Ein Verfahrensverzeichnis erstellen hört sich kompliziert an. Wer braucht es? Wie muss es erstellt werden? Was muss man darin aufnehmen?
Fragen über Fragen. Mit diesem Beitrag möchte ich Ihnen eine einfache Anleitung geben, wie Sie dieses vermeintlich komplexe Gebilde doch relativ unkompliziert umsetzen können.
Noch ein Vorwort, weil wir immer mal wieder darauf angesprochen werden: In der DSGVO heißt es „Verzeichnis von Verarbeitungstätigkeiten“. Wir verwenden hier den Begriff „Verfahrensverzeichnis“ als Synonym, da sich dieser in der Praxis eingebürgert hat.
Inhaltsverzeichnis
Auf den Punkt gebracht: Das Verfahrensverzeichnis im Datenschutz (Verzeichnis von Verarbeitungstätigkeiten)

- Das Verarbeitungsverzeichnis ist das Herzstück des Datenschutzmanagements. Daraus leiten sich alle weiteren Schritte ab.
- Eine einfache Excel Liste (siehe Muster) reicht aus, um die gesetzlichen Anforderungen abzudecken.
- Erfassen Sie die Verfahren mit Sinn und Verstand. Ziel ist eine Übersicht, die zur Einschätzung der Risiken dient.
- Es geht beim VVZ nicht darum, eine Handlungsanleitung für die Bearbeitung der Verfahren zu erstellen (keine Arbeitsanweisung).
Was ist ein Verfahrensverzeichnis?
Der Name im Gesetz lautet „Verzeichnis von Verarbeitungstätigkeiten“. Unter den Verarbeitungstätigkeiten im Sinne des Datenschutzes versteht man alle Vorgänge im Unternehmen, die personenbezogene Daten verarbeiten. Vereinfacht gesagt: Wo kommen Sie, Ihre Kollegen oder Ihre Mitarbeiter mit Informationen in Kontakt, hinter denen reale Personen stehen? Beispiele hierfür sind die Lohnabrechnung, die Mitarbeiterverwaltung, aber auch ein Einzelverbindungsnachweis der Telefonie. Sind Ihre Kunden Endverbraucher, dann haben Sie wahrscheinlich deren Adressen, E-Mail Kontakte, Zahlungsdaten, Einkaufsverhalten und noch vieles mehr.
Im Verfahrensverzeichnis listen Sie nun alle „Verfahren“ auf, bei denen Sie diese Daten erfassen oder verarbeiten.
Je nach Unternehmen ist diese Liste unterschiedlich lang. Es macht einen Unterschied, ob Sie Solopreneur sind oder das Verfahrensverzeichnis für ein Großunternehmen erstellen. Sind Ihre Kunden Businesskunden oder Endverbraucher? Bei Businesskunden fallen einige Verfahren weg, da ein Geschäftskunde ja nur teilweise personenbezogene Daten im Geschäftsverkehr preisgibt.
Wer braucht ein Verfahrensverzeichnis?
Da gibt’s (fast) keine Ausnahme. Jedes Unternehmen bzw. jeder Unternehmer und Selbständige ist dafür verantwortlich, eine Verfahrensübersicht zu führen. Es gibt theoretisch die Ausnahme im Artikel 30 der DSGVO. Nur ab 250 Mitarbeitern im Unternehmen muss ein Verfahrensverzeichnis erstellt werden, so Absatz 5. Liest man besagten Artikel jedoch zu Ende, hebt er sich selbst wieder auf. Wenn nämlich eine Verarbeitung nicht nur gelegentlich durchgeführt wird, muss sie ins Verfahrensverzeichnis.
Unabhängig davon, ob Sie einen Datenschutzbeauftragten haben / brauchen oder nicht. Das Verzeichnis benötigen Sie immer. Außer wie gerade erwähnt, sie verarbeiten nur „gelegentlich“.
Nebenbei gesagt, diese Forderung an ein Verfahrensverzeichnis kam nicht neu mit der DSGVO. Wenn Sie auch vor der DSGVO schon ein funktionierendes Datenschutz System in Ihrem Unternehmen etabliert haben, sind Sie von der Forderung nicht überrascht.
Wer erstellt das Verfahrensverzeichnis?
Auf Anregung im Kommentar füge ich gerne noch diesen Punkt hinzu. Wer ist denn verantwortlich für die Erstellung des Verfahrensverzeichnisses? Das ist wie so oft der Verantwortliche für die Datenverarbeitung und das ist der Unternehmer bzw. Geschäftsführer. Um mit dem Gesetz zu sprechen, „die verantwortliche Stelle“.
Wer die Arbeit in der Praxis macht, ist wieder eine andere Sache. Als Datenschutzbeauftragter übernehmen wir für „unsere“ Unternehmen die Koordination der Erstellung und leisten dabei Unterstützung. Wir erstellen am Ende einen Bericht mit Empfehlungen und weisen auf Risiken hin, die wir bei den Verfahren sehen. Entscheiden, ob das Verfahren angepasst wird, können und wollen wir als Datenschutzbeauftragte nicht. Diese Entscheidung liegt beim Verfahrensverantwortlichen und beim Geschäftsführer.
Ja nach Ihrer Unternehmensgröße sollten Sie überlegen, was die effizienteste und beste Lösung ist, um das Verfahrensverzeichnis zu erstellen und zu pflegen. Bei kleineren Unternehmen oder Einzelunternehmen sprechen wir direkt mit dem Geschäftsführer bzw. Inhaber und erstellen in einem kleinen Frage-Antwort Interview das Verfahrensverzeichnis. Anschließend übergeben wir die Dokumentation in die Hände der verantwortlichen Stelle.
Was gehört in ein Verfahrensverzeichnis?
Der Inhalt definiert sich aus Artikel 30 der Datenschutzgrundverordnung. Hier ist eine Zusammenfassung, welche Informationen enthalten sein müssen:
- Name und Kontakt des Verantwortlichen
- Zweck der Verarbeitung, also das WARUM
- Welche Personengruppen sind betroffen und welche Daten von ihnen?
- Wem werden diese Daten zur Verfügung gestellt (intern, extern, auch Drittländer)?
- Beschreibung der Übermittlung an das Drittland (ist dies rechtlich abgesichert?)
- Vorgesehene Löschfristen der Daten (wenn möglich)
- allg. Beschreibung der technischen Sicherheit der Daten (wenn möglich)
Diese Informationen müssen Sie für Ihre eigenen Verarbeitungen dokumentieren. Ebenso müssen Sie aber dieselben Informationen zur Verfügung stellen, wenn Sie für Ihre Kunden zum Beispiel Daten verarbeiten. Beispiel: Sie machen intern die Lohnabrechnung für Ihre Mitarbeiter, dann ist dies ein zu dokumentierendes Verfahren. Machen Sie die Lohnbuchhaltung aber auch als Dienstleister für Ihre Kunden, so müssen Sie das ebenfalls dokumentieren. Dann sind Sie in der Fachsprache als Auftragsverarbeiter tätig. Im Verfahrensverzeichnis würde ich Ihnen empfehlen, dieses Verfahren zwei Mal zu beschreiben.

Gibt es „Standardverfahren“?
Standardverfahren würde ich es nicht unbedingt nennen, aber auf jeden Fall gibt es Verfahren, die regelmäßig und so gut wie in jedem Unternehmen vorkommen. Was fällt darunter?
Haben Sie Mitarbeiter? Dann haben Sie natürlich alle Prozesse rund um die Mitarbeiterverwaltung: Bewerbungen, Lohnabrechnung, PC-Zugänge und so weiter. Aber auch ohne Mitarbeiter gibt es immer wiederkehrende Verfahren. Denken Sie nur an die Internetpräsenz. E-Mail Marketing über Newsletter, Analyse des Besucherverhaltens Ihrer Webseite – um nur zwei Verfahren zu nennen.
Weitere Beispiele stelle ich Ihnen gerne in einem separaten Artikel zusammen. Hier geht’s zum Artikel.
Wie sieht ein Muster eines Verfahrensverzeichnisses aus?
Natürlich können Sie sich auch dafür eine spezielle Software kaufen. Aber in vielen Fällen wäre damit mit Kanonen auf Spatzen geschossen. Ich empfehle Ihnen eine einfache Excel Liste, die folgende Spalten enthält:
- Name des Verfahrens
- Als Auftragsverarbeiter (j / n)
- Datum der Erfassung
- Name des Verantwortlichen
- E-Mail des Verantwortlichen
- Telefonnummer des Verantwortlichen
- Beschreibung der Verarbeitung / des Zwecks
- Betroffene Personengruppen
- Betroffene Daten
- Empfänger der Daten
- Empfänger der Daten in einem Drittland
- Beschreibung der Absicherung der Datenübermittlung in das Drittland
- Löschfrist
- Beschreibung der IT-Sicherheit der Daten
- Beschreibung der physikalischen Sicherheit der Daten
Natürlich können Sie diese Excel Liste um beliebige Spalten ergänzen. Das ist meine Empfehlung, nach Artikel 30 ein Verfahrensverzeichnis einfach und kompakt zu erstellen. Mit diesen Feldern haben Sie auch relativ wenig Aufwand, die Verfahren zu beschreiben.
Hier finden Sie eine Vorlage als Excel, die Sie gerne übernehmen können.
Update Mai 2019! Die Vorlage wurde überarbeitet, damit diese mit der Ergänzung der Datenschutzfolgenabschätzung (DSFA) zusammen passt.
Download Muster Verfahrensverzeichnis in Excel
Vor-ausgefülltes Verfahrensverzeichnis
Vorgehensweise zur Befüllung
Je nach Unternehmensgröße befüllen Sie das Verfahrensverzeichnis entweder alleine oder gemeinsam mit Kollegen. In größeren Unternehmen ist es die Aufgabe des Datenschutzbeauftragten, sich darum zu kümmern. Für unsere Kunden bevorzugen wir die Erstellung des Verfahrensverzeichnisses im Rahmen von Interviews. In Gesprächen mit den Abteilungsleitern der Unternehmen hinterfragen wir ihre Prozesse auf die Verarbeitung personenbezogener Daten. Relativ oft kommt man an die Stelle, dass im Verfahren eine dritte Partei als externer Auftragsverarbeiter eingebunden ist. Diese Information ist wertvoll für die Erstellung der Verträge zur Auftragsdatenverarbeitung. Ergänzen Sie diese Notiz in Ihrer Dokumentation an geeigneter Stelle.
Grundsätzlich kann ich Ihnen als Vorgehensweise empfehlen, sich an den Prozessen des Unternehmens „durchzuhangeln“. Auch wenn Sie kein dokumentiertes QM-System haben, haben Sie doch Abläufe, die Sie regelmäßig ausführen. Gehen Sie diese gedanklich durch und erfassen Sie im Verfahrensverzeichnis die Verarbeitungen personenbezogener Daten.
Eine Anleitung mit Beispielen finden Sie auf meinem YouTube Kanal unter DSGVO Webinar: YouTube Kanal Regina Stoiber
Das erweiterte Verfahrensverzeichnis
Das hier verlinkte Muster, auf das sich auch der Onlinekurs bezieht, ist ideal für kleine und mittelständische Unternehmen und erfüllt, wie schon angemerkt, die gesetzlichen Anforderungen. Mit komplexeren Tätigkeiten in der Verarbeitung von personenbezogenen Daten oder mit zunehmender Unternehmensgröße reicht diese einfach Liste jedoch oft nicht mehr aus.
Seit Einführung der DSGVO haben sich konkrete Anforderungen herausgebildet. So ist zum Beispiel eine TIA (Transfer Impact Analysis) für Verarbeiter in Drittstaaten notwendig. Hier handelt es sich um eine spezielle Risikoanalyse, um das nur als ein Beispiel anzuführen.
Diese umfangreicheren Vorlagen stellen wir Ihnen natürlich auch gerne zur Verfügung und möchten Ihnen sogar noch mehr Unterstützung anbieten. Aus diesem Grund haben wir den DSB Experten Club ins Leben gerufen. Hier treffen Datenschutzbeauftragte oder Verantwortliche zusammen und haben Zugriff auf eine umfangreiche Knowledge Datenbank an Vorlagen. Regelmäßig gibt es aktuelle Updates im Forum und einen Live-Austausch mit den anderen Teilnehmern.
Haben wir Ihr Interesse geweckt? Dann sehen Sie sich doch mal im DSB Experten Club um.
Wie sind Ihre Erfahrungen?
Arbeiten Sie schon an einem Verfahrensverzeichnis? Wie haben Sie es bisher gelöst? Wo sind Ihre größten Hürden in der Praxis?
Schreiben Sie mir einen Kommentar!
Brauchen Sie Unterstützung?
Wir begleiten Sie gerne bei der Umsetzung der DSGVO Anforderungen in Ihrem Unternehmen. Egal ob als externer Datenschutzbeauftrage(r) oder begleitend bei der Implementierung der Datenschutzanforderungen. Melden Sie sich bei uns über unsere Online-Anfragen oder vereinbaren Sie direkt einen kostenlosen online Erst-Termin.
Hallo Frau Stoiber,
ein gelungener Artikel. Kurz und knapp beschreiben Sie, worum es geht.
Allerdings „sprechen“ Sie recht neutral die/den „Sie“ an. Ich glaube, es wäre nützlich, wenn im Beitrag herauskommt, dass der Verantwortliche das Verzeichnis zu erstellen hat und nicht der Datenschutzbeauftragte. Das ist nämlich häufige Praxis in Unternehmen, der Datenschutzbeauftragte soll es richten.
Gerhard
Hallo Herr Pundt,
vielen Dank für Ihren Kommentar. Das ist eine sehr gute Anregung. Ich hab’s gleich noch im Artikel ergänzt.
Viele Grüße
Regina Stoiber
Super Vorlage… gibt es diese auch als Excel / Google Docs Dokument zum direkten kopieren?
Danke! Ich hab’s im Artikel ergänzt. Jetzt steht die Vorlage auch als Excel zur Verfügung.
Meine Meinung als Einzelunternehmer/Solopreneur ist: Sollte eine Bombe auf das EU-Parlament fallen und alle Politiker töten, die die DSGVO auf den Weg gebracht haben – ich würde nicht weinen.
Letztendlich ist der Aufwand für kleine Unternehmen mit hier einer neuen „Schutz“-Vorschrift, da einer kleinen „Schutz“-Vorschrift ein riesiger Sandhaufen und echter Sand im Getriebe. Dieser ungeheure Aufwand frißt zeitliche Ressourcen der arbeitswilligen Bevölkerung ohne einen „Schutz“ zu erzeugen, den irgendjemand braucht und haben will. Wer will denn beim Besuch von Webseiten demnächst alles Mögliche zustimmenderweise oder nicht zustimmenderweise anklicken und wegklicken müssen? – Das will fast Niemand, das schafft nur eins: Politik- und Demokratie-Verdrossenheit. Und sichert auch nur eins: Den Politikern eine Platz auf der Ansehensrangliste am unteren Ende.
Danke vielmals für die Excel-Datei, super!
Sehr gerne! Danke für die nette Rückmeldung!
Hallo Frau Stoiber,
vielen Dank für diesen tollen Artikel und auch die Vorlage! Ich habe noch eine Frage dazu: Ich bin Bloggerin (mit Kleinunternehmen, also inkl. Shop). Auf meinem Blog speichere ich also Kundendaten (die ich ja auch aufbewahren muss) und auch Daten von Kommentatoren.
Muss ich letztere auch in dem Verfahrensverzeichnis verzeichnen? Und muss das rückwirkend geschehen?
Reicht es, wenn ich einmal in dem Verzeichnis angebe, dass Kommentare soundso gespeichert werden, oder muss ich neue Kommentare mit aufzeichnen? Stellt das nicht selbst eine unnötige Datensammlung dar?
Im Bloggerland regen sich alle nur auf, keiner weiß es. Vielleicht können Sie da helfen?
Ach ja, eine DSGVO-Checkbox für sämtliche Formulare auf dem Blog und Shop habe ich bereits eingerichtet.
Vielen Dank und viele Grüße,
Sonja
Hallo Sonja,
danke für das positive Feedback. Freut mich sehr.
Ganz wichtig, es müssen KEINE einzelnen Kommentare in der Liste aufgenommen werden. Also ist es für das Verfahrensverzeichnis egal, ob es „alte“ oder „neue“ Kommentare sind.
Es gibt ein Verfahren, das heißt z.B. „Kommentare“ und dient dem Zweck, Interaktion auf dem Blog und Diskussion / Austausch aufzubauen. (So irgendwie wäre meine Beschreibung). Dann beschreiben Sie noch allg. welche Daten gesammelt werden, also in der Regel: E-mail Adresse, Kommentar, Name, ggf. Domain URL und IP-Adresse. Betroffene Personengruppe: Webseitenbetreiber. Wie lange Sie die Kommentare speichern liegt an Ihnen. In der Regel so lange, wie es Ihre Internetseite gibt. Sie wollen ja die Kommentare nicht löschen, denke ich. Wäre ja auch nicht sinnvoll. Ein Blog lebt ja davon.
Also nur eine allg. Beschreibung des Verfahrens „Kommentare auf dem Blog“ und fertig. Das haben Sie in 3 Minuten 🙂
Hoffe, ich konnte Ihnen weiter helfen.
LG Regina
Oh super, vielen Dank! Dann ist das ja gar nicht so der Aufwand. Danke auch für das Template! 🙂
Viele Grüße,
Sonja
Vielen lieben DANK!!!!! für Deine Hilfe und Unterstützung vor allem auch von so kleinen Hobby-Bloggerinnen wie mir! DANKESCHÖN!! Mit lieben Grüßen! Nicole PS. Deine Ergänzung zu den Komentaren hilft mir schon sehr!!!! – Denn das ist eigentlich auch die einzige Datensammlung bei mir *zwinker*
Liebe Nicole,
das freut mich sehr, wenn dir die Inhalte weiter helfen. Dann lohnt es sich zu schreiben 🙂
LG Regina
Guten Tag,
vielen lieben Dank für diesen sehr hilfreichen Beitrag.
Ich frage mich jedoch noch, ob man auch zu diesem Verfahrensverzeichnis verpflichtet ist, wenn man als Autor eine minimalistische Website betreibt auf der es lediglich einige Infos zum Buch und einen Link zum Verlag, wo es gekauft werden kann gibt. An sich wird kein Verkauf oder ähnliches auf der Seite betrieben.
(Zusätzlich gibt es eine Emailadresse für die Kontaktaufnahme und ein Gästebuch, wo in der Datenschutzerklärung (+ Kästchen) hingewiesen wird, dass der angegebene Name und Kommentar dauerhaft gespeichert werden)
Dankeschön für die Rückmeldung.
Es gibt die Ausnahme, wenn sie weniger als 250 Mitarbeiter haben oder personenbezogene Daten nicht regelmäßig verarbeiten. Sobald man aber eine Webseite betreibt, verarbeitete man ja personenbezogene Daten regelmäßig. Wenn Sie das nicht haben, brauchen Sie kein VVZ.
Ich denke, wenn es bei Ihnen aber so minimalistisch ist, dann haben Sie das VVZ in Kürze erstellt. Speichern es ab und fertig 😉
Hallo,
vielen Dank für den Beitrag!
Leider bin ich mir immernoch unschlüssig.
Ich betreibe einen Hobby-Buchblog, mit dem ich kein Geld verdiene. Google Analytics habe ich entfernt, die Kommentarfunktion werde ich zum 25.05. ausschalten, Affiliates habe ich keine und für Newsletter habe ich nur einen Link zu Feedburner, bei dem man ja die Auswertung für die Statistik auch abschalten kann. Ich habe ehrlich gesagt keine Ahnung, WAS ich genau in das Verzeichnis schreiben muss, da ich AKTIV keine Daten auswerte, speichere oder Ähnliches. Können Sie mir eventuell sagen, wie ich mich zu verhalten habe?
Viele Grüße 🙂
Hallo Jacqueline,
dann ist wirklich die Frage, ob tatsächlich ein Verfahrensverzeichnis nötig ist. Wenn Sie sonst nichts machen und auswerten, ist es wahrscheinlich wirklich nicht nötig.
Grundsätzlich ist ja mit Blogspot auch noch zu verfolgen, wie das ganze sich weiter entwickelt. Mir ist aber aufgefallen, dass die Datenschutzerklärung nicht up-to-date ist. Da wäre aber sicherlich der freie e-recht24 Generator ganz hilfreich.
LG Regina
Liebe Regina,
vielen lieben Dank für Ihre Antwort und den Hinweis. Habe den Datenschutz aktualisiert und hoffe, dass ich alles richtig gemacht habe 😀 Also falls Ihnen noch etwas auffallen sollte, bin ich für jeden Hinweis dankbar 😀
Generell habe ich vor, den 25.05. abzuwarten um zu sehen, ob Blogspot noch ein paar Änderungen mit sich bringt. Ansonsten wird ein Umzug wohl unausweichlich. Leider weiß ich nicht wirklich, was die sicherste Lösung wäre. ich vermute, das wird uns wirklich erst das Go-Live zeigen. Viele raten mir dazu, zu WP zu wechseln, aber selbst hosten? Oder reicht managed über 1 und 1 oder Strato? Und wo finden sie Fachleute, denen man dann den letzten „Feinschliff“ übertragen kann, bzw. beauftragen kann? Fragen über Fragen… Sie sehen, ich bin wirklich froh, wenn es dann soweit ist und klar wird, wo die Reise letztlich hinführt. Ist leider sehr nervenaufreibend, wenn man technisch nicht so versiert ist 😀
Liebe Grüße und einen schönen Abend an Sie!
Jacqueline
Liebe Regina,
vielen Dank für den tollen Artikel! Ich habe da aber noch eine etwas grundlegende Frage und hoffe, Sie können hier etwas Licht in diese für mich noch eher dunkle Kammer der DSGVO bringen. Ich habe einen nichtkommerziellen Blog bei Blogspot und wie so viele andere auch sammle ich selbst aktiv keine Daten. Ich selbst kann nicht mal genau sagen, WELCHE Daten genau durch Blogspot erhoben werden (durch die automatische Statistik, die man nicht abstellen kann oder durch Kommentarfunktion, etc). Liege ich richtig, wenn ich meine, dass ich das erst durch den AV erfahren werde (den es allerdings noch nicht gibt) und erst anhand dessen dann eigentlich das Verfahrensverzeichnis erstellen kann?
Liebe Conny,
vielen Dank für dein nettes Feedback. Genau, die Infos müssen von Blogspot kommen und sollten im AVV enthalten sein. Alternativ können die ganzen Infos auch in einer Datenschutzerklärung von Blogspot aufgelistet sein (dort sollten sie eigentlich zusätzlich stehen). Aber meines Wissens hat Blogspot bisher da noch keine Infos raus gegeben. Hoffe, das ändert sich bald.
LG Regina
Liebe Regina
vielen Dank für diesen ausführlichen Beitrag. Ich habe mir bereits viele wichtige und hilfreiche Tipps bei einem anderen sehr lieben Menschen eingeholt, der eine engelsgeduld mit mir und meinen Fragen hat. Hier habe ich nun noch weitere Antworten auf meine Fragen erhalten. Jedoch bin ich trotzdem noch nicht so richtig überzeugt von meinem Verzeichnis. Ich teste und stelle Produkte in einem Blog vor und hoffe, dass ich mit meinem Verzeichnis nun alles richtig gemacht habe. Da ich meinen Blog auch auf Blogspot habe ist dies für mich eine etwas unsichere Sache. Mein Blog besteht nun schon seit 7 Jahren und will ihn ungerne aufgeben. Gäbe es denn jemand, der sich so ein Verzeichnis mal anschauen könnte, wenn es erstellt ist?
Liebe Grüße
Manuela
Liebe Manuela,
gerne schauen wir uns dein Verfahrensverzeichnis an, wenn du magst. Wir machen das meistens im Rahmen eines gemeinsamen Onlinemeetings. Dauer ca. 1 – 2 Stunden.
Schreib mir eine E-mail, falls das für dich interessant ist.
LG Regina
Hallo Frau Stoiber, vielen Dank für Ihren Artikel! Ich habe mich jetzt schon auf verschiedenen Wegen versucht über die neue DSGVO zu informieren, blicke aber ehrlich gesagt immer noch nicht ganz durch. So betreibe ich nebenher ein Kleingewerbe (Erstellen und Betreuen von Websites). Ich selbst habe keine Website (Kunden bekomme ich über Empfehlungen) und verarbeite/nutze personenbezogene Daten eigentlich nur beim Rechnungschreiben und bei der Kommunikation mit dem Kunden (E-Mail / Telefon). Muss ich da ein Verfahrensverzeichnis führen? Herzliche Grüße!
Ich würde auf Nummer sicher gehen und ein VVZ erstellen. Das ist ja dann bei Ihnen minimal. Haben Sie z.B. Zugriff auf Analysedaten der Kundenwebseiten, z.B. google Analytics und co? Oder haben Ihre Kunden Plugins im Einsatz, die personenbezogene Daten verarbeiten und Sie haben darauf Zugriff. Dann sind Sie damit auch Auftragsverarbeiter.
Das VVZ ist gar nicht so tragisch, wie es im ersten Moment zu sein scheint 🙂
Viele Grüße
Regina Stoiber
Liebe Frau Stoiber, danke für diesen informativen Artikel. Ein paar Fragen bleiben für mich offen:
1. Müssen die Verfahren unter einer gesonderten Überschrift namens „Verfahrensverzeichnis“ als Teil der Datenschutzbestimmung auf unserer Webseite beschrieben werden, oder fließen diese Beschreibungen an den entsprechenden Stellen ein (z. B. im Abschnitt Cookies, im Abschnitt Newsletter etc.)?
2. Wir betreiben ein öffentliche Webseite, auf der man sich in einen passwortgeschützten Bereich einloggen kann, um dort Fotos mit der Familie zu teilen. Müssen die Verfahren auch für den privaten Bereich beschrieben werden?
3. Wir nutzen Facebook, allerdings ohne Plugins/Pixels etc., sondern nur zum Chat mit Kunden, ohne Messenger. Ich finde keine Infos darüber, ob Facebook diese Chatdaten auch ohne Plugin speichert bzw. dabei Personendaten abgreift. Gehört diese Kommunikationsform dennoch ins Verfahrensverzeichnis?
Ich danke Ihnen sehr herzlich im Voraus für Ihre Antwort. Es ist sehr hilfreich, dass es eine (aktive!) Webseite wie die Ihre gibt.
1. Das Verfahrensverzeichnis erstellen Sie erst mal für sich und geben es nicht der Öffentlichkeit preis. Die Informationen daraus benötigen Sie aber dann später für die Informationspflicht. Einen Teil dieser Informationspflicht deckt – wie Sie schon sagen – die Datenschutzerklärung auf Ihrer Webseite ab.
2. Genau, die Verfahren müssen auch für den internen Bereich beschrieben werden. Genauso müssen Sie die Verfahren auch für alle Prozesse beschreiben, die bei Ihnen intern im Unternehmen laufen, wenn diese personenbezogene Daten verarbeiten.
3.Ich würde den FB Chat schon als Verfahren beschreiben. Ein Verfahren richtet sich nicht danach, ob ein Plugin oder eine Software verwendet wird. Es geht beim Verfahren nach der Frage, ob personenbezogene Daten verarbeitet werden. Das könnte z.B. auch rein in Papierform sein. Die Organisation der Mitarbeiterdaten z.B. in einer Personalakte (Papier) ist auch ein Verfahren, auch wenn es überhaupt nicht IT-gestützt ist. Das ist, wie gesagt, kein Indikator. Sie müssen immer die Frage nach der Verarbeitung von personenbezogenen Daten stellen, ganz unabhängig des „Wie’s“ im ersten Schritt.
Danke für die netten Worte!
Viele Grüße
Regina Stoiber
hallo Frau Stoiber, herzlichen Dank für die Infos zum Verfahrensverzeichnis. Ich betreibe meinen blogspot-blog mit Rezensionen und Buchvorstellungen. Lediglich die Kommentarfunktion ist noch in Betrieb. So wie ich oben in den anderen Kommentaren bereits gelesen habe, ist da kein Verfahrensverzeichnis notwendig?
Ansonsten hoffe ich, dass blogger zeitgerecht alles fertig hat, dass wir blogspot-blogger weiter bloggen können 😉 Herzliche Grüße Sabine
Liebe Regina,
vielen Dank für Ihren hilfreichen Artikel, die Vorlage und auch die Antworten auf die Kommentare.
Hallo Frau Stoiber,
vielen Dank für Ihren Beitrag und das Excel-Formular, dass ich für meinen Verein verwenden werde.
Meine Frage: Muss ich meine bestehenden Mitglieder informieren, dass ich ihre Daten erhoben habe, oder genügt es, das Verfahren auf die Neumitglieder zu beschränken.
Für Ihre Antwort im Voraus vielen Dank!
Beste Grüße
Detlev Nitsche
Die Informationspflicht sprechen Sie an, oder? Die müssen Sie nur für die Neumitglieder aktiv zur Verfügung stellen. Ich würde allerdings auch bei Gelegenheit – vielleicht auf einer (Haupt-)Versammlung das Thema einfach mal ansprechen und vielleicht einen Link angeben, an dem die Informationspflicht einsehbar ist.
Danke für diesen Artikel. Er hat mir in Verbindung mit dem Webinar gestern erst klar gemacht was wirklich alles in ein Verzeichnis muss. War sogar verständlicher als in einem teuren Guide den ich mir schon vor Wochen gekauft habe.
Allerdings habe ich eine Frage zu den Spalten „Übertragung und Speicherung“.
Zählt hier nur, wenn ich Daten aktiv weitergebe?
Wenn ich ein Newslettertool verwende, ist dann nicht das Newslettertool der Empfänger der Daten?
Wenn ich einen Server habe auf dem ich Kontakt Formulardaten in einer Datenbank speichere. Ist dann nicht der Server und die Datenbank darauf der Empfänger der Daten?
Oder geht es wirklich nur um Vorgänge bei denen aktiv Daten zu andere Gruppen übertragen werden und nicht um technische Empfänger?
Freut mich, wenn meine Arbeit hilfreich ist 🙂
Ja, ich würde in die Felder „Empfänger“ nur diejenigen schreiben, die aktiv die Daten für weitere Zwecke erhalten. Alle anderen, also der Newsletterdienstleister und der Provider für den Webspace sind ja schon als Auftragsverarbeiter genannt und definieren im AVV ihre Schutzmaßnahmen. Hier passiert ja keine aktive Weitergabe, sondern nur eine Ermöglichung der Verarbeitung.
Hallo Frau Stoiber, tolle Seite – vielen Dank für die hilfreichen Tipps! Eine Frage: Muss ich im Verfahrensverzeichnis auch aufnehmen, wenn ich Tel.Nr. handschriftlich notiere also diese nicht im PC abspeichere?
LG Yvonne
Erwägungsgrund 15 sagt dazu folgendes:
Der Schutz natürlicher Personen sollte für die automatisierte Verarbeitung personenbezogener Daten ebenso gelten wie für die manuelle Verarbeitung von personenbezogenen Daten, wenn die personenbezogenen Daten in einem Dateisystem gespeichert sind oder gespeichert werden sollen. 3Akten oder Aktensammlungen sowie ihre Deckblätter, die nicht nach bestimmten Kriterien geordnet sind, sollten nicht in den Anwendungsbereich dieser Verordnung fallen.
Das heißt, notieren Sie die Kontakte in alphabetischer Reihenfolge, dann sind sie relevant. Liegt keine Sortierung vor, dann brauchen Sie nicht ins Verfahrensverzeichnis 😉 Ich finde diesen Punkt ganz witzig. Aber so steht’s in der DSGVO!
danke für den Artikel, ich hoffe das ich das Verzeichnis erstellen kann, da ich weder Kommentare noch Folgemöglichkeiten, auch keine Statistik habe, überlege ich was da überhaupt rein muss.
Die Webseite selber ist auf jeden Fall ein eigenes Verfahren, ggf. die Webseitenanalyse, E-mail Kommunikation….
Hallo Frau Stoiber,
vielen Dank für diesen tollen und informativen Beitrag. Darf ich fragen, ob meine Follow me Buttons in der Sidebar (facebook, insta usw.) auch in das Verzeichnis, bzw. auch in die Datenschutzerklärung müssen? Es sind Links zu meinen Profilen.
Lieber Gruß
Nein, ins Verzeichnis würde ich die nicht packen. Wenn es reine Links (ohne Plugins im Hintergrund sind), müssen diese auch nicht in die Datenschutzerklärung. Eine allgemeine Passage in der DSE zu den sozialen Kanälen würde ich empfehlen.
LG
Guten Tag Frau Stoiber, auch von mir nochmal herzlichen Dank für diesen Artikel, der hilft mir sehr. Ich habe eine Frage zu den Speicherdauer/Löschfrist – welche ist denn rechtlich durch die DSGVO festgelegt worden? Dann würde ich diese, nehme ich an, immer in das Verfahrensverzeichnis eintragen oder?
Danke für Ihre Hilfe.
Herzliche Grüße,
Kathalin
Hallo Frau Stoiber, noch eine ergänze Frage: was muss ich in die blau markierten Felder „Absicherung der Daten im Verfahren“ im VVZ reinschreiben?
Danke auch für diese Info.
Herzliche Grüße,
Kathalin
Ich danke ihnen Frau Stoiber,
jetzt habe ich auch verstanden, was ich in mein Verzeichnis schreiben muss. Grade als kleiner Blogger ist das ja auch ein Wald mit zu vielen Bäumen 😉 Aber dank ihnen habe ich es verstanden.
Herzlichen Dankk.
Vanessa
Liebe Frau Stoiber,
ich bin glücklich, dass ich Ihre Seite gefunden habe! Leider erst heute, aber besser spät als gar nicht. Eine Frage, da ich einen in Spanien eingetragenen Onlinehandel habe: kann ich das Verfahrensverzeichnis auch in deutscher Sprache führen oder ist die jeweilige EU-Landessprache obligatorisch? Leider gibt es in Spanien nicht annähernd so tolle Info-Seiten wir die Ihre. Herzlichen Dank dafür!
Da bin ich nicht 100%ig sicher. Ich glaube, das muss dann spanisch sein. Aber fragen Sie da besser nochmal bei der Behörde nach. Tut mir leid, dass ich Ihnen da nichts definitives sagen kann.
Danke, Sie sind ein Lebensretter! 🙂
Hallo Frau Stoiber,
vielen Dank für diesen ausführlichen Artikel! Leider habe ich immernoch ein großes Fragezeichen im Kopf, da ich mich nicht einordnen kann. Ich habe ein Kleinunternehmen (im Nebengewerbe) angemeldet, allerdings ohne eigene Webseite, Onlineshop oder auch Mitarbeiter. Lediglich bei Facebook(Fanseite z.Zt. auf unsichtbar geschaltet, weil ich nicht weiß, was genau ich da ändern muss) und Instagram bin ich vertreten. Den größten Teil meiner Kunden bekomme ich durch Mund-zu-Mund-Propaganda sowie im persönlichen Kontakt auf Märkten und Messen. Die Kontaktdaten werden in einem Kundenbuch notiert und nicht an Dritte weitergegeben.
Ich bin jetzt wirklich unsicher, wie ich vorgehen soll und wäre für jeden Tipp sehr dankbar!
Viele Grüße
Dann würde ich im Verfahrensverzeichnis die klassischen Verfahren wie E-mail Kommunikation, ggf. Chat Kommunikation (über FB und Instagram), Kundenbuch / Kontaktverwaltung, Rechnungsstellung beschreiben.
Wenn es nicht mehr sind, dann ist das ja auch ok.
Gut erklaert! Vielen Dank!
Sehr gerne! Danke Dir! 🙂
Knapper, aber prägnanter Artikel besten Dank dafür!
Die guten Antworten auf die Kommentare sind teils sogar schon nützlicher als der Artikel selbst. Danke für alles! Seiten wie diese machen den Datenschutz-Dschungel so viel klarer.
Sehr guter Beitrag. Super erklärt!
Viele Grüße
Herzlichen Dank!
Danke für die Ausführliche Blog. Nun habe ich jetzt eine frage… im Internet gibt sowas wie DSGVO Creator. Du tippst ein par Daten von dir ein und es wird dir ein DS. Generiert. Wie nützlich und rechtlich sicher sowas? Könnte mir jemand da vielleicht helfen? Sollte man sich lieber für sowas ein Anwalt nehmen? Ich meine um ein Datenschutzerklärung zu schreiben?
Wenn wir jetzt nur von der Datenschutzerklärung für die Webseite sprechen, dann würde ich da sagen, dass man mit den Generatoren (je nach Anbieter) ca. 70-90% der Anforderungen abdeckt. Das wichtigste ist, dass man die Webseite gut kennt und weiß, was man ankreuzen muss. Unsere Erfahrung ist, dass wir immer wieder Aufträge zur Erstellung einer DSE von Webdesignern erhalten, die uns Infos über die Webseite geben. Diese Infos sind aber nicht vollständig. Weil z.B. der Webdesigner auf der Webseite ein Plugin eingebunden hat und gar nicht weiß, dass bzw. welche Daten das Plugin wohin überträgt. Diese Infos sind essentiell für eine Datenschutzerklärung.
Bei solchen individuellen oder eher nicht so häufigen Plugins kann auch der Generator nicht mehr helfen.
Wir nutzen für unsere Kunden auch DSE-Generatoren, analysieren aber vorher die Webseite und ergänzen dann die restlichen Passagen manuell in der Datenschutzerklärung. Wenn man weiß, was die restlichen Datenflüsse und Datenverarbeitungen sind, braucht man keinen Anwalt. Was in so einer Passage drin stehen muss, sagt Artikel 13 der DSGVO exakt aus. Wenn man sich danach richtet, kann man das auch selber machen.
Sollte sich die Frage generell auf die Informationspflicht nach Art. 13 und Art. 14 beziehen (also nicht nur auf den Teilbereich Datenschutzerklärung auf der Webseite), dann wäre ich mit einem Generator zurückhaltend.
Ich hoffe, ich konnte Ihnen mit der Antwort weiter helfen.
Viele Grüße
Regina
Wie oft sollte man die DSGVO ändern bzw. Aktuell halten?
MfG.
Hallo Jan,
„DSGVO ändern“ wäre ja das Gesetz zu ändern. Aber ich glaube die Frage zielt darauf ab, wie oft das Verfahrensverzeichnis aktualisiert werden sollte, oder? Auf jeden Fall sollte einmal jährlich ein Audit mit Prüfung des Verfahrensverzeichnisses durchgeführt werden.
Wenn ein neues Verfahren geplant ist oder implementiert wird (z.B. Einführung einer neuen zentralen Software), sollte das gleich bei der Umsetzung / Planung in Bezug auf den Datenschutz aktualisiert werden.
Ich hoffe, das beantwortet die Frage.
VG Regina
Super erklärt, vielen Dank.
Hallo Leute! Wenn ihr euch mit Datenschutzverfahren herumschlagen müsst, hat der Autor etwas für euch! Schaut euch dieses tolle Verzeichnis mit Mustervorlagen an, das er gefunden hat. Es ist ein Lebensretter für alle Ihre Datenschutzbedürfnisse
Danke, Sie sind ein Lebensretter! 🙂