Das Verzeichnis von Verarbeitungstätigkeiten (VVT) ist eines der zentralen Dokumentationsinstrumente der DSGVO – und in der Praxis eine der häufigsten Schwachstellen bei Datenschutzprüfungen. Art. 30 DSGVO verpflichtet nahezu jedes Unternehmen, ein solches Verzeichnis zu führen.
Dieser Guide erklärt die gesetzlichen Pflichtangaben wortgetreu nach Art. 30 DSGVO, zeigt ein konkretes Praxisbeispiel und hilft Ihnen Schritt für Schritt beim Erstellen Ihres VVT. Für die Grundlagen der DSGVO siehe unseren DSGVO-Grundlagen-Guide.
Was ist ein VVT?
Ein Verzeichnis von Verarbeitungstätigkeiten (VVT) ist eine strukturierte Übersicht aller Verarbeitungsvorgänge, bei denen personenbezogene Daten verarbeitet werden. Es beantwortet für jede Verarbeitung die Kernfragen:
- Was wird verarbeitet? (Datenkategorien)
- Warum wird verarbeitet? (Zweck und Rechtsgrundlage)
- Wer ist betroffen? (Kategorien betroffener Personen)
- An wen werden Daten weitergegeben? (Empfänger)
- Wie lange werden Daten gespeichert? (Löschfristen)
- Wie werden Daten geschützt? (Technische und organisatorische Maßnahmen)
Das VVT ist kein öffentliches Dokument – es muss jedoch der zuständigen Aufsichtsbehörde auf Anfrage vorgelegt werden können (Art. 30 Abs. 4 DSGVO).
Rechtsgrundlage: Art. 30 DSGVO
Die Pflicht zur Führung eines VVT ergibt sich unmittelbar aus Art. 30 DSGVO (Verzeichnis von Verarbeitungstätigkeiten). Die Norm unterscheidet zwei Rollen:
- Art. 30 Abs. 1: Pflichten des Verantwortlichen – wer über Zwecke und Mittel der Datenverarbeitung entscheidet
- Art. 30 Abs. 2: Pflichten des Auftragsverarbeiters – wer Daten im Auftrag eines Verantwortlichen verarbeitet (z.B. Cloud-Anbieter, Hoster, Newsletter-Dienstleister)
Beide Rollen haben eigene Pflichtangaben, die sich inhaltlich unterscheiden (siehe unten). Viele Unternehmen sind gleichzeitig Verantwortlicher und Auftragsverarbeiter – dann sind zwei separate Verzeichnisse erforderlich.
Wer braucht ein VVT?
Kurz: Praktisch jedes Unternehmen.
Art. 30 Abs. 5 DSGVO enthält zwar eine Ausnahme für Unternehmen oder Einrichtungen mit weniger als 250 Mitarbeitern. Das Gesetz formuliert sie jedoch mit einem „es sei denn"-Vorbehalt: Die Ausnahme entfällt bereits, sobald nur eine der folgenden Bedingungen zutrifft:
- Die Verarbeitung birgt ein Risiko für die Rechte und Freiheiten der betroffenen Personen, oder
- die Verarbeitung erfolgt nicht nur gelegentlich, oder
- es werden besondere Datenkategorien nach Art. 9 Abs. 1 DSGVO verarbeitet (z.B. Gesundheitsdaten, religiöse oder weltanschauliche Überzeugungen, Gewerkschaftszugehörigkeit), oder
- es werden Daten über strafrechtliche Verurteilungen nach Art. 10 DSGVO verarbeitet.
Pflichtangaben: Verantwortlicher (Art. 30 Abs. 1 DSGVO)
Das VVT des Verantwortlichen muss gemäß Art. 30 Abs. 1 Satz 2 DSGVO sämtliche folgenden Angaben enthalten:
| Nr. | Pflichtangabe (Art. 30 Abs. 1) | Erläuterung |
|---|---|---|
| a) | Name und Kontaktdaten des Verantwortlichen und ggf. des gemeinsam Verantwortlichen, des Vertreters des Verantwortlichen sowie eines etwaigen Datenschutzbeauftragten | Bei Joint Controllership (Art. 26 DSGVO) alle Parteien nennen. Vertreter ist relevant für Nicht-EU-Unternehmen (Art. 27 DSGVO). |
| b) | Die Zwecke der Verarbeitung | Konkret und spezifisch formulieren, z.B. „Lohnabrechnung der Mitarbeiter" statt nur „Personalverwaltung". |
| c) | Eine Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten | Z.B. Betroffene: „Mitarbeiter, Bewerber". Datenkategorien: „Stammdaten, Bankdaten, Gesundheitsdaten (Krankmeldungen)". |
| d) | Die Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, einschließlich Empfänger in Drittländern oder internationalen Organisationen | Z.B. „Finanzamt, Krankenkasse, Lohnbuchhaltungs-Dienstleister (AV), Cloud-Anbieter (AV)". |
| e) | Gegebenenfalls Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation, einschließlich der Angabe des betreffenden Drittlands oder der betreffenden internationalen Organisation, sowie bei den in Art. 49 Abs. 1 Unterabs. 2 genannten Datenübermittlungen die Dokumentierung geeigneter Garantien | Z.B. „USA – Google LLC – Angemessenheitsbeschluss (EU-US Data Privacy Framework)". Garantien dokumentieren: Standardvertragsklauseln (SCCs), Angemessenheitsbeschluss, BCRs. |
| f) | Wenn möglich, die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien | Z.B. „Bewerbungsunterlagen: 6 Monate nach Absage. Buchungsbelege: 8 Jahre (steuerrechtliche Aufbewahrungspflicht, seit 01.01.2025)." |
| g) | Wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Art. 32 Abs. 1 | Z.B. „Verschlüsselung (TLS 1.3, AES-256), Zugriffskontrolle (RBAC), regelmäßige Backups, Pseudonymisierung". |
Wichtig: Die Formulierung „sämtliche folgenden Angaben" in Art. 30 Abs. 1 Satz 2 DSGVO bedeutet, dass die aufgeführten Punkte verbindliche, vollständig anzugebende Pflichtangaben sind – das VVT muss alle enthalten. Es handelt sich dabei um einen Mindestumfang, nicht um eine abschließende Obergrenze: Weitere zweckdienliche Angaben (etwa die Rechtsgrundlage, siehe unten) dürfen und sollten ergänzt werden. Die Punkte f) und g) sind mit „wenn möglich" eingeschränkt – sie sind aber dennoch anzugeben, sobald die Information verfügbar ist. In der Praxis empfehlen Aufsichtsbehörden, diese Angaben stets zu dokumentieren.
Pflichtangaben: Auftragsverarbeiter (Art. 30 Abs. 2 DSGVO)
Auch Auftragsverarbeiter müssen ein eigenes VVT führen. Die Pflichtangaben nach Art. 30 Abs. 2 DSGVO unterscheiden sich vom Verzeichnis des Verantwortlichen:
| Nr. | Pflichtangabe (Art. 30 Abs. 2) | Erläuterung |
|---|---|---|
| a) | Name und Kontaktdaten des Auftragsverarbeiters oder der Auftragsverarbeiter und jedes Verantwortlichen, in dessen Auftrag der Auftragsverarbeiter tätig ist, sowie ggf. des Vertreters des Verantwortlichen oder des Auftragsverarbeiters und eines etwaigen Datenschutzbeauftragten | Alle Auftraggeber (Verantwortliche) einzeln auflisten. |
| b) | Die Kategorien von Verarbeitungen, die im Auftrag jedes Verantwortlichen durchgeführt werden | Z.B. „Hosting von Webanwendungen", „E-Mail-Versand", „Lohnbuchhaltung". |
| c) | Gegebenenfalls Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation, einschließlich der Angabe des betreffenden Drittlands oder der betreffenden internationalen Organisation, sowie bei den in Art. 49 Abs. 1 Unterabs. 2 genannten Datenübermittlungen die Dokumentierung geeigneter Garantien | Identisch mit Verantwortlichen-VVT, Punkt e). |
| d) | Wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Art. 32 Abs. 1 | Besonders relevant, da der Auftragsverarbeiter die Sicherheit der Datenverarbeitung technisch umsetzen muss. |
Unterschied zum Verantwortlichen-VVT: Das Auftragsverarbeiter-VVT enthält keine Angaben zu Zwecken, Betroffenenkategorien, Datenkategorien oder Löschfristen – diese Verantwortung liegt beim Verantwortlichen. Der Auftragsverarbeiter dokumentiert stattdessen Kategorien von Verarbeitungen pro Auftraggeber.
Praxisbeispiel: VVT-Eintrag „Lohnabrechnung"
So könnte ein einzelner VVT-Eintrag für die Verarbeitungstätigkeit „Lohnabrechnung" in einem mittelständischen Unternehmen aussehen:
| Verarbeitungstätigkeit | Lohnabrechnung und Gehaltsauszahlung |
| Verantwortlicher | Muster GmbH, Musterstraße 1, 10115 Berlin; DSB: Max Mustermann, dsb@muster-gmbh.de |
| Zweck der Verarbeitung | Durchführung der monatlichen Lohn- und Gehaltsabrechnung, Abführung von Sozialversicherungsbeiträgen und Lohnsteuer |
| Rechtsgrundlage | Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung – Arbeitsvertrag), Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtung – Steuer- und Sozialversicherungsrecht) |
| Kategorien betroffener Personen | Mitarbeiter (Voll-/Teilzeit), Minijobber, Werkstudenten |
| Kategorien personenbezogener Daten | Stammdaten (Name, Adresse, Geburtsdatum), Bankverbindung, Steuer-ID, SV-Nummer, Gehalt/Lohn, Steuerklasse, Kirchenzugehörigkeit, Krankmeldungen (Art. 9 Abs. 1 DSGVO) |
| Empfänger | Finanzamt, Krankenkassen, Berufsgenossenschaft, Lohnbuchhaltungsdienstleister (Auftragsverarbeiter: DATEV eG) |
| Drittlandübermittlung | Keine |
| Löschfristen | Lohn-/Buchungsbelege: mehrjährig nach steuer- und sozialrechtlichen Fristen (Buchungsbelege 8 Jahre seit 01.01.2025, § 147 AO / § 257 HGB; Bücher und Jahresabschlüsse 10 Jahre). Krankmeldungen/AU-Nachweise: nur so lange wie für Entgeltfortzahlung oder Rechtsverteidigung erforderlich (Datenminimierung, Art. 5 Abs. 1 lit. c/e). |
| TOMs (Art. 32 DSGVO) | Verschlüsselte Übertragung (TLS 1.3), rollenbasierte Zugriffskontrolle, Pseudonymisierung bei Auswertungen, tägliche Datensicherung, physische Zugangskontrolle zum Serverraum |
VVT erstellen: Schritt für Schritt
1. Bestandsaufnahme aller Verarbeitungstätigkeiten
Identifizieren Sie alle Prozesse, bei denen personenbezogene Daten verarbeitet werden. Typische Verarbeitungstätigkeiten:
- Personalverwaltung (Lohnabrechnung, Bewerbermanagement, Zeiterfassung)
- Kundenverwaltung (CRM, Bestellabwicklung, Support)
- Marketing (Newsletter, Website-Analytics, Social Media)
- IT-Betrieb (E-Mail-System, Cloud-Dienste, Backup)
- Buchhaltung (Rechnungsstellung, Zahlungsverkehr)
- Videoüberwachung (falls vorhanden)
- Zutrittskontrolle (Besuchermanagement, Schlüsselverwaltung)
2. Verantwortlichkeiten klären
Bestimmen Sie für jede Verarbeitungstätigkeit:
- Sind Sie Verantwortlicher (Art. 30 Abs. 1) oder Auftragsverarbeiter (Art. 30 Abs. 2)?
- Gibt es eine gemeinsame Verantwortlichkeit (Joint Controllership, Art. 26 DSGVO)?
- Welche Auftragsverarbeiter sind eingebunden (z.B. Cloud-Anbieter, IT-Dienstleister)?
3. Pflichtangaben je Verarbeitungstätigkeit dokumentieren
Füllen Sie für jede identifizierte Verarbeitungstätigkeit die Pflichtangaben nach Art. 30 Abs. 1 lit. a–g aus (bzw. Art. 30 Abs. 2 lit. a–d als Auftragsverarbeiter). Nutzen Sie die Tabellen oben als Vorlage.
4. Rechtsgrundlagen ergänzen
Obwohl Art. 30 DSGVO die Rechtsgrundlage nicht ausdrücklich als Pflichtangabe nennt, empfehlen die deutschen Aufsichtsbehörden (DSK), diese stets mit aufzunehmen. Die Dokumentation der Rechtsgrundlage unterstützt die Rechenschaftspflicht (Art. 5 Abs. 2 DSGVO) und erleichtert spätere Prüfungen.
5. Drittlandtransfers prüfen
Für jede Verarbeitung prüfen: Werden personenbezogene Daten in ein Land außerhalb des EWR übermittelt? Falls ja:
- Welches Drittland?
- Welche Garantie greift? (Angemessenheitsbeschluss, SCCs, BCRs, Art. 49 DSGVO)
- Dokumentierung im VVT gemäß Art. 30 Abs. 1 lit. e
6. Löschfristen und TOMs dokumentieren
Art. 30 Abs. 1 lit. f und g verwenden die Formulierung „wenn möglich". In der Praxis bedeutet das: Immer dokumentieren, wenn die Information bekannt ist – „wenn möglich" ist keine Befreiung, sondern berücksichtigt, dass manche Fristen erst im Einzelfall bestimmbar sind.
7. Regelmäßige Überprüfung einplanen
Ein VVT ist kein einmaliges Projekt. Planen Sie eine regelmäßige Überprüfung (Empfehlung: mindestens jährlich) und aktualisieren Sie das Verzeichnis bei:
- Neuen Verarbeitungstätigkeiten
- Änderungen an bestehenden Prozessen
- Neuen Dienstleistern oder Tool-Wechseln
- Änderungen der Rechtsgrundlage
Häufige Fehler beim VVT
- Zu grobe Beschreibung der Zwecke: „Datenverarbeitung" oder „Personalwesen" reicht nicht. Jede Verarbeitungstätigkeit muss konkret benannt werden (z.B. „Bewerbermanagement", „Lohnabrechnung", „Zeiterfassung").
- Auftragsverarbeiter vergessen: Cloud-Dienste (AWS, Azure, Google Cloud), SaaS-Tools (Slack, Zoom, HubSpot), Tracking-Dienste (Google Analytics) – all das sind Auftragsverarbeiter, die im VVT erscheinen müssen.
- Kein Auftragsverarbeiter-VVT: Wenn Ihr Unternehmen auch als Auftragsverarbeiter tätig ist (z.B. IT-Dienstleister, SaaS-Anbieter), brauchen Sie ein separates VVT nach Art. 30 Abs. 2.
- Fehlende Löschfristen: „Wenn möglich" wird in der Praxis als „grundsätzlich immer" ausgelegt. Aufsichtsbehörden erwarten, dass Sie sich aktiv mit Löschfristen auseinandersetzen.
- VVT wird nicht gepflegt: Ein veraltetes VVT ist fast so schlecht wie gar keins. Die Aufsichtsbehörde erkennt sofort, ob ein Verzeichnis „lebt" oder nur einmal erstellt und dann vergessen wurde.
- Drittlandtransfers nicht dokumentiert: Viele Unternehmen nutzen US-Dienste (Google, Microsoft, AWS) und vergessen, die Drittlandübermittlung und die Rechtsgrundlage (z.B. EU-US Data Privacy Framework) im VVT zu dokumentieren.
- Verwechslung von VVT und Datenschutzerklärung: Das VVT ist ein internes Dokument für die Aufsichtsbehörde – die Datenschutzerklärung (Art. 13/14 DSGVO) ist die externe Information an Betroffene.
Form, Sprache und Pflege
Art. 30 Abs. 3 DSGVO schreibt vor: Das VVT ist schriftlich zu führen, was auch in elektronischer Form erfolgen kann. Es gibt keine Formvorschrift für das Format – erlaubt sind:
- Excel-Tabellen
- Datenschutz-Management-Software
- Spezialisierte VVT-Tools (z.B. innerhalb von Compliance-Plattformen)
- Textdokumente (Word, PDF) – in der Praxis weniger empfehlenswert wegen fehlender Struktur
Sprache: Die DSGVO schreibt keine Sprache vor. Das VVT sollte in der Sprache geführt werden, die die zuständige Aufsichtsbehörde versteht – für Deutschland, Österreich und die deutschsprachige Schweiz also Deutsch. Bei internationalen Konzernen kann eine zweisprachige Fassung (z.B. Deutsch/Englisch) sinnvoll sein.
Aufbewahrung: Art. 30 Abs. 4 DSGVO verlangt, dass das VVT der Aufsichtsbehörde auf Anfrage zur Verfügung gestellt wird. Stellen Sie sicher, dass das VVT jederzeit exportierbar und aktuell ist.
Bußgelder bei fehlendem oder mangelhaftem VVT
Ein fehlendes oder unvollständiges VVT ist ein Verstoß gegen Art. 30 DSGVO. Die Sanktionen richten sich nach Art. 83 Abs. 4 lit. a DSGVO:
- Bis zu 10.000.000 EUR oder bis zu 2 % des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs – je nachdem, welcher Betrag höher ist
In der Praxis verhängen Aufsichtsbehörden auch bei KMU Bußgelder für VVT-Verstöße. Beispiele:
- Fehlende Dokumentation: Bereits das vollständige Fehlen eines VVT kann ein Bußgeld nach sich ziehen – unabhängig davon, ob ein tatsächlicher Datenschutzvorfall eingetreten ist.
- Unvollständige Angaben: Fehlende Löschfristen, nicht dokumentierte Auftragsverarbeiter oder fehlende TOMs werden bei Prüfungen regelmäßig beanstandet.
VVT mit Tool-Unterstützung erstellen
Ein VVT manuell in Excel zu pflegen, ist fehleranfällig und aufwändig – insbesondere wenn mehrere Abteilungen beteiligt sind und Verarbeitungstätigkeiten sich regelmäßig ändern.
ComplianceScan unterstützt Sie bei der Erstellung und Pflege Ihres Verzeichnisses von Verarbeitungstätigkeiten:
- Strukturierte Erfassung: Alle Pflichtangaben nach Art. 30 DSGVO sind als Felder hinterlegt – Sie können keine Pflichtangabe versehentlich vergessen
- Aktualität: Änderungen werden versioniert und nachvollziehbar dokumentiert – ideal für die Rechenschaftspflicht
- Export: Das VVT kann jederzeit als Dokument exportiert werden – bereit für die Aufsichtsbehörde
FAQ zum VVT
Muss die Rechtsgrundlage ins VVT?
Art. 30 DSGVO listet die Rechtsgrundlage nicht als Pflichtangabe. Die deutschen Aufsichtsbehörden (DSK) empfehlen jedoch ausdrücklich, die Rechtsgrundlage je Verarbeitungstätigkeit zu dokumentieren und bei Prüfungen wird dies regelmäßig erwartet. Die Rechtsgrundlage zu dokumentieren ist zudem essenziell für die Rechenschaftspflicht gemäß Art. 5 Abs. 2 DSGVO.
Was ist der Unterschied zwischen VVT und DSFA?
Das VVT (Art. 30 DSGVO) dokumentiert alle Verarbeitungstätigkeiten eines Unternehmens. Die Datenschutz-Folgenabschätzung (DSFA, Art. 35 DSGVO) ist eine vertiefte Risikoanalyse für einzelne, besonders risikoreiche Verarbeitungen. Das VVT kann als Grundlage dienen, um zu erkennen, für welche Verarbeitungen eine DSFA erforderlich ist.
In welchem Format muss das VVT geführt werden?
Art. 30 Abs. 3 DSGVO verlangt die Schriftform, wobei auch ein elektronisches Format zulässig ist. Es gibt kein vorgeschriebenes Format – Excel, spezialisierte Software oder ein Datenschutz-Managementsystem sind gleichermaßen zulässig. Entscheidend ist die Vollständigkeit und Aktualität.
Sind Unternehmen unter 250 Mitarbeitern befreit?
Praktisch nie. Die Ausnahme in Art. 30 Abs. 5 DSGVO entfällt, sobald die Verarbeitung nicht nur gelegentlich erfolgt, ein Risiko für Betroffene birgt oder besondere Datenkategorien (Art. 9 Abs. 1) umfasst. Sobald ein Unternehmen regelmäßig Mitarbeiter- oder Kundendaten verarbeitet, entfällt die Ausnahme. Die DSK stellt klar, dass die Ausnahme restriktiv auszulegen ist.
Gilt die VVT-Pflicht auch in Österreich und der Schweiz?
Österreich: Ja, Art. 30 DSGVO gilt direkt als EU-Mitgliedstaat. Zuständige Behörde: Datenschutzbehörde (DSB), dsb.gv.at.
Schweiz: Das DSG (seit 1. September 2023) enthält in Art. 12 DSG eine vergleichbare Pflicht zur Führung eines Verzeichnisses der Bearbeitungstätigkeiten. Die Pflichtangaben sind ähnlich strukturiert wie in Art. 30 DSGVO. Eine Ausnahme für kleinere Unternehmen ergibt sich nicht unmittelbar aus dem Gesetz: Art. 12 Abs. 5 DSG delegiert sie an den Bundesrat, der sie in Art. 24 der Datenschutzverordnung (DSV) konkretisiert hat. Danach sind Unternehmen mit weniger als 250 Mitarbeitenden von der Verzeichnispflicht befreit – es sei denn, sie bearbeiten besonders schützenswerte Personendaten in grossem Umfang oder führen ein Profiling mit hohem Risiko durch.