Das Verarbeitungsverzeichnis ist eine gesetzliche Pflicht nach Art. 30 DSGVO. ComplianceScan unterstützt Sie mit einem geführten Assistenten bei der Erstellung, Verwaltung und dem Export Ihrer Verzeichnisse.
Zuletzt aktualisiert: 2026-06-17
Inhaltsverzeichnis
- Was ist ein VVT?
- VVT erstellen
- Schritt-für-Schritt-Assistent
- DSFA-Ersteinschätzung
- VVT-Liste verwalten
- Entwürfe und Änderungshistorie
- Export
- Compliance-Score
- Kontingente
- Häufige Fragen
Was ist ein VVT?
Das Verarbeitungsverzeichnis (Verzeichnis von Verarbeitungstätigkeiten) dokumentiert alle Prozesse, bei denen personenbezogene Daten verarbeitet werden. Es ist nach Art. 30 DSGVO grundsätzlich für alle Verantwortlichen und Auftragsverarbeiter verpflichtend. Die Ausnahme für Unternehmen mit weniger als 250 Mitarbeitern (Art. 30 Abs. 5) greift nur, wenn alle der folgenden Bedingungen erfüllt sind:
- die Verarbeitung erfolgt nur gelegentlich, und
- sie birgt kein Risiko für die Rechte und Freiheiten der Betroffenen, und
- sie umfasst keine besonderen Datenkategorien (Art. 9) bzw. Daten über Straftaten (Art. 10).
Da diese Bedingungen kumulativ gelten und in der Praxis fast nie alle zutreffen, benötigt nahezu jedes Unternehmen ein VVT — auch unter 250 Mitarbeitern.
VVT erstellen
- Öffnen Sie in der Seitenleiste den Bereich DSGVO. Sie gelangen zur Übersicht „Verarbeitungsverzeichnisse".
- Klicken Sie auf + Neues VVT erstellen (bzw. Jetzt erstellen, wenn noch kein Verzeichnis vorhanden ist). Der geführte Assistent öffnet sich.
- Wählen Sie oben rechts bei Bedarf den Geltungsbereich (EU-weit, Österreich, Deutschland oder Schweiz). Davon hängen länderspezifische Rechtshinweise ab.
Der Bereich heißt in der Seitenleiste DSGVO. Die Übersichtsliste und der Assistent sind unter diesem Eintrag erreichbar.
Schritt-für-Schritt-Assistent
Der Assistent führt Sie in 3 Schritten durch alle erforderlichen Angaben.
Schritt 1: Verantwortlicher & DSB
In diesem Schritt erfassen Sie die Angaben zum Verantwortlichen, zum Datenschutzbeauftragten und zur Auftragsverarbeitung.
Verantwortlicher
| Feld | Beschreibung |
|---|---|
| Unternehmensname | Name des Verantwortlichen |
| Branche | Branchenbezeichnung |
| Mitarbeiteranzahl | Größenkategorie |
| Verantwortlicher (Name) | Name des datenschutzrechtlich Verantwortlichen |
| Adresse | Anschrift des Verantwortlichen |
| Kontakt-E-Mail | |
| Telefon | Kontakttelefon (optional) |
| Vertreter (Art. 27) | EU-Vertreter bei Sitz außerhalb EU/EWR |
| Gemeinsam Verantwortliche | Joint Controller nach Art. 26 |
Datenschutzbeauftragter (optional)
| Feld | Beschreibung |
|---|---|
| DSB-Name | Name des Datenschutzbeauftragten |
| DSB-E-Mail | Kontakt-E-Mail des DSB |
| DSB-Telefon | Telefon des DSB |
Hinweis: Je nach gewähltem Geltungsbereich blendet der Assistent länderspezifische Rechtshinweise ein (z. B. nationale Datenschutzgesetze wie BDSG, DSG).
Auftragsverarbeitung
| Feld | Beschreibung |
|---|---|
| Auftragsverarbeiter? | Verarbeiten Sie im Auftrag Dritter? |
| Kategorien der Verarbeitung | Art der Auftragsverarbeitung |
| Auftraggeber | Name des Auftraggebers |
| Vertragsreferenz | AVV-Nummer / Referenz |
| Drittlandtransfer (AV) | Übermittlungen im Rahmen der AV |
| TOM (AV) | Maßnahmen im Rahmen der AV |
Schritt 2: Verarbeitungstätigkeiten
Hier erfassen Sie die einzelnen Verarbeitungen. Je Tätigkeit stehen unter anderem folgende Felder zur Verfügung:
| Feld | Beschreibung |
|---|---|
| Bezeichnung | Name der Verarbeitungstätigkeit |
| Abteilung | Zuständige Abteilung |
| Zweck | Zweck der Verarbeitung (Art. 5 Abs. 1 b) |
| Verarbeitungsbeschreibung | Kurzbeschreibung der Verarbeitung |
| Rechtsgrundlage | Art. 6 Abs. 1 a–f DSGVO |
| Rechtsgrundlage Art. 9 | Bei besonderen Datenkategorien |
| Betroffene Kategorien | Kunden, Mitarbeiter, Bewerber, … |
| Datenkategorien | Name, E-Mail, IP-Adresse, Gehalt, … |
| Datenherkunft | Woher stammen die Daten? |
| Empfänger | Empfänger der Daten |
| Auftragsverarbeiter | Eingesetzte Auftragsverarbeiter |
| Drittlandtransfer / Zielland | Datenübermittlung in Drittländer? |
| Garantien / Sicherheiten | Geeignete Garantien (Art. 46) |
| Löschfristen | Wann werden die Daten gelöscht? |
| TOM | Technisch-organisatorische Maßnahmen |
| Automatisierte Entscheidung | Liegt eine automatisierte Entscheidung vor? |
| Profiling | Findet Profiling statt? |
| Prüfdatum / Prüfzyklus | Turnus der Überprüfung |
Sie können bis zu 100 Verarbeitungstätigkeiten pro VVT anlegen.
Schneller ausfüllen: Vorlagen, Auftragsverarbeiter-Picker und Hilfen
Damit Sie nicht jede Tätigkeit aus dem Leeren befüllen müssen, unterstützt der Assistent Sie an mehreren Stellen. Alle vorbelegten Werte sind Vorschläge und jederzeit frei änderbar — sie ersetzen keine Rechtsberatung.
- Aus Vorlage hinzufügen: Über die Vorlagen-Galerie wählen Sie eine typische Verarbeitung (z. B. CRM, Lohnabrechnung, Bewerbermanagement, Newsletter, Website-Analyse, Buchhaltung, Videoüberwachung, Kontaktformular, Hosting/Logs, Benutzerkonten, Bestellabwicklung, Lieferantenverwaltung, Betroffenenrechte). Zweck, Rechtsgrundlage, typische Daten- und Betroffenenkategorien sowie TOM-Vorschläge werden vorbelegt; ein Hinweis nennt mögliche alternative Rechtsgrundlagen und nationale Besonderheiten (z. B. § 7 UWG / § 174 TKG bei E-Mail-Werbung, § 25 TDDDG bei Tracking).
- Auftragsverarbeiter-Picker: Beim Empfänger-/Auftragsverarbeiter-Feld können Sie einen Dienstleister aus der Anbieter-Datenbank suchen. Land, Drittland-Einordnung, geeignete Garantie und Verfügbarkeit eines AVV werden als editierbarer Vorschlag übernommen — Ihre eigenen Eingaben werden nie überschrieben.
- Strukturierte Auftragsverarbeiter-Liste: Jeder Auftragsverarbeiter wird als eigene Zeile mit Land, Garantie, AVV-Status und Vertragsreferenz geführt.
- Live-DSFA-Anzeige und Abschnitte: Detailangaben (Empfänger & Drittland, Art der Verarbeitung, Sicherheit/TOMs, Risiko & DSFA) sind in aufklappbaren Abschnitten gebündelt; eine Live-Einschätzung zeigt fortlaufend an, ob eine DSFA in Betracht kommt.
Geltungsbereich Schweiz: Wählen Sie als Geltungsbereich „Schweiz", lässt der Assistent in Vorlagen die DSGVO-Rechtsgrundlage (Art. 6/Art. 9) bewusst leer — das revidierte Schweizer DSG (Art. 12, 30/31 DSG) kennt dieses Konzept nicht. Tragen Sie die Angaben nach DSG ein.
Schritt 3: Zusammenfassung & Export
- Feld Freigegeben durch (Genehmigender)
- Übersicht aller Eingaben inkl. DSFA-Ersteinschätzung
- Nach dem Veröffentlichen erscheint eine Export-Karte (siehe Export)
Über die Schaltfläche Veröffentlichen wird ein Entwurf zu einem abgeschlossenen VVT. Beim Bearbeiten eines bestehenden VVT heißt die Schaltfläche VVT aktualisieren.
DSFA-Ersteinschätzung
ComplianceScan ermittelt aus Ihren Angaben automatisch eine erste Einschätzung, ob eine Datenschutz-Folgenabschätzung (DSFA, engl. DPIA) erforderlich sein könnte. Die Einschätzung fließt in die Zusammenfassung und den PDF-Export ein.
| Risiko-Level | Bedeutung |
|---|---|
| niedrig | Keine klaren Hochrisiko-Indikatoren |
| mittel | Einzelne Risikofaktoren erkennbar |
| hoch | Mehrere Risikofaktoren (z. B. besondere Datenkategorien, Kinder, Drittlandtransfer, automatisierte Entscheidungen) |
Die eigenständige, detaillierte DSFA ist erst ab einem Tarif mit DSFA-Kontingent verfügbar (siehe Kontingente). Ohne Berechtigung wird ein entsprechender Hinweis angezeigt.
VVT-Liste verwalten
In der Übersicht DSGVO sehen Sie alle erstellten Verzeichnisse:
| Spalte | Beschreibung |
|---|---|
| Unternehmen | Name des verantwortlichen Unternehmens |
| Verantwortlicher | Name des Verantwortlichen |
| Erstellt | Erstellungsdatum |
| Score | Compliance-Score (bei Entwürfen „–") |
| Aktionen | Bearbeiten, Löschen |
Entwürfe werden in der Unternehmens-Spalte mit dem Hinweis Entwurf gekennzeichnet.
Bearbeiten
Klicken Sie auf das Bearbeiten-Symbol, um ein VVT erneut im Assistenten zu öffnen. Alle Eingaben können nachträglich geändert werden; jede Änderung wird in der Änderungshistorie protokolliert.
Löschen
Klicken Sie auf das Löschen-Symbol. Sie werden in einem Dialog zur Bestätigung aufgefordert.
Achtung: Das Löschen ist unwiderruflich.
Entwürfe und Änderungshistorie
- Der Assistent speichert Ihren Fortschritt automatisch alle 30 Sekunden als Entwurf. Pro Organisation gibt es einen aktiven Entwurf.
- Über Entwurf verwerfen löschen Sie den aktuellen Entwurf.
- Beim Bearbeiten eines abgeschlossenen VVT erfasst ComplianceScan die geänderten Felder und legt sie als Änderungshistorie ab. Kurz aufeinanderfolgende Änderungen derselben Person werden zu einem Eintrag zusammengefasst.
Export
Nach dem Veröffentlichen stehen in der Export-Karte zwei Formate zur Verfügung:
| Schaltfläche | Ergebnis |
|---|---|
| Als PDF drucken | Öffnet den Druckdialog; Speichern als PDF möglich |
| Text herunterladen | Lädt die Angaben als .txt-Datei herunter |
Beim Finalisieren über den Assistenten erzeugt ComplianceScan zusätzlich ein strukturiertes VVT-PDF mit allen Angaben gemäß Art. 30 DSGVO.
Compliance-Score
Jedes abgeschlossene VVT erhält einen Compliance-Score (0–100 %). Er gibt an, wie viele der zentralen Pflichtangaben ausgefüllt sind:
- Unternehmensname
- Mitarbeiteranzahl
- Verantwortlicher (Name)
- Adresse
- Kontakt-E-Mail
- mindestens eine Verarbeitungstätigkeit
- Sicherheitsmaßnahmen
Der Score wird in der Liste farblich dargestellt: ab 80 % grün, ab 50 % gelb, darunter rot. Entwürfe zeigen statt eines Scores „–".
Kontingente
Die Anzahl der VVT-Verzeichnisse sowie das Kontingent für die eigenständige DSFA hängen von Ihrem Tarif ab. Die aktuellen Tarif-Limits finden Sie zentral in der Abrechnungs-Dokumentation.
Häufige Fragen
„Muss mein Unternehmen ein VVT führen?"
Ja. Die Ausnahme für Unternehmen < 250 Mitarbeiter greift in der Praxis fast nie, da regelmäßige Verarbeitungen (z. B. Lohnbuchhaltung, Newsletter) die Pflicht auslösen.
„Welche Rechtsgrundlage soll ich wählen?"
| Verarbeitung | Typische Rechtsgrundlage |
|---|---|
| Newsletter | Art. 6 Abs. 1 a (Einwilligung) |
| Vertragserfüllung | Art. 6 Abs. 1 b (Vertrag) |
| Lohnbuchhaltung | Art. 6 Abs. 1 c (Rechtspflicht) |
| Videoüberwachung | Art. 6 Abs. 1 f (Berecht. Interesse) |
| Gesundheitsdaten | Art. 9 Abs. 2 (Besondere Kategorien) |
„Wie oft muss ich das VVT aktualisieren?"
Bei jeder Änderung der Verarbeitungstätigkeiten. Empfehlung: mindestens halbjährlich überprüfen.
Weiterführend
- NIS2-Compliance — für regulierte Unternehmen
- AI Act — KI-Systeme regulatorisch erfassen
- Erste Schritte — Zurück zum Dashboard