Help Center
News
Help Center
News
Sign in
Dokumentieren
Dokumente und RichtlinienFragebögenTechnische- und Organisatorische Massnahmen (TOMs)BerichteVerzeichnis der AssetsFrameworksVerzeichnis der Verarbeitungstätigkeiten (VVT)Verzeichnis der Verarbeitungstätigkeiten als Excel-Datei exportierenLieferantenFolgenabschätzungenDokumentation Ihres berechtigten InteressesMeetings und AktivitätenAufbewahrungs- und Löschfristen Datenerhebungspunkte (DEP)Dokumente zu Lieferanten hinzufügen
Datenschutz-Folgenabschätzung (DPIA)
Assessments
Verarbeitungstätigkeiten (ROPA)
Assets
Internationale Standards & Rahmenwerke
TOMs & Kontrollen
Kategorien & Attribute
Datenerhebungspunkte
Rechtsgrundlage
Berechtigtes Interesse
Dokumente & Richtlinien
Aufbewahrung & Löschung
Datenfluss
Lieferanten
Fragebögen
Verwalten
Prozessrisiko ÜbersichtData flow
Dashboards
KI-Unterstützung & Automatisierung
Projekte
Aufgaben
Besprechungen & Aktivitäten
Workflows & Automatisierungen
Berichte
Reagieren & Lösen
AufgabenProjekteEreignisse und VorfälleBetroffenenrechte
Risikoszenarien & Behandlungen
Vorfälle & Datenpannen
Versionshinweise
Q2 2026
Q1 2026
Q4 2025
Q3 2025
Q2 2025
Q1 2025
Q4 2024
Q3 2024
Q2 2024
Q1 2024
Q4 2023
Q3 2023
Q2 2023
Q1 2023
Q4 2022
Q3 2022
Erste Schritte
Anleitung zum EinstiegFragebögenAufgabenProzessrisiko ÜbersichtIT Einstellungen FrameworksDas Risikomodell für Informationssicherheit / AssetsBetroffenenrechteDownload von ElementenDokumentation Ihres berechtigten InteressesZugang von Gruppen auf ElementeDokumente und RichtlinienTechnische- und Organisatorische Massnahmen (TOMs)Compliance EinstellungenErstellen von passenden Attributen für Ihre BrancheDokumentenliste für das OnboardingDas DatenschutzrisikomodellEreignisse und VorfälleProjekteGruppenverwaltungDokumente zu Lieferanten hinzufügenAnleitung zum Beantworten von Assessments (Fragebögen)Einrichtung der ersten Organisation oder des ersten UnternehmensDatenerhebungspunkte (DEP)Elemente erstellen mittels AIRisko Modelle in Allgemeinen EinstellungenTeilen von ElementenWie kann ein Benutzer die Sprache ändern?Data flowVerzeichnis der Verarbeitungstätigkeiten (VVT)Time machineAssessments erstellen und auswerten Company Widget FeatureVerzeichnis der AssetsLieferantenFolgenabschätzungenOrganisatorische Einheiten erstellenVerzeichnis der Verarbeitungstätigkeiten als Excel-Datei exportierenMeetings und AktivitätenBegriffe der rechtmässigen VerarbeitungAufbewahrungs- und Löschfristen Anlegen von neuen Benutzer:innen und Ändern des Passworts für die AnmeldungBerichteDas ReifegradmodellHinzufügen von Risikoszenarien zu Assets oder Asset-GruppenRelevante RiskoszenarienÜbersicht der Priverion GRC PlattformDokumentenliste für das OnboardingWie kann ein Benutzer die Sprache ändern?Einrichtung der ersten Organisation oder des ersten UnternehmensErstellen von passenden Attributen für Ihre Branche
Benutzerkonto
Teilen und Gruppenfunktionen
Features
Anleitungen & Tipps
Unterstützung erhalten
Einstellungen
Allgemeine Einstellungen
Compliance-Einstellungen
Identitäts- und Zugriffsverwaltung
IT Einstellungen
Risiko Einstellungen

Verzeichnis der Verarbeitungstätigkeiten (VVT)

Das Verzeichnis der Verarbeitungstätigkeiten (VVT) ist das zentrale Compliance-Register, das jede Organisation nach Art. 30 DSGVO führen muss – und in DPMS verbindet es jede Verarbeitungstätigkeit mit Rechtsgrundlagen, Assets, Risiken, DSFAs und mehr. Dieser Artikel führt Datenschutzbeauftragte, Compliance-Verantwortliche und Datenschutzmanager Schritt für Schritt durch Anlage, Vervollständigung und Prüfung von VVT-Einträgen.

Das VVT-Modul ist der Ort, an dem das gesamte Verarbeitungsgeschehen Ihrer Organisation zusammenläuft. Jede Verarbeitungstätigkeit – von der Gehaltsabrechnung bis zur Marketinganalyse – muss hier erfasst sein, um die Pflicht aus Art. 30 DSGVO zu erfüllen. In DPMS ist ein VVT-Eintrag jedoch weit mehr als eine Zeile in einer Tabelle: Er wird zum Ankerpunkt, der Rechtsgrundlagen, Datenkategorien, Risikoanalysen, DSFA-Bewertungen, technische und organisatorische Maßnahmen (TOMs), Auftragsverarbeiter und vieles mehr miteinander verknüpft. Aus diesem Grund sind die VVT-Seiten die meistbesuchten Seiten im System – und der erste Anlaufpunkt für Prüferinnen und Aufsichtsbehörden.

So öffnen Sie das Modul

Klicken Sie in der linken Navigationsleiste auf Verzeichnis der Verarbeitungstätigkeiten. Das Modul ist ein Eintrag der obersten Ebene – Sie müssen kein Untermenü ausklappen. Sie gelangen direkt zur VVT-Übersicht unter /ropa.

Sie benötigen mindestens die VVT-Leseberechtigung, um den Menüpunkt zu sehen. Benutzerinnen und Benutzer mit reiner Leseberechtigung können alle Tabs und Daten einsehen, aber keine Einträge bearbeiten. Wer gar keine VVT-Berechtigung hat, sieht den Menüpunkt nicht; ein direkter Aufruf der URL zeigt einen Zugriff-verweigert-Hinweis.

Was Sie sehen

Die Übersichtsliste

Die Listenansicht zeigt alle VVT-Einträge, auf die Ihr Konto Zugriff hat, in einer sortierbaren Tabelle. Oberhalb der Tabelle befindet sich ein Tab-Streifen – aktuell mit dem Tab Alle – gefolgt von einer Suchleiste und Filtersteuerungen auf der linken Seite. Ein Erstellen-Button befindet sich rechts im Seitenkopf.

Die Tabellenspalten sind: Name (anklickbarer Link zum Eintrag), Typ (die Rolle der Organisation – Verantwortlicher, Auftragsverarbeiter usw.), Klassifikation (Kategorie-Tags), Organisationseinheit und Risikoziel (farbiges Risikoabzeichen). Falls Ihr IT-Administrator das Datentransfer-Feature aktiviert hat, erscheint eine zusätzliche Spalte Datentransfer mit externen Empfängern außerhalb Ihres Heimatlandes.

Die Detailansicht

Ein Klick auf eine Zeile öffnet die Detailansicht. Diese Seite gliedert sich in drei Bereiche. Ganz links befindet sich ein aufklappbares Element-Menü – eine vertikale Navigationsstruktur mit allen Abschnitten des Eintrags (Allgemein, Personenbezogene Daten, Rechtsgrundlage, Assets, DSFA, Risikoszenarien und viele mehr). Im breiten Mittelbereich verläuft oben die Breadcrumb-Leiste mit dem Eintragsnamen und dem aktiven Tab. Direkt darunter befindet sich der Kopfzeilen-Aktionsstreifen mit Statusselektor, verantwortlicher Person, Priorität, letztem Prüfdatum sowie den Schaltflächen Bearbeiten und KI-Autogenerierung. In der oberen rechten Ecke öffnet ein kleines Uhr-Symbol das vollständige Änderungsprotokoll des Eintrags.

So arbeiten Sie mit diesem Modul

Einen neuen VVT-Eintrag von Grund auf anlegen

Wenn Ihre Organisation eine neue Verarbeitungstätigkeit aufnimmt – ein neues HR-System, ein neues Analyse-Tool – muss diese vor dem Einsatz registriert werden.

Klicken Sie in der VVT-Übersicht auf Erstellen und wählen Sie VVT erstellen aus dem Dropdown. Sie gelangen zum Erstellungsformular.

VVT-Erstellungsformular mit den Feldern Name, Verantwortliche Person, Status, Organisationseinheit, rechtliche Rolle und anwendbare Vorschriften

Tragen Sie zunächst den Namen der Tätigkeit in das Feld Name ein – das einzige Pflichtfeld. Je mehr Sie jetzt ausfüllen, desto schneller ist der Eintrag vollständig. Weisen Sie sich selbst oder eine Kollegin / einen Kollegen als Verantwortliche Person zu. Lassen Sie den Status vorerst auf Entwurf; Sie können ihn auf Aktiv setzen, sobald alle Abschnitte ausgefüllt sind.

Wählen Sie anschließend die Organisationseinheit (die zuständige Abteilung) und setzen Sie die Rechtliche Rolle: Verantwortlicher, wenn Ihre Organisation die Zwecke und Mittel der Verarbeitung bestimmt; Auftragsverarbeiter, wenn Sie im Auftrag einer anderen Organisation handeln; oder Gemeinsam Verantwortlicher bei gemeinsamer Verantwortung. Wenn Sie Auftragsverarbeiter wählen, erscheint ein Feld Auftraggeber / Verantwortlicher – tragen Sie dort den Namen der beauftragenden Organisation ein.

Besonders wichtig: Wählen Sie die Anwendbaren Vorschriften (z. B. DSGVO, CCPA). Diese Auswahl wirkt als Filter im gesamten Eintrag: Die auf den verlinkten Tabs verfügbaren Rechtsgrundlagen, besonderen Kategorien und Verarbeitungszwecke werden auf diejenigen beschränkt, die zu den hier gewählten Vorschriften gehören. Eine sorgfältige Auswahl zu Beginn spart spätere Nacharbeit.

Klicken Sie auf Speichern. DPMS legt den Eintrag an und leitet Sie direkt zur Detailansicht weiter.

Einen Eintrag durch Verknüpfungen vervollständigen

Sobald die Stammdaten gespeichert sind, arbeiten Sie sich im Element-Menü links Tab für Tab durch. Auf jedem Tab verknüpfen Sie den Eintrag mit anderen Objekten aus DPMS.

Auf dem Tab Personenbezogene Daten verknüpfen Sie die betroffenen Datenkategorien (z. B. „Gehaltsdaten", „Bankverbindung"). Auf dem Tab Rechtsgrundlage verknüpfen Sie die Rechtsgrundlage der Verarbeitung (z. B. „Rechtliche Verpflichtung – Art. 6 Abs. 1 lit. c DSGVO"). Auf dem Tab Betroffene Personen legen Sie fest, wer betroffen ist (z. B. Beschäftigte, Kunden). Auf dem Tab Externe Empfänger verknüpfen Sie Auftragsverarbeiter oder sonstige Empfänger.

Alle Tabs folgen demselben Muster: Ein Button Verknüpfen erlaubt die Suche nach und das Hinzufügen von bestehenden DPMS-Objekten; ein Button Erstellen ermöglicht das direkte Anlegen neuer Objekte. Die Tabs Personenbezogene Daten und Verarbeitungszwecke bieten zusätzlich einen Sammlungen-Schalter oben rechts in der Tabellenkopfzeile. Im Modus „Sammlungen" können Sie ein vorgefertigtes Bündel verwandter Datentypen in einem Schritt verknüpfen, anstatt jeden Eintrag einzeln hinzuzufügen.

Tipp: Arbeiten Sie die Tabs der Reihe nach durch – Allgemein, dann Personenbezogene Daten, Rechtsgrundlage, Betroffene Personen, TOMs und schließlich Risikoszenarien. Spätere Tabs hängen häufig von Entscheidungen auf früheren ab.

Wenn der Eintrag vollständig ausgefüllt ist, kehren Sie zum Kopfzeilen-Aktionsstreifen zurück und ändern Sie den Status von Entwurf auf Aktiv über das Status-Dropdown. Diese Änderung wird sofort gespeichert – kein separater Klick auf Bearbeiten erforderlich.

KI nutzen, um die Vervollständigung zu beschleunigen

Wenn Ihre Organisation in den IT-Einstellungen einen KI-Anbieter konfiguriert hat, erscheint im Kopfzeilen-Aktionsstreifen die KI-Autogenerierung-Schaltfläche (das Zauberstab-Symbol). Diese ist besonders nützlich für neu angelegte Einträge, die zwar einen Namen, aber noch wenig Inhalt haben.

Klicken Sie auf das Zauberstab-Symbol. DPMS fragt den KI-Dienst ab, der daraufhin eine Kurzbeschreibung der Verarbeitung entwirft, anwendbare Vorschriften vorschlägt und Personendatenkategorien, betroffene Personen, Verarbeitungszwecke, Assets und Risikoszenarien vorschlägt – alles auf Basis des Eintragsnamens und bereits verknüpfter Elemente.

Während der KI-Job läuft, ist der Eintrag vorübergehend gesperrt: Statusselektor, Bearbeiten-Button und alle Eingabefelder sind ausgegraut. Nach Abschluss des Jobs prüfen Sie die Vorschläge auf jedem Tab und übernehmen, passen oder verwerfen sie nach Bedarf. Kein KI-generierter Inhalt wird ohne Ihre Prüfung automatisch gespeichert.

Hinweis: Der KI-Button erscheint nur, wenn Ihr IT-Administrator einen KI-Anbieter eingerichtet hat. Fehlt der Button, wenden Sie sich an den IT-Admin, um die KI-Konfiguration in den IT-Einstellungen zu prüfen.

Einträge vor einer Prüfung oder Aufsichtsbehördeninspektion reviewen

Vor einer behördlichen Prüfung müssen Datenschutzbeauftragte sicherstellen, dass alle aktiven VVT-Einträge vollständig und aktuell sind. So gehen Sie in DPMS effizient vor:

Nutzen Sie in der VVT-Übersicht die Filtersteuerung, um die Liste einzugrenzen – zum Beispiel nach Status = Prüfung oder nach einer bestimmten Organisationseinheit. Wenden Sie den Filter an und klicken Sie auf den ersten Eintrag in der gefilterten Liste.

Prüfen Sie im Tab Allgemein den vollständigen Namen, eine aussagekräftige Kurzbeschreibung und die korrekten anwendbaren Vorschriften. Nutzen Sie dann die Vor-/Zurück-Pfeile in der Breadcrumb-Leiste, um zum nächsten Eintrag zu wechseln, ohne die Liste erneut aufrufen zu müssen. Die Pfeile blättern nur durch Einträge, die Ihrem Filter entsprechen – so bleiben Sie auf die relevante Teilmenge fokussiert.

Für vollständige Einträge ändern Sie den Status direkt im Kopfzeilen-Aktionsstreifen auf Aktiv. Für Einträge, die Korrekturen benötigen, klicken Sie auf Bearbeiten, nehmen die Änderungen im Bearbeitungsformular vor und speichern.

Wenn Sie nachvollziehen möchten, wer zuletzt etwas an einem Eintrag geändert hat, klicken Sie auf das Uhr-Symbol oben rechts im Inhaltsbereich. Das öffnet das Änderungsprotokoll-Panel mit einer vollständigen, feldgenauen Audit-Trail-Ansicht: jede Änderung, wer sie vorgenommen hat und wann.

Einen Review-Workflow einleiten und verfolgen

Wenn ein VVT-Eintrag zur regelmäßigen Überprüfung ansteht – oder wenn Sie eine formale Abnahme vor einer Behördenvorlage benötigen – navigieren Sie im Element-Menü zum Tab Review und Genehmigungen.

Beachten Sie: Der Kopfzeilen-Aktionsstreifen (Statusselektor, Verantwortliche Person, Bearbeiten-Button) wird auf diesem Tab ausgeblendet. Der Tab hat ein eigenes Layout für die Verwaltung von Review-Workflows: Sie können einen neuen Review starten, Prüfende zuweisen und den Fortschritt verfolgen. Sobald ein Review abgeschlossen ist, aktualisiert sich das Datum Zuletzt geprüft im Kopfzeilen-Aktionsstreifen auf allen anderen Tabs automatisch – ein Nachweis dafür, dass regelmäßige Überprüfungen stattfinden.

Feldreferenz

Die folgenden Felder im Erstellungsformular und im Tab „Allgemein" verdienen eine genauere Erläuterung:

  • Name — Der offizielle Name der Verarbeitungstätigkeit. Pflichtfeld. Wird im gesamten DPMS als Bezeichner verwendet, wo immer dieser VVT-Eintrag verknüpft ist.
  • Kurzbeschreibung der Verarbeitungstätigkeit — Eine verständliche Erläuterung der Verarbeitung. Für das Speichern nicht erforderlich, aber wichtig für die Prüfungsreife und die KI-Generierung. Mehrsprachig.
  • Organisationseinheit — Die zuständige Abteilung oder Geschäftseinheit. Filter und Zugriffskontrollen in DPMS können auf diesen Wert eingegrenzt werden.
  • Rechtliche Rolle / VVT-Typ — Ob Ihre Organisation als Verantwortlicher, Auftragsverarbeiter, gemeinsam Verantwortlicher usw. handelt. Steuert, welche Felder und Tabs relevant sind (z. B. erscheint der Auftraggeber/Verantwortlicher-Bereich nur bei Auftragsverarbeitern).
  • Auftraggeber / Verantwortlicher — Nur sichtbar, wenn die rechtliche Rolle Auftragsverarbeiter enthält. Identifiziert die Organisation, für die Sie verarbeiten. Ein neuer Auftragsverarbeiter-Datensatz kann durch Eintippen eines Namens direkt angelegt werden.
  • Anwendbare Vorschriften — Die Datenschutzgesetze, unter die diese Verarbeitung fällt. Fungiert als Masterfilter: Eine nachträgliche Änderung nach dem Verknüpfen von Rechtsgrundlagen oder besonderen Kategorien kann eine Konsistenzwarnung auslösen. Wählen Sie alle relevanten Vorschriften von Anfang an aus.
  • Klassifikation — Optionale Kategorie-Tags zur internen Gruppierung und Filterung.
  • Risikoziel — Eine initiale Risikoeinstufung (Sehr Niedrig bis Sehr Hoch, Standard: Mittel). Wird im Risk-Tab und in der Risikoziel-Spalte der Übersichtsliste verwendet.
  • Verarbeitungsbedürfnis — Eine kurze Erläuterung, warum die Verarbeitung notwendig ist. Mehrsprachig.

Einbindung in den Rest von DPMS

Der VVT-Eintrag steht im Mittelpunkt Ihres Compliance-Programms. Fast jedes andere Modul in DPMS hat eine Beziehung zum VVT:

  • Assets — Durch das Verknüpfen von Assets (IT-Systemen, Datenbanken) dokumentieren Sie, welche Systeme die Verarbeitung ermöglichen.
  • DSFAs — Eine DSFA muss mit einem VVT verknüpft sein. Ohne einen VVT-Eintrag kann keine DSFA abgeschlossen werden. Die im VVT gewählten Vorschriften filtern, welche Vorschriften für die verknüpfte DSFA gelten.
  • Risikoszenarien — Risikoszenarien werden über den Tab „Risikoszenarien" im VVT verfolgt, und ihre Maßnahmen (TOMs) erscheinen auf dem TOMs-Tab.
  • Auftragsverarbeiter / Externe Empfänger — Die Verknüpfung eines Auftragsverarbeiters als externen Empfänger schafft den Rechenschaftsnachweis für Datenweitergaben.
  • Aufbewahrung & Löschung — Aufbewahrungsfristen werden je VVT verknüpft, um zu dokumentieren, wie lange personenbezogene Daten gespeichert werden.
  • Assessments / Datenmapping — Das Assessments-Modul nutzt VVT-Daten in einer schreibgeschützten Ansicht für Datenmapping-Reviews.

Nach dem Anlegen und Vervollständigen eines VVT-Eintrags sind die naheliegenden nächsten Schritte: Eine DSFA verknüpfen, wenn die Verarbeitung ein hohes Risiko birgt; auf dem Tab „Aufbewahrung & Löschung" eine Aufbewahrungsfrist konfigurieren; den TOMs-Tab prüfen, um sicherzustellen, dass geeignete technische und organisatorische Schutzmaßnahmen dokumentiert sind.

Tipps und häufige Fallstricke

Hinweis: Das Entfernen einer anwendbaren Vorschrift, nachdem Sie bereits Rechtsgrundlagen oder besondere Kategorien verknüpft haben, löst eine Konsistenzwarnung aus und blockiert das Speichern. Sie müssen entweder die Vorschrift wieder hinzufügen oder die betroffenen Rechtsgrundlagen und besonderen Kategorien vorher manuell entfernen. Diese Warnung erscheint erst beim Klick auf Speichern – es gibt keinen vorherigen Hinweis.
Tipp: Nutzen Sie die Vor-/Zurück-Pfeile in der Breadcrumb-Leiste für Massenprüfungen. Wenn Sie die Liste auf „Status = Prüfung" gefiltert und dann einen Eintrag geöffnet haben, blättern die Pfeile nur durch diese gefilterte Teilmenge – deutlich schneller als zwischen den Einträgen zur Liste zurückzukehren.
  • Der Sammlungen-Schalter auf den Tabs „Personenbezogene Daten" und „Verarbeitungszwecke" wird pro Browser gespeichert, nicht pro Benutzerkonto. Wenn eine Kollegin / ein Kollege auf einem gemeinsam genutzten Gerät die Ansicht auf „Sammlungen" gesetzt hat, sehen Sie beim Einloggen dieselbe Ansicht. Wechseln Sie bei Bedarf manuell zurück.
  • Der Bearbeiten-Button führt zum Tab, den Sie gerade ansehen. Wenn Sie sich auf dem Tab „Rechtsgrundlage" befinden und auf Bearbeiten klicken, gelangen Sie zur Bearbeitungsansicht der Rechtsgrundlage – nicht zur Allgemein-Ansicht. Das ist so beabsichtigt, aber prüfen Sie den aktiven Tab, bevor Sie Änderungen vornehmen, wenn Sie über einen externen Link zur Bearbeitungsansicht gelangen.
  • Untergeordnete / geteilte VVT-Einträge (Einträge, die aus dem Portal einer Partnerorganisation eingesehen werden) sind fast vollständig schreibgeschützt. Nur die Felder Verantwortliche Person und Organisationseinheit sind lokal bearbeitbar. Alle anderen Felder – Name, Beschreibung, anwendbare Vorschriften – sind gesperrt.
  • Wenn der KI-Autogenerierung-Button im Erstellungsformular verschwindet, nachdem Sie einen Namen eingegeben haben, ist er in den Kopfzeilen-Aktionsstreifen der Detailansicht gewechselt. Das Erstellungsformular zeigt den KI-Button nur so lange, bis der Eintrag gespeichert wurde – danach verwenden Sie das Zauberstab-Symbol im Kopfzeilen-Aktionsstreifen der Detailansicht.
  • Das Änderungsprotokoll (Uhr-Symbol) ist für geteilte / eingesehene Einträge ausgeblendet und für Benutzerinnen und Benutzer ohne die erforderliche Leseberechtigung nicht sichtbar. Wenn Sie es nicht sehen, fragen Sie Ihre / Ihren Datenschutzbeauftragten oder IT-Administrator, ob Ihr Konto die notwendige Zugriffsstufe hat.


Was this article helpful?

German
Powered by Product Fruits