Marcus Belke
CEO di 2B Advice GmbH, che guida l'innovazione nella privacy conformità e di gestione del rischio e di guidare lo sviluppo di Ailance, la nuova generazione di prodotti per la salute. conformità piattaforma.
Excel ist wahrscheinlich das am häufigsten verwendete Werkzeug für Verarbeitungsverzeichnisse in deutschen Unternehmen. Dies ist nachvollziehbar, birgt aber konkrete Risiken, die häufig unterschätzt werden. Denn nach Artikel 30 GDPR sono Persone responsabili und Auftragsverarbeiter dazu verpflichtet, zu dokumentieren, welche personenbezogenen Daten sie zu welchem Zweck, an welche Empfänger und mit welchen Schutzmaßnahmen verarbeiten. Wir erklären, warum Excel diese Anforderungen nur teilweise abbilden kann und welche Anforderungen ein VVT-Tool erfüllen sollte.
Verarbeitungsverzeichnis: Was Art. 30 DSGVO konkret verlangt
Die inhaltlichen Anforderungen des Art. 30 GDPR sind klar definiert: Das Registro delle attività di trattamento (VVT) muss unter anderem Name und Kontaktdaten des Verantwortlichen, Verarbeitungszwecke, Kategorien betroffener Personen und Daten, Kategorien von Empfängern, Übermittlungen in Drittländer sowie geplante Löschfristen enthalten.
Für Auftragsverarbeiter gelten nach Art. 30 Abs. 2 GDPR eigene, leicht abweichende Anforderungen, darunter auch eine allgemeine Beschreibung der technischen und organisatorischen Schutzmaßnahmen.
Art. 30 Abs. 5 GDPR sieht eine Ausnahme für Unternehmen mit weniger als 250 Mitarbeitern vor. Diese Ausnahme greift jedoch nicht, wenn die Elaborazione ein Risiko für die Rechte und Freiheiten der Betroffenen birgt, nicht nur gelegentlich erfolgt oder besondere Kategorien personenbezogener Daten nach Art. 9 oder strafrechtliche Daten nach Art. 10 betrifft. In der Praxis erfüllen die meisten Unternehmen mindestens eines dieser Kriterien. Deshalb gilt die Pflicht zum VVT im Grunde für alle Unternehmen.
Was Aufsichtsbehörden beim VVT prüfen
Aufsichtsbehörden begnügen sich im Rahmen von Prüfungen nicht damit, festzustellen, ob ein VVT vorhanden ist. Sie prüfen auch, ob es vollständig ist, ob es dem tatsächlichen Stand der Verarbeitungstätigkeiten entspricht und ob Änderungen nachvollziehbar dokumentiert wurden.
Die Fähigkeit, auf Anfrage belegen zu können, dass ein bestimmter Prozess zu einem bestimmten Zeitpunkt korrekt dokumentiert war, ist dabei alles andere als ein theoretisches Detail. Sie wird bei Datenpannen, Beschwerden Betroffener oder anlassbezogenen Prüfungen praktisch relevant. Eine Excel-Datei ohne Versionierungshistorie liefert diesen Nachweis in aller Regel nicht.
Vier strukturelle Schwächen von Excel als VVT-Tool
Eine Excel-Tabelle kann die inhaltlichen Felder eines VVT abbilden. Was sie jedoch nicht leisten kann, sind die prozessualen und organisatorischen Anforderungen, die ein revisionssicheres Verzeichnis in der Praxis erfordert.
Fehlende Versionierung. Excel speichert standardmäßig nur den aktuellen Zustand. Wer hat wann welche Eintragung geändert? Was stand zum Zeitpunkt eines bestimmten Vorfalls in der Datei? Diese Fragen lassen sich mit einer einfachen Tabelle nicht zuverlässig beantworten – es sei denn, man betreibt manuell aufwendiges Versionsmanagement, das seinerseits fehleranfällig ist.
Fehlende granulare Controllo degli accessi ai dati. Art. 5 Abs. 1 lit. f GDPR in Verbindung mit Art. 32 GDPR obbligato Persone responsabili, durch geeignete Misure tecniche e organizzative ein angemessenes Schutzniveau zu gewährleisten. In der Praxis bedeutet das: Wer das VVT lesen darf, muss nicht zwingend berechtigt sein, es zu bearbeiten.Bestimmte Inhalte sollten zudem nicht für alle Mitarbeitenden sichtbar sein. Excel bietet hierfür keine ausreichend revisionssichere strukturelle Lösung.
Fehlende Verknüpfung mit verwandten Prozessen. Ein VVT steht nicht für sich allein. Es ist Ausgangspunkt für Datenschutz-Folgenabschätzungen, Grundlage für Auftragsverarbeitungsverträge und Referenz für Löschkonzepte. In einer Excel-Datei sind diese Zusammenhänge bestenfalls manuell durch Querverweise abgebildet – und damit fragil.
Begrenzte Skalierbarkeit. Unternehmen mit mehreren Gesellschaften, dezentralen Strukturen oder externen Datenschutzbeauftragten stoßen mit Excel schnell an organisatorische Grenzen. Wer pflegt welche Datei? Wie werden Änderungen konsolidiert? Wie wird sichergestellt, dass alle Beteiligten mit derselben aktuellen Version arbeiten?
Die häufigsten Gegenargumente für ein VVT-Tool und was dahintersteckt
„Wir haben nicht die Ressourcen für spezialisierte Software.”
Die relevante Frage ist, welche Ressourcen im Ernstfall gebunden werden: Die Stunden für die manuelle Rekonstruktion einer Änderungshistorie, der interner Abstimmungsaufwand bei einem Audit oder die externe Unterstützung bei der Documentazione uno Violazione dei dati sind in aller Regel deutlich kostspieliger als der Einsatz eines geeigneten Tools.
„Unser VVT ist überschaubar.”
Auch kleinere Verarbeitungsverzeichnisse profitieren von einer strukturierten Documentazione. Verarbeitungstätigkeiten wachsen mit dem Unternehmen oft schneller, als das Verzeichnis mitgeführt wird.
„Wir kommen damit zurecht.”
Das stimmt bis zu einem gewissen Punkt. Solange kein Audit stattfindet, keine Violazione dei dati eintritt und der zuständige Datenschutzbeauftragte die Lücken durch persönlichen Mehraufwand kompensiert, bleibt das Problem unsichtbar. Das bedeutet aber nicht, dass es nicht vorhanden ist.
Fünf Anforderungen an ein revisionssicheres VVT-Tool
Ein VVT-Tool, das den praktischen Anforderungen gerecht wird, sollte mindestens die folgenden Funktionen bieten:
- Revisionssichere Änderungshistorie: Jede Änderung wird mit Zeitstempel und Benutzer protokolliert.
- Rollenbasierte Zugriffsrechte: Lese- und Schreibrechte lassen sich differenziert vergeben.
- Capacità multicliente: Mehrere Gesellschaften oder Organisationseinheiten lassen sich in einer gemeinsamen Oberfläche abbilden.
- Verknüpfung mit verwandten Prozessen: DSFA, AVV und Löschkonzepte sind direkt mit den entsprechenden Verarbeitungstätigkeiten verbunden.
- Exportfähigkeit: Das Verzeichnis kann auf Anfrage strukturiert und vollständig ausgegeben werden, ohne dass eine manuelle Aufbereitung erforderlich ist.
Diese Anforderungen sind nicht als Wunschliste zu verstehen, sondern als funktionale Mindestvoraussetzung für ein VVT, das im Prüfungsfall belastbar ist.
Was Ailance RoPA konkret umsetzt
Ailance RoPA wurde mit dem Anspruch entwickelt, genau diese Anforderungen strukturell zu erfüllen – jedoch nicht als starres System, sondern als anpassbare Lösung. Sie ist in enger Zusammenarbeit mit Datenschutzbeauftragten aus verschiedenen Branchen und Unternehmensgrößen entstanden. Das Tool bietet eine revisionssichere Documentazione, eine granulare Zugriffssteuerung, Capacità multicliente und eine direkte Verknüpfung mit relevanten Datenschutzprozessen.
Dabei lassen sich Felder, Workflows und Oberflächen vollständig an individuelle Anforderungen anpassen, anstatt Prozesse in ein vorgegebenes System zu pressen.
Fazit: Excel ist für viele Aufgaben ein leistungsstarkes Werkzeug. Als Grundlage für ein DSGVO-konformes Elenco di elaborazione fehlen ihm jedoch die strukturellen Eigenschaften, die für Revisionssicherheit, Controllo degli accessi di sistema und Skalierbarkeit notwendig sind. Die zentrale Frage ist, wie lange ein Unternehmen bereit ist, das damit verbundene Prüfungsrisiko zu tragen.
Marcus Belke è amministratore delegato di 2B Advice, nonché avvocato ed esperto di informatica per Protezione dei dati e digitale Conformità. Scrive regolarmente di governance dell'IA, conformità al GDPR e gestione del rischio. Potete trovare maggiori informazioni su di lui sul sito Pagina del profilo dell'autore.
German 
English 
Italian 
French