Ist ein Verarbeitungsverzeichnis für mein Unternehmen verpflichtend?

Gemäss der DSGVO ist ein Verzeichnis von Verarbeitungstätigkeiten für Organisationen mit mehr als 250 Mitarbeitern verpflichtend. Allerdings müssen auch kleinere Organisationen eines führen, wenn sie regelmässig personenbezogene Daten verarbeiten, sensible Daten verarbeiten oder die Verarbeitung ein Risiko darstellen könnte. In der Praxis gilt das für fast jedes KMU, das eine Website, Kunden oder Mitarbeiter hat.

Was ist der Unterschied zwischen dem automatisch erstellten VVT und einer manuellen Tabelle?

Eine manuelle Tabelle erfordert, dass Sie die DSGVO-Anforderungen kennen, alle Verarbeitungstätigkeiten identifizieren und jedes Feld korrekt ausfüllen. GDPRWise übernimmt die schwere Arbeit: Es erkennt Aktivitäten über Ihren Scan, füllt branchenspezifische Einträge vor und nutzt Konfidenzlabels, um zu zeigen, was gesichert ist und was Ihren Input braucht. Das Ergebnis ist vollständiger und braucht einen Bruchteil der Zeit.

Kann ich Verarbeitungstätigkeiten hinzufügen, die der Scan nicht erkennt?

Ja. Der gezielte Verfeinerungsschritt fragt nach Offline- und internen Verarbeitungen wie Personalverwaltung, Papierakten oder Datenweitergabe an Partner. Sie können jederzeit auch manuell Aktivitäten hinzufügen. Das Verzeichnis ist immer bearbeitbar.

Warum GDPRWise der einfachste Weg ist, Ihr Verarbeitungsverzeichnis zu erstellen - GDPRWise

GDPRWise erstellt Ihr Verarbeitungsverzeichnis automatisch mit einem Drei-Schichten-Modell: Branchengrundlage, KI-Scan und gezielte Verfeinerung.

Das Problem mit dem Verarbeitungsverzeichnis

Das Verzeichnis von Verarbeitungstätigkeiten, oft VVT oder international ROPA genannt, ist eine der grundlegendsten Anforderungen der DSGVO (auch als GDPR bekannt). Die Aufsichtsbehörde kann es jederzeit anfordern, und Sie müssen es vorweisen können. Nicht “bald”, nicht “wir arbeiten daran” - sofort.

Für die meisten KMU ist dies der Punkt, an dem DSGVO-Compliance ins Stocken gerät. Ein Verarbeitungsverzeichnis von Grund auf zu erstellen bedeutet, dass Sie jede Tätigkeit identifizieren müssen, die personenbezogene Daten betrifft, die Rechtsgrundlage für jede bestimmen, die Datenkategorien auflisten, Aufbewahrungsfristen definieren und Sicherheitsmassnahmen dokumentieren müssen. Selbst wenn Sie wissen, was die DSGVO verlangt, ist die Umsetzung in ein vollständiges Verzeichnis mühsam und fehleranfällig.

Genau deshalb hat GDPRWise sein Drei-Schichten-Modell entwickelt. Statt mit einer leeren Tabelle zu beginnen, starten Sie mit einem Verzeichnis, das bereits zu 80% fertig ist.

Wie das Drei-Schichten-Modell funktioniert

GDPRWise erstellt Ihr Verarbeitungsverzeichnis durch drei sich ergänzende Schichten. Jede Schicht fügt Detail und Genauigkeit hinzu.

Schicht 1: Branchengrundlage

Jede Branche hat typische Verarbeitungstätigkeiten. Eine Zahnarztpraxis verarbeitet Patientenakten und Termindaten. Ein Online-Händler verarbeitet Bestellungen, Zahlungsdetails und Lieferadressen. Eine Steuerberatung verarbeitet Finanzunterlagen von Mandanten.

GDPRWise pflegt vorgefertigte Branchengrundlagen für Dutzende von Branchen. Wenn Sie Ihre Branche auswählen, füllt die Plattform die Verarbeitungstätigkeiten vor, die für Ihren Unternehmenstyp Standard sind. Jede Aktivität enthält bereits Zweck, Rechtsgrundlage, Datenkategorien, typische Aufbewahrungsfristen und übliche Empfänger.

Das ist kein Raten. Diese Grundlagen basieren auf regulatorischen Leitlinien, branchenspezifischen Verhaltenskodizes und praktischer Erfahrung mit Tausenden von Unternehmen.

Schicht 2: KI-Scan-Ergebnisse

Wenn Sie Ihre Website scannen, erkennt GDPRWise die tatsächlichen Tools, Skripte und Datenerhebungspunkte, die auf Ihrer Seite aktiv sind. Google Analytics? Das ist eine Verarbeitungstätigkeit. Ein Kontaktformular, das Namen und E-Mail-Adressen erfasst? Eine weitere. Ein Newsletter-Anmeldeformular über Mailchimp? Wird dem Verzeichnis hinzugefügt.

Der KI-Scan übersetzt jeden Fund in einen konkreten Verzeichniseintrag mit den relevanten Details. Sie müssen nicht herausfinden, dass “Google Analytics setzt einen _ga-Cookie” bedeutet, “Sie verarbeiten IP-Adressen und Surfverhalten von Website-Besuchern zum Zweck der Webanalyse, mit Einwilligung als Rechtsgrundlage.”

GDPRWise macht diese Übersetzung für Sie.

Schicht 3: Gezielte Verfeinerung

Ihre Website erzählt einen Teil der Geschichte, aber nicht das ganze Bild. Wahrscheinlich verarbeiten Sie personenbezogene Daten auch offline oder über interne Systeme: Mitarbeiterdaten in Ihrer HR-Software, Kundendateien in Ihrem CRM, Rechnungen in Ihrem Buchhaltungssystem.

GDPRWise stellt gezielte Fragen, um diese zusätzlichen Aktivitäten zu identifizieren. Die Fragen sind spezifisch für Ihre Branche und die Ergebnisse Ihres Scans. Ein Restaurant bekommt Fragen zu Reservierungssystemen und Videoüberwachung. Eine Beratungsfirma bekommt Fragen zu Mandantenakten und Projektdaten. Sie werden nicht nach Dingen gefragt, die auf Sie nicht zutreffen.

Ihre Antworten werden in Verzeichniseinträge übersetzt und vervollständigen das Bild.

Konfidenzlabels: Wissen, was verifiziert ist

Eine der grössten Frustrationen bei automatisch erstellten Dokumenten ist Unsicherheit. “Ist das korrekt? Kann ich dem vertrauen? Muss ich alles prüfen?”

GDPRWise begegnet dem mit Konfidenzlabels bei jedem Eintrag in Ihrem Verzeichnis:

Erkannt - Diese Verarbeitungstätigkeit wurde vom Scan mit hoher Sicherheit identifiziert. Tool, Datentyp und Zweck sind bestätigt. Sie können diesem Eintrag ohne weitere Massnahme vertrauen.

Prüfung erforderlich - Dieser Eintrag basiert auf Ihrer Branchengrundlage oder Ihren Antworten, erfordert aber eine Überprüfung. Vielleicht ist die Aufbewahrungsfrist ein Standardwert, der möglicherweise nicht Ihrer spezifischen Richtlinie entspricht, oder die Empfängerliste muss aktualisiert werden.

Diese Labels geben Ihnen Klarheit. Sie wissen genau, wo Sie Ihre Zeit investieren sollten und wo das Verzeichnis bereits solide ist. Statt Hunderte von Feldern zu überprüfen, konzentrieren Sie sich nur auf die Einträge, die Ihre Aufmerksamkeit brauchen.

Was Ihr Verzeichnis enthält

Jede Verarbeitungstätigkeit in Ihrem Verzeichnis enthält die nach Artikel 30 DSGVO vorgeschriebenen Felder:

Zweck der Verarbeitung - warum Sie diese Daten verarbeiten (z.B. “Verwaltung von Kundenbestellungen”)
Rechtsgrundlage - auf welcher Grundlage die Verarbeitung zulässig ist (z.B. Vertragserfüllung, berechtigtes Interesse, Einwilligung)
Kategorien personenbezogener Daten - welche Daten betroffen sind (z.B. Name, E-Mail, Zahlungsdaten)
Kategorien betroffener Personen - wessen Daten es sind (z.B. Kunden, Mitarbeiter, Website-Besucher)
Empfänger - wer die Daten erhält (z.B. Zahlungsdienstleister, E-Mail-Marketing-Plattform, Steuerberater)
Aufbewahrungsfristen - wie lange Sie die Daten speichern
Sicherheitsmassnahmen - wie die Daten geschützt werden
Übermittlungen in Drittländer - ob Daten den EU/EWR-Raum verlassen

GDPRWise füllt so viel wie möglich automatisch aus. Wo die Plattform unsicher ist, liefert sie Vorschläge mit Erklärungen, damit Sie eine fundierte Entscheidung treffen können.

Export in professionellen Formaten

Ihr Verzeichnis muss teilbar sein. Die Aufsichtsbehörde kann es anfordern. Ihr Steuerberater benötigt es möglicherweise. Ein Prüfer könnte es bei einem Zertifizierungsprozess verlangen.

GDPRWise ermöglicht den Export Ihres Verzeichnisses in zwei Formaten:

PDF - Ein professionell formatiertes Dokument, strukturiert und übersichtlich gestaltet. Bereit zur Vorlage bei einem Prüfer oder zur Aufnahme in Ihre Compliance-Dokumentation.
Excel - Eine bearbeitbare Tabelle, nützlich für die interne Zusammenarbeit, weitere Analyse oder Integration in andere Managementsysteme.

Beide Exporte spiegeln immer die neueste Version Ihres Verzeichnisses wider, einschliesslich aller Anpassungen, die Sie vorgenommen haben.

Aktuell halten mit kontinuierlicher Überwachung

Ein Verarbeitungsverzeichnis ist kein einmaliges Dokument. Wenn Sie ein neues Tool auf Ihrer Website hinzufügen, den Zahlungsanbieter wechseln oder eine neue Marketingkampagne starten, muss Ihr Verzeichnis aktualisiert werden.

Mit dem Peace-of-Mind-Abonnement scannt GDPRWise Ihre Website regelmässig erneut und vergleicht die Ergebnisse mit Ihrem bestehenden Verzeichnis. Neue Verarbeitungstätigkeiten erscheinen als Vorschläge. Eingestellte Aktivitäten werden zur Entfernung markiert. Änderungen an bestehenden Tools oder Skripten werden hervorgehoben.

Sie erhalten eine klare Übersicht darüber, was sich geändert hat und was Ihre Aufmerksamkeit erfordert. Kein Bedarf, Ihr Verzeichnis manuell zu überprüfen. Kein Risiko, dass es veraltet, ohne dass Sie es bemerken.

Warum das für Ihr Unternehmen wichtig ist

Das Verarbeitungsverzeichnis ist nicht nur ein Compliance-Häkchen. Es ist das Dokument, das beweist, dass Sie Ihre eigenen Datenflüsse verstehen. Wenn ein Kunde fragt, welche Daten Sie über ihn haben, sagt Ihnen das Verzeichnis, wo Sie nachschauen müssen. Wenn Sie ein neues Tool bewerten, hilft Ihnen das Verzeichnis, die Datenschutzauswirkungen einzuschätzen. Wenn etwas schiefgeht, zeigt das Verzeichnis der Aufsichtsbehörde, dass Sie Ihre Angelegenheiten in Ordnung hatten.

Die Erstellung dieses Verzeichnisses sollte keine Wochen manueller Arbeit erfordern. Mit dem Drei-Schichten-Modell, den Konfidenzlabels und der kontinuierlichen Überwachung von GDPRWise erhalten Sie ein vollständiges, genaues und pflegbares Verzeichnis in einem Bruchteil der Zeit.

auto_awesome Erstellen Sie Ihr Verarbeitungsverzeichnis

Starten Sie einen kostenlosen Scan und sehen Sie, wie das Drei-Schichten-Modell von GDPRWise Ihr Verzeichnis von Verarbeitungstätigkeiten aufbaut. Branchendaten, Scan-Ergebnisse und Ihre Antworten - kombiniert zu einem vollständigen Verzeichnis mit Konfidenzlabels.

Kostenlosen Scan starten