Knowledgebase
Helpdesk
Knowledgebase
Helpdesk
Erste Schritte + Grundlagen
Grundfunktionen
Assets + Organisation
Datenschutz
Anfragen BetroffenerAuftragsverarbeitung (AV)Datenschutzvorfälle (Ereignisse)
Verzeichnis der Verarbeitungstätigkeiten (VVT)
Verarbeitungstätigkeit erstellen und pflegen - von der Rechtsgrundlage bis zur DSFAVerarbeitungstätigkeiten
Informationssicherheit
Personal + Schulung
FAQ + Troubleshooting
Changelog
Changelog
Changelog Juni 2026

Verarbeitungstätigkeit erstellen und pflegen - von der Rechtsgrundlage bis zur DSFA

Verarbeitungstätigkeiten (VVT)

In diesem Artikel legen Sie eine vollständige Verarbeitungstätigkeit an und pflegen sie in einem durchgehenden Weg fertig: von der Anlage über Zweck und Rechtsgrundlage, die Interessenabwägung beim berechtigten Interesse, die Datenkategorien und Betroffenen, Empfänger und technisch-organisatorische Maßnahmen bis zur Datenschutz-Folgenabschätzung (DSFA) und dem Prüf-Workflow. Als durchgängiges Beispiel dient eine Videoüberwachung des Betriebsgeländes - eine Tätigkeit, die fast jeden Tab berührt und deshalb gut zeigt, wie die einzelnen Sektionen zusammenspielen.

In 5 Minuten erledigt

  • Informationswert und Asset als Fundament anlegen (im Modul Daten und Informationen sowie im Assetmanagement).
  • In der linken Sidebar Datenschutz > Verarbeitungstätigkeiten öffnen, in der Toolbar auf Neu klicken, Bezeichnung vergeben, speichern.
  • Im Tab Rechtliches Zweck und Rechtsgrundlage setzen. Bei berechtigtem Interesse die Interessenabwägung darunter ausfüllen.
  • Im Tab Daten + Betroffene die Datenkategorie verknüpfen, Betroffene und Löschfrist setzen.
  • In den Tabs Empfänger und TOM Empfänger und Schutzmaßnahmen ergänzen.
  • Im Tab DSFA + Risiken das Screening durchklicken, bei Ergebnis "DSFA erforderlich" eine DSFA anlegen und verknüpfen.
  • Speichern, dann in der Toolbar Zur Prüfung einreichen.

Wann brauchen Sie das?

  • Eine neue Verarbeitung startet, die personenbezogene Daten betrifft - etwa eine Videoüberwachung, ein Bewerberportal oder ein neues Fachsystem.
  • Sie bauen Ihr Verzeichnis der Verarbeitungstätigkeiten erstmalig auf und dokumentieren bestehende Prozesse nach und nach.
  • Eine Verarbeitung soll auf das berechtigte Interesse gestützt werden, und Sie müssen die Abwägung sauber dokumentieren.
  • Sie prüfen im jährlichen Review, ob für eine Tätigkeit eine DSFA nötig ist, und wollen das Ergebnis nachvollziehbar festhalten.

Was ist eine Verarbeitungstätigkeit?

Eine Verarbeitungstätigkeit beschreibt einen abgegrenzten Verarbeitungs-Vorgang mit einem klaren Zweck und einer Rechtsgrundlage, zum Beispiel „Videoüberwachung Betriebsgelände“ oder „Bewerbermanagement“. Sie beschreibt damit einen Prozess, nicht eine Software. Wird dieselbe Software für mehrere Zwecke eingesetzt, entstehen daraus mehrere Verarbeitungstätigkeiten.

Ein Eintrag bündelt im audatis MANAGER alle Dimensionen dieses Vorgangs an einer Stelle: welche Daten verarbeitet werden, von welchen Personen, auf welcher Rechtsgrundlage, durch wen, wie lange und mit welchen Schutzmaßnahmen. Das Modul ist damit der zentrale Knoten der Datenschutz-Dokumentation und zieht Informationen aus den Modulen Daten und Informationen, Assetmanagement, Auftragsverarbeitung, Maßnahmenmanagement und Löschkonzept zusammen. Das Verzeichnis als Ganzes erfüllt die Dokumentationspflicht aus Art. 30 DSGVO.

Damit ein Eintrag vollständig wird, brauchen Sie zwei Bausteine, die schon vorher existieren müssen: einen Informationswert (die Datenkategorie, die Sie verarbeiten) und meist ein Asset (das technische System dahinter). Diese legen Sie zuerst an.

Schritt 1: Informationswert und Asset als Fundament anlegen

Bevor Sie die Verarbeitungstätigkeit anlegen, brauchen Sie die Datenkategorie als Informationswert. Wer direkt im VVT-Modul anfängt, findet das Datenkategorie-Auswahlfeld leer.

  1. Öffnen Sie in der linken Sidebar Assets + Organisation > Daten und Informationen und klicken Sie in der Toolbar auf Neu.
  2. Tragen Sie die Bezeichnung ein, hier „Videoaufnahmen Betriebsgelände“. Empfehlung: den Datenkategorie-Namen verwenden, nicht die Systembezeichnung. Die Bezeichnung erscheint später im Verknüpfen-Modal der Verarbeitungstätigkeit.
  3. Weisen Sie einen Informationseigentümer zu (Pflichtfeld) und aktivieren Sie die Checkbox Personenbezug. Bei Videoaufnahmen von Personen ist das zwingend korrekt – ohne dieses Häkchen wird der Informationswert im Datenschutz-Kontext nicht als personenbezogen ausgewertet.
  4. Speichern.

Anschließend legen Sie das technische System an:

  1. Öffnen Sie Assets + Organisation > Assetmanagement und klicken Sie auf Neu.
  2. Wählen Sie die Kategorie „Systeme“ und tragen Sie die Bezeichnung ein, hier „Kamerasystem/Rekorder“.
  3. Speichern.

Tipp: Den vollständigen modulübergreifenden Aufbau – Informationswert, Asset, Schutzbedarf, TOM-Vererbung über die Asset-Kette – beschreibt der Anwendungsfall Perfektes VVT von 0 auf 100 im Detail. Wenn Sie das Fundament systematisch aufbauen wollen, arbeiten Sie zuerst diesen durch und kehren dann hierher zurück.

Schritt 2: Verarbeitungstätigkeit anlegen

  1. Öffnen Sie in der linken Sidebar Datenschutz > Verarbeitungstätigkeiten. Sie sehen die Liste aller bereits erfassten Tätigkeiten mit Status, Prüfstatus und Risiko.
    Übersicht der Verarbeitungstätigkeiten
  2. Klicken Sie in der Toolbar auf Neu. Der Anlegen-Dialog ist bewusst schlank: Die Bezeichnung ist das einzige Pflichtfeld. Tragen Sie den fachlichen Prozessnamen ein, hier „Videoüberwachung Betriebsgelände“ – nicht den Systemnamen oder das Gerät.
    Anlegen-Dialog mit ausgefüllter Bezeichnung
  3. Optional können Sie unter Aus Vorlage(n) erstellen eine oder mehrere Vorlagen wählen. Bei Auswahl öffnet sich ein Stammdaten-Abgleich, der typische Felder vorbefüllt. Über die Checkbox Weiteren Datensatz anlegen bleiben Sie nach dem Speichern direkt im Anlegen-Modus, wenn Sie mehrere Tätigkeiten hintereinander erfassen.
  4. Klicken Sie auf Speichern. Die Tätigkeit wird mit Status Entwurf angelegt, und Sie landen auf der Detailseite mit neun fachlich benannten Tabs.

Die Tab-Reihenfolge auf der Detailseite ist: Stammdaten · Rechtliches · Daten + Betroffene · Empfänger · TOM · DSFA + Risiken · Information · Löschkonzept · Dokumente. Sie arbeiten sich von links nach rechts durch.

Schritt 3: Tab Rechtliches – Zweck und Rechtsgrundlage

Der Tab Rechtliches enthält das fachliche Herzstück der Tätigkeit.

  1. Tragen Sie unter Zweck der Verarbeitung konkret ein, warum die Daten verarbeitet werden. Im Beispiel: „Überwachung des Betriebsgeländes zum Schutz von Eigentum und zur Ausübung des Hausrechts. Abschreckung und Aufklärung von unbefugtem Zutritt, Sachbeschädigung und Diebstahl.“ Eine vage Formulierung wie „Sicherheit“ genügt nicht – der Zweck ist eine Pflichtangabe nach Art. 30 DSGVO.
    Tab Rechtliches mit Zweck und Rechtsgrundlage
  2. Öffnen Sie die Auswahl Rechtsgrundlage. Es handelt sich um eine Mehrfachauswahl mit allen Rechtsgrundlagen nach Art. 6 Abs. 1 DSGVO sowie nationalen Grundlagen und Art.-9-Optionen.
    Aufgeklappte Rechtsgrundlage-Auswahl

Welche Rechtsgrundlage passt?

Die Wahl der Rechtsgrundlage entscheidet, welche weiteren Pflichten gelten. Eine kurze Orientierung:

  • Einwilligung (Art. 6 Abs. 1 lit. a): Der Betroffene stimmt aktiv zu, etwa bei einer Newsletter-Anmeldung. Die Einwilligung muss widerrufbar und dokumentiert sein.
  • Vertrag (lit. b): Erfüllung oder Anbahnung eines Vertrags, etwa eine Kundenbestellung oder ein Bewerbungsverfahren.
  • Rechtliche Verpflichtung (lit. c): Gesetzliche Pflicht, etwa Aufbewahrung von Steuerunterlagen.
  • Lebenswichtige Interessen (lit. d): Schutz von Leben und Gesundheit in Notlagen.
  • Öffentliches Interesse (lit. e): Wahrnehmung hoheitlicher Aufgaben.
  • Berechtigtes Interesse (lit. f): Abwägung zwischen Ihrem Interesse und den Rechten der Betroffenen, etwa bei IT-Sicherheits-Logging oder Videoüberwachung. Bei dieser Grundlage ist die Interessenabwägung Pflicht (siehe unten).
  • Beschäftigtendaten (§ 26 BDSG): In Deutschland regelmäßig einschlägig für die Verarbeitung von Mitarbeiterdaten, etwa die Personalakte. Bei Bewerbungen ist meist lit. b (Vertragsanbahnung) richtig, bei laufenden Beschäftigungsverhältnissen § 26 BDSG.
  • Besondere Kategorien (Art. 9): Gesundheitsdaten, biometrische Daten, Gewerkschaftszugehörigkeit und Ähnliches brauchen zusätzlich eine Erlaubnis nach Art. 9 Abs. 2 – allein Art. 6 genügt nicht.
  1. Wählen Sie im Beispiel Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DS-GVO). Sofort nach der Auswahl blendet das System die Interessenabwägung direkt unterhalb der Rechtsgrundlage ein. Die Interessenabwägung ist kein eigener Tab und kein separater Dialog - sie steht im selben Tab Rechtliches, gleich unter der Rechtsgrundlage-Auswahl.
  2. Setzen Sie außerdem das Pflichtfeld Eigene Rolle bei der Verarbeitungstätigkeit: Verantwortlicher, Auftragsverarbeiter oder Gemeinsam Verantwortliche. Verantwortlicher heißt, Ihr Unternehmen entscheidet über Zweck und Mittel. Die Rolle steuert, welche Pflichtangaben gelten – Art. 30 Abs. 1 für Verantwortliche, Art. 30 Abs. 2 für Auftragsverarbeiter – und welche Felder im Export erscheinen.

Schritt 4: Die Interessenabwägung ausfüllen (bei berechtigtem Interesse)

Wenn Sie eine Verarbeitung auf das berechtigte Interesse stützen, müssen Sie dokumentieren, warum dieses Interesse die Rechte der betroffenen Personen überwiegt. Der audatis MANAGER stellt dafür einen geführten Fragebogen bereit, der die Prüfschritte aus Erwägungsgrund 47 DSGVO abbildet. Die Sektion erscheint direkt unter der Rechtsgrundlage.

Interessenabwägung als integrierter Abschnitt im Tab Rechtliches

Arbeiten Sie die Felder der Reihe nach durch. Formulieren Sie pro Punkt zwei bis drei Sätze, konkret und nachvollziehbar – Standardfloskeln tragen die Abwägung nicht. Die Beispiele beziehen sich auf die Videoüberwachung:

  1. Für wen wird die Interessenabwägung dokumentiert? Verantwortlicher, Dritter oder Beide. Wählen Sie „Verantwortlicher“, wenn Sie als Verantwortlicher agieren.
  2. Erläuterung des berechtigten Interesses. „Schutz des Betriebsgeländes vor unbefugtem Zutritt, Sachbeschädigung und Diebstahl. Ausübung des Hausrechts nach § 858 BGB. Sicherung von Beweismitteln bei Straftaten.“ Nennen Sie die spezifische Grundlage, nicht nur „Sicherheit“.
  3. Kann das Ziel durch mildere Mittel erreicht werden? „Nein. Sicherheitspersonal wäre wirtschaftlich unverhältnismäßig aufwendig und deckt nicht alle Bereiche ab. Physische Barrieren allein reichen nicht aus.“
  4. Sind mildere Mittel gleichwertig geeignet? „Nein. Sicherheitspersonal ist nicht dauerhaft verfügbar und kann Ereignisse nicht lückenlos dokumentieren.“
  5. Können die Betroffenen mit der Verarbeitung rechnen? „Ja. Hinweisschilder an allen Eingängen informieren über die Videoüberwachung.“ Die Kennzeichnung nach § 4 BDSG ist hier zugleich Transparenzpflicht und Beleg der Erkennbarkeit.
  6. Ist die Verarbeitung erforderlich? Auswahl Ja oder Nein. Im Beispiel „Ja“.
  7. Entgegenstehende Interessen der Betroffenen. "Recht auf informationelle Selbstbestimmung der sich auf dem Gelände aufhaltenden Personen. Mögliche Belastung durch permanente Beobachtung." Benennen Sie die Gegeninteressen ehrlich - eine einseitige Abwägung ohne Betroffenen-Sicht ist ein typischer Schwachpunkt.
  8. Überwiegen die Interessen der Betroffenen? Auswahl Ja oder Nein. Bei Videoüberwachung mit Beschilderung und kurzer Löschfrist ist „Nein“ der häufigere Fall, das berechtigte Interesse überwiegt.

Tragen Sie anschließend das Ergebnis der Abwägung als Schlusssatz ein, zum Beispiel: „Das berechtigte Interesse des Verantwortlichen überwiegt. Die Überwachung ist auf das Betriebsgelände beschränkt, Hinweise sind angebracht, Aufnahmen werden nach 72 Stunden gelöscht.“ Im Feld Ergänzungen halten Sie Sonderregelungen fest, etwa: „Innenräume, Sanitäranlagen und Umkleideräume werden nicht erfasst.“

Vier-Augen-Prinzip dokumentieren

Unter dem Ergebnis stehen die Felder für die nachvollziehbare Freigabe:

Vier-Augen-Felder der Interessenabwägung

  • Durchgeführt von und Datum Durchführung: die Person, die die Abwägung inhaltlich erstellt hat, üblicherweise der Fachverantwortliche oder Datenschutzkoordinator.
  • Freigegeben von und Datum Freigabe: üblicherweise der oder die Datenschutzbeauftragte. Wählen Sie hier bewusst eine andere Person als bei der Durchführung.
  • Status: Entwurf, Freigegeben, Abgelehnt oder Überprüfung fällig. Setzen Sie ihn nach der Freigabe auf Freigegeben.

Dieselbe Person in beide Felder einzutragen ist technisch möglich, untergräbt aber die unabhängige Freigabe. Das Vier-Augen-Prinzip ist hier zwar kein erzwungenes Pflichtfeld, aber gute Praxis.

Faustregel: Wer „mildere Mittel gibt es nicht“ einträgt, ohne Alternativen wirklich geprüft zu haben, verliert die Abwägung im Streitfall. Beschreiben Sie konkret, welche Alternativen Sie geprüft und warum Sie sie verworfen haben.

Klicken Sie auf Speichern, bevor Sie zum nächsten Tab wechseln.

Schritt 5: Tab Daten + Betroffene – Datenkategorie, Betroffene, Löschfrist

In diesem Tab verknüpfen Sie die Datenkategorien aus dem Modul Daten und Informationen. Das ist eine Pflichtangabe nach Art. 30 DSGVO.

  1. Klicken Sie auf Datenkategorie verknüpfen. Das Modal zeigt alle Informationswerte des Mandanten. „Videoaufnahmen Betriebsgelände“ aus Schritt 1 steht sofort bereit.
    Datenkategorie verknüpfen
  2. Nach dem Verknüpfen klicken Sie in der Datenkategorie-Zeile auf das Stift-Icon (Details bearbeiten). Hier setzen Sie die datenkategoriespezifischen Angaben.
    Betroffene und Löschfrist im Details-Modal
  3. Wählen Sie unter Betroffene (Pflichtfeld) alle Personengruppen, die erfasst werden. Bei der Videoüberwachung des Betriebsgeländes sind das „Beschäftigte“ und „Besucher“.
  4. Wählen Sie die Aufbewahrungspflicht aus den vorkonfigurierten Löschklassen, hier „72 Stunden (Videoüberwachung)“. Diese Klasse trägt die fachliche Grundlage direkt im Namen. Als Startzeitpunkt der Löschfrist wählen Sie „Bei Erhebung“ – die Frist beginnt ab der Aufnahme.
  5. Speichern. Die Datenkategorie-Zeile zeigt nun Betroffene und Löschfrist.

Tipp: Der Titel im Details-Modal zeigt den systemintern erkannten Datenkategorie-Typ, im Beispiel „Bild- und Videodaten“, nicht Ihre eigene Bezeichnung „Videoaufnahmen Betriebsgelände“. Das ist kein Fehler, sondern die interne Typ-Zuordnung der Datenkategorie.

Schritt 6: Tab Empfänger – interne und externe Empfänger, Auftragsverarbeitung

Hier dokumentieren Sie, wer die Daten erhält. Auch das ist eine Pflichtangabe nach Art. 30 DSGVO.

  1. Klicken Sie auf Empfänger hinzufügen. Das Modal bietet drei Typen: Intern (eine Organisationseinheit), Gemeinsam Verantwortliche und Extern.
    Empfänger-Typen im Modal
  2. Wählen Sie für einen internen Empfänger den Typ „Intern“ und die zuständige Organisationseinheit, im Beispiel die Geschäftsführung. Interne Empfänger setzen voraus, dass im Mandanten Organisationseinheiten angelegt sind – ohne sie bleibt die Auswahl leer.
  3. Externe Empfänger und Drittlandbezug erfassen Sie über den Typ „Extern“. Werden Daten außerhalb der EU oder des EWR übermittelt, halten Sie Zielland und Schutzgrundlage fest, etwa einen Angemessenheitsbeschluss oder Standardvertragsklauseln.

Ist ein Auftragsverarbeiter beteiligt, verknüpfen Sie diesen über Vertragspartner verknüpfen. Das Modal zeigt die vorhandenen Einträge aus dem Modul Auftragsverarbeitung. Die Vertragsdetails wie der Auftragsverarbeitungs-Vertrag werden dort gepflegt, hier setzen Sie nur die Verknüpfung. Für eine Videoüberwachung mit eigenem Kamerasystem ohne Cloud-Speicherung kann dieser Schritt entfallen.

Schritt 7: Tab TOM – Schutzmaßnahmen verknüpfen

In diesem Tab dokumentieren Sie die technischen und organisatorischen Maßnahmen, die die Daten schützen. Das erfüllt die Pflicht zur Beschreibung der Schutzmaßnahmen nach Art. 32 DSGVO.

  1. Klicken Sie auf Maßnahme verknüpfen. Das Modal zeigt alle Maßnahmen des Mandanten.
  2. Wählen Sie die passende Maßnahme, im Beispiel „EDR Laptops Mitarbeiter“, und bestätigen Sie mit Verknüpfen.
    Verknüpfte Maßnahme in der TOM-Tabelle

Die TOM-Tabelle zeigt die Maßnahme mit der Quelle „explizit“. Neben explizit verknüpften Maßnahmen kann der audatis MANAGER Maßnahmen auch automatisch über die Asset-Kette ableiten: Verknüpfen Sie eine Datenkategorie, deren Asset bereits Maßnahmen trägt, übernimmt das System diese in die Verarbeitungstätigkeit. So pflegen Sie Maßnahmen nicht doppelt. Die Tabelle mit Quelle „explizit“ ist der direkte Nachweis für Art. 32 DSGVO im Verzeichnis.

Schritt 8: Tab DSFA + Risiken – Vorprüfung und DSFA anlegen

Bevor Sie eine vollständige Datenschutz-Folgenabschätzung schreiben, prüfen Sie mit dem DSFA-Screening, ob sie überhaupt Pflicht ist. Im audatis MANAGER ist das Screening kein separater Assistent, sondern eine Reihe von Checkboxen direkt im Tab. Das Ergebnis berechnet sich sofort beim Setzen der Häkchen.

DSFA-Screening mit Ergebnis "DSFA erforderlich"

Die Vorprüfung kennt fünf Auslöser-Checkboxen plus eine Bemerkung:

  • Hohes Risiko durch die Verarbeitung – setzt das Ergebnis auf "DSFA erforderlich".
  • Verarbeitung steht auf der Pflichtliste (Blacklist) der Aufsichtsbehörden – setzt das Ergebnis ebenfalls auf „DSFA erforderlich“.
  • Verarbeitung steht auf der Whitelist – DSFA nicht erforderlich (Ausnahme).
  • Bereits eine DSFA für eine ähnliche Verarbeitung vorhanden – Ausnahme.
  • Verarbeitung wurde vor dem 25.05.2018 von einer Behörde genehmigt – Ausnahme.
  • Rechtliche Verpflichtung mit einer allgemeinen DSFA durch den Gesetzgeber – Ausnahme.

Das Ergebnisfeld zeigt einen von drei Zuständen: DSFA erforderlich, Nicht erforderlich oder Noch nicht bewertet. Die Logik: Hohes Risiko oder ein Treffer auf der Pflichtliste führt zu „erforderlich“; eine der Ausnahmen oder die Whitelist führt zu „nicht erforderlich“; ohne Häkchen bleibt es „noch nicht bewertet“.

Wichtig zur Pflichtliste: Der Abgleich gegen die Liste der Aufsichtsbehörden ist eine manuelle Entscheidung. Sie prüfen selbst, ob Ihre Verarbeitung auf der Liste steht, und setzen das Häkchen. Es gibt keine automatische Verknüpfung zur jeweils aktuellen Behörden-Liste - klären Sie den Stand im Zweifel mit Ihrem Datenschutzbeauftragten.

Im Beispiel: Videoüberwachung mit Personenbezug ist eine systematische Überwachung und steht auf den DSFA-Pflichtlisten. Sie setzen das Häkchen Hohes Risiko, das Ergebnis wechselt sofort auf „DSFA erforderlich“.

DSFA anlegen und verknüpfen

  1. Klicken Sie auf DSFA anlegen. Das Modal ist schlank, einziges Pflichtfeld ist die Bezeichnung.
    DSFA anlegen mit Bezeichnung
  2. Tragen Sie eine eindeutige Bezeichnung ein, hier „DSFA Videoüberwachung Betriebsgelände“. Empfehlung: dieselbe Bezeichnung wie die Verarbeitungstätigkeit mit einem DSFA-Präfix.
  3. Speichern. Die DSFA wird angelegt und sofort mit der Verarbeitungstätigkeit verknüpft. Sie erscheint in der DSFA-Tabelle. Die vollständige inhaltliche Bearbeitung der DSFA – Risikobewertung, Maßnahmen, gegebenenfalls Konsultation nach Art. 36 – findet im separaten DSFA-Modul statt. Als methodische Grundlage für die Risikoeinschätzung eignen sich BSI-Standard 200-3 oder ISO 27005.

Ist bereits eine passende DSFA in einem anderen Modul angelegt, nutzen Sie stattdessen Risiko oder DSFA verknüpfen und wählen den bestehenden Eintrag.

Hinweis: Ein Wiedervorlage-Datum für die DSFA pflegen Sie im DSFA-Modul selbst, nicht im VVT-Formular. Setzen Sie es dort, damit das Screening bei Änderungen der Verarbeitung erneut durchlaufen wird.

Schritt 9: Tab Löschkonzept, Information und Dokumente

Die letzten drei Tabs runden den Eintrag ab.

  • Löschkonzept: Dieser Tab zeigt nur einen Auszug. Die Löschfristen werden aus den Details der Datenkategorien übernommen, die Sie in Schritt 5 gesetzt haben - hier ist keine eigene Eingabe nötig. Über den Link Im Löschkonzept-Modul öffnen gelangen Sie in die vollständige Verwaltung.
    Löschkonzept-Auszug im VVT
  • Information: Hier ordnen Sie den Betroffenen-Gruppen die Texte für die Informationspflichten nach Art. 13 und 14 DSGVO zu. Daraus lassen sich die Datenschutz-Hinweise direkt exportieren.
  • Dokumente: Datei-Anhänge zur Tätigkeit, etwa Verträge, Konzepte oder Pläne der Kamera-Standorte.

Schritt 10: Prüf-Workflow – speichern und einreichen

Eine Verarbeitungstätigkeit hat zwei voneinander getrennte Status-Felder. Der Status bildet den Lebenszyklus ab (Entwurf, Aktiv, Beendet), der Prüfstatus den Freigabe-Workflow (kein Stand, Zur Prüfung, In Prüfung, Geprüft (OK), Geprüft (Mängel)). Beide sind unabhängig voneinander.

  1. Klicken Sie zuerst in der Toolbar auf Speichern, damit alle Eingaben übernommen sind.
  2. Klicken Sie dann auf Zur Prüfung einreichen. Der Button führt einen direkten Statuswechsel ohne Bestätigungs-Dialog durch. Der Prüfstatus wechselt auf „Zur Prüfung“, und der oder die Datenschutzbeauftragte übernimmt die Freigabe.
  3. Erst nach erfolgter Freigabe (Prüfstatus „Geprüft (OK)“) setzen Sie den Status auf Aktiv, wenn die Verarbeitung tatsächlich läuft.

Faustregel: Erst speichern, dann einreichen. Reichen Sie ohne vorheriges Speichern ein, greift der Workflow-Wechsel möglicherweise nicht sichtbar. Ob der Prüf-Workflow aktiv ist und wer Standard-Prüfer ist, legt der Mandanten-Administrator in der Modulkonfiguration fest.

Ergebnis und Verifikation

Damit ist die Verarbeitungstätigkeit „Videoüberwachung Betriebsgelände“ vollständig: Rechtsgrundlage berechtigtes Interesse mit dokumentierter Interessenabwägung, Datenkategorie mit Betroffenen und 72-Stunden-Löschfrist, interner Empfänger, verknüpfte Schutzmaßnahme, DSFA-Screening mit Ergebnis „erforderlich“ und angelegter DSFA.

Den Nachweis für die Aufsichtsbehörde erzeugen Sie über das Exportieren-Menü in der Toolbar. Bei berechtigtem Interesse enthält das Dropdown zusätzlich den Eintrag Interessenabwägung als Word – ein belegrelevantes Dokument, das genau die Abwägung aus Schritt 4 wiedergibt.

Export-Optionen mit Interessenabwägung als Word

Die einzelnen Export-Formate und ihre Verwendung beschreibt der Artikel VVT: Art.-30-Export für die Aufsichtsbehörde im Detail.

Variationen

Keine DSFA-Pflicht. Ergibt das Screening „nicht erforderlich“ (etwa bei Standard-Personalverwaltung ohne Profilbildung oder klassischem CRM ohne automatisierte Entscheidungen), legen Sie keine DSFA an. Halten Sie aber die Begründung fest. Eine dokumentierte Negativentscheidung ist später wertvoller als gar keine Aussage. Eine freiwillige DSFA bleibt jederzeit möglich und ist bei neuen Technologien empfehlenswert.

Andere Rechtsgrundlage als lit. f. Wählen Sie eine andere Grundlage, erscheint keine Interessenabwägung. Bei Einwilligung (lit. a) dokumentieren Sie, wie und wann die Einwilligung eingeholt wurde. Bei Vertrag (lit. b) genügt der Verweis auf das Vertragsverhältnis. Bei Beschäftigtendaten nutzen Sie § 26 BDSG.

Externer Dienstleister mit Auftragsverarbeitung. Speichert ein externer Anbieter die Daten (etwa eine Cloud-Videolösung), verknüpfen Sie im Tab Empfänger den Auftragsverarbeitungs-Vertrag aus dem Modul Auftragsverarbeitung. Liegt der Dienstleister außerhalb der EU, ergänzen Sie die Drittland-Schutzgrundlage.

Besondere Kategorien nach Art. 9. Verarbeiten Sie Gesundheits-, biometrische oder ähnliche Daten, markieren Sie den Informationswert bereits beim Anlegen als Art.-9-Datenkategorie und wählen zusätzlich zur Art.-6-Grundlage eine Erlaubnis nach Art. 9 Abs. 2. Solche Verarbeitungen lösen das DSFA-Screening häufig in Richtung „erforderlich“ aus.

Häufige Fragen

Muss ich für jede Software einen eigenen Eintrag anlegen?

Nein. Ein Eintrag beschreibt eine Verarbeitungstätigkeit, also einen Prozess mit Zweck und Rechtsgrundlage, nicht eine Software. Wird dieselbe Software für mehrere Zwecke genutzt, brauchen Sie pro Zweck einen Eintrag. Die eingesetzten Systeme ordnen Sie über die verknüpften Datenkategorien und die Asset-Kette zu.

Warum erscheint die Interessenabwägung nicht als eigener Tab?

Sie ist bewusst in den Tab Rechtliches integriert und erscheint direkt unter der Rechtsgrundlage, sobald Sie das berechtigte Interesse (Art. 6 Abs. 1 lit. f) wählen. Wählen Sie eine andere Rechtsgrundlage, wird die Sektion ausgeblendet. Stellen Sie eine Tätigkeit später von lit. f auf eine andere Grundlage um, räumen Sie alte Eintragungen der Abwägung weg, statt sie stehen zu lassen.

Was unterscheidet das DSFA-Screening von der DSFA selbst?

Das Screening ist die Vorprüfung, ob eine DSFA überhaupt nötig ist – im audatis MANAGER eine Checkbox-Logik im Tab DSFA + Risiken. Die DSFA selbst ist die ausführliche Risiko-Analyse mit Mitigations-Maßnahmen und gegebenenfalls einer Konsultation der Aufsichtsbehörde nach Art. 36. Sie folgt nur, wenn das Screening „DSFA erforderlich“ ergibt.

Was bedeutet „Bild- und Videodaten“ im Details-Modal, obwohl ich „Videoaufnahmen Betriebsgelände“ angelegt habe?

Der Modal-Titel zeigt den systemintern erkannten Datenkategorie-Typ, nicht Ihre eigene Bezeichnung. Das ist kein Fehler, sondern die interne Typ-Zuordnung. Ihre eigene Bezeichnung bleibt in der Datenkategorie-Zeile sichtbar.

Was passiert, wenn die Abwägung „Interessen der Betroffenen überwiegen“ ergibt?

Dann dürfen Sie die Verarbeitung nicht auf das berechtigte Interesse stützen. Sie brauchen entweder eine andere Rechtsgrundlage (Einwilligung, Vertrag) oder Sie passen die Verarbeitung an, um die Eingriffsintensität zu senken, etwa durch kürzere Löschfristen oder eine eingeschränkte Erfassung.

Muss ich die Tabs in einem Rutsch ausfüllen?

Nein. Legen Sie die Tätigkeit zunächst als Entwurf an und ergänzen Sie die Tabs nach und nach. Auf Aktiv setzen Sie den Eintrag erst, wenn die Verarbeitung tatsächlich läuft und die Pflichtangaben gefüllt sind. Speichern Sie zwischendurch.

Verwandte Artikel

  • VVT-Übersicht: das Verzeichnis steuern und filtern
  • VVT: Art.-30-Export für die Aufsichtsbehörde
  • VVT: Massenaktionen im Verzeichnis
  • VVT: Modulkonfiguration und Prüf-Workflow einrichten
  • Anwendungsfall: Perfektes VVT von 0 auf 100


Last updated: 09.06.26, 10:48

War dieser Artikel hilfreich?

Powered by Product Fruits
Impressum | Datenschutzerklärung