VVT Exemplars for SaaS Companies¶
Example Verarbeitungstaetigkeiten (Art. 30 DSGVO) for a SaaS company like VisiTrans.
Exemplary VVT: Kundenverwaltung (CRM)¶
---
title: VVT - Kundenverwaltung und Vertrieb
type: verarbeitungstaetigkeit
management_system: DSMS
classification: vertraulich
status: aktiv
review_date: '2027-02-24'
approved_by: Rolf Schulte Strathaus
approved_date: '2026-02-24'
zweck: Verwaltung von Kundenbeziehungen, Vertriebsprozesse, Angebotserstellung
rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfllung)
datenkategorien:
- Name, Vorname
- E-Mail-Adresse
- Telefonnummer
- Unternehmen und Position
- Kommunikationshistorie
empfaenger:
- HubSpot Inc. (CRM-Anbieter, USA — Standardvertragsklauseln)
loeschfristen: 3 Jahre nach letztem Kundenkontakt, sofern keine Aufbewahrungspflichten
---
# VVT — Kundenverwaltung und Vertrieb
## Beschreibung der Verarbeitung
VisiTrans nutzt HubSpot als CRM-System zur Verwaltung von Kundenbeziehungen im B2B-Bereich (Reedereien, Spediteure, Terminalbetreiber). Die Verarbeitung umfasst Kontaktdatenpflege, Kommunikationshistorie, Angebotserstellung und Vertriebspipeline-Management.
## Kategorien betroffener Personen
- Kunden (Ansprechpartner bei Kundenunternehmen)
- Interessenten / Leads
- Geschaeftspartner
## Kategorien personenbezogener Daten
- Stammdaten: Name, Vorname, E-Mail, Telefon, Unternehmen, Position
- Kommunikationsdaten: E-Mail-Verlauf, Notizen zu Gespraechen
- Vertragsdaten: Angebote, Vertraege, Konditionen
## Empfaenger oder Kategorien von Empfaengern
| Empfaenger | Rolle | Rechtsgrundlage Uebermittlung |
|------------|-------|-------------------------------|
| HubSpot Inc. | Auftragsverarbeiter (CRM) | AVV + Standardvertragsklauseln (SCC) |
| Mitarbeiter VisiTrans (Vertrieb) | Intern | Berechtigtes Interesse |
## Uebermittlungen an Drittlaender
HubSpot-Server in den USA. Absicherung ueber EU-Standardvertragsklauseln (SCC) gemaess Art. 46 Abs. 2 lit. c DSGVO.
## Vorgesehene Loeschfristen
| Datenkategorie | Loeschfrist | Rechtsgrundlage |
|---------------|-------------|-----------------|
| Kundenstammdaten | 3 Jahre nach letztem Kontakt | Berechtigtes Interesse |
| Kommunikationshistorie | 3 Jahre | Berechtigtes Interesse |
| Angebote/Vertraege | 10 Jahre (handelsrechtlich) | § 257 HGB |
## Technische und organisatorische Massnahmen
Siehe [[Uebersicht TOM]] fuer die uebergreifenden Massnahmen. Spezifisch fuer diese Verarbeitung:
- Zugriffsbeschraenkung auf CRM nur fuer Vertriebsmitarbeiter
- 2FA fuer HubSpot-Zugang aktiviert
- Regelmaessige Bereinigung inaktiver Kontakte
Typische VVTs fuer VisiTrans (zu erstellen)¶
| VVT | System | Rechtsgrundlage | Datenkategorien |
|---|---|---|---|
| Personalverwaltung | Absence.io, DATEV | Art. 88 DSGVO, § 26 BDSG | Mitarbeiterdaten, Abwesenheiten, Gehalt |
| Buchhaltung/Lohnabrechnung | DATEV | Art. 6(1)(c) | Finanzdaten, Steuerdaten |
| Kundenverwaltung/CRM | HubSpot | Art. 6(1)(b) | Kontaktdaten, Kommunikation |
| Website-Betrieb | Cloudflare, Vercel | Art. 6(1)(f) | IP-Adressen, Zugriffslogs |
| E-Mail/Collaboration | Microsoft 365 | Art. 6(1)(b)/(f) | E-Mails, Dokumente |
| Software-Entwicklung | GitHub | Art. 6(1)(b)/(f) | Contributor-Daten, Code-Reviews |
| Bewerbermanagement | [System] | Art. 88 DSGVO, § 26 BDSG | Bewerberdaten, Lebenslaeufe |
| IMS-Betrieb | Obsidian/Git/MkDocs | Art. 6(1)(f) | Git-Commit-Daten (Name, E-Mail) |