Verarbeitungsverzeichnis (VVT) nach Art. 30 DSGVO: Vorlage und Anleitung
Das Verarbeitungsverzeichnis ist Pflicht für fast jedes Unternehmen. Erfahre, was ein VVT enthalten muss, wer es führen muss und wie du es korrekt erstellst.
Das Verarbeitungsverzeichnis (VVT) ist eines der zentralen Dokumente der DSGVO — und gleichzeitig eines der am häufigsten vernachlässigten. Art. 30 DSGVO verpflichtet nahezu jedes Unternehmen, ein solches Verzeichnis zu führen. Die Ausnahme für Unternehmen mit weniger als 250 Mitarbeitern greift in der Praxis fast nie. Trotzdem haben viele Unternehmen kein VVT oder nur eine unvollständige Version.
In diesem Artikel erfährst du, was ein Verarbeitungsverzeichnis ist, wer es führen muss, welche Pflichtinhalte es haben muss und wie du es mit konkreten Beispielen erstellst.
Was ist ein Verarbeitungsverzeichnis?
Ein Verarbeitungsverzeichnis ist eine strukturierte Dokumentation aller Verarbeitungstätigkeiten, bei denen personenbezogene Daten verarbeitet werden. Es ist das interne Nachschlagewerk, das zeigt: Welche Daten verarbeitet dein Unternehmen, warum, auf welcher Rechtsgrundlage, wie lange und mit welchen Schutzmaßnahmen?
Das VVT ist kein öffentliches Dokument. Es muss nicht auf der Website stehen oder an Betroffene herausgegeben werden. Aber es muss der Aufsichtsbehörde auf Anfrage vorgelegt werden können (Art. 30 Abs. 4 DSGVO). Und genau das ist der Punkt: Wenn die Behörde anklopft und du kein VVT hast, ist das bereits ein DSGVO-Verstoß — unabhängig davon, ob du sonst alles richtig machst.
Wer muss ein VVT führen?
Die kurze Antwort: Fast jeder.
Art. 30 Abs. 5 DSGVO sieht eine Ausnahme vor für Unternehmen mit weniger als 250 Mitarbeitern. Diese Ausnahme greift aber nur, wenn alle folgenden Bedingungen gleichzeitig erfüllt sind:
- Die Verarbeitung birgt kein Risiko für die Rechte und Freiheiten der betroffenen Personen
- Die Verarbeitung erfolgt nur gelegentlich
- Es werden keine besonderen Datenkategorien (Art. 9 DSGVO) oder strafrechtlich relevante Daten (Art. 10 DSGVO) verarbeitet
In der Praxis ist diese Ausnahme nahezu irrelevant. Jedes Unternehmen, das eine Website betreibt, Mitarbeiter beschäftigt, Kundendaten verwaltet oder einen Newsletter versendet, verarbeitet regelmäßig personenbezogene Daten. Die Konferenz der Datenschutzaufsichtsbehörden (DSK) hat klargestellt: Die Ausnahme ist eng auszulegen. Im Zweifel muss ein VVT geführt werden.
| Kriterium | Ausnahme greift? | Begründung |
|---|---|---|
| Website mit Kontaktformular | Nein | Regelmäßige Verarbeitung |
| Personalverwaltung | Nein | Regelmäßige Verarbeitung |
| Kundendatenbank / CRM | Nein | Regelmäßige Verarbeitung |
| Newsletter-Versand | Nein | Regelmäßige Verarbeitung |
| Videoüberwachung | Nein | Risiko für Betroffene |
| Gesundheitsdaten | Nein | Besondere Datenkategorien |
| Einmalige Marktforschung (anonym) | Möglicherweise ja | Gelegentlich, kein Personenbezug |
Pflichtinhalte nach Art. 30 Abs. 1 DSGVO
Art. 30 Abs. 1 listet die Mindestangaben auf, die das VVT des Verantwortlichen enthalten muss:
Angaben pro Verarbeitungstätigkeit
- Name und Kontaktdaten des Verantwortlichen (und ggf. des gemeinsam Verantwortlichen, des Vertreters und des Datenschutzbeauftragten)
- Zwecke der Verarbeitung — warum werden die Daten verarbeitet?
- Kategorien betroffener Personen — wessen Daten (Kunden, Mitarbeiter, Website-Besucher, Bewerber)?
- Kategorien personenbezogener Daten — welche Daten (Name, E-Mail, IP-Adresse, Bankdaten)?
- Kategorien von Empfängern — an wen werden Daten weitergegeben (Auftragsverarbeiter, Behörden)?
- Übermittlungen in Drittländer — werden Daten außerhalb des EWR verarbeitet? Welche Garantien?
- Löschfristen — wann werden die Daten gelöscht (vorgesehene Fristen)?
- Technische und organisatorische Maßnahmen (TOMs) — allgemeine Beschreibung der Sicherheitsmaßnahmen nach Art. 32
Verantwortlicher vs. Auftragsverarbeiter
Es gibt zwei verschiedene VVT-Versionen mit unterschiedlichen Pflichtinhalten:
| Angabe | Verantwortlicher (Art. 30 Abs. 1) | Auftragsverarbeiter (Art. 30 Abs. 2) |
|---|---|---|
| Zwecke der Verarbeitung | Ja | Nein (nur Kategorien der Verarbeitung) |
| Kategorien betroffener Personen | Ja | Nein |
| Kategorien personenbezogener Daten | Ja | Nein |
| Empfänger | Ja | Nein |
| Drittlandtransfers | Ja | Ja |
| Löschfristen | Ja | Nein |
| TOMs | Ja | Ja |
| Name und Kontaktdaten aller Auftraggeber | Nein | Ja |
| Kategorien der Verarbeitung | Nein | Ja |
Wenn du sowohl als Verantwortlicher als auch als Auftragsverarbeiter tätig bist (z.B. als Agentur, die Kundendaten verwaltet und gleichzeitig eigene Mitarbeiterdaten verarbeitet), brauchst du beide Verzeichnisse.
Beispiel-Einträge für ein VVT
Beispiel 1: Website-Betrieb
Verarbeitungstätigkeit: Website-Betrieb und Server-Logs
Zweck: Bereitstellung der Website, Gewährleistung der IT-Sicherheit
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse)
Betroffene: Website-Besucher
Datenkategorien: IP-Adresse, Zeitstempel, aufgerufene URL,
Browser-Typ, Betriebssystem, Referrer-URL
Empfänger: Hosting-Anbieter (z.B. IONOS SE, Deutschland)
Drittlandtransfer: Nein
Löschfrist: Server-Logs nach 7 Tagen
TOMs: SSL/TLS-Verschlüsselung, Firewall, Zugangsbeschränkung,
regelmäßige Updates
Beispiel 2: Newsletter-Versand
Verarbeitungstätigkeit: E-Mail-Newsletter
Zweck: Versand von Marketing-Informationen und Produktneuheiten
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung)
Betroffene: Newsletter-Abonnenten
Datenkategorien: E-Mail-Adresse, Vorname, Anmeldezeitpunkt,
IP-Adresse bei Anmeldung, Öffnungs-/Klickverhalten
Empfänger: Brevo (Sendinblue), Sendinblue GmbH, Deutschland
Drittlandtransfer: Nein (Brevo EU-Server)
Löschfrist: Bei Abmeldung oder Widerruf der Einwilligung
TOMs: Verschlüsselung, Double-Opt-In-Verfahren, AVV mit Brevo
Beispiel 3: Kundenverwaltung
Verarbeitungstätigkeit: Kundenverwaltung und CRM
Zweck: Vertragsabwicklung, Kundenkommunikation, Rechnungsstellung
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfullung)
Betroffene: Kunden, Interessenten
Datenkategorien: Name, Firma, E-Mail, Telefon, Adresse,
Bestellhistorie, Zahlungsdaten, Kommunikationsverlauf
Empfänger: Buchhaltungssoftware (z.B. Lexoffice), Steuerberater
Drittlandtransfer: Nein
Löschfrist: 3 Jahre nach Ende der Geschäftsbeziehung
(handelsrechtliche Aufbewahrung: 10 Jahre für Rechnungen)
TOMs: Zugriffskontrolle (Rollen-basiert), Verschlüsselung,
regelmäßige Backups, Passwortrichtlinie
Die 7 häufigsten Fehler beim VVT
1. Kein VVT vorhanden
Der offensichtlichste Fehler. Viele KMU gehen davon aus, dass die 250-Mitarbeiter-Ausnahme für sie gilt. Wie oben erklärt, ist das fast nie der Fall.
2. Unvollständige Einträge
Ein VVT, das nur “Newsletter-Versand” als Eintrag enthält, ohne Rechtsgrundlage, Empfänger oder Löschfristen, ist nicht rechtskonform. Jeder der Pflichtinhalte nach Art. 30 Abs. 1 muss ausgefüllt sein.
3. Veraltete Informationen
Das VVT wurde einmal erstellt und nie aktualisiert. Inzwischen nutzt das Unternehmen neue Tools, hat den Hosting-Anbieter gewechselt oder neue Verarbeitungstätigkeiten aufgenommen. Ein veraltetes VVT ist fast so schlecht wie gar keins.
4. Fehlende Auftragsverarbeiter
Die Website nutzt Google Analytics, Hotjar und einen Newsletter-Dienst, aber das VVT listet keine Auftragsverarbeiter auf. Jeder Dienstleister, der Daten in deinem Auftrag verarbeitet, muss als Empfänger im VVT stehen.
5. Pauschale Löschfristen
”Daten werden gelöscht, wenn sie nicht mehr benötigt werden” ist keine gültige Löschfrist. Du musst konkrete Fristen nennen: 7 Tage für Server-Logs, 3 Jahre nach Vertragsende für Kundendaten, 10 Jahre für steuerrelevante Unterlagen.
6. TOMs nur als Platzhalter
”Es werden angemessene technische und organisatorische Maßnahmen getroffen” reicht nicht. Du musst konkret beschreiben, was du tust: Verschlüsselung, Zugangskontrolle, Backups, Passwortrichtlinien, Mitarbeiterschulungen.
7. Vermischung von Verantwortlichen- und Auftragsverarbeiter-VVT
Wenn du als Auftragsverarbeiter tätig bist (z.B. als Agentur oder SaaS-Anbieter), brauchst du ein separates Verzeichnis nach Art. 30 Abs. 2. Die Pflichtinhalte unterscheiden sich.
Tools und Vorlagen für das VVT
Tabellenbasierte Vorlagen
Für kleine Unternehmen kann ein VVT auch als strukturierte Tabelle geführt werden. Wichtig ist, dass alle Pflichtinhalte abgedeckt sind:
| Feld | Beschreibung |
|---|---|
| ID / Nummer | Eindeutige Kennung der Verarbeitungstätigkeit |
| Bezeichnung | Name der Verarbeitungstätigkeit |
| Verantwortlicher | Name, Anschrift, Kontaktdaten |
| Datenschutzbeauftragter | Name, Kontaktdaten (falls vorhanden) |
| Zweck | Warum werden die Daten verarbeitet? |
| Rechtsgrundlage | Artikel der DSGVO |
| Betroffene | Kategorien betroffener Personen |
| Datenkategorien | Welche Daten werden verarbeitet? |
| Empfänger | Intern und extern (inkl. Auftragsverarbeiter) |
| Drittlandtransfer | Land, Garantien (SCCs, DPF) |
| Löschfrist | Konkrete Frist oder Kriterien |
| TOMs | Verweis auf TOM-Dokument oder Auflistung |
| Datum der letzten Prüfung | Wann wurde dieser Eintrag zuletzt aktualisiert? |
Digitale Lösungen
Spezialisierte Datenschutz-Software wie OneTrust, DataGuard oder Proliance bietet integrierte VVT-Module. Der Vorteil: Änderungen werden versioniert, Prüfzyklen automatisch erinnert und die Verknüpfung zu AVVs und TOMs ist eingebaut.
Für den Einstieg reicht aber eine gut strukturierte Tabelle völlig aus. Entscheidend ist nicht das Tool, sondern die Vollständigkeit und Aktualität der Inhalte.
Wann muss das VVT aktualisiert werden?
Das VVT ist kein einmaliges Dokument. Es muss aktualisiert werden bei:
- Einführung neuer Verarbeitungstätigkeiten (neues Tool, neuer Prozess)
- Änderung bestehender Verarbeitungen (neuer Dienstleister, anderer Zweck)
- Änderung der Rechtsgrundlage
- Änderung der Löschfristen
- Änderung der TOMs
- Mindestens einmal jährlich im Rahmen einer Datenschutz-Revision
Praxis-Checkliste: VVT erstellen
- Alle Verarbeitungstätigkeiten im Unternehmen identifizieren
- Für jede Tätigkeit die Pflichtinhalte nach Art. 30 Abs. 1 dokumentieren
- Rechtsgrundlage für jede Verarbeitung bestimmen und prüfen
- Alle Auftragsverarbeiter als Empfänger auflisten
- Konkrete Löschfristen festlegen (nicht pauschal)
- Drittlandtransfers identifizieren und Garantien dokumentieren
- TOMs konkret beschreiben, nicht nur als Platzhalter
- Falls Auftragsverarbeiter: Separates Verzeichnis nach Art. 30 Abs. 2 führen
- VVT zentral ablegen und Zugang für den DSB sicherstellen
- Jährlichen Prüfzyklus einrichten
- Bei jedem neuen Tool oder Prozess: VVT sofort aktualisieren
Bußgelder und Konsequenzen
Ein fehlendes oder unvollständiges VVT ist ein eigenständiger Verstoß gegen Art. 30 DSGVO. Die möglichen Sanktionen:
- Bußgeld: Bis zu 10 Millionen Euro oder 2% des Jahresumsatzes (Art. 83 Abs. 4 DSGVO)
- Praxis: Deutsche Aufsichtsbehörden verhängen bei KMU Bußgelder im Bereich von 5.000 bis 50.000 Euro für fehlende VVTs
- Indirektes Risiko: Ohne VVT kannst du bei einer Datenschutzverletzung nicht nachweisen, dass du den Überblick über deine Verarbeitungen hast — das verschärft die Sanktionen
Die Berliner Datenschutzbeauftragte hat 2023 betont, dass das VVT die “Grundlage jeder Datenschutz-Compliance” ist. Ohne VVT fehlt das Fundament.
VVT und Datenschutzerklärung verbinden
Das VVT und die Datenschutzerklärung hängen eng zusammen: Die Datenschutzerklärung informiert die Betroffenen (Art. 13/14 DSGVO) über dieselben Verarbeitungstätigkeiten, die im VVT intern dokumentiert sind. Wenn dein VVT vollständig ist, hast du bereits alle Informationen, die du für die Datenschutzerklärung brauchst.
Der Compliso Content-Generator erstellt deine Datenschutzerklärung auf Basis eines geführten Fragebogens. In Kombination mit dem Compliso Scanner, der automatisch alle Third-Party-Dienste und Cookies auf deiner Website erkennt, hast du eine solide Grundlage für dein VVT — zumindest für den Bereich Website-Betrieb.
Jetzt kostenlos scannen und herausfinden, welche Verarbeitungstätigkeiten auf deiner Website stattfinden. Oder direkt registrieren und deine Datenschutzerklärung in Minuten erstellen.
Deine Website DSGVO-konform machen?
Compliso prüft deine Website automatisch auf Cookies, Tracker, Dark Patterns und Accessibility-Probleme.