Preise
Login
Demo vereinbaren

Verzeichnis von Verarbeitungstätigkeiten (VVT) im Datenschutz – Anforderungen nach Art. 30 DSGVO

Ein Verzeichnis von Verarbeitungstätigkeiten ist nicht nur eine Pflicht nach der DSGVO. Es bildet die Grundlage für ein ordnungsgemäßes Datenschutzmanagement, schafft Transparenz, hilft Risiken zu erkennen und ermöglicht die Rechenschaftslegung.

In diesem Artikel erfahren Sie, welche Anforderungen an ein solches Verzeichnis gestellt werden, welche typischen Risiken es gibt und wie Sie ein rechtssicheres und skalierbares Verzeichnis erstellen können.

Headerbild des Blogbeitrag "Verzeichnisses von Verarbeitungstätigkeiten (VVT) nach Art. 30 DSGVO".
    • Ein Verzeichnis von Verarbeitungstätigkeiten (VVT) ist für Verantwortliche und Auftragsverarbeiter nach Art. 30 DSGVO verpflichtend.
    • Es dokumentiert alle Prozesse, in denen personenbezogene Daten verarbeitet werden, und dient dem Nachweis der Rechenschaftspflicht gemäß Art. 5 Abs. 2 DSGVO.
    • Ein vollständiges und aktuelles VVT ist essenziell für ein wirksames Datenschutzmanagement.

Was ist ein Verzeichnis von Verarbeitungstätigkeiten nach Art. 30 DSGVO?

Ein Verzeichnis von Verarbeitungstätigkeiten (VVT) ist nach Art. 30 der Datenschutz-Grundverordnung (DSGVO) für grundsätzlich jedes Unternehmen verpflichtend zu führen. Es dokumentiert sämtliche Vorgänge bzw. Prozesse, in denen personenbezogene Daten verarbeitet werden, und bildet damit die zentrale Dokumentationsgrundlage eines strukturierten Datenschutzmanagements.

Diese sogenannten Verarbeitungstätigkeiten pflegen die Datenschutzverantwortlichen im Unternehmen im VVT. Darunter versteht die DSGVO gemäß Art. 4 Nr. 2 DSGVO jeden Vorgang im Zusammenhang mit personenbezogenen Daten – etwa das Erheben, Speichern, Verwenden, Übermitteln, Löschen oder Verknüpfen von Daten. Zweck des VVT ist es, Datenschutzverantwortlichen und behördlichen Prüfer:innen einen Überblick über die Verarbeitungstätigkeiten zu verschaffen.

Ob schriftlich oder elektronisch – die Art und Weise, wie das Verzeichnis von Verarbeitungstätigkeiten geführt wird, liegt individuell beim jeweiligen Unternehmen. Wichtig ist, dass das Verzeichnis von Verarbeitungstätigkeiten vollständig ist und den Behörden auf Anfrage vorgelegt werden kann. Nichtvorlage oder eine fehlerhafte, unvollständige Führung stellt einen Verstoß gegen Art. 30 DSGVO dar und kann mit hohen Bußgeldern einhergehen.

Wer ist verpflichtet ein VVT zu führen?

Die Pflicht zur Führung eines Verzeichnisses von Verarbeitungstätigkeiten ergibt sich unmittelbar aus Art. 30 DSGVO. Verantwortliche (Art. 30 Abs. 1 DSGVO) sowie Auftragsverarbeiter (Art. 30 Abs. 2 DSGVO) sind verpflichtet, ein entsprechendes Verzeichnis zu führen. Das bedeutet, dass z. B. auch eine beauftragte Marketingagentur verpflichtet ist, ein Verzeichnis von Verarbeitungstätigkeiten zu führen, sofern sie die Auswertung der Webseitenanalyse durchführt. Nach Art. 30 Abs. 5 DSGVO existiert eine Ausnahme für Unternehmen mit weniger als 250 Mitarbeitenden.

Die Ausnahme für Unternehmen mit weniger als 250 Mitarbeitenden (Art. 30 Abs. 5 DSGVO) greift, wenn:

  • die Verarbeitung nur gelegentlich erfolgt,
  • kein Risiko für Betroffene besteht,
  • keine besonderen Kategorien personenbezogener Daten verarbeitet werden.

In der Praxis sind diese Voraussetzungen selten vollständig erfüllt, sodass nahezu jedes Unternehmen zur Führung eines VVT verpflichtet ist.

Praxisbeispiel: Ein Unternehmen mit 10 Mitarbeiter:innen, das personenbezogene Daten regelmäßig durch einen Newsletterversand verarbeitet, muss in der Regel ein Verzeichnis von Verarbeitungstätigkeiten (VVT) anlegen und aktuell halten.

Welche Verarbeitungstätigkeiten müssen Unternehmen dokumentieren?

Nach Art. 30 Absatz 1 DSGVO müssen alle Verarbeitungstätigkeiten erfasst werden, bei denen personenbezogene Daten verarbeitet und gespeichert werden. Unter einer Verarbeitungstätigkeit versteht sich jeder technische und/oder organisatorische Vorgang, bei dem personenbezogene Daten verarbeitet werden.

Typische Beispiele für Verarbeitungstätigkeiten im Unternehmen sind:

  • Personalverwaltung
  • Bewerbungsmanagement
  • Newsletter-Versand
  • CRM-Nutzung
  • Lieferantenverwaltung
  • IT-Systemadministration
  • Tracking- und Analyse-Tools

Konkrete Praxisbeispiele finden Sie in unserem Beitrag Beispiele für Verarbeitungstätigkeiten im VVT.

Welche typischen Datenschutzrisiken entstehen bei Verarbeitungstätigkeiten?

Ein unvollständiges oder nur formal geführtes Verzeichnis von Verarbeitungstätigkeiten ist häufig eine Schwachstelle im Datenschutzmanagement. Das Risiko entsteht jedoch nicht durch das Dokument selbst, sondern durch die fehlende Transparenz über die tatsächlichen Datenflüsse im Unternehmen.

Ein häufiges Problem sind dabei unklare oder fehlerhafte Angaben zu Rechtsgrundlagen. Viele Unternehmen verweisen pauschal auf „berechtigtes Interesse“, ohne eine belastbare Interessenabwägung vorzunehmen oder diese zu dokumentieren. In anderen Fällen fehlt die eindeutige Zuordnung, ob eine Verarbeitung auf Artikel 6 Absatz 1 Buchstabe b, c oder f DSGVO gestützt wird.

Ebenso problematisch sind unpräzise oder allgemeine Angaben zu Datenkategorien und betroffenen Personengruppen. Wenn beispielsweise „Kundendaten“ dokumentiert werden, ohne zwischen Bestandskunden, Interessenten oder ehemaligen Vertragspartnern zu unterscheiden, verliert das Verzeichnis von Verarbeitungstätigkeiten seine Steuerungsfunktion.

Ein weiteres erhebliches Risiko liegt in fehlenden oder unrealistischen Löschfristen. Wenn keine konkreten Fristen definiert werden, sondern lediglich „nach Wegfall des Zwecks“ angegeben wird, fehlt die operative Grundlage für ein funktionierendes Löschkonzept.

Besonders kritisch sind zudem unzureichend dokumentierte technische und organisatorische Maßnahmen gemäß Artikel 32 DSGVO. Pauschale Formulierungen wie „Zugriffsschutz vorhanden“ genügen im Prüfungsfall in der Regel nicht. Behörden erwarten nachvollziehbare Beschreibungen der eingesetzten Schutzmechanismen.

In international aufgestellten Organisationen kommen oft nicht dokumentierte Drittlandübermittlungen hinzu, beispielsweise durch Cloud-Dienste oder konzerninterne Datenflüsse. Fehlt hier die Transparenz, entstehen mögliche Haftungs- und Bußgeldrisiken.

Schließlich werden Datenschutz-Folgenabschätzungen gemäß Artikel 35 DSGVO häufig nicht korrekt durchgeführt oder nicht sauber mit dem Verzeichnis von Verarbeitungstätigkeiten verknüpft. Ohne ein solches Verzeichnis bleibt die Identifikation risikobehafteter Verarbeitungstätigkeiten oft dem Zufall überlassen.

Das Verzeichnis von Verarbeitungstätigkeiten ist daher kein rein formales Dokument, sondern bildet neben den technischen und organisatorischen Maßnahmen (TOM) die Brückezur Risikoidentifikation im Datenschutz.

Was muss ein Verzeichnis von Verarbeitungstätigkeiten enthalten?

Die Mindestanforderungen ergeben sich aus Artikel 30 Absatz 1 DSGVO. Der Gesetzgeber verlangt eine strukturierte und nachvollziehbare Dokumentation der wesentlichen Parameter jeder Verarbeitungstätigkeit.

Zwingend zu dokumentieren sind zunächst der Name und die Kontaktdaten des Verantwortlichen sowie, falls vorhanden, die des Datenschutzbeauftragten. Hinzu kommt eine klare Beschreibung der jeweiligen Zwecke der Verarbeitung. Dabei darf der Zweck nicht abstrakt bleiben, sondern muss den konkreten geschäftlichen Zusammenhang widerspiegeln.

Außerdem sind die Kategorien betroffener Personen sowie die Kategorien personenbezogener Daten anzugeben. Diese Angaben bilden die Grundlage für spätere Risikobewertungen und für die Prüfung besonderer Datenkategorien gemäß Artikel 9 DSGVO.

Ebenso sind die Kategorien von Empfängern zu dokumentieren, einschließlich etwaiger Übermittlungen an Dritte oder konzerninterner Weitergaben. Wenn Datenübermittlungen in Drittländer erfolgen, sind diese gesondert auszuweisen, einschließlich der eingesetzten Garantien gemäß Kapitel 5 DSGVO.

Zentral ist zudem die Angabe der vorgesehenen Löschfristen oder zumindest der Kriterien für deren Festlegung. Diese Fristen müssen operativ umsetzbar sein und mit dem Löschkonzept des Unternehmens korrespondieren.

Schließlich verlangt Artikel 30 DSGVO eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Artikel 32 DSGVO. Diese Beschreibung muss ausreichend konkret sein, um das Schutzniveau nachvollziehbar darzustellen.

Entscheidend ist, dass alle Angaben konsistent, aktuell und unternehmensweit einheitlich dokumentiert sind. Ein Verzeichnis von Verarbeitungstätigkeiten, das zwar formal vollständig ist, aber nicht regelmäßig gepflegt wird, erfüllt die Rechenschaftspflicht nicht.

Beispielhafte Struktur eines Eintrags im Verzeichnis von Verarbeitungstätigkeiten

Ein Verzeichnis von Verarbeitungstätigkeiten besteht aus einzelnen Einträgen, in denen jeweils eine konkrete Datenverarbeitung dokumentiert wird. Der folgende Ausschnitt zeigt beispielhaft die Struktur eines solchen Eintrags.

FeldBeispiel
BezeichnungE-Mail-Kommunikation per Newsletter
BeschreibungExterne Kommunikation über E-Mail-Systeme
Gilt an StandortenMusteradresse 1, Musterstadt
VerantwortlicherDatenschutzverantwortliche(r)
RechtsgrundlageArt. 6 Abs. 1 lit. a DSGVO
Betroffene PersonenNewsletter-Abonnenten
DatenartenE-Mail, Name, Öffnungs- und Klickverhalten
DatenkategorienPersonenbezogene Stammdaten, Kommunikations- und Nutzungsdaten
Begründung berechtigtes InteresseKommunikation und Informationsaustausch

Weitere typische Beispiele für Verarbeitungstätigkeiten, etwa aus Personalwesen, Marketing oder IT, finden Sie in unserem Beitrag „Verarbeitungstätigkeiten: 100+ Beispiele aus verschiedenen Unternehmensbereichen“.

Wie erstelle ich ein Verzeichnis von Verarbeitungstätigkeiten richtig?

Die Erstellung eines soliden Verzeichnisses von Verarbeitungstätigkeiten beginnt nicht mit einer Tabelle. Zunächst sollten die tatsächlichen Datenverarbeitungsprozesse im Unternehmen genau analysiert werden. Das Ziel besteht darin, alle Verarbeitungstätigkeiten vollständig, konsistent und überprüfbar zu dokumentieren.

In 6 Schritten zum rechtssicheren Verzeichnis von Verarbeitungstätigkeiten:

  1. Identifikation aller datenverarbeitenden Prozesse: Finden Sie alle Prozesse heraus, in denen persönliche Daten verarbeitet werden. Dies kann in Bereichen wie Personalwesen, Marketing, Vertrieb, IT oder Finanzbuchhaltung der Fall sein. Berücksichtigen Sie auch Hilfesysteme wie CRM, Newsletter-Tools oder Cloud-Dienste.
  2. Zuordnung zu verantwortlichen Fachbereichen: Die genaue Kenntnis dieser Prozesse liegt bei den Fachabteilungen. Ohne deren Beteiligung bleibt das Verzeichnis unvollständig. Die Zuständigkeiten müssen klar dokumentiert werden.
  3. Erfassung von Datenkategorien und betroffenen Personengruppen: Es ist genau zwischen Mitarbeitern, Bewerbern, Kunden, Interessenten und Dienstleistern zu unterscheiden. Außerdem müssen die konkreten Datentypen erfasst werden.
  4. Prüfung und Dokumentation der Rechtsgrundlagen: Ordnen Sie jeder Verarbeitung eine klare Rechtsgrundlage gemäß Artikel 6 DSGVO zu und dokumentieren Sie diese nachvollziehbar.
  5. Festlegung von Löschfristen und Beschreibung der technischen und organisatorischen Maßnahmen: Legen Sie genaue Fristen oder Kriterien fest und beschreiben Sie die technischen und organisatorischen Maßnahmen gemäß Artikel 32 DSGVO ausreichend detailliert.
  6. Etablierung eines regelmäßigen Review-Zyklus: Ein Verzeichnis von Verarbeitungstätigkeiten ist kein statisches Dokument. Neue Tools, Prozesse oder regulatorische Änderungen erfordern eine laufende Aktualisierung.

In kleineren Organisationen kann ein VVT zunächst mit Excel geführt werden, sofern Struktur, Versionierung und Aktualisierung sichergestellt sind. Eine detaillierte Anleitung zur Erstellung eines VVT mit Excel finden Sie hier: VVT mit Excel erstellen – Anleitung & Muster.

Wie lässt sich ein zentrales VVT für Unternehmensgruppen effizient aufsetzen?

In Konzernstrukturen oder bei mehreren Tochtergesellschaften steigen die Anforderungen erheblich. Unterschiedliche Verantwortlichkeiten, verschiedene Rechtsräume und grenzüberschreitende Datenflüsse führen zu komplexen Dokumentationsanforderungen.

Ein dezentrales, uneinheitlich geführtes VVT erschwert ein konsolidiertes Reporting und erhöht das Risiko inkonsistenter Angaben gegenüber Aufsichtsbehörden.

Ein zentrales, skalierbares VVT-System ermöglicht hingegen eine standardisierte Erfassung von Verarbeitungstätigkeiten über mehrere Gesellschaften hinweg. Einheitliche Vorlagen, konsolidierte Auswertungen und zentrale Reporting-Funktionen erhöhen die Transparenz und die Auditfähigkeit.

Gerade für internationale Verantwortliche mit konzernweiten Datenübermittlungen wird das VVT so zu einem strategischen Steuerungsinstrument. Es schafft die Grundlage für konsistente Datenschutz-Strukturen und reduziert den Abstimmungsaufwand zwischen Tochtergesellschaften.

Für größere Organisationen empfiehlt sich daher der regelmäßige Einsatz einer spezialisierten, skalierbaren VVT-Management-Software nach DSGVO.

Wie kann das Verzeichnis von Verarbeitungstätigkeiten strategisch weiterentwickelt werden?

Ein VVT kann über die bloße Erfüllung der Mindestanforderungen hinaus als wichtiges Instrument genutzt werden. Es bildet die Grundlage für risikobasierte Bewertungen, unterstützt die Durchführung von Datenschutzfolgen und sorgt somit für Transparenz bei den Datenflüssen im Unternehmen.

Darüber hinaus lässt es sich mit Konzepten zur Löschung von Daten, mit sogenannten TOM-Katalogen und mit internen Auditprozessen verbinden. In datenintensiven Unternehmen wird es zunehmend zu einem Teil einer umfassenden Datenstrategie.

Insbesondere bei der Verwendung von KI-Systemen und komplexen Datenökosystemen bietet ein gut strukturiertes Verzeichnis die notwendige Datenbasis, um die Anforderungen der Behörden konsequent umsetzen zu können.

Über die Dokumentationspflicht nach Art. 30 DSGVO hinaus lässt sich das Verzeichnis von Verarbeitungstätigkeiten strategisch weiterentwickeln und gezielt in Governance- und Risikoprozesse integrieren.

Das VVT als Fundament des Datenschutzmanagements

Ein VVT kann über die bloße Erfüllung der Mindestanforderungen hinaus als wichtiges Instrument genutzt werden. Es bildet die Grundlage für risikobasierte Bewertungen, unterstützt die Durchführung von Datenschutzfolgen und sorgt somit für Transparenz bei den Datenflüssen im Unternehmen.

Darüber hinaus lässt es sich mit Konzepten zur Löschung von Daten, mit sogenannten TOM-Katalogen und mit internen Auditprozessen verbinden. In datenintensiven Unternehmen wird es zunehmend zu einem Teil einer umfassenden Datenstrategie.

Insbesondere bei der Verwendung von KI-Systemen und komplexen Datenökosystemen bietet ein gut strukturiertes Verzeichnis die notwendige Datenbasis, um die Anforderungen der Behörden konsequent umsetzen zu können.

Über die Dokumentationspflicht nach Art. 30 DSGVO hinaus lässt sich das Verzeichnis von Verarbeitungstätigkeiten strategisch weiterentwickeln und gezielt in Governance- und Risikoprozesse integrieren.

Ihre Anmeldung konnte nicht gespeichert werden. Bitte versuchen Sie es erneut.
Ihre Anmeldung war erfolgreich.
Zum Newsletter
anmelden

FAQ – Häufig gestellte Fragen zum Verzeichnis von Verarbeitungstätigkeiten

  • Als eine Verarbeitungstätigkeit wird jeder Vorgang bezeichnet, bei dem – mit oder ohne Hilfe automatisierter Verfahren – für einen oder mehrere Zwecke personenbezogene Daten verarbeitet werden. Laut DSGVO können das beispielsweise das Erheben, Verbreiten, Auslesen, Erfassen, Speichern, Anpassen, Verändern, Abgleichen, Abfragen, Verwenden, Organisieren, Ordnen, Übermitteln, Bereitstellen oder Verknüpfen von Daten sein.

  • Ja, das ist es. Verantwortliche und Auftragsverarbeiter müssen ein solches Verzeichnis führen, da dies gesetzlich vorgeschrieben ist. In Artikel 30 der DSGVO ist festgelegt, dass es notwendig ist, um die Rechenschaftspflicht gemäß Artikel 5 Absatz 2 der DSGVO nachweisen zu können.

  • Art. 5 Absatz 1 DSGVO befasst sich mit den allgemeinen Grundsätzen, die die „Grundregeln“ für die Verarbeitung von personenbezogenen Daten darstellen. Diese müssen von den Verantwortlichen stets eingehalten sowie nachgewiesen werden (Art. 5 Absatz 2 DSGVO).

    Zu den wesentlichen Grundsätzen zählen die „Transparenz“, „Zweckbindung“, „Datenminimierung“, „Speicherbegrenzung“ sowie „Integrität und Vertraulichkeit“ der rechtskonformen Erhebung, Verarbeitung und Speicherung von personenbezogenen Daten.

  • Ja, grundsätzlich schon. Es gibt jedoch eine Ausnahme in Artikel 30 Absatz 5 der DSGVO für Unternehmen mit weniger als 250 Mitarbeitern. Diese greift jedoch nur, wenn die Verarbeitung von Daten nur gelegentlich erfolgt, kein Risiko für die Betroffenen besteht und keine besonderen Kategorien personenbezogener Daten verarbeitet werden. In der Praxis ist es jedoch selten, dass diese Ausnahme vollständig erfüllt ist.

  • Nein, das muss es nicht. Das Verzeichnis kann entweder schriftlich oder elektronisch geführt werden. Wichtig ist nur, dass es vollständig und aktuell ist und auf Anfrage der Aufsichtsbehörde vorgelegt werden kann, wie in Artikel 30 Absatz 4 der DSGVO festgelegt.

  • Die Nichtführung oder die Führung eines unvollständigen Verzeichnisses stellt einen Verstoß gegen Artikel 30 der DSGVO dar. Dies kann gemäß Artikel 83 der DSGVO mit Bußgeldern geahndet werden.

  • Ein Verzeichnis von Verarbeitungstätigkeiten muss ständig aktualisiert werden. Neue Verarbeitungstätigkeiten, neue IT-Systeme oder Änderungen der Regeln müssen zeitnah dokumentiert werden. In der Praxis wird oft ein jährlicher unternehmensinterner Review-Zyklus durchgeführt.

Artikel verfasst von

Dennis Kurpierz, Mitgründer und COO von caralegal, Portrait im Büro, an einer Wand lehnend.
Dennis Kurpierz Co-Founder & COO

Dennis Kurpierz ist Mitgründer und Chief Operating Officer von caralegal und kennt durch seine langjährige Erfahrung als Senior Consultant und Lead Project Manager bei der ISiCO Datenschutz GmbH die Kundenbedürfnisse sowie Pain Points und Herausforderungen im Datenschutzmanagement. Als Product Owner setzt er dieses Fachwissen in der Produktentwicklung von caralegal um.

Dafür fehlt mir die Zeit caralegal

In 2 Tagen startklar
64% Zeitersparnis
20 Jahre Datenschutzerfahrung