Viele dieser Datenverarbeitungen erfolgen im Tagesgeschäft selbstverständlich. Genau deshalb geraten sie aus Datenschutzsicht leicht aus dem Blick. Dabei verlangt die Datenschutz-Grundverordnung (DSGVO), dass Unternehmen nachvollziehbar dokumentieren, welche personenbezogenen Daten sie zu welchem Zweck verarbeiten (Art. 30 DSGVO). Diese Dokumentation erfolgt im sogenannten Verzeichnis von Verarbeitungstätigkeiten (VVT).

Ein vorhandenes VVT reicht nicht aus

In vielen Unternehmen existiert ein solches Verzeichnis bereits. Oft wurde es einmal erstellt, abgelegt und seitdem nur noch selten angefasst. Genau darin liegt das Risiko. Denn ein VVT erfüllt seinen Zweck nur dann, wenn es vollständig und aktuell ist.

Eine Entscheidung der luxemburgischen Datenschutzaufsichtsbehörde zeigt, worauf es ankommt: Ein Unternehmen verfügte zwar über ein VVT. Die Aufsichtsbehörde beanstandete jedoch unter anderem fehlende Angaben, unzureichende Beschreibungen von Datenkategorien und unklare Löschfristen. Am Ende wurde ein Bußgeld verhängt.

Diese Botschaft ist auch für Bauunternehmen wichtig: Es genügt nicht, ein Datenschutzdokument „irgendwo in der Schublade“ zu haben. Entscheidend ist, ob es die tatsächlichen und aktuellen Abläufe im Unternehmen abbildet.

Warum das relevant ist

Bauunternehmen arbeiten oft mit wechselnden Projekten, Baustellen, Sub- bzw. Nachunternehmern, Lieferanten und Dienstleistern. Prozesse verändern sich schnell: Eine neue Software für die Zeiterfassung wird eingeführt, digitale Bautagebücher oder digitale Fahrtenbücher werden genutzt oder die Beschäftigten erhalten mobile Endgeräte für die Baustellendokumentation.

All das kann Auswirkungen auf den Datenschutz haben. Werden personenbezogene Daten verarbeitet ist zu prüfen, ob das VVT angepasst werden muss. Dies betrifft nicht nur klassische Verwaltungsbereiche wie Personal, Buchhaltung oder Vertrieb, sondern auch operative Abläufe auf der Baustelle.

Typische Beispiele sind die digitale Zeiterfassung, die Lohn- und Gehaltsabrechnung, die Einsatzplanung von Beschäftigten, die Schulungsnachweise, die Fuhrpark- oder Geräteverwaltung, der Baustellenzugang und das Besuchermanagement sowie die Zusammenarbeit mit externen Dienstleistern.

Insbesondere bei der Einführung neuer Tools oder der Beauftragung neuer Dienstleister muss der Datenschutz von Anfang an mitgedacht werden. Nachträgliche Korrekturen sind in der Regel aufwendig und kostenintensiv.

Typische Schwachstellen

In der Praxis zeigen sich immer wieder ähnliche Probleme. So werden Verarbeitungstätigkeiten zu allgemein beschrieben, Empfänger von Daten bleiben unklar oder es fehlen Löschfristen. Auch Formulierungen wie „IT-Dienstleister“ oder „externe Anbieter“ sind oft zu pauschal, wenn nicht nachvollziehbar ist, wer Zugriff auf personenbezogene Daten erhält.

Ein weiteres Thema sind Dienstleister und Unterauftragnehmer. Wenn ein Unternehmen Cloud-Dienste, HR-Software, Abrechnungsdienstleister oder digitale Projektplattformen nutzt, muss klar sein, welche Daten dort verarbeitet werden und ob dabei Daten außerhalb der EU oder des Europäischen Wirtschaftsraums verarbeitet werden.

Was Unternehmen konkret tun sollten

Das VVT sollte als lebendiges Dokument verstanden werden. Es bildet den Lebenszyklus personenbezogener Daten im Unternehmen ab - von der Erhebung über die Nutzung und Weitergabe bis zur Löschung - und sollte regelmäßig mit den aktuellen Prozessen abgeglichen und aktualisiert werden.

Sinnvoll ist insbesondere:

1. Regelmäßige Überprüfung

Stimmen die Einträge noch mit den tatsächlichen Abläufen im Unternehmen überein?

2. Klare Zuständigkeiten

Wer meldet neue Software, neue Dienstleister oder geänderte/neue Prozesse an den Datenschutzbeauftragten?

3. Frühzeitige Einbindung

Datenschutz sollte nicht erst geprüft werden, wenn ein neues System bereits eingeführt ist.

4. Praxisnahe Beschreibung

Verarbeitungstätigkeiten sollten so beschrieben sein, dass auch Außenstehende nachvollziehen können, welche Daten zu welchem Zweck verarbeitet werden.

5. Blick auf Dienstleister

Wer erhält Zugriff auf personenbezogene Daten? Gibt es Verträge zur Auftragsverarbeitung? Werden Daten möglicherweise außerhalb der EU oder des Europäischen Wirtschaftsraums (Drittland) verarbeitet?

Die Rolle des Datenschutzbeauftragten

Der Datenschutzbeauftragte ist frühzeitig einzubinden. Er berät und unterstützt das Unternehmen und prüft, ob die Angaben auf Grundlage der vorliegenden Informationen vollständig, nachvollziehbar und fachlich plausibel sind. Die Verantwortung für die Vollständigkeit und Aktualität des VVT bleibt jedoch bei der obersten Unternehmensleitung. Dafür müssen die Fachbereiche Veränderungen rechtzeitig melden, beispielsweise neue Software, neue Dienstleister, geänderte Abläufe, neue Standorte oder digitale Lösungen auf der Baustelle.

Es bedarf klarer Meldewege, damit das VVT nicht erst im Prüfungsfall oder anlässlich eines Datenschutzvorfalls aktualisiert wird, sondern Teil eines funktionierenden Datenschutzmanagements bleibt.

Fazit

Das Verzeichnis von Verarbeitungstätigkeiten ist keine bloße Formalie. Es hilft Unternehmen, den Überblick über ihre Datenverarbeitung zu behalten sowie Datenschutzrisiken frühzeitig zu erkennen und zu reduzieren.
Gerade in der Baubranche mit seinen vielen Beteiligten, Projekten, Baustellen und Dienstleistern ist ein aktuelles Verzeichnis von Verarbeitungstätigkeiten ein wichtiges Steuerungsinstrument. Wer es regelmäßig pflegt, schafft nicht nur bessere Nachweise gegenüber Behörden und Auftraggebern, sondern gewinnt auch mehr Klarheit über die eigenen Prozesse.

Kurz gesagt: Ein gepflegtes Verzeichnis von Verarbeitungstätigkeiten ist kein Papierkram. Es ist ein nützliches Werkzeug für saubere, nachvollziehbare und belastbare Prozesse im Unternehmen.

Die Autorin:

Regina Mühlich ist Wirtschaftsjuristin und Geschäftsführerin der Unternehmensberatung AdOrga Solutions GmbH. Sie ist Vorständin des Berufsverbands der Datenschutzbeauftragten Deutschlands (BvD) e. V. sowie Beirätin der Stiftung Datenschutz.

Mit über zwei Jahrzehnten Erfahrung im Datenschutz berät sie nationale wie internationale Unternehmen unterschiedlichster Branchen. Ihre Tätigkeitsschwerpunkte liegen in den Bereichen Datenschutz, Compliance und KI-Governance. Als externe Datenschutzbeauftragte (CIPM, CIPP/U.S.), anerkannte und geprüfte Sachverständige für Datenschutz und Informationsverarbeitung, Datenschutzauditorin sowie zertifizierte Compliance-Beauftragte und KI-Beraterin ist sie zudem eine gefragte Referentin und Autorin zahlreicher Fachartikel und Publikationen.

Einen Auszug dieses Rechtstipps lesen Sie in der Juni-Ausgabe 2026 des Baugewerbe Magazins.