Das Verzeichnis von Verarbeitungstätigkeiten (kurz VVT) bildet das Fundament jeder betrieblichen Datenschutzorganisation. Entgegen der landläufigen Meinung handelt es sich dabei nicht um ein statisches Dokument für die Schublade, sondern um eine aktive Bestandsaufnahme aller Datenflüsse im Unternehmen. Ohne ein aktuelles VVT ist weder eine Auskunft gegenüber Betroffenen noch eine Meldung an Aufsichtsbehörden rechtssicher möglich.
In diesem Artikel beleuchten wir die rechtlichen Anforderungen des Artikel 30 DSGVO, klären die häufigsten Missverständnisse bezüglich der Dokumentationspflicht und stellen eine praxisnahe Vorlage zur Verfügung.
Hinweis: Dieser Artikel dient der allgemeinen Information zur Data Governance und stellt keine Rechtsberatung dar. Für die finale juristische Prüfung sollte der Datenschutzbeauftragte konsultiert werden.
Vorlage zur Umsetzung
Um die theoretischen Anforderungen direkt in die Praxis zu überführen, haben wir eine Excel-Struktur erarbeitet, die alle Pflichtfelder des Art. 30 DSGVO abdeckt und zusätzlich Felder für Risikobewertungen und Löschfristen enthält.
VVT-Muster herunterladen (Excel & PDF)Definition und rechtliche Grundlagen
Das Verarbeitungsverzeichnis ist im Kern ein Inventar. Es dokumentiert, wer im Unternehmen welche personenbezogenen Daten zu welchem Zweck verarbeitet und an wen diese weitergegeben werden.
Rechtsgrundlage ist der Artikel 30 der Datenschutz-Grundverordnung (DSGVO). Dieser schreibt vor, dass jeder Verantwortliche (und auch Auftragsverarbeiter) ein Verzeichnis aller Verarbeitungstätigkeiten führen muss, die seiner Zuständigkeit unterliegen.
Wichtig ist die Abgrenzung: Das VVT enthält keine konkreten Daten (wie z.B. den Namen “Max Mustermann”), sondern beschreibt die Kategorien der Daten und Prozesse (z.B. “Speicherung von Bewerberdaten”). Es ist eine Meta-Dokumentation.
Die Dokumentationspflicht für KMU
Ein weit verbreiteter Irrglaube hält sich hartnäckig: Dass Unternehmen mit weniger als 250 Mitarbeitern kein VVT führen müssen. Zwar sieht Art. 30 Abs. 5 DSGVO eine Erleichterung für kleinere Organisationen vor, diese ist in der unternehmerischen Praxis jedoch fast nie anwendbar.
Die Pflicht entfällt nur, wenn die Verarbeitung nicht gelegentlich erfolgt. Sobald ein Unternehmen:
- Löhne auszahlt (regelmäßige Verarbeitung von Beschäftigtendaten),
- eine Kundendatenbank pflegt (regelmäßige Verarbeitung von Bestandsdaten),
- oder Nutzerdaten auf einer Website analysiert,
…gilt die Verarbeitung als “regelmäßig”. Damit sind faktisch auch Kleinstunternehmen und Startups vollumfänglich dokumentationspflichtig.
Aufbau und Pflichtinhalte eines VVT
Ein rechtskonformes Verzeichnis muss zwingend bestimmte Angaben enthalten. Wir orientieren uns hierbei an der Struktur unserer Excel-Vorlage, die diese Punkte systematisch abfragt.
1. Die Stammdaten (Verantwortlicher)
Jedes Verzeichnis beginnt mit den organisatorischen Rahmenbedingungen. Hier muss klar benannt werden, wer juristisch für die Datenverarbeitung verantwortlich ist (in der Regel die GmbH/UG vertreten durch die Geschäftsführung) und wer als Datenschutzbeauftragter (DSB) bestellt ist.
2. Beschreibung der Verarbeitungstätigkeiten (Der Prozess)
Dies ist der Kernbereich. Jede Tätigkeit, bei der Daten berührt werden, muss als separater Eintrag gelistet sein. Typische Beispiele sind:
- Bewerbermanagement
- Finanzbuchhaltung
- Videoüberwachung des Firmengeländes
- Newsletter-Versand
Für jeden dieser Prozesse müssen folgende Parameter definiert werden:
Zweck der Verarbeitung
Warum werden die Daten erhoben? Die DSGVO verbietet die Vorratsdatenspeicherung (“Man könnte es ja mal brauchen”). Der Zweck muss spezifisch sein, z.B. “Erfüllung arbeitsvertraglicher Pflichten” oder “Direktmarketing bei Bestandskunden”.
Kategorien betroffener Personen
Wessen Daten werden verarbeitet?
- Beschäftigte
- Kunden / Interessenten
- Lieferanten
- Website-Besucher
Kategorien personenbezogener Daten
Was genau wird gespeichert? Hier reicht eine grobe Clusterung oft nicht aus. Es empfiehlt sich eine Unterteilung in:
- Stammdaten (Name, Adresse)
- Kontaktdaten (E-Mail, Telefon)
- Finanzdaten (IBAN, Steuer-ID)
- Besondere Kategorien nach Art. 9 DSGVO: Gesundheitsdaten, Religionszugehörigkeit oder biometrische Daten erfordern Schutzmaßnahmen auf höchstem Niveau.
3. Empfänger und Datentransfers
Daten bleiben selten in einem Silo. Im VVT muss dokumentiert werden, an wen Daten weitergegeben werden. Das betrifft interne Abteilungen, aber vor allem externe Dritte.
Besondere Aufmerksamkeit erfordert der Drittlandtransfer. Werden Daten an Dienstleister außerhalb der EU/EWR übermittelt (z.B. Nutzung von US-Cloud-Diensten wie Salesforce, AWS oder Google Analytics), muss die Rechtsgrundlage für diesen Transfer (z.B. Angemessenheitsbeschluss oder Standardvertragsklauseln) explizit genannt werden.
4. Technisch-organisatorische Maßnahmen (TOMs)
Laut Art. 32 DSGVO müssen Unternehmen geeignete Maßnahmen treffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Im VVT wird oft pauschal auf ein separates Sicherheitskonzept verwiesen, doch es empfiehlt sich, die spezifischen Maßnahmen pro Prozess zu skizzieren.
Dazu gehören:
- Pseudonymisierung & Verschlüsselung: Liegen die Daten im Klartext auf dem Server oder sind sie verschlüsselt (At-Rest / In-Transit)?
- Vertraulichkeit: Wer hat Zugriff? (Rollen- und Berechtigungskonzepte).
- Verfügbarkeit: Wie wird sichergestellt, dass Daten bei einem physischen oder technischen Zwischenfall wiederhergestellt werden können? (Backup-Strategien).
- Belastbarkeit der Systeme: Regelmäßige Penetrationstests und Updates.
Eine bloße Nennung wie “Wir haben eine Firewall” ist hierbei oft nicht ausreichend, wenn es um hochsensible HR-Daten geht.
Das Löschkonzept: Der kritische Faktor
Ein häufiges Defizit in Verarbeitungsverzeichnissen ist das Fehlen konkreter Löschfristen. Artikel 5 DSGVO schreibt den Grundsatz der “Speicherbegrenzung” vor: Daten dürfen nur so lange gespeichert werden, wie es für den Zweck erforderlich ist. Der Ansatz “Speichern für immer” ist rechtlich nicht haltbar.
In der Praxis entsteht hier oft ein Konflikt zwischen Datenschutzrecht (Löschen) und Handels- bzw. Steuerrecht (Aufbewahren). Das VVT muss diesen Konflikt auflösen.
Für das Verzeichnis bedeutet das: Du musst für jede Datenkategorie eine konkrete Frist oder zumindest die Kriterien für die Festlegung der Frist definieren.
Gängige Aufbewahrungsfristen in Deutschland:
- 10 Jahre: Handelsbücher, Inventare, Lageberichte, Buchungsbelege (§ 257 HGB, § 147 AO).
- 6 Jahre: Handels- und Geschäftsbriefe (z.B. E-Mails, die ein Geschäft vorbereiten oder abschließen).
- Nach Zweckwegfall: Bewerbungsunterlagen (üblicherweise 3-6 Monate nach Ablehnung, orientiert am AGG), Videoaufzeichnungen (oft 48-72 Stunden).
In unserer Excel-Vorlage findest du im Tab “Referenzen” eine Übersicht dieser gesetzlichen Vorgaben, die du als Referenz für deine Prozessbeschreibungen nutzen kannst.
Die 5 häufigsten Fehler bei der Erstellung
Auch wenn eine Vorlage genutzt wird, schleichen sich in der Praxis oft Fehler ein, die bei einer Prüfung durch die Aufsichtsbehörde zu Rückfragen führen.
1. Zu generische Beschreibungen
Einträge wie “Wir verarbeiten Daten für Marketing” sind zu ungenau. Es muss spezifiziert werden: Handelt es sich um Newsletter-Versand (Opt-In), Postwurfsendungen oder Retargeting? Je granulare der Prozess beschrieben ist, desto besser lässt sich das Risiko bewerten.
2. Die Schatten-IT vergessen
Oft dokumentiert die IT-Abteilung nur die Systeme, die sie selbst verwaltet (ERP, CRM). Fachabteilungen nutzen jedoch häufig eigenmächtig Cloud-Tools (z.B. WeTransfer für große Dateien, Trello für Projektmanagement oder ChatGPT für Texte). Auch diese Tools verarbeiten personenbezogene Daten und müssen zwingend ins VVT aufgenommen werden.
3. Fehlende Auftragsverarbeitungsverträge (AVV)
Wenn du einen externen Dienstleister (z.B. einen Payroll-Provider oder Cloud-Hoster) im VVT als Empfänger nennst, prüft der Auditor meist im nächsten Schritt, ob ein gültiger AVV vorliegt. Fehlt dieser Vertrag, ist die Weitergabe der Daten oft rechtswidrig.
4. Veraltete Dienstleister
Ein VVT ist eine Momentaufnahme. Wechselt das Marketing-Team vom Tool “Mailchimp” zu “Brevo”, muss das Verzeichnis aktualisiert werden. Ein VVT, das Software listet, die seit zwei Jahren nicht mehr genutzt wird, ist ein Indiz für mangelnde Data Governance.
5. Keine Risikobewertung (Schwellwertanalyse)
Für Prozesse mit hohem Risiko (z.B. umfangreiche Videoüberwachung oder Verarbeitung von Gesundheitsdaten) muss geprüft werden, ob eine Datenschutz-Folgenabschätzung (DSFA) notwendig ist. Das VVT sollte ein Feld enthalten, das angibt, ob diese Prüfung stattgefunden hat.
Grenzen von Excel: Wann Software die bessere Wahl ist
Die manuelle Pflege eines Verzeichnisses in Excel ist für den Einstieg legitim und kosteneffizient. Sie stößt jedoch schnell an systemische Grenzen, insbesondere in dynamischen IT-Umgebungen.
Nachteile der manuellen Liste:
- Keine Echtzeit-Daten: Die Liste ist oft schon veraltet, sobald sie gespeichert wird.
- Fehlende Versionierung: Wer hat wann welchen Eintrag geändert? In Excel schwer nachvollziehbar.
- Keine Warnfunktion: Excel meldet nicht, wenn eine neue Datenbankspalte mit sensiblen Daten angelegt wird.
Der Ansatz von Data Governance Software (Datamastr):
Moderne Governance-Plattformen drehen den Prozess um. Statt manuell zu dokumentieren, verbindet sich die Software direkt mit den Datenquellen (SQL-Datenbanken, APIs, Data Warehouses).
- Automatisches Profiling: Die Software scannt die Metadaten und erkennt automatisch neue Tabellen oder Felder.
- PII-Erkennung: Algorithmen identifizieren personenbezogene Daten (z.B. IBAN, E-Mail) und schlagen entsprechende Klassifizierungen für das VVT vor.
- Kollaboration: Data Owner in den Fachabteilungen können ihre Prozesse direkt im Tool pflegen, statt Excel-Dateien per Mail hin- und herzuschicken.
Empfehlung: Starte mit der Excel-Vorlage, um Struktur zu schaffen. Wenn du merkst, dass die Aktualisierung zu viel Zeit frisst, importiere die Tabelle in Datamastr und automatisiere die Pflege.
[BILD-4: Screenshot Import-Funktion]
Beschreibung: Screenshot aus der Datamastr-Software, der zeigt, wie eine CSV/Excel-Datei hochgeladen wird. Daneben ein “Vorher/Nachher”-Vergleich: Links statische Tabelle, rechts lebendiges Dashboard.
Unterschrift: Nahtloser Übergang: Import bestehender Excel-Verzeichnisse in die Automatisierung.
Häufige Fragen (FAQ)
Im Kontext von Artikel 30 DSGVO tauchen regelmäßig spezifische Detailfragen auf. Hier sind die Antworten auf die relevantesten Suchanfragen.
Muss das Verarbeitungsverzeichnis öffentlich zugänglich sein?
Nein. Im Gegensatz zum früheren “öffentlichen Verfahrensverzeichnis” nach BDSG-alt ist das VVT nach DSGVO ein rein internes Dokument. Es muss lediglich der Aufsichtsbehörde auf Anfrage zur Verfügung gestellt werden. Betroffene Personen (Kunden/Mitarbeiter) haben kein direktes Einsichtsrecht in das Verzeichnis, wohl aber ein Recht auf Auskunft über ihre eigenen Daten (Art. 15 DSGVO).
In welcher Sprache muss das VVT geführt werden?
Die DSGVO macht hierzu keine explizite Vorgabe. Es empfiehlt sich jedoch dringend, das Verzeichnis in der Sprache der zuständigen Aufsichtsbehörde (in Deutschland also Deutsch) zu führen, um im Prüfungsfall Übersetzungskosten und Zeitverlust zu vermeiden. In internationalen Konzernen ist oft Englisch die Primärsprache; hier sollte eine deutsche Version für die lokalen Prozesse vorliegen.
Wie oft muss das Verzeichnis aktualisiert werden?
Die DSGVO fordert keine festen Intervalle, sondern verlangt Richtigkeit und Vollständigkeit. Das bedeutet implizit: Das VVT muss jederzeit aktuell sein. In der Praxis hat sich etabliert, das Verzeichnis quartalsweise zu überprüfen oder Prozessänderungen (z.B. Einführung neuer Software) mittels eines “Change Management Prozesses” direkt einzupflegen.
Wer haftet, wenn das VVT fehlt oder unvollständig ist?
Verantwortlich ist das Unternehmen (der “Verantwortliche” im Sinne des Art. 4 Nr. 7 DSGVO), vertreten durch die Geschäftsführung. Ein fehlendes oder unvollständiges Verzeichnis stellt einen Verstoß nach Art. 83 Abs. 4 lit. a DSGVO dar. Hierfür können Bußgelder von bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes verhängt werden. Auch wenn diese Höchstsummen selten sind, signalisiert ein fehlendes VVT der Behörde eine mangelhafte Datenschutzorganisation, was oft zu tiefergehenden Prüfungen führt.
Brauche ich ein separates VVT für Auftragsverarbeiter?
Ja. Wenn dein Unternehmen als Dienstleister für andere Firmen Daten verarbeitet (z.B. als Webhoster, Call-Center oder Lohnbüro), musst du ein separates Verzeichnis für diese Tätigkeiten führen (Art. 30 Abs. 2 DSGVO). Dieses ist etwas schlanker als das Verzeichnis für eigene Daten, muss aber z.B. die Namen der Auftraggeber enthalten.
Fazit
Das Verarbeitungsverzeichnis ist mehr als eine lästige Pflichtübung. Es ist das Rückgrat deiner Data Governance. Nur wer weiß, welche Daten er hat, kann diese schützen, effizient nutzen und rechtskonform verwalten.
Der Weg zum sauberen VVT muss nicht kompliziert sein. Mit der richtigen Struktur und dem Bewusstsein für die häufigsten Fallstricke lässt sich die Dokumentation effizient bewältigen.
Nächste Schritte:
- Lade dir die kostenlose Vorlage herunter.
- Erfasse zuerst die “Big 3” Prozesse: HR, CRM und Marketing.
- Prüfe, ob eine Automatisierung via Software für dein Datenvolumen sinnvoll ist.