Es ist dieser eine Moment, spät abends an meinem Küchentisch hier in Leipzig, in dem die Realität zuschlägt. Die dritte Tasse Kaffee ist längst kalt, das einzige Geräusch ist das Ticken der Uhr an der Wand und in meinem Browser-Tab starrt mich dieses Wort an: Verfahrensverzeichnis. Oder, für die ganz Harten: Verzeichnis von Verarbeitungstätigkeiten (VVT). Ich dachte wirklich, ich hätte es geschafft. Nachdem ich mich 2024 durch das Impressum und die AGB gequält hatte, fühlte ich mich fast schon wie eine kleine Expertin. Aber dieses Dokument fühlte sich plötzlich an wie eine Steuererklärung, die man in einer Fremdsprache ausfüllen muss, während jemand im Hintergrund laut die Uhr stoppt.
Mitte November: Der Schock am Küchentisch
In meinem Website-Tagebuch steht unter dem 14. November nur ein einziges Wort in Großbuchstaben: HILFE. Ich hatte bis dahin gehofft, dass ich als Ein-Personen-Betrieb um diesen bürokratischen Brocken herumkomme. Irgendwo hatte ich mal aufgeschnappt, dass kleine Unternehmen unter 250 Mitarbeitern das nicht brauchen. Spoiler: Das ist leider ein gefährlicher Irrglaube für fast jeden, der eine Website betreibt. Da ich regelmäßig Daten verarbeite (und sei es nur die IP-Adresse in den Server-Logs oder die E-Mail-Adresse im Kontaktformular), greift diese Ausnahme laut Datenschutz-Grundverordnung meistens nicht. Genauer gesagt verpflichtet uns der Artikel 30 DSGVO dazu, genau zu dokumentieren, was wir mit welchen Daten machen.
'Wenn das jetzt falsch ist, kommt morgen die Abmahnung?' – dieser irrationale Gedanke ließ mich kurz innehalten. Ich sah mich schon vor meinem inneren Auge, wie ich mein gesamtes Erspartes für Bußgelder opfere, die laut Gesetz bis zu 4 Prozent des weltweiten Vorjahresumsatzes betragen können. Gut, bei mir wären das keine Millionen, aber weh tun würde es trotzdem. Ich fühlte mich wie damals vor meinem ersten großen Behördengang: Völlig überfordert von Begriffen wie 'Empfängerkategorien' und 'Löschfristen'. Es ist diese typische Panik, die man bekommt, wenn man versucht, alles auf einmal zu verstehen, anstatt einen Schritt nach dem anderen zu gehen. Ich hatte bereits meinen Weg gefunden, wie ich mein Impressum und Datenschutz automatisieren konnte, aber das VVT war noch mal ein ganz anderes Kaliber.
Zwischen den Jahren: Die Entdeckung des rettenden Ankers
Zwischen Weihnachten und Silvester, wenn Leipzig in diese seltsame, friedliche Starre verfällt, habe ich mich hingesetzt. Ich wollte das Thema nicht mit ins neue Jahr schleppen. Mein Ziel war es, nicht einfach nur irgendeine Vorlage aus dem Internet zu kopieren, die am Ende gar nicht zu meinem Business passt. Ich brauchte ein System. Auf meiner Suche stieß ich auf den dsgvo-schritt-generator. Es war, als hätte mir jemand einen Apothekenbeipackzettel in verständliches Deutsch übersetzt.
Ich fing an, meine Tools aufzulisten. Und herrje, das sind mehr, als man denkt! E-Mail-Anbieter, Buchhaltungssoftware, das Hosting für die Website, der Newsletter-Dienst. Für jedes dieser Tools musste ich mir die Frage stellen: Warum habe ich diese Daten? Wie lange behalte ich sie? Ein wichtiger Anker war hier die Abgabenordnung. In Deutschland gilt für Buchungsbelege eine gesetzliche Aufbewahrungsfrist von 10 Jahren. Das ist eine der wenigen Zahlen, die ich mir sofort merken konnte, weil sie so herrlich konkret ist. Während ich die Fragen des Generators beantwortete, verstand ich plötzlich die Logik dahinter. Es geht nicht darum, uns Solopreneure zu quälen. Es geht darum, dass ich im Falle einer Anfrage eines Kunden oder der Behörde sofort sagen kann: 'Hier, das mache ich mit den Daten, so lange speichere ich sie und deshalb darf ich das.'
Ich erinnerte mich daran, wie ich vor einiger Zeit gelernt habe, warum ich als Solopreneur für jedes Tool einen AV Vertrag brauche. Das VVT ist im Grunde die Landkarte, auf der all diese Verträge und Prozesse eingezeichnet sind. Ohne diese Karte verläuft man sich im eigenen Daten-Dschungel.
Ein verregneter Dienstagnachmittag im März: Das Summen und die Wahrheit
Es war ein Dienstag im März, draußen peitschte der Regen gegen die Fenster meiner Wohnung in Plagwitz. Ich saß an der finalen Ausarbeitung meines Verzeichnisses. Das leise Summen meines Laptops in der stillen Wohnung war das einzige Geräusch, während ich Zeile für Zeile meine Tools in den Generator eintippte. Und dabei kam mir eine Erkenntnis, die ich unbedingt teilen muss, weil sie so ziemlich gegen alles spricht, was man in manchen 'Experten-Foren' liest.
Es gibt diese Annahme, dass ein Verfahrensverzeichnis für Einzelunternehmer besonders umfangreich und detailliert sein muss, um 'sicher' zu sein. Aber wisst ihr was? Ich habe gelernt, dass das Gegenteil der Fall ist. Ein zu detailliertes Dokument, das Prozesse beschreibt, die ich gar nicht zu einhundert Prozent so durchführe, erhöht mein rechtliches Risiko massiv. Warum? Weil es im Falle einer Datenpanne oder einer Prüfung eine unnötige Angriffsfläche bietet. Wenn ich dort reinschreibe, dass ich Daten nach exakt 30 Tagen lösche, es aber faktisch erst nach 35 Tagen tue, habe ich mich selbst in die Pfanne gehauen. Weniger ist hier oft mehr – solange es ehrlich und vollständig ist. Es ist wie beim Kofferpacken: Wenn man zu viel unnötigen Kram einpackt, verliert man am Ende den Überblick und die Tasche platzt im unpassendsten Moment auf.
Ich bin natürlich keine Juristin. Alles, was ich hier schreibe, ist mein Weg als lernende Texterin. Ich habe sogar einmal kurz bei der Datenschutzbehörde hier in Sachsen nachgefragt, weil ich mir bei einer Formulierung unsicher war. Die waren erstaunlich nett! Mein Rat: Wenn ihr unsicher seid, fragt einen Profi oder eine Beratungsstelle. Aber lasst euch nicht von der Angst lähmen.
Anfang Juni: Das fertige Dokument und eine wichtige Lektion
Jetzt, Anfang Juni, liegt das Dokument fertig auf meiner Festplatte (und eine Kopie sicher verschlüsselt im Backup). Es ist kein juristisches Meisterwerk, aber es ist mein ehrliches Abbild meiner Arbeit. Ich weiß jetzt genau, wo die Daten meiner Kunden hinfließen. Dieses Gefühl der Kontrolle ist unbezahlbar. Es ist ein bisschen so, wie wenn man endlich Ordnung in den Keller gebracht hat: Man hofft zwar, dass man so schnell nicht wieder runter muss, aber wenn es doch passiert, findet man sofort die Taschenlampe.
Rückblickend war der Weg gar nicht so steinig, wie er im November schien. Man muss nur aufhören, das VVT als einen riesigen Berg zu sehen, und anfangen, es als eine Serie von kleinen Hügeln zu betrachten. Schritt für Schritt. Tool für Tool. Der dsgvo-schritt-generator war dabei mein Kompass. Falls du gerade erst startest, schau dir auch an, wie ich damals den richtigen Anbieter für meine Seite gefunden habe; das war nämlich der erste Dominostein. Wie ich endlich ein DSGVO konformes Hosting für meine Website fand, war damals ein riesiger Meilenstein für mich, bevor ich mich an das VVT gewagt habe.
Mein Fazit nach acht Monaten: Das Verfahrensverzeichnis ist kein Endgegner. Es ist eher wie ein Haushaltsbuch für Daten. Es nervt ein bisschen, es zu führen, aber es rettet dir den Hintern, wenn es darauf ankommt. Also, tief durchatmen, Tee (oder Kaffee) kochen und einfach anfangen. Du schaffst das auch!
Rechtlicher Hinweis: Die Inhalte dieser Webseite dienen ausschließlich der allgemeinen Information und stellen keine individuelle medizinische, finanzielle oder rechtliche Beratung dar. Eine fachkundige Beurteilung Ihres Einzelfalls kann nur durch eine qualifizierte Fachperson erfolgen -- bitte konsultieren Sie diese vor wesentlichen Entscheidungen.