverarbeitungsverträge (AVV). Diese Dokumente müssen bei einer Anforderung des VVT durch die Aufsichtsbehörde mit vorgelegt werden.
Empfohlen wird, das VVT als Loseblattwerk zu führen: Für jeden Verarbeitungsprozess erstellen Sie ein eigenes Formblatt und fügen diese zum Gesamtverzeichnis zusammen. Die Vorteile liegen auf der Hand: Bei Änderungen müssen nur die betroffenen Prozesse angepasst werden, die Struktur bleibt übersichtlich, und das Verzeichnis ist bei neuen Verarbeitungstätigkeiten leicht erweiterbar.
Das VVT ist kein statisches Dokument. Es muss bei jeder Veränderung in den Prozessen sowie in regelmäßigen Abständen (mindestens jährlich) aktualisiert werden. Änderungen, die eine Aktualisierung erfordern, sind neue Software-Tools oder Dienstleister, neue Verarbeitungsprozesse wie ein neues CRM-System, Änderungen von Rechtsgrundlagen, neue Drittlandtransfers, Änderungen von Löschfristen oder neu implementierte TOM. Archivieren Sie Vorversionen des VVT mindestens ein Jahr zurück, um die Rechenschaftspflicht zu erfüllen.
Prüfen Sie mit einer kompakten Checkliste, ob Ihr Verzeichnis von Verarbeitungstätigkeiten DSGVO-konform ist – inkl. aller Pflichtangaben nach Art. 30 DSGVO, kostenlos als Download.
Sie haben zwei grundsätzliche Optionen zur Erstellung und Verwaltung Ihres Verzeichnisses von Verarbeitungstätigkeiten: Excel-Tabellen oder Datenschutz-Software (DSMS).
Excel bietet den Vorteil, dass die Software kostenlos vorhanden ist und die Bedienung einfach und bekannt ist. Sie können die Vorlage flexibel anpassen und offline nutzen. Die DSGVO erlaubt ausdrücklich die elektronische Führung nach Art. 30 Abs. 3 DSGVO. Allerdings entsteht ein hoher manueller Pflegeaufwand, das System ist fehleranfällig, da keine automatische Plausibilitätsprüfung stattfindet, es gibt keine automatischen Erinnerungen zur Aktualisierung, die Versionskontrolle muss manuell erfolgen, bei vielen Prozessen leidet die Übersichtlichkeit, und eine Integration mit anderen Datenschutz-Dokumenten ist nicht möglich. Excel eignet sich für kleine Unternehmen mit wenigen, einfachen Verarbeitungsprozessen (unter 20 Prozesse).
Datenschutz-Software bietet automatisierte Workflows und Aktualisierungs-Erinnerungen, integrierte Vorlagen nach Art. 30 DSGVO, Plausibilitätsprüfung und Fehlerhinweise, Verknüpfung mit anderen DSGVO-Dokumenten wie TOM, DSFA und AVV, automatische Versionskontrolle, Export-Funktionen für die Aufsichtsbehörde und ist skalierbar für komplexe Unternehmensstrukturen. Nachteilig sind die Kosten durch Lizenzgebühren und Abo-Modelle, die erforderliche Einarbeitungszeit und die Abhängigkeit vom Anbieter. Software eignet sich für mittlere bis große Unternehmen, komplexe Verarbeitungsprozesse und Unternehmen mit hoher Änderungsfrequenz.
Die Cortina Consult DSMS ist eine All-in-One-Plattform für Datenschutzverwaltung inklusive VVT-Management mit integrierter Beratung und automatischen Updates. DataGuard bietet eine cloud-basierte Datenschutz-Software mit Compliance-Monitoring und TÜV-Zertifizierung. Lecare ist eine DSGVO-Compliance-Software mit Fokus auf Gesundheitswesen und soziale Einrichtungen. Legalio ist ein Datenschutz-Management-Tool mit einfacher Bedienung, das für KMU optimiert ist.
Unsere Empfehlung: Nutzen Sie Excel als Einstieg und wechseln Sie zu Software, sobald Sie mehr als 20 Verarbeitungsprozesse haben oder regelmäßige Änderungen verwalten müssen. Für Unternehmen mit komplexen Compliance-Anforderungen empfiehlt sich ein integriertes Informationssicherheitsmanagementsystem, das sowohl Datenschutz als auch Informationssicherheit abdeckt.
Bei einer Prüfung durch die Aufsichtsbehörde müssen Sie das gesamte VVT samt allen referenzierten Dokumenten vorlegen. Eine teilweise Vorlage oder Beschränkung auf bestimmte Prozesse ist nicht zulässig. Neben dem vollständigen Verzeichnis von Verarbeitungstätigkeiten gehören dazu alle Dokumente, auf die im VVT verwiesen wird: die TOM-Dokumentation nach Art. 32 DSGVO, die Datenschutz-Folgenabschätzung (DSFA) nach Art. 35 DSGVO, das Löschkonzept, die Auftragsverarbeitungsverträge (AVV) und das Datenschutzkonzept. Hinzu kommen Nachweise über Einwilligungen nach Art. 7 Abs. 1 DSGVO und Nachweise über die Ordnungsmäßigkeit der Verarbeitung nach Art. 24 Abs. 1 DSGVO.
Die Vorlagefrist lautet „unverzüglich“ – in der Praxis bedeutet dies: innerhalb von 72 Stunden nach Anforderung. Bereiten Sie eine „Prüfungsmappe“ vor, in der alle relevanten Dokumente zentral abgelegt sind. So können Sie bei einer Anfrage schnell reagieren. Ein Datenschutzaudit hilft Ihnen, die Vollständigkeit Ihrer Dokumentation vorab zu prüfen.
Das Verzeichnis von Verarbeitungstätigkeiten ist kein statisches Dokument, sondern muss kontinuierlich gepflegt werden.
Aktualisierungspflichten:
1. Bei jeder wesentlichen Änderung in den Verarbeitungsprozessen:
2. In regelmäßigen Abständen (mindestens jährlich):
Versionskontrolle: Aus Gründen der Rechenschaftspflicht (Art. 5 Abs. 2 DSGVO) sollten Sie Vorversionen des VVT mindestens ein Jahr zurückverfolgen können. Archivieren Sie alte Versionen mit Datumsstempel. Setzen Sie sich jährliche Erinnerungen (z. B. im Januar) zur VVT-Überprüfung. Bei Nutzung einer Datenschutz-Software erfolgen solche Erinnerungen oft automatisch.
Das Verzeichnis von Verarbeitungstätigkeiten ist mehr als eine Pflichtübung – es ist das Herzstück Ihres Datenschutz-Managements. Es schafft Transparenz über Ihre Datenflüsse, hilft Ihnen bei der Umsetzung der Betroffenenrechte und schützt Sie vor Bußgeldern.
Die wichtigsten Punkte im Überblick: Nahezu alle Unternehmen müssen ein VVT führen (Ausnahme: sehr kleine Unternehmen ohne regelmäßige Verarbeitung). Das VVT muss bei jeder Änderung und mindestens jährlich aktualisiert werden. Bei fehlendem oder unvollständigem VVT drohen Bußgelder bis zu 10 Millionen Euro oder 2 Prozent des Jahresumsatzes. Verantwortliche und Auftragsverarbeiter haben unterschiedliche Pflichtangaben (siehe Tabelle). Excel ist für kleine Unternehmen ausreichend, Software-Lösungen bieten mehr Automatisierung. Vermeiden Sie typische Fehler wie unvollständige Erfassung, fehlende Rechtsgrundlagen und zu allgemeine Beschreibungen.
Das Compliance Hub unterstützt Sie bei der digitalen Erfassung und Verwaltung aller Verarbeitungstätigkeiten – mit automatisierter DSFA–Schwellwertanalyse und behördenkonformer Dokumentation. Starten Sie jetzt mit Ihrer Verzeichniserstellung.
Viele Unternehmen machen bei der Erstellung und Pflege des Verzeichnisses von Verarbeitungstätigkeiten typische Fehler. So vermeiden Sie die häufigsten Stolperfallen:
Problem: Nicht alle Verarbeitungstätigkeiten werden dokumentiert. Häufig vergessen werden Website-Tracking wie Google Analytics, Social-Media-Plugins, Cloud-Speicher und externe Dienstleister.
Lösung: Führen Sie eine systematische Bestandsaufnahme durch (siehe Schritt-für-Schritt-Anleitung). Befragen Sie alle Abteilungen und listen Sie auch automatisierte Prozesse auf.
Problem: Die Rechtsgrundlage für die Verarbeitung wird nicht angegeben oder ist falsch. Ein typisches Beispiel: „Berechtigtes Interesse“ wird pauschal für alle Prozesse angegeben, ohne dass eine Interessenabwägung stattgefunden hat.
Lösung: Prüfen Sie für jeden Prozess die korrekte Rechtsgrundlage. Art. 6 Abs. 1 lit. a DSGVO gilt für Einwilligungen, Art. 6 Abs. 1 lit. b DSGVO für Vertragserfüllungen, Art. 6 Abs. 1 lit. c DSGVO für rechtliche Verpflichtungen wie Steuerrecht, und Art. 6 Abs. 1 lit. f DSGVO für berechtigtes Interesse – allerdings nur nach einer dokumentierten Interessenabwägung.
Problem: Kategorien betroffener Personen oder Datenkategorien werden zu pauschal beschrieben. Statt „Kundendaten“ sollten Sie konkret angeben: „Name, Anschrift, E-Mail-Adresse, Telefonnummer, Bestellhistorie, Zahlungsinformationen“. Statt „Mitarbeiter“ nennen Sie besser: „Beschäftigte (Vollzeit, Teilzeit), Aushilfen, Praktikanten, Bewerber“.
Lösung: Seien Sie in Ihren Beschreibungen so spezifisch wie möglich.
Problem: Die Beschreibung der TOM ist zu oberflächlich oder fehlt komplett. Eine Aussage wie „Datensicherheit wird gewährleistet“ reicht nicht aus.
Lösung: Beschreiben Sie konkrete Maßnahmen wie Zugriffskontrolle durch Passwortschutz und Zwei-Faktor-Authentifizierung, Verschlüsselung durch SSL/TLS und Ende-zu-Ende-Verschlüsselung sowie Backup durch tägliche automatische Backups und Notfallplan.
Problem: Datenübermittlungen in Drittländer wie die USA werden nicht erfasst. Die Nutzung von Google Analytics, Mailchimp oder Dropbox erfolgt ohne Dokumentation der Garantien.
Lösung: Listen Sie alle Drittlandtransfers auf und dokumentieren Sie die Garantien wie Standardvertragsklauseln (SCC) nach Art. 46 DSGVO, Angemessenheitsbeschlüsse der EU-Kommission oder Binding Corporate Rules (BCR).
Problem: Das VVT wird einmal erstellt und dann nie wieder aktualisiert. Neue Prozesse, Software-Wechsel oder geänderte Rechtsgrundlagen werden nicht nachgepflegt.
Lösung: Implementieren Sie einen Aktualisierungsprozess. Benennen Sie einen Verantwortlichen für die VVT-Pflege (z. B. Datenschutzbeauftragter), setzen Sie jährliche Erinnerungen zur Überprüfung, und aktualisieren Sie bei jeder wesentlichen Änderung wie neue Software, neue Dienstleister oder neue Verarbeitungsprozesse.
Problem: Löschfristen werden nicht angegeben oder sind gesetzlich nicht zulässig, etwa „Daten werden dauerhaft gespeichert“ oder „Löschung nach 100 Jahren“.
Lösung: Definieren Sie realistische, rechtskonforme Löschfristen. Bewerberdaten müssen nach 6 Monaten nach der Absage gelöscht werden (ohne Einwilligung), Rechnungen nach 10 Jahren gemäß § 147 AO, und Newsletter-Daten bei Abmeldung sofort. Ein strukturiertes Löschkonzept hilft Ihnen, die Fristen systematisch zu verwalten.
Problem: Bei einer Anfrage der Aufsichtsbehörde kann das VVT nicht oder nur teilweise vorgelegt werden. Verwiesene Dokumente wie TOM oder DSFA fehlen.
Lösung: Speichern Sie das VVT zentral und sicher in einem Datenschutz-Ordner oder einer DSMS-Software. Archivieren Sie alle Dokumente, auf die im VVT verwiesen wird. Stellen Sie sicher, dass das VVT jederzeit unverzüglich (innerhalb von 72 Stunden) vorgelegt werden kann.
Professioneller Datenschutz zum Budget-Preis mit Software, Schulungen, Audits & Vorlagen inklusive
Wir helfen Unternehmen dabei, die Anforderungen der DSGVO im Unternehmen umzusetzen – digital, so einfach wie möglich, zu fixen Konditionen. Als Beratungsdienstleister und externer Datenschutzbeauftragter sorgen wir für die Einhaltung der DSGVO-Vorgaben bei der Verarbeitung von personenbezogenen Daten in Ihrem Unternehmen.
Registrieren Sie sich für unseren kostenlosen Newsletter mit lesenswerten Neuigkeiten zum Datenschutz und Best-Practices zur Umsetzung.
* Pflichtfeld. Mit der Registrierung erklären Sie Ihr Einverständnis zum Erhalt des Cortina Legal-Updates mit Mailchimp sowie zur Interessen-Analyse durch Auswertung individueller Öffnungs- und Klickraten. Zu Ihrer und unserer Sicherheit senden wir Ihnen vorab noch eine E-Mail mit einem Bestätigungs-Link (sog. Double-Opt-In); die Anmeldung wird erst mit Klick auf diesen Link aktiv. Dadurch stellen wir sicher, dass kein Unbefugter Sie in unser Newsletter-System eintragen kann. Sie können Ihre Einwilligung jederzeit mit Wirkung für die Zukunft und ohne Angabe von Gründen widerrufen; z. B. durch Klick auf den Abmeldelink am Ende jedes Newsletters. Nähere Informationen zur Verarbeitung Ihrer Daten finden Sie in unserer Datenschutzerklärung.
Sie sehen gerade einen Platzhalterinhalt von YouTube. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
Mehr Informationen