Stand: 28.5.2026 · Thema: Dokumentation · Datenschutz-Organisation · DSGVO Art. 30, 32
Aktualisierungsturnus und Verantwortlichkeiten
VVT und TOM sind keine einmaligen Projekte, sondern Pflegeobjekte. Ohne festen Rhythmus altern sie binnen 12 Monaten zu Dokumentenleichen — und werden im Audit zur Lasthypothek.
Wer ist verantwortlich?
| Aufgabe | Hauptverantwortlich | Mitwirkend |
|---|---|---|
| VVT führen | Fachbereichsleiter pro Verarbeitung | DSB konsolidiert, Geschäftsführung verabschiedet |
| TOM dokumentieren | IT-Verantwortliche | DSB prüft, IT-Sicherheit ergänzt |
| VVT/TOM aktualisieren | Datenschutzkoordinator (intern) | DSB unterstützt |
| Gesamtverantwortung | Geschäftsführung | nicht delegierbar |
Der externe DSB ist Berater und Korrektur-Instanz, nicht Eigentümer des Dokuments. Wenn der DSB das VVT führt, dann muss das vertraglich klar geregelt sein (gegen Aufwand), denn es ist eine operative Tätigkeit, die über die DSB-Pflichten hinausgeht.
Pflichtanlässe für Aktualisierung
VVT:
- Neue Verarbeitungstätigkeit (neue Software, neuer Dienstleister, neuer Geschäftsprozess).
- Wesentliche Änderung einer bestehenden Verarbeitung (anderer Zweck, andere Datenkategorien, neue Empfänger).
- Ende einer Verarbeitung (System abgeschaltet, Prozess eingestellt).
TOM:
- Neue Maßnahme eingeführt (z.B. MFA für alle Accounts).
- Maßnahme abgeschafft / geändert (z.B. Wechsel des Backup-Tools).
- Neue Organisationsstruktur (neue Verantwortliche).
- Nach Datenpanne oder Audit-Befund.
Pragmatischer Pflegerhythmus
Monatlich (15 Minuten)
- Datenschutzkoordinator scannt: neue Tools eingeführt? Neuer Dienstleister beauftragt? Personalwechsel mit Berechtigungsfolgen?
- Trigger-basiert dokumentieren, nicht jeden Monat alles neu anschauen.
Quartalsweise (1 Stunde, mit DSB)
- Durchgang der seit dem letzten Quartal protokollierten Änderungen.
- Update der betroffenen VVT- und TOM-Einträge.
- Tickets schließen.
Jährlich (Halbtag, mit DSB)
- Komplette Review: jeder VVT-Eintrag wird durchgegangen, jede TOM-Maßnahme bestätigt oder aktualisiert.
- Versionsstand erhöhen.
- Geschäftsführung informieren (Tätigkeitsnachweis).
Bei Bedarf (anlassbezogen)
- Nach Datenpanne.
- Vor Aufsichts-Audit.
- Bei größeren strukturellen Veränderungen.
Versionierung
- Datum + Versionsnummer im Dokument-Header.
- Änderungsverzeichnis am Anfang oder Ende, das die letzten 5 Versionen mit Datum + Stichwort listet.
- Alte Versionen aufheben (für 5+ Jahre), nicht nur überschreiben — wichtig im Audit-Fall.
Häufige Fehler
- Keine feste Person — „macht irgendwer wenn was passiert” funktioniert nicht.
- Jahresversion erst kurz vor dem Audit angefertigt — sieht künstlich aus, Aufsicht sieht die Versionsabstände.
- VVT in 8 Excel-Tabellen über die Abteilungen verteilt → keine Konsistenz.
- TOM-Änderungen ohne Begründung — im Audit nicht nachvollziehbar, warum eine Maßnahme verschwunden ist.
Wenn wir DSB sind
Wir bieten den quartalsweisen Pflegetermin als feste Stunde im Kalender an und konsolidieren das VVT/TOM zentral im Portal. Sie kommen mit Ihrer Änderungsliste, wir konsolidieren in das Dokument, Sie zeichnen ab.