GeschaeftlichDeutschland
Kostenloses Verzeichnis von Verarbeitungstaetigkeiten (VVT) Vorlage
Das VVT dokumentiert alle Datenverarbeitungen in Ihrem Unternehmen und ist nach Art. 30 DSGVO Pflicht. Kostenlose Vorlage — sofort als PDF herunterladen.
Kostenlos nutzbarSofort als PDFKein Konto erforderlich
VERZEICHNIS VON VERARBEITUNGSTÄTIGKEITEN
Gemäß Art. 30 Abs. 1 DSGVO · Stand: 1. April 2026
VERANTWORTLICHER (ART. 4 NR. 7 DSGVO)
| NAME / FIRMA | Nordlicht Handels GmbH (GmbH) |
| ANSCHRIFT | Heinrich-Hertz-Straße 14, 22083 Hamburg |
| KONTAKTPERSON | Sören Petersen |
| datenschutz@nordlicht-handel.de | |
| TELEFON | +49 40 123456-20 |
DATENSCHUTZBEAUFTRAGTE/R (ART. 37–39 DSGVO)
| STATUS | Pflichtbenennung (§ 38 BDSG / Art. 37 DSGVO) |
| NAME | RA Dr. Henrike Bauer, extern (Bauer Datenschutz PartG mbB) |
| ANSCHRIFT | Ballindamm 9, 20095 Hamburg |
| dsb@bauer-datenschutz.de | |
| TELEFON | +49 40 987654-0 |
Dieses Verzeichnis wird gemäß Art. 30 Abs. 1 DSGVO geführt und auf Anfrage der zuständigen Aufsichtsbehörde zur Verfügung gestellt (Art. 30 Abs. 4 DSGVO). Es erfüllt die Rechenschaftspflicht (Art. 5 Abs. 2 DSGVO) und dokumentiert sämtliche Verarbeitungstätigkeiten im Sinne des Art. 4 Nr. 2 DSGVO.
1.
RECHTSGRUNDLAGE DER DOKUMENTATIONSPFLICHT
Gemäß Art. 30 Abs. 1 DSGVO hat jede/r Verantwortliche und ggf. ihr/sein Vertreter ein Verzeichnis aller Verarbeitungstätigkeiten zu führen, die ihrer/seiner Zuständigkeit unterliegen. Die Pflicht gilt schriftlich oder in einem elektronischen Format (Art. 30 Abs. 3 DSGVO). Das Verzeichnis muss u. a. Namen und Kontaktdaten des Verantwortlichen (und ggf. des DSB), die Zwecke der Verarbeitung, die Kategorien betroffener Personen und personenbezogener Daten, die Empfänger, Übermittlungen in Drittländer, Löschfristen und die technisch-organisatorischen Maßnahmen nach Art. 32 DSGVO enthalten. Die Ausnahmeregelung des Art. 30 Abs. 5 DSGVO (< 250 Beschäftigte) greift nur, sofern die Verarbeitung kein Risiko für die Rechte und Freiheiten der betroffenen Personen birgt, nicht regelmäßig erfolgt und keine besonderen Datenkategorien (Art. 9 DSGVO) oder Strafdaten (Art. 10 DSGVO) umfasst. Diese Bedingungen liegen in der Praxis selten gleichzeitig vor, weshalb die Verzeichnispflicht faktisch für fast alle Unternehmen gilt.
2.
RECHENSCHAFTSPFLICHT (ART. 5 ABS. 2 DSGVO)
Der Verantwortliche ist für die Einhaltung der Grundsätze nach Art. 5 Abs. 1 DSGVO (Rechtmäßigkeit, Treu und Glauben, Transparenz, Zweckbindung, Datenminimierung, Richtigkeit, Speicherbegrenzung, Integrität und Vertraulichkeit) verantwortlich und muss deren Einhaltung nachweisen können. Dieses Verzeichnis bildet zusammen mit den Informationspflichten (Art. 13/14 DSGVO), den TOMs (Art. 32 DSGVO), etwaigen Datenschutz-Folgenabschätzungen (Art. 35 DSGVO) und den AV-Verträgen (Art. 28 DSGVO) den Kern der Nachweisdokumentation.
Übersicht der Verarbeitungstätigkeiten
Verarbeitungstätigkeiten
| Nr. | Bezeichnung | Zweck | Rechtsgrundlage | Löschfrist |
|---|---|---|---|---|
| 1 | Kundenkonto / Registrierung Online-Shop | Einrichtung und Verwaltung von Kundenkonten, Authentifizierung, Bestellhistorie | Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung / vorvertragliche Maßnahmen) | Löschung des Kontos auf Anfrage / nach 3 Jahren Inaktivität; Bestelldaten gem. § 257 HGB / § 147 AO (10 Jahre) |
| 2 | Bestellabwicklung | Verarbeitung von Bestellungen, Rechnungsstellung, Lieferung | Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung); Art. 6 Abs. 1 lit. c DSGVO (§ 14 UStG, § 238 HGB) | 10 Jahre gemäß § 257 Abs. 4 HGB / § 147 AO |
| 3 | Zahlungsabwicklung | Verarbeitung von Zahlungen (Rechnung, Lastschrift, PayPal, Kreditkarte, Klarna) | Art. 6 Abs. 1 lit. b DSGVO; Art. 6 Abs. 1 lit. c DSGVO (Geldwäschegesetz) | 10 Jahre gemäß § 147 AO; Token bis Widerruf |
| 4 | Newsletter-Versand | Versand werblicher E-Mails mit Angeboten und Neuigkeiten | Art. 6 Abs. 1 lit. a DSGVO (Einwilligung), Double-Opt-In | Unverzüglich nach Widerruf der Einwilligung; Protokoll der Einwilligung 3 Jahre (Nachweispflicht) |
| 5 | Server-Log-Dateien | Sicherstellung der Funktionsfähigkeit, Angriffsabwehr (IT-Sicherheit) | Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) | 7 Tage (nicht-sicherheitsrelevante Logs), max. 30 Tage |
| 6 | Cookies und Webanalyse | Reichweitenmessung und Website-Optimierung | Art. 6 Abs. 1 lit. a DSGVO i. V. m. § 25 Abs. 1 TTDSG (Einwilligung per Consent-Banner) | Cookie-Lebensdauer max. 13 Monate; Analyse-Daten nach 24 Monaten |
| 7 | Kontaktformular und Support | Bearbeitung von Kundenanfragen | Art. 6 Abs. 1 lit. b und lit. f DSGVO | 24 Monate nach Abschluss der Anfrage, sofern kein Vertragsbezug |
| 8 | Bewerbermanagement | Durchführung von Bewerbungsverfahren | Art. 6 Abs. 1 lit. b DSGVO i. V. m. § 26 Abs. 1 BDSG | 6 Monate nach Absage (§ 15 AGG); bei Einwilligung: Talentpool bis Widerruf |
| 9 | Personaldatenverwaltung | Durchführung des Beschäftigungsverhältnisses | § 26 Abs. 1 BDSG; Art. 6 Abs. 1 lit. b, c DSGVO (Lohnsteuer, Sozialversicherung) | 10 Jahre nach Austritt (§ 147 AO, § 257 HGB); sonstige Unterlagen 3 Jahre (§ 195 BGB) |
| 10 | Videoüberwachung Lager/Eingangsbereich | Diebstahlschutz, Hausrecht, Aufklärung von Straftaten | Art. 6 Abs. 1 lit. f DSGVO i. V. m. § 4 BDSG; Kennzeichnungspflicht § 4 Abs. 2 BDSG | 72 Stunden, sofern kein Vorfall; andernfalls bis zur Klärung (max. 30 Tage) |
| 11 | Buchhaltung / Finanzbuchhaltung | Erfüllung handels- und steuerrechtlicher Pflichten | Art. 6 Abs. 1 lit. c DSGVO i. V. m. § 238 HGB, § 257 HGB, § 147 AO | 10 Jahre (§ 257 HGB, § 147 AO); Handelsbriefe 6 Jahre |
| 12 | Retouren- und Reklamationsmanagement | Bearbeitung von Retouren und Gewährleistungsansprüchen | Art. 6 Abs. 1 lit. b DSGVO (Vertrag); Art. 6 Abs. 1 lit. c DSGVO | 10 Jahre (§ 147 AO); Retourenkommentare 3 Jahre |
Nr. 1: Kundenkonto / Registrierung Online-Shop
DETAILS
| ZWECK DER VERARBEITUNG | Einrichtung und Verwaltung von Kundenkonten, Authentifizierung, Bestellhistorie |
| RECHTSGRUNDLAGE (ART. 6 DSGVO) | Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung / vorvertragliche Maßnahmen) |
| KATEGORIEN BETROFFENER PERSONEN | Kundinnen und Kunden, Interessenten |
| KATEGORIEN PERSONENBEZOGENER DATEN | Name, Anrede, Lieferanschrift, Rechnungsanschrift, E-Mail, Telefon, Passwort-Hash, Bestellhistorie |
| EMPFÄNGER DER DATEN | Shop-Hoster (AVV), Kundenservice (intern), Versanddienstleister |
| DRITTLANDÜBERMITTLUNG (ART. 44–49 DSGVO) | Keine |
| LÖSCHFRIST / SPEICHERDAUER | Löschung des Kontos auf Anfrage / nach 3 Jahren Inaktivität; Bestelldaten gem. § 257 HGB / § 147 AO (10 Jahre) |
| TOMS (ART. 32 DSGVO) | TLS 1.3, bcrypt-Passwort-Hashing, Rollenbasierter Zugriff, 2FA für Admins |
Nr. 2: Bestellabwicklung
DETAILS
| ZWECK DER VERARBEITUNG | Verarbeitung von Bestellungen, Rechnungsstellung, Lieferung |
| RECHTSGRUNDLAGE (ART. 6 DSGVO) | Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung); Art. 6 Abs. 1 lit. c DSGVO (§ 14 UStG, § 238 HGB) |
| KATEGORIEN BETROFFENER PERSONEN | Kundinnen und Kunden |
| KATEGORIEN PERSONENBEZOGENER DATEN | Bestellinhalte, Rechnungsnummer, Lieferadresse, Bestelldatum, Zahlart |
| EMPFÄNGER DER DATEN | Versanddienstleister (DHL, DPD), Zahlungsdienstleister, Steuerberater (AVV) |
| DRITTLANDÜBERMITTLUNG (ART. 44–49 DSGVO) | Keine |
| LÖSCHFRIST / SPEICHERDAUER | 10 Jahre gemäß § 257 Abs. 4 HGB / § 147 AO |
| TOMS (ART. 32 DSGVO) | Verschlüsselte Übertragung an Dienstleister, DMS mit Zugriffskontrolle |
Nr. 3: Zahlungsabwicklung
DETAILS
| ZWECK DER VERARBEITUNG | Verarbeitung von Zahlungen (Rechnung, Lastschrift, PayPal, Kreditkarte, Klarna) |
| RECHTSGRUNDLAGE (ART. 6 DSGVO) | Art. 6 Abs. 1 lit. b DSGVO; Art. 6 Abs. 1 lit. c DSGVO (Geldwäschegesetz) |
| KATEGORIEN BETROFFENER PERSONEN | Zahlende Kundinnen und Kunden |
| KATEGORIEN PERSONENBEZOGENER DATEN | IBAN, Kreditkarten-Token, Transaktions-ID, Zahlbetrag |
| EMPFÄNGER DER DATEN | Zahlungsdienstleister (Stripe, PayPal, Klarna — AVV) |
| DRITTLANDÜBERMITTLUNG (ART. 44–49 DSGVO) | USA (Stripe — EU-SCC + EU-US DPF); Luxemburg, Schweden (EU) |
| LÖSCHFRIST / SPEICHERDAUER | 10 Jahre gemäß § 147 AO; Token bis Widerruf |
| TOMS (ART. 32 DSGVO) | PCI-DSS-konformer Dienstleister, keine lokale Speicherung der Kreditkartendaten, TLS 1.3 |
Nr. 4: Newsletter-Versand
DETAILS
| ZWECK DER VERARBEITUNG | Versand werblicher E-Mails mit Angeboten und Neuigkeiten |
| RECHTSGRUNDLAGE (ART. 6 DSGVO) | Art. 6 Abs. 1 lit. a DSGVO (Einwilligung), Double-Opt-In |
| KATEGORIEN BETROFFENER PERSONEN | Newsletter-Abonnenten |
| KATEGORIEN PERSONENBEZOGENER DATEN | E-Mail, Anrede, Name, Einwilligungszeitpunkt/-IP, Öffnungs-/Klickraten |
| EMPFÄNGER DER DATEN | E-Mail-Service-Provider (AVV, z. B. CleverReach — Deutschland) |
| DRITTLANDÜBERMITTLUNG (ART. 44–49 DSGVO) | Keine |
| LÖSCHFRIST / SPEICHERDAUER | Unverzüglich nach Widerruf der Einwilligung; Protokoll der Einwilligung 3 Jahre (Nachweispflicht) |
| TOMS (ART. 32 DSGVO) | Double-Opt-In, verschlüsselte Übertragung, dokumentierter Abbestell-Link in jeder Mail |
Nr. 5: Server-Log-Dateien
DETAILS
| ZWECK DER VERARBEITUNG | Sicherstellung der Funktionsfähigkeit, Angriffsabwehr (IT-Sicherheit) |
| RECHTSGRUNDLAGE (ART. 6 DSGVO) | Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) |
| KATEGORIEN BETROFFENER PERSONEN | Besucherinnen und Besucher der Website |
| KATEGORIEN PERSONENBEZOGENER DATEN | IP-Adresse (gekürzt), Zeitstempel, Request, User-Agent, Referrer |
| EMPFÄNGER DER DATEN | Hosting-Provider (AVV) |
| DRITTLANDÜBERMITTLUNG (ART. 44–49 DSGVO) | Keine |
| LÖSCHFRIST / SPEICHERDAUER | 7 Tage (nicht-sicherheitsrelevante Logs), max. 30 Tage |
| TOMS (ART. 32 DSGVO) | IP-Kürzung, Fail2Ban, WAF, regelmäßige Log-Rotation |
Nr. 6: Cookies und Webanalyse
DETAILS
| ZWECK DER VERARBEITUNG | Reichweitenmessung und Website-Optimierung |
| RECHTSGRUNDLAGE (ART. 6 DSGVO) | Art. 6 Abs. 1 lit. a DSGVO i. V. m. § 25 Abs. 1 TTDSG (Einwilligung per Consent-Banner) |
| KATEGORIEN BETROFFENER PERSONEN | Website-Besucher |
| KATEGORIEN PERSONENBEZOGENER DATEN | Pseudonyme Nutzer-IDs, besuchte Seiten, Verweildauer, Gerätekategorie |
| EMPFÄNGER DER DATEN | Analyse-Anbieter (AVV, z. B. Matomo self-hosted) |
| DRITTLANDÜBERMITTLUNG (ART. 44–49 DSGVO) | Keine (Matomo on-premise) |
| LÖSCHFRIST / SPEICHERDAUER | Cookie-Lebensdauer max. 13 Monate; Analyse-Daten nach 24 Monaten |
| TOMS (ART. 32 DSGVO) | Consent-Banner (TCF v2.2), IP-Anonymisierung, keine Weitergabe an Dritte |
Nr. 7: Kontaktformular und Support
DETAILS
| ZWECK DER VERARBEITUNG | Bearbeitung von Kundenanfragen |
| RECHTSGRUNDLAGE (ART. 6 DSGVO) | Art. 6 Abs. 1 lit. b und lit. f DSGVO |
| KATEGORIEN BETROFFENER PERSONEN | Anfragende Personen (Kunden, Interessenten) |
| KATEGORIEN PERSONENBEZOGENER DATEN | Name, E-Mail, Anfragetext, ggf. Bestellnummer |
| EMPFÄNGER DER DATEN | Support-Ticket-System (AVV), zuständige interne Abteilung |
| DRITTLANDÜBERMITTLUNG (ART. 44–49 DSGVO) | Keine |
| LÖSCHFRIST / SPEICHERDAUER | 24 Monate nach Abschluss der Anfrage, sofern kein Vertragsbezug |
| TOMS (ART. 32 DSGVO) | TLS, Zugriffsbeschränkung, interne Löschroutinen |
Nr. 8: Bewerbermanagement
DETAILS
| ZWECK DER VERARBEITUNG | Durchführung von Bewerbungsverfahren |
| RECHTSGRUNDLAGE (ART. 6 DSGVO) | Art. 6 Abs. 1 lit. b DSGVO i. V. m. § 26 Abs. 1 BDSG |
| KATEGORIEN BETROFFENER PERSONEN | Bewerberinnen und Bewerber |
| KATEGORIEN PERSONENBEZOGENER DATEN | Bewerbungsunterlagen, Lebenslauf, Zeugnisse, Foto (freiwillig), Kontaktdaten |
| EMPFÄNGER DER DATEN | HR-Abteilung, ggf. einbezogene Fachabteilung |
| DRITTLANDÜBERMITTLUNG (ART. 44–49 DSGVO) | Keine |
| LÖSCHFRIST / SPEICHERDAUER | 6 Monate nach Absage (§ 15 AGG); bei Einwilligung: Talentpool bis Widerruf |
| TOMS (ART. 32 DSGVO) | Verschlüsseltes Bewerber-Portal, Berechtigungskonzept |
Nr. 9: Personaldatenverwaltung
DETAILS
| ZWECK DER VERARBEITUNG | Durchführung des Beschäftigungsverhältnisses |
| RECHTSGRUNDLAGE (ART. 6 DSGVO) | § 26 Abs. 1 BDSG; Art. 6 Abs. 1 lit. b, c DSGVO (Lohnsteuer, Sozialversicherung) |
| KATEGORIEN BETROFFENER PERSONEN | Beschäftigte |
| KATEGORIEN PERSONENBEZOGENER DATEN | Stammdaten, Steuer-ID, SV-Nummer, Bankverbindung, Arbeitszeitdaten, Urlaub, Leistungsdaten |
| EMPFÄNGER DER DATEN | Lohnbüro (AVV), Finanzamt, Krankenkassen, Berufsgenossenschaft |
| DRITTLANDÜBERMITTLUNG (ART. 44–49 DSGVO) | Keine |
| LÖSCHFRIST / SPEICHERDAUER | 10 Jahre nach Austritt (§ 147 AO, § 257 HGB); sonstige Unterlagen 3 Jahre (§ 195 BGB) |
| TOMS (ART. 32 DSGVO) | Rollenbasierter Zugriff (HR), verschlüsselte Datenbank, physische Aktensicherung |
Nr. 10: Videoüberwachung Lager/Eingangsbereich
DETAILS
| ZWECK DER VERARBEITUNG | Diebstahlschutz, Hausrecht, Aufklärung von Straftaten |
| RECHTSGRUNDLAGE (ART. 6 DSGVO) | Art. 6 Abs. 1 lit. f DSGVO i. V. m. § 4 BDSG; Kennzeichnungspflicht § 4 Abs. 2 BDSG |
| KATEGORIEN BETROFFENER PERSONEN | Kunden, Lieferanten, Beschäftigte, Besucher |
| KATEGORIEN PERSONENBEZOGENER DATEN | Bildaufnahmen (ohne Ton), Zeitstempel |
| EMPFÄNGER DER DATEN | Sicherheitsdienst (AVV), bei Vorfällen: Polizei/Staatsanwaltschaft |
| DRITTLANDÜBERMITTLUNG (ART. 44–49 DSGVO) | Keine |
| LÖSCHFRIST / SPEICHERDAUER | 72 Stunden, sofern kein Vorfall; andernfalls bis zur Klärung (max. 30 Tage) |
| TOMS (ART. 32 DSGVO) | Blickfeldbegrenzung, Hinweisschilder, verschlüsselte Speicherung, Vier-Augen-Prinzip bei Einsicht |
Nr. 11: Buchhaltung / Finanzbuchhaltung
DETAILS
| ZWECK DER VERARBEITUNG | Erfüllung handels- und steuerrechtlicher Pflichten |
| RECHTSGRUNDLAGE (ART. 6 DSGVO) | Art. 6 Abs. 1 lit. c DSGVO i. V. m. § 238 HGB, § 257 HGB, § 147 AO |
| KATEGORIEN BETROFFENER PERSONEN | Geschäftspartner, Kunden, Lieferanten, Beschäftigte |
| KATEGORIEN PERSONENBEZOGENER DATEN | Buchungsbelege, Rechnungen, Kontoauszüge, Geschäftskorrespondenz |
| EMPFÄNGER DER DATEN | Steuerberater (AVV), Finanzamt, Wirtschaftsprüfer |
| DRITTLANDÜBERMITTLUNG (ART. 44–49 DSGVO) | Keine |
| LÖSCHFRIST / SPEICHERDAUER | 10 Jahre (§ 257 HGB, § 147 AO); Handelsbriefe 6 Jahre |
| TOMS (ART. 32 DSGVO) | Revisionssichere Archivierung, Zugriffsbeschränkung, Backup-Konzept |
Nr. 12: Retouren- und Reklamationsmanagement
DETAILS
| ZWECK DER VERARBEITUNG | Bearbeitung von Retouren und Gewährleistungsansprüchen |
| RECHTSGRUNDLAGE (ART. 6 DSGVO) | Art. 6 Abs. 1 lit. b DSGVO (Vertrag); Art. 6 Abs. 1 lit. c DSGVO |
| KATEGORIEN BETROFFENER PERSONEN | Kundinnen und Kunden |
| KATEGORIEN PERSONENBEZOGENER DATEN | Bestellnummer, Retouren-Gründe, Bankverbindung für Rückzahlungen |
| EMPFÄNGER DER DATEN | Warenwirtschaft (intern), Zahlungsdienstleister, Versanddienstleister |
| DRITTLANDÜBERMITTLUNG (ART. 44–49 DSGVO) | Keine |
| LÖSCHFRIST / SPEICHERDAUER | 10 Jahre (§ 147 AO); Retourenkommentare 3 Jahre |
| TOMS (ART. 32 DSGVO) | Interne Prozessfreigaben, Revisionslog, TLS |
3.
TECHNISCH-ORGANISATORISCHE MASSNAHMEN (ART. 32 DSGVO)
Gemäß Art. 32 DSGVO sind angemessene TOMs zu treffen, um ein dem Risiko angemessenes Schutzniveau sicherzustellen — insbesondere Pseudonymisierung und Verschlüsselung, die dauerhafte Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme sowie die rasche Wiederherstellbarkeit nach physischen oder technischen Zwischenfällen.
Technische Maßnahmen: TLS 1.3 für alle externen Verbindungen; verschlüsselte Datenbanken (AES-256 at rest); rollenbasiertes Zugriffskonzept mit Least-Privilege; 2FA für alle administrativen Zugänge; regelmäßige Penetrationstests; tägliche verschlüsselte Backups mit 30-Tage-Retention (3-2-1-Strategie); Endpoint-Protection auf allen Arbeitsplätzen; Festplattenverschlüsselung (LUKS/BitLocker); Logging und SIEM-Auswertung sicherheitsrelevanter Ereignisse.
Organisatorische Maßnahmen: Datenschutzrichtlinie und Verpflichtung auf die Vertraulichkeit (Art. 29 DSGVO) aller Beschäftigten; jährliche Datenschutz- und IT-Sicherheits-Schulungen; dokumentiertes Berechtigungsmanagement mit Rezertifizierung; Clean-Desk-Policy; Besucherregistrierung; dokumentierte Lösch- und Aufbewahrungskonzepte; Meldewege für Datenschutzvorfälle (interne Eskalation an DSB binnen 24 h); AV-Verträge mit allen Dienstleistern.
Technische Maßnahmen: TLS 1.3 für alle externen Verbindungen; verschlüsselte Datenbanken (AES-256 at rest); rollenbasiertes Zugriffskonzept mit Least-Privilege; 2FA für alle administrativen Zugänge; regelmäßige Penetrationstests; tägliche verschlüsselte Backups mit 30-Tage-Retention (3-2-1-Strategie); Endpoint-Protection auf allen Arbeitsplätzen; Festplattenverschlüsselung (LUKS/BitLocker); Logging und SIEM-Auswertung sicherheitsrelevanter Ereignisse.
Organisatorische Maßnahmen: Datenschutzrichtlinie und Verpflichtung auf die Vertraulichkeit (Art. 29 DSGVO) aller Beschäftigten; jährliche Datenschutz- und IT-Sicherheits-Schulungen; dokumentiertes Berechtigungsmanagement mit Rezertifizierung; Clean-Desk-Policy; Besucherregistrierung; dokumentierte Lösch- und Aufbewahrungskonzepte; Meldewege für Datenschutzvorfälle (interne Eskalation an DSB binnen 24 h); AV-Verträge mit allen Dienstleistern.
4.
ÜBERMITTLUNG IN DRITTLÄNDER (ART. 44–49 DSGVO)
Übermittlungen personenbezogener Daten in Staaten außerhalb der EU/des EWR erfolgen ausschließlich auf Grundlage eines Angemessenheitsbeschlusses (Art. 45 DSGVO), geeigneter Garantien (Art. 46 DSGVO — insbesondere EU-Standardvertragsklauseln nach Durchführungsbeschluss 2021/914) oder einer Ausnahme nach Art. 49 DSGVO. Für Übermittlungen in die USA wird, soweit einschlägig, auf das EU-US Data Privacy Framework (Angemessenheitsbeschluss vom 10.07.2023) zurückgegriffen; andernfalls werden Standardvertragsklauseln zuzüglich einer Transfer Impact Assessment (TIA) in Umsetzung der „Schrems II"-Rechtsprechung (EuGH, Urteil v. 16.07.2020, C-311/18) verwendet.
Tatsächliche Drittlandübermittlungen: Übermittlung an Stripe Payments Europe (Irland) mit Weiterleitung an Stripe, Inc. (USA) auf Grundlage EU-Standardvertragsklauseln (Durchführungsbeschluss 2021/914) und EU-US Data Privacy Framework; TIA durchgeführt und dokumentiert. Keine sonstigen Drittlandübermittlungen.
Tatsächliche Drittlandübermittlungen: Übermittlung an Stripe Payments Europe (Irland) mit Weiterleitung an Stripe, Inc. (USA) auf Grundlage EU-Standardvertragsklauseln (Durchführungsbeschluss 2021/914) und EU-US Data Privacy Framework; TIA durchgeführt und dokumentiert. Keine sonstigen Drittlandübermittlungen.
5.
AUFTRAGSVERARBEITUNG (ART. 28 DSGVO)
Soweit Dritte im Auftrag des Verantwortlichen personenbezogene Daten verarbeiten, erfolgt dies ausschließlich auf Grundlage eines Auftragsverarbeitungsvertrags nach Art. 28 Abs. 3 DSGVO. Der Verantwortliche arbeitet nur mit Auftragsverarbeitern zusammen, die hinreichend Garantien dafür bieten, dass geeignete TOMs durchgeführt werden und die Verarbeitung im Einklang mit der DSGVO erfolgt.
Auftragsverarbeiter (Übersicht): Hosting: Hetzner Online GmbH (DE — AVV). E-Mail-Marketing: CleverReach GmbH (DE — AVV). Zahlungsabwicklung: Stripe Payments Europe (IE — AVV + EU-SCC). Versand: DHL Paket GmbH, DPD Deutschland GmbH. Steuerberatung: Müller und Partner StB (DE — AVV). Cloud-Speicherung interner Dokumente: IONOS SE (DE — AVV). Support-Ticket-System: self-hosted Zammad.
Auftragsverarbeiter (Übersicht): Hosting: Hetzner Online GmbH (DE — AVV). E-Mail-Marketing: CleverReach GmbH (DE — AVV). Zahlungsabwicklung: Stripe Payments Europe (IE — AVV + EU-SCC). Versand: DHL Paket GmbH, DPD Deutschland GmbH. Steuerberatung: Müller und Partner StB (DE — AVV). Cloud-Speicherung interner Dokumente: IONOS SE (DE — AVV). Support-Ticket-System: self-hosted Zammad.
6.
SPEICHERDAUER UND LÖSCHFRISTEN
Personenbezogene Daten werden nur so lange gespeichert, wie dies für die Erfüllung der Zwecke erforderlich ist oder gesetzliche Aufbewahrungspflichten bestehen. Zu beachten sind insbesondere § 257 HGB (6 bzw. 10 Jahre für Handelsbücher, Inventare, Jahresabschlüsse, Buchungsbelege und Handelsbriefe) und § 147 AO (steuerrelevante Unterlagen 10 Jahre, sonstige Unterlagen 6 Jahre). Nach Ablauf der Aufbewahrungsfrist werden die Daten unverzüglich gelöscht oder anonymisiert, sofern keine weiteren Rechtsgrundlagen für eine Speicherung bestehen.
7.
MELDEPFLICHTEN BEI DATENSCHUTZVORFÄLLEN (ART. 33, 34 DSGVO)
Verletzungen des Schutzes personenbezogener Daten werden gemäß Art. 33 DSGVO unverzüglich und möglichst binnen 72 Stunden nach Bekanntwerden an die zuständige Aufsichtsbehörde gemeldet, sofern die Verletzung voraussichtlich zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt. Bei voraussichtlich hohem Risiko werden die betroffenen Personen nach Art. 34 DSGVO unverzüglich benachrichtigt. Sämtliche Vorfälle werden intern dokumentiert (Art. 33 Abs. 5 DSGVO).
8.
DATENSCHUTZ-FOLGENABSCHÄTZUNG (ART. 35 DSGVO)
Bei Verarbeitungen, die aufgrund ihrer Art, des Umfangs, der Umstände oder der Zwecke voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge haben — insbesondere bei systematischer und umfassender Bewertung, umfangreicher Verarbeitung besonderer Datenkategorien oder systematischer Überwachung öffentlich zugänglicher Bereiche — wird eine Datenschutz-Folgenabschätzung (DSFA) nach Art. 35 DSGVO durchgeführt. Die „Muss-Liste" der zuständigen Aufsichtsbehörde (§ 14 Abs. 3 DSAnpUG-EU / Beschlusskammer DSK) wird beachtet.
9.
AKTUALISIERUNG UND AUFBEWAHRUNG DES VERZEICHNISSES
Dieses Verzeichnis wird laufend aktualisiert und mindestens einmal jährlich einer vollständigen Überprüfung unterzogen. Änderungen an bestehenden Verarbeitungstätigkeiten (Zweck, Rechtsgrundlage, Empfänger, Drittland, TOMs) werden zeitnah eingearbeitet; neue Verarbeitungstätigkeiten werden vor Aufnahme der Verarbeitung erfasst. Das Verzeichnis wird gemäß Art. 30 Abs. 4 DSGVO der Aufsichtsbehörde auf deren Anfrage zur Verfügung gestellt.
Nächste planmäßige Überprüfung: 1. April 2027
Nächste planmäßige Überprüfung: 1. April 2027
STAND UND VERANTWORTUNG
| STAND DES VERZEICHNISSES | 1. April 2026 |
| ERSTELLT VON | Sören Petersen (Geschäftsführer (zugleich Ansprechpartner für Datenschutz im Unternehmen)) |
VERANTWORTLICHER
Sören Petersen
Geschäftsführer (zugleich Ansprechpartner für Datenschutz im Unternehmen)
Nordlicht Handels GmbH (GmbH)
Datum: ____________________
DATENSCHUTZBEAUFTRAGTE/R (ZUR KENNTNIS)
RA Dr. Henrike Bauer, extern (Bauer Datenschutz PartG mbB)
Datum: ____________________
Was ist ein Verzeichnis von Verarbeitungstaetigkeiten?
Das Verzeichnis von Verarbeitungstaetigkeiten (VVT) ist eine zentrale Dokumentation aller Verarbeitungen personenbezogener Daten in einem Unternehmen. Es ist nach Art. 30 DSGVO fuer jeden Verantwortlichen und Auftragsverarbeiter verpflichtend und muss der Aufsichtsbehoerde auf Anfrage vorgelegt werden.
Das VVT muss fuer jede Verarbeitungstaetigkeit enthalten: Zweck, Datenkategorien, betroffene Personen, Empfaenger, Drittlanduebermittlung, Loeschfristen und technisch-organisatorische Massnahmen. Es dient als Grundlage fuer die Datenschutz-Folgenabschaetzung und die Erfuellung der Rechenschaftspflicht.
Unsere Vorlage bietet ein strukturiertes Format fuer die Erfassung aller Verarbeitungstaetigkeiten — von Personalverwaltung ueber Marketing bis IT-Administration. Sie beruecksichtigt die Anforderungen der deutschen Aufsichtsbehoerden.
Was diese Vorlage enthaelt
Unser VVT deckt alle Pflichtinhalte nach Art. 30 DSGVO ab.
Verantwortlicher und DSB
Name, Kontaktdaten des Verantwortlichen, Vertreters und Datenschutzbeauftragten.
Verarbeitungstaetigkeiten
Strukturierte Erfassung jeder einzelnen Verarbeitungstaetigkeit.
Zweck der Verarbeitung
Beschreibung des Verarbeitungszwecks fuer jede Taetigkeit.
Datenkategorien
Art der verarbeiteten personenbezogenen Daten (Stammdaten, Kontaktdaten, Bankdaten, etc.).
Betroffene Personengruppen
Kategorien betroffener Personen (Mitarbeiter, Kunden, Lieferanten, Bewerber).
Empfaenger
Interne und externe Empfaenger der Daten, einschliesslich Auftragsverarbeiter.
Loeschfristen
Vorgesehene Fristen fuer die Loeschung der verschiedenen Datenkategorien.
Technisch-organisatorische Massnahmen
Beschreibung der Sicherheitsmassnahmen nach Art. 32 DSGVO.
So erstellen Sie ein VVT
In fuenf Schritten zu Ihrem DSGVO-konformen VVT.
- 1
Verantwortlichen eintragen
Geben Sie die Daten des Verantwortlichen und des Datenschutzbeauftragten ein.
- 2
Verarbeitungen erfassen
Listen Sie alle Verarbeitungstaetigkeiten in Ihrem Unternehmen auf.
- 3
Details zu jeder Verarbeitung ergaenzen
Tragen Sie Zweck, Datenkategorien, Betroffene, Empfaenger und Loeschfristen ein.
- 4
TOM dokumentieren
Beschreiben Sie die technischen und organisatorischen Sicherheitsmassnahmen.
- 5
Pruefen und herunterladen
Kontrollieren Sie das VVT und laden Sie es als PDF herunter.
Rechtliche Hinweise
Das VVT ist eine zentrale DSGVO-Pflicht.
Diese Vorlage dient ausschliesslich zu Informationszwecken und stellt keine Rechtsberatung dar.
Geprueft fuer deutsches Recht
Pflicht nach Art. 30 DSGVO
Jeder Verantwortliche und Auftragsverarbeiter muss ein VVT fuehren. Die Ausnahme fuer Unternehmen mit weniger als 250 Mitarbeitern (Art. 30 Abs. 5 DSGVO) greift praktisch nie, da sie nur gilt, wenn die Verarbeitung kein Risiko birgt und nur gelegentlich erfolgt.
Rechenschaftspflicht (Art. 5 Abs. 2 DSGVO)
Das VVT ist ein zentrales Instrument zur Erfuellung der Rechenschaftspflicht. Der Verantwortliche muss nachweisen koennen, dass die Datenverarbeitung DSGVO-konform erfolgt. Das VVT dient als Dokumentationsnachweis gegenueber der Aufsichtsbehoerde.
Kontrolle durch Aufsichtsbehoerden
Die Aufsichtsbehoerden koennen das VVT jederzeit anfordern (Art. 30 Abs. 4 DSGVO). Fehlt das VVT oder ist es unvollstaendig, drohen Bussgelder nach Art. 83 Abs. 4 DSGVO (bis 10 Mio. Euro oder 2 % des Jahresumsatzes).
Regelmaessige Aktualisierung
Das VVT muss aktuell gehalten werden. Neue Verarbeitungstaetigkeiten, Aenderungen bestehender Verarbeitungen und die Loeschung nicht mehr relevanter Eintraege muessen zeitnah dokumentiert werden.
Haeufig gestellte Fragen
Jetzt VVT erstellen
Erfuellen Sie Ihre DSGVO-Pflicht mit einem professionellen VVT. Formular ausfuellen, Vorschau pruefen und sofort als PDF herunterladen.
Kostenlos · Sofort PDF · Kein Konto erforderlich