Verarbeitungsverzeichnis – So legen Sie los
Das Verarbeitungsverzeichnis (VVT) ist die wichtigste Pflichtdokumentation der DSGVO. Wenn eine Datenschutzbehörde bei Ihnen anfragt, ist das die erste Datei, die sie sehen will. Mit Hugo DSB legen Sie ein vollständiges VVT in 30 bis 60 Minuten an – ohne Excel-Liste, ohne Word-Vorlage, ohne juristische Vorbildung.
Was ist ein VVT?
Abschnitt betitelt „Was ist ein VVT?“Das Verarbeitungsverzeichnis ist eine Liste aller Verarbeitungstätigkeiten in Ihrem Unternehmen, bei denen personenbezogene Daten verarbeitet werden. „Verarbeitung” heißt: erheben, speichern, ändern, übermitteln, löschen.
Pflicht ist es nach Art. 30 DSGVO – für alle Unternehmen ab 250 Mitarbeitern, und für alle anderen, sobald sie regelmäßig Daten verarbeiten (was praktisch immer der Fall ist).
Pro Verarbeitung müssen mindestens diese Punkte dokumentiert sein:
- Name des Verantwortlichen (Sie)
- Zweck der Verarbeitung (z. B. „Lohnabrechnung”)
- Kategorien betroffener Personen (z. B. „Mitarbeiter”)
- Kategorien personenbezogener Daten (z. B. „Stammdaten, Kontoverbindung, Steuer-ID”)
- Empfänger der Daten (z. B. „DATEV, Sozialversicherungsträger”)
- Drittlandtransfers (falls Daten in Nicht-EU-Länder gehen)
- Löschfristen (wann werden Daten gelöscht?)
- TOMs (welche Schutzmaßnahmen?)
Schritt 1: Modul öffnen
Abschnitt betitelt „Schritt 1: Modul öffnen“Loggen Sie sich in Hugo DSB ein. In der linken Navigation klicken Sie auf „Verarbeitungsverzeichnis”. Sie sehen eine leere Liste mit dem Hinweis „Noch keine Verarbeitungen angelegt”.
Klicken Sie oben rechts auf „Neue Verarbeitung anlegen”.
Schritt 2: Vorlage wählen (oder leer starten)
Abschnitt betitelt „Schritt 2: Vorlage wählen (oder leer starten)“Hugo DSB schlägt Ihnen zuerst Branchen-Vorlagen vor. 90 % der KMU haben dieselben 10–15 Verarbeitungen:
- Lohnabrechnung
- Bewerbermanagement
- Kundendatenverwaltung (CRM)
- Webseiten-Tracking
- Newsletter
- Telefonanlage / Telefonate
- Videoüberwachung
- Lieferantenverwaltung
- Finanzbuchhaltung
- E-Mail-Korrespondenz
- Microsoft 365 / Google Workspace
- Backups
Klicken Sie auf eine Vorlage – die Felder werden vorausgefüllt. Sie müssen nur noch die Namen Ihrer Dienstleister einfügen.
💡 Tipp für den Einstieg: Starten Sie mit „Lohnabrechnung”. Diese Verarbeitung haben fast alle Unternehmen, sie ist gut dokumentierbar, und Sie merken schnell, wie das Tool funktioniert.
Schritt 3: Felder ausfüllen
Abschnitt betitelt „Schritt 3: Felder ausfüllen“Das Formular führt Sie durch die acht Pflichtfelder. Hugo DSB hilft mit:
- Auswahllisten statt freier Eingaben (z. B. „Empfänger” mit allen typischen Optionen)
- Kontextuelle Erklärungen rechts neben jedem Feld
- Beispielen aus echten Unternehmen
- Validierung – Hugo DSB warnt, wenn Pflichtfelder leer sind
Beispiel „Lohnabrechnung”:
| Feld | Typischer Inhalt |
|---|---|
| Zweck | Berechnung und Auszahlung von Gehältern, Erfüllung steuer- und sozialversicherungsrechtlicher Pflichten |
| Rechtsgrundlage | Art. 6(1)(b) DSGVO (Vertrag), Art. 6(1)(c) DSGVO (gesetzliche Pflicht) |
| Betroffene | Mitarbeiter, Geschäftsführer, ggf. Praktikanten |
| Datenkategorien | Stammdaten, Kontodaten, Steuer-ID, Sozialversicherungsnummer, Familienstand, Krankenkasse, Arbeitszeitdaten |
| Empfänger | DATEV (oder anderer Lohndienstleister), Finanzamt, Krankenkasse, BG, Berufsständische Versorgungswerke |
| Drittland | Nein |
| Löschfrist | 10 Jahre nach Beendigung des Arbeitsverhältnisses (steuerrechtlich) |
| TOMs | Verschlüsselung der Übertragung, Zugriffsbeschränkung, Pseudonymisierung wo möglich |
Schritt 4: Speichern und nächste Verarbeitung
Abschnitt betitelt „Schritt 4: Speichern und nächste Verarbeitung“Klicken Sie auf „Speichern”. Die Verarbeitung erscheint in der Übersichts-Liste. Hugo DSB rechnet Ihren Compliance-Score automatisch hoch.
Wiederholen Sie das für die restlichen Verarbeitungen. Erfahrungsgemäß ist ein typisches KMU mit 10 bis 15 Verarbeitungen vollständig abgedeckt. Das schaffen Sie in einem halben Tag.
Schritt 5: Audit-fest machen
Abschnitt betitelt „Schritt 5: Audit-fest machen“Wenn Sie alle Verarbeitungen erfasst haben, klicken Sie auf „VVT exportieren”. Hugo DSB generiert ein PDF mit:
- Deckblatt (Firmenname, Stand, Verantwortlicher)
- Inhaltsverzeichnis
- Vollständigen Datenblättern pro Verarbeitung
- Audit-Trail (wer hat wann was geändert)
Dieses PDF legen Sie in Ihre Compliance-Akte. Wenn die Behörde anfragt, schicken Sie genau dieses Dokument.
„Muss ich JEDE Verarbeitung dokumentieren?” Ja, aber Hugo DSB macht es einfach. Statt 50 leere Excel-Felder ausfüllen zu müssen, beantworten Sie 8 Fragen pro Verarbeitung – mit vorbefüllten Vorschlägen.
„Mein Geschäft ist speziell – passen die Vorlagen?” Die Vorlagen sind ein Startpunkt. Sie können jedes Feld ändern. Branchen-Spezifika (z. B. „Telematikdaten” für Spediteure) können Sie als Custom Field ergänzen.
„Was, wenn ich später eine Verarbeitung ändere?” Hugo DSB führt automatisch ein Versionierungs-Log. Sie sehen, wann was geändert wurde, von wem, und können bei Bedarf zur alten Version zurück.
„Kann mein DSB das auch sehen?” Ja. Wenn Sie einen externen DSB haben, laden Sie ihn als „Datenschutzbeauftragter” ein. Er bekommt Lesezugriff auf alles, kann kommentieren, aber nichts versehentlich löschen.