Verarbeitungsverzeichnis in Excel? Was Art. 30 DSGVO wirklich fordert

Verarbeitungsverzeichnis in Excel
Categories:
Picture of Marcus Belke

Marcus Belke

CEO of 2B Advice GmbH, driving innovation in privacy compliance and risk management and leading the development of Ailance, the next-generation compliance platform.

Excel ist wahrscheinlich das am häufigsten verwendete Werkzeug für Verarbeitungsverzeichnisse in deutschen Unternehmen. Dies ist nachvollziehbar, birgt aber konkrete Risiken, die häufig unterschätzt werden. Denn nach Artikel 30 GDPR are Responsible persons und Auftragsverarbeiter dazu verpflichtet, zu dokumentieren, welche personenbezogenen Daten sie zu welchem Zweck, an welche Empfänger und mit welchen Schutzmaßnahmen verarbeiten. Wir erklären, warum Excel diese Anforderungen nur teilweise abbilden kann und welche Anforderungen ein VVT-Tool erfüllen sollte.

Verarbeitungsverzeichnis: Was Art. 30 DSGVO konkret verlangt

Die inhaltlichen Anforderungen des Art. 30 GDPR sind klar definiert: Das List of processing activities (VVT) muss unter anderem Name und Kontaktdaten des Verantwortlichen, Verarbeitungszwecke, Kategorien betroffener Personen und Daten, Kategorien von Empfängern, Übermittlungen in Drittländer sowie geplante Löschfristen enthalten.

Für Auftragsverarbeiter gelten nach Art. 30 Abs. 2 GDPR eigene, leicht abweichende Anforderungen, darunter auch eine allgemeine Beschreibung der technischen und organisatorischen Schutzmaßnahmen.

Art. 30 Abs. 5 GDPR sieht eine Ausnahme für Unternehmen mit weniger als 250 Mitarbeitern vor. Diese Ausnahme greift jedoch nicht, wenn die Processing ein Risiko für die Rechte und Freiheiten der Betroffenen birgt, nicht nur gelegentlich erfolgt oder besondere Kategorien personenbezogener Daten nach Art. 9 oder strafrechtliche Daten nach Art. 10 betrifft. In der Praxis erfüllen die meisten Unternehmen mindestens eines dieser Kriterien. Deshalb gilt die Pflicht zum VVT im Grunde für alle Unternehmen.

Was Aufsichtsbehörden beim VVT prüfen

Aufsichtsbehörden begnügen sich im Rahmen von Prüfungen nicht damit, festzustellen, ob ein VVT vorhanden ist. Sie prüfen auch, ob es vollständig ist, ob es dem tatsächlichen Stand der Verarbeitungstätigkeiten entspricht und ob Änderungen nachvollziehbar dokumentiert wurden.

Die Fähigkeit, auf Anfrage belegen zu können, dass ein bestimmter Prozess zu einem bestimmten Zeitpunkt korrekt dokumentiert war, ist dabei alles andere als ein theoretisches Detail. Sie wird bei Datenpannen, Beschwerden Betroffener oder anlassbezogenen Prüfungen praktisch relevant. Eine Excel-Datei ohne Versionierungshistorie liefert diesen Nachweis in aller Regel nicht.

Vier strukturelle Schwächen von Excel als VVT-Tool

Eine Excel-Tabelle kann die inhaltlichen Felder eines VVT abbilden. Was sie jedoch nicht leisten kann, sind die prozessualen und organisatorischen Anforderungen, die ein revisionssicheres Verzeichnis in der Praxis erfordert.

Fehlende Versionierung. Excel speichert standardmäßig nur den aktuellen Zustand. Wer hat wann welche Eintragung geändert? Was stand zum Zeitpunkt eines bestimmten Vorfalls in der Datei? Diese Fragen lassen sich mit einer einfachen Tabelle nicht zuverlässig beantworten – es sei denn, man betreibt manuell aufwendiges Versionsmanagement, das seinerseits fehleranfällig ist.

Fehlende granulare Data Access Control. Art. 5 Abs. 1 lit. f GDPR in Verbindung mit Art. 32 GDPR obligated Responsible persons, durch geeignete Technical and organizational measures ein angemessenes Schutzniveau zu gewährleisten. In der Praxis bedeutet das: Wer das VVT lesen darf, muss nicht zwingend berechtigt sein, es zu bearbeiten.Bestimmte Inhalte sollten zudem nicht für alle Mitarbeitenden sichtbar sein. Excel bietet hierfür keine ausreichend revisionssichere strukturelle Lösung.

Fehlende Verknüpfung mit verwandten Prozessen. Ein VVT steht nicht für sich allein. Es ist Ausgangspunkt für Datenschutz-Folgenabschätzungen, Grundlage für Auftragsverarbeitungsverträge und Referenz für Löschkonzepte. In einer Excel-Datei sind diese Zusammenhänge bestenfalls manuell durch Querverweise abgebildet – und damit fragil.

Begrenzte Skalierbarkeit. Unternehmen mit mehreren Gesellschaften, dezentralen Strukturen oder externen Datenschutzbeauftragten stoßen mit Excel schnell an organisatorische Grenzen. Wer pflegt welche Datei? Wie werden Änderungen konsolidiert? Wie wird sichergestellt, dass alle Beteiligten mit derselben aktuellen Version arbeiten?

Die häufigsten Gegenargumente für ein VVT-Tool und was dahintersteckt

„Wir haben nicht die Ressourcen für spezialisierte Software.”

Die relevante Frage ist, welche Ressourcen im Ernstfall gebunden werden: Die Stunden für die manuelle Rekonstruktion einer Änderungshistorie, der interner Abstimmungsaufwand bei einem Audit oder die externe Unterstützung bei der Documentation one Data breach sind in aller Regel deutlich kostspieliger als der Einsatz eines geeigneten Tools.

„Unser VVT ist überschaubar.”

Auch kleinere Verarbeitungsverzeichnisse profitieren von einer strukturierten Documentation. Verarbeitungstätigkeiten wachsen mit dem Unternehmen oft schneller, als das Verzeichnis mitgeführt wird.

„Wir kommen damit zurecht.”

Das stimmt bis zu einem gewissen Punkt. Solange kein Audit stattfindet, keine Data breach eintritt und der zuständige Datenschutzbeauftragte die Lücken durch persönlichen Mehraufwand kompensiert, bleibt das Problem unsichtbar. Das bedeutet aber nicht, dass es nicht vorhanden ist.

Fünf Anforderungen an ein revisionssicheres VVT-Tool

Ein VVT-Tool, das den praktischen Anforderungen gerecht wird, sollte mindestens die folgenden Funktionen bieten:

  • Revisionssichere Änderungshistorie: Jede Änderung wird mit Zeitstempel und Benutzer protokolliert.
  • Rollenbasierte Zugriffsrechte: Lese- und Schreibrechte lassen sich differenziert vergeben.
  • Multi-client capability: Mehrere Gesellschaften oder Organisationseinheiten lassen sich in einer gemeinsamen Oberfläche abbilden.
  • Verknüpfung mit verwandten Prozessen: DSFA, AVV und Löschkonzepte sind direkt mit den entsprechenden Verarbeitungstätigkeiten verbunden.
  • Exportfähigkeit: Das Verzeichnis kann auf Anfrage strukturiert und vollständig ausgegeben werden, ohne dass eine manuelle Aufbereitung erforderlich ist.


Diese Anforderungen sind nicht als Wunschliste zu verstehen, sondern als funktionale Mindestvoraussetzung für ein VVT, das im Prüfungsfall belastbar ist.

Was Ailance RoPA konkret umsetzt

Ailance RoPA wurde mit dem Anspruch entwickelt, genau diese Anforderungen strukturell zu erfüllen – jedoch nicht als starres System, sondern als anpassbare Lösung. Sie ist in enger Zusammenarbeit mit Datenschutzbeauftragten aus verschiedenen Branchen und Unternehmensgrößen entstanden. Das Tool bietet eine revisionssichere Documentation, eine granulare Zugriffssteuerung, Multi-client capability und eine direkte Verknüpfung mit relevanten Datenschutzprozessen.

Dabei lassen sich Felder, Workflows und Oberflächen vollständig an individuelle Anforderungen anpassen, anstatt Prozesse in ein vorgegebenes System zu pressen.

Fazit: Excel ist für viele Aufgaben ein leistungsstarkes Werkzeug. Als Grundlage für ein DSGVO-konformes Processing directory fehlen ihm jedoch die strukturellen Eigenschaften, die für Revisionssicherheit, System Access Control und Skalierbarkeit notwendig sind. Die zentrale Frage ist, wie lange ein Unternehmen bereit ist, das damit verbundene Prüfungsrisiko zu tragen.

Marcus Belke is CEO of 2B Advice and a lawyer and IT expert for Data protection and digital Compliance. He writes regularly about AI governance, GDPR compliance and risk management. You can find out more about him on his Author profile page.

Contact us
Tags:
,
Share this post :

Popular categories

Newsletter

Subscribe to our data protection newsletter to receive the latest updates, tips and insights straight to your inbox.
Subscribe

Latest posts