DSGVO Pflichten

DSGVO in der Praxis – VVT und Informationspflichten¶

Dieser Abschnitt vertieft die wichtigsten und am häufigsten vernachlässigten DSGVO-Pflichten: das Verzeichnis von Verarbeitungstätigkeiten, die Informationspflichten gegenüber betroffenen Personen, die Pflicht zur IT-Sicherheit sowie die Melde- und Benachrichtigungspflichten bei Datenpannen. Wer diese Bereiche im Griff hat, hat den größten Teil seiner DSGVO-Hausaufgaben erledigt – und stellt fest, dass sich dabei vieles mit einer guten IT-Sicherheitspraxis überschneidet.

Das Verzeichnis von Verarbeitungstätigkeiten (VVT)¶

Was ist das VVT und wozu brauche ich es?¶

Das Verzeichnis von Verarbeitungstätigkeiten – kurz VVT – ist eine interne Dokumentation aller Vorgänge, bei denen du personenbezogene Daten verarbeitest. Es ist kein öffentliches Dokument, sondern eine interne Pflicht: Du führst es für dich selbst – und für den Fall, dass eine Datenschutzbehörde es anfordert.

Die Rechtsgrundlage findet sich in Art. 30 DSGVO. Dort steht auch, wer das VVT führen muss: grundsätzlich alle Verantwortlichen – also auch Selbständige. Eine Ausnahme gilt nur für Unternehmen mit weniger als 250 Mitarbeitern, wenn die Verarbeitung kein Risiko für Betroffene birgt, nicht regelmäßig erfolgt und keine besonderen Datenkategorien nach Art. 9 DSGVO betrifft. In der Praxis trifft diese Ausnahme die wenigsten Selbständigen – wer regelmäßig Kundendaten verarbeitet, einen Newsletter betreibt oder Gesundheitsdaten berührt, führt ein VVT.

Merksatz: Das VVT ist keine Bürokratiepflicht zum Abhaken – es ist das Fundament deiner DSGVO-Compliance. Wer weiß, was er verarbeitet, warum und wie, kann alle anderen Pflichten daraus ableiten.

Das VVT als Werkzeug – nicht nur für den Datenschutz¶

Das VVT hat einen Nutzen, der über die reine Compliance-Pflicht hinausgeht. Wer es sorgfältig führt, gewinnt einen Überblick über seine IT-Infrastruktur, der ihm auch in anderen Situationen hilft.

Im Krisenfall – etwa bei einem Ransomware-Angriff oder einem Gerätediebstahl – gibt das VVT sofort Auskunft: Welche personenbezogenen Daten sind betroffen? Wer ist als betroffene Person zu informieren? Welche Systeme speichern kritische Daten? Welche Dienstleister haben Zugang und müssen benachrichtigt werden? Diese Fragen lassen sich ohne ein gepflegtes VVT nicht schnell beantworten – und bei einer Datenpanne zählt jede Stunde, weil die DSGVO eine Meldefrist von 72 Stunden vorsieht (mehr dazu im Abschnitt Art. 33 und 34 – Meldepflichten bei Datenpannen).

Das VVT hilft also nicht nur dem Datenschutz, sondern auch der IT-Sicherheitsplanung und dem Notfallmanagement. Es ist kein Zufall, dass ein gut geführtes VVT und ein guter IT-Notfallplan dieselben Grundfragen beantworten: Was habe ich? Wo liegt es? Wer hat Zugang? Was passiert, wenn es wegfällt?

Was muss ins VVT?¶

Art. 30 Abs. 1 DSGVO schreibt vor, was das VVT mindestens enthalten muss:

Name und Kontaktdaten des Verantwortlichen – also dein Name, deine Adresse, deine E-Mail. Falls du einen Datenschutzbeauftragten hast (für Selbständige selten Pflicht, aber freiwillig möglich), kommt er hier ebenfalls rein.

Zwecke der Verarbeitung – Warum verarbeitest du die Daten? Beispiele: Vertragserfüllung, Rechnungsstellung, Newsletter-Versand, Kundenbetreuung, Buchhaltung. Jeder Zweck wird separat beschrieben.

Kategorien von betroffenen Personen – Wessen Daten verarbeitest du? Kunden, Interessenten, Lieferanten, Mitarbeiter, Websitebesucher?

Kategorien von personenbezogenen Daten – Welche Daten genau? Namen, Adressen, E-Mail-Adressen, Telefonnummern, Bankverbindungen, Gesundheitsdaten, IP-Adressen?

Kategorien von Empfängern – An wen werden Daten weitergegeben? Cloud-Anbieter, E-Mail-Dienste, Steuerberater, Zahlungsdienstleister? Hier sind auch Auftragsverarbeiter einzutragen.

Übermittlungen in Drittländer – Werden Daten in Länder außerhalb der EU übertragen? Wenn ja: an wen, auf welcher Rechtsgrundlage (z. B. Standardvertragsklauseln, EU-US Data Privacy Framework)?

Löschfristen – Wann werden die Daten gelöscht? Nicht jede Datenkategorie hat dieselbe Aufbewahrungsfrist. Rechnungen unterliegen der handelsrechtlichen Aufbewahrungspflicht von zehn Jahren. Bewerbungsunterlagen sollten nach sechs Monaten gelöscht werden. Newsletterdaten nach Abmeldung zeitnah.

Technische und organisatorische Maßnahmen (TOMs) – Wie schützt du die Daten technisch und organisatorisch? Verschlüsselung, Zugangsbeschränkungen, Backup-Konzept, Passwortrichtlinien. Diese müssen nicht im Detail im VVT stehen – ein Verweis auf ein separates TOM-Dokument reicht.

Wie baut man das VVT pragmatisch auf?¶

Das VVT muss kein juristisches Meisterwerk sein – es muss vollständig, ehrlich und aktuell sein. Für Selbständige reicht in der Regel eine strukturierte Tabelle oder ein einfaches Dokument.

Schritt 1: Verarbeitungstätigkeiten identifizieren

Geh durch deinen Arbeitsalltag und frage dich: Wann verarbeite ich personenbezogene Daten? Typische Antworten für Selbständige:

Kundenverwaltung (Kontaktdaten, Aufträge, Korrespondenz)
Rechnungsstellung und Buchhaltung
Newsletter und E-Mail-Marketing
Website (Kontaktformular, Cookies, Analytics)
Bewerbungen (falls du Subunternehmer oder Mitarbeiter suchst)
Lieferantenverwaltung
Videokonferenzen mit Kunden

Jede dieser Tätigkeiten wird zu einem eigenen Eintrag im VVT.

Schritt 2: Für jede Tätigkeit die Pflichtangaben ausfüllen

Für jeden Eintrag beantwortest du die oben genannten Pflichtfragen – Zweck, Betroffene, Datenkategorien, Empfänger, Drittlandübermittlung, Löschfrist, TOMs.

Schritt 3: Rechtsgrundlage benennen

Für jede Verarbeitungstätigkeit brauchst du eine Rechtsgrundlage nach Art. 6 DSGVO. Die wichtigsten für Selbständige:

Art. 6 Abs. 1 lit. b DSGVO – Vertragserfüllung und vorvertragliche Maßnahmen: Die Verarbeitung ist zur Erfüllung eines Vertrags notwendig oder zur Durchführung vorvertraglicher Maßnahmen, die auf Anfrage der betroffenen Person erfolgen. Wichtig: Die betroffene Person muss selbst Vertragspartei sein – nicht nur mittelbar betroffen. Das gilt also für Kundendaten im Rahmen eines Auftrags, aber auch bereits für die Erstellung eines Angebots, wenn der Kunde dieses angefordert hat. Für Daten von Kontaktpersonen bei Unternehmen, die selbst nicht Vertragspartei sind, greift lit. b hingegen nicht – hier kommt eher lit. f in Betracht.
Art. 6 Abs. 1 lit. c DSGVO – Rechtliche Verpflichtung: Die Verarbeitung ist erforderlich, um einer gesetzlichen Pflicht nachzukommen. Dabei muss die Verarbeitung nicht ausdrücklich vom Gesetz gefordert werden – es reicht, wenn die gesetzliche Anforderung ohne die Verarbeitung schlicht nicht erfüllt werden kann. Aufbewahrungspflichten sind das klassische Beispiel: Wer Rechnungen zehn Jahre aufbewahren muss, muss sie auch speichern dürfen. Die Pflicht zur Speicherung folgt damit mittelbar, aber zwingend aus der gesetzlichen Aufbewahrungspflicht.
Art. 6 Abs. 1 lit. f DSGVO – Berechtigtes Interesse: Die Verarbeitung ist zur Wahrung berechtigter Interessen erforderlich. Muss immer gegen die Interessen der Betroffenen abgewogen werden.
Art. 6 Abs. 1 lit. a DSGVO – Einwilligung: Die betroffene Person hat zugestimmt. Gilt für Newsletter und nicht notwendige Cookies. Einwilligung muss freiwillig, informiert und widerrufbar sein.

Schritt 4: VVT aktuell halten

Das VVT ist kein einmaliges Dokument – es muss gepflegt werden. Wann immer du einen neuen Dienst einsetzt, einen neuen Verarbeitungszweck hinzufügst oder einen Anbieter wechselst, muss das VVT aktualisiert werden. Eine jährliche Überprüfung ist Minimum.

Informationspflichten nach Art. 13 und Art. 14 DSGVO¶

Der Grundgedanke: Transparenz als Pflicht¶

Die DSGVO basiert auf dem Prinzip der Transparenz – Betroffene müssen wissen, was mit ihren Daten passiert, bevor oder spätestens wenn ihre Daten erhoben werden. Diese Pflicht konkretisiert sich in zwei Artikeln:

Art. 13 DSGVO gilt, wenn du Daten direkt bei der betroffenen Person erhebst – also wenn jemand dein Kontaktformular ausfüllt, sich für deinen Newsletter anmeldet oder dir seine Daten im Rahmen eines Auftrags gibt.
Art. 14 DSGVO gilt, wenn du Daten nicht direkt von der betroffenen Person erhältst – also wenn dir ein Kunde die Kontaktdaten eines Ansprechpartners gibt, wenn du Daten aus öffentlichen Quellen nutzt, oder wenn Daten über Dritte an dich gelangen.

Art. 14 wird besonders häufig übersehen – dabei ist er in der Praxis gar nicht so selten relevant.

Was muss mitgeteilt werden? (Art. 13 und 14 DSGVO)¶

Beide Artikel verlangen im Wesentlichen dieselben Informationen – nur der Zeitpunkt und der Auslöser unterscheiden sich:

Identität und Kontaktdaten des Verantwortlichen – wer du bist und wie man dich erreicht
Zwecke und Rechtsgrundlagen der Verarbeitung – warum du die Daten verarbeitest und auf welcher Basis
Berechtigte Interessen – falls du Art. 6 Abs. 1 lit. f als Rechtsgrundlage nutzt, musst du diese benennen
Empfänger oder Kategorien von Empfängern – wer sonst noch Zugang zu den Daten hat
Drittlandübermittlungen – falls Daten in Länder außerhalb der EU übertragen werden
Speicherdauer oder Kriterien für die Festlegung der Dauer
Rechte der betroffenen Person – Auskunft, Berichtigung, Löschung, Einschränkung, Widerspruch, Datenübertragbarkeit
Widerrufsrecht bei Einwilligung – falls die Verarbeitung auf einer Einwilligung beruht
Beschwerderecht bei einer Aufsichtsbehörde
Pflicht zur Bereitstellung – ob die Angabe der Daten vertraglich oder gesetzlich vorgeschrieben ist und welche Folgen die Nichtbereitstellung hat (nur Art. 13)
Herkunft der Daten – woher du sie hast, falls sie nicht direkt von der betroffenen Person stammen (nur Art. 14)

Wann und wie müssen die Informationen mitgeteilt werden?¶

Art. 13 DSGVO – Direkterhebung: Die Information muss zum Zeitpunkt der Erhebung erfolgen – also bevor oder spätestens wenn die Daten erhoben werden. In der Praxis geschieht das durch:

Die Datenschutzerklärung auf der Website – für alle Daten, die über die Website erhoben werden (Kontaktformular, Newsletter-Anmeldung, Cookies)
Hinweise im Angebot oder Auftragsbestätigung – für Kundendaten, die im Rahmen einer Geschäftsbeziehung erhoben werden. Ein kurzer Absatz mit einem Verweis auf die vollständige Datenschutzerklärung reicht in der Regel aus
Hinweis bei der Newsletter-Anmeldung – direkt beim Double-Opt-in-Prozess

Art. 14 DSGVO – Dritterhebung: Die Information muss innerhalb einer angemessenen Frist nach Erhalt der Daten erfolgen – spätestens jedoch: - Innerhalb eines Monats - Zum Zeitpunkt der ersten Kontaktaufnahme mit der betroffenen Person - Spätestens bei der ersten Weitergabe an einen Dritten

In der Praxis bedeutet das: Wenn dir ein Kunde die Kontaktdaten seines Ansprechpartners gibt, und du diesen Ansprechpartner kontaktierst, informierst du ihn spätestens bei der ersten Kontaktaufnahme über die Verarbeitung seiner Daten – zum Beispiel mit einem kurzen Hinweis in der ersten E-Mail und einem Link auf deine Datenschutzerklärung.

Ausnahmen von Art. 14¶

Art. 14 gilt nicht, wenn: - Die betroffene Person die Information bereits hat - Die Mitteilung einen unverhältnismäßigen Aufwand erfordern würde – das ist eng auszulegen und kein Freifahrtschein - Die Erhebung oder Weitergabe ausdrücklich gesetzlich vorgeschrieben ist

Der Zusammenhang zwischen VVT und Informationspflichten¶

Das VVT und die Informationspflichten hängen direkt zusammen. Was du im VVT dokumentierst – Zwecke, Rechtsgrundlagen, Empfänger, Speicherfristen – ist exakt das, was du den Betroffenen nach Art. 13 und 14 mitteilen musst.

Wer sein VVT sauber führt, hat damit automatisch die Grundlage für eine vollständige Datenschutzerklärung und vollständige Informationsschreiben. Umgekehrt: Wer eine Datenschutzerklärung hat, die bestimmte Verarbeitungen beschreibt, die nicht im VVT stehen – der hat entweder sein VVT nicht vollständig oder seine Datenschutzerklärung nicht korrekt.

Merksatz: VVT und Datenschutzerklärung müssen deckungsgleich sein. Was in einem steht, muss im anderen auch stehen – und was fehlt, fehlt in beiden.

Praktisches Vorgehen für Selbständige¶

Schritt 1: VVT aufbauen (wie oben beschrieben)

Schritt 2: Datenschutzerklärung auf Basis des VVT überprüfen oder neu erstellen – stimmt sie mit dem VVT überein? Sind alle Verarbeitungstätigkeiten abgebildet?

Schritt 3: Prüfen, ob Art. 14 für dich relevant ist – erhältst du Daten über Dritte? Wenn ja: Wie und wann informierst du diese Personen?

Schritt 4: Standardtexte vorbereiten – einen kurzen Datenschutzhinweis für Angebote und Auftragsbestätigungen, einen Hinweis für die erste Kontaktaufnahme bei Drittdaten.

Schritt 5: VVT und Datenschutzerklärung jährlich synchronisieren – haben sich Dienste, Zwecke oder Empfänger geändert?

IT-Sicherheit als DSGVO-Pflicht – Art. 32 DSGVO¶

Der Zirkelschluss: Datenschutz braucht IT-Sicherheit¶

Art. 32 DSGVO verpflichtet jeden Verantwortlichen, geeignete technische und organisatorische Maßnahmen (TOMs) zu ergreifen, um ein dem Risiko angemessenes Schutzniveau für personenbezogene Daten zu gewährleisten. Der Artikel nennt ausdrücklich: Verschlüsselung, Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme – sowie die Fähigkeit, bei einem Zwischenfall den Zugang zu personenbezogenen Daten rasch wiederherzustellen.

Das ist kein Zufall: Datenschutz und IT-Sicherheit verfolgen in diesem Punkt exakt dasselbe Ziel. Wer Verschlüsselung, Backups und Zugangsschutz aus den vorangehenden Teilen dieses Guides umgesetzt hat, erfüllt damit zu einem wesentlichen Teil auch seine Pflichten nach Art. 32 DSGVO. Die technischen Maßnahmen, die dein Unternehmen schützen, schützen gleichzeitig die Daten deiner Kunden.

Art. 32 verlangt keine Perfektion – er verlangt Verhältnismäßigkeit. Die Maßnahmen müssen dem Risiko entsprechen, das von der Verarbeitung ausgeht. Wer Gesundheitsdaten oder besondere Kategorien nach Art. 9 DSGVO verarbeitet, muss mehr tun als jemand, der nur Namen und E-Mail-Adressen von Geschäftskunden speichert. Und wer gar nichts tut, verstößt in jedem Fall gegen Art. 32.

Merksatz: Ein gutes IT-Sicherheitskonzept ist kein Add-on zum Datenschutz – es ist ein wesentlicher Teil davon. Wer die Maßnahmen aus diesem Guide umsetzt, tut Datenschutz.

Die TOMs, die du im VVT dokumentierst, sind also mehr als eine Formalität: Sie sind der Nachweis, dass du Art. 32 ernst nimmst.

Datenpannen – Art. 33 und Art. 34 DSGVO¶

Was ist eine Datenpanne?¶

Eine Datenpanne im Sinne der DSGVO ist jede Verletzung der Sicherheit, die zur unbeabsichtigten oder unrechtmäßigen Vernichtung, zum Verlust, zur Veränderung oder zur unbefugten Offenlegung personenbezogener Daten führt. Das klingt abstrakt – in der Praxis bedeutet es:

Ransomware-Angriff, der Kundendaten verschlüsselt oder abfließen lässt
Gestohlener Laptop mit unverschlüsselten Kundendaten
Versehentlich an den falschen Empfänger gesendete E-Mail mit personenbezogenen Daten
Gehacktes E-Mail-Konto mit Zugang zu Kundenkommunikation
Verlust einer USB-Festplatte mit Backup-Daten
Unwiederbringlicher Datenverlust durch Hardwaredefekt oder versehentliches Löschen – auch wenn keine unbefugte Person Zugang hatte

Ein häufiges Missverständnis: Datenpanne bedeutet nicht zwingend, dass jemand die Daten gestohlen hat. Auch der reine Verlust personenbezogener Daten – etwa weil eine Festplatte ausfällt und kein Backup existiert – ist eine Datenpanne. Entscheidend ist nicht der Angriff, sondern der Verlust der Verfügbarkeit, Integrität oder Vertraulichkeit personenbezogener Daten.

Nicht jeder Vorfall ist meldepflichtig – aber das zu beurteilen, erfordert eine ehrliche Risikoabschätzung.

Art. 33 DSGVO – Meldepflicht gegenüber der Aufsichtsbehörde¶

Wenn eine Datenpanne voraussichtlich ein Risiko für die Rechte und Freiheiten natürlicher Personen bedeutet, musst du sie der zuständigen Datenschutzbehörde melden – und zwar innerhalb von 72 Stunden, nachdem du von ihr Kenntnis erlangt hast.

72 Stunden sind wenig. Wer im Krisenfall erst sein VVT sucht, seine Auftragsverarbeiter aus alten E-Mails zusammenklaubt und dann noch herausfinden muss, welche Behörde zuständig ist, wird diese Frist kaum einhalten. Genau deshalb ist Vorbereitung entscheidend – und genau deshalb zahlt sich ein gepflegtes VVT im Krisenfall aus.

Die Meldung muss mindestens enthalten: - Art der Verletzung – was ist passiert? - Kategorien und Anzahl der betroffenen Personen und Datensätze - Wahrscheinliche Folgen der Verletzung - Ergriffene oder geplante Maßnahmen zur Behebung und Abmilderung

Wenn die Meldung nicht vollständig innerhalb von 72 Stunden möglich ist, kann sie stufenweise erfolgen – aber die erste Meldung muss innerhalb der Frist eingehen. Zuständig ist die Datenschutzbehörde des Bundeslandes, in dem du deinen Unternehmenssitz hast.

Tipp für den Notfallplan: Trage die Kontaktdaten deiner zuständigen Landesdatenschutzbehörde jetzt in dein Notfalldokument ein – bevor du sie brauchst. Eine Übersicht aller Behörden findest du unter bfdi.bund.de.

Art. 34 DSGVO – Benachrichtigung der betroffenen Personen¶

Wenn eine Datenpanne voraussichtlich ein hohes Risiko für betroffene Personen bedeutet, reicht die Meldung an die Behörde nicht. Du musst dann auch die betroffenen Personen selbst benachrichtigen – unverzüglich und in klarer, verständlicher Sprache.

Ein hohes Risiko besteht zum Beispiel, wenn: unverschlüsselte Gesundheitsdaten abgeflossen sind, Bankverbindungen kompromittiert wurden, oder Daten in großem Umfang gestohlen wurden und ein konkretes Risiko für Identitätsbetrug oder andere Schäden besteht.

Die Benachrichtigung muss beschreiben, was passiert ist, welche Daten betroffen sind, welche Folgen zu erwarten sind – und was die betroffene Person selbst tun kann, um sich zu schützen.

Art. 34 hat eine wichtige Ausnahme: Wenn die betroffenen Daten wirksam verschlüsselt waren und der Schlüssel nicht kompromittiert wurde, entfällt die Benachrichtigungspflicht. Das ist ein weiteres konkretes Argument für Verschlüsselung – nicht nur als IT-Schutzmaßnahme, sondern als Datenschutzinstrument.

Merksatz: Verschlüsselung schützt nicht nur vor dem Zugriff Unbefugter – sie kann im Schadensfall auch die Pflicht zur Benachrichtigung aller betroffenen Personen abwenden.

VVT-Vorlage – Struktur für den Einstieg¶

Kopiere diese Struktur und fülle sie für jede Verarbeitungstätigkeit aus.

Verarbeitungstätigkeit Nr.: _ Bezeichnung: _____

Pflichtangabe	Inhalt
Zweck der Verarbeitung
Rechtsgrundlage (Art. 6 DSGVO)
Kategorien betroffener Personen
Kategorien personenbezogener Daten
Empfänger / Kategorien von Empfängern
Drittlandübermittlung (ja/nein, wenn ja: wohin, welche Garantien?)
Speicherdauer / Löschfrist
Technische und organisatorische Maßnahmen (TOMs oder Verweis)

Beispieleintrag: Kundenverwaltung

Pflichtangabe	Inhalt
Zweck	Anbahnung, Durchführung und Abwicklung von Kundenverträgen
Rechtsgrundlage	Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)
Betroffene Personen	Kunden (natürliche Personen und Ansprechpartner bei Unternehmen)
Datenkategorien	Name, Adresse, E-Mail, Telefon, Bankverbindung, Auftragsinhalte
Empfänger	Steuerberater, Buchhaltungssoftware (Anbieter: ____), Zahlungsdienstleister
Drittland	Nein / Ja: Buchhaltungssoftware auf US-Servern, Grundlage: EU-US DPF
Speicherdauer	10 Jahre (handels- und steuerrechtliche Aufbewahrungspflicht)
TOMs	Verschlüsselung, Zugangsschutz, Backup – siehe TOM-Dokument