kostenlos starten
Verzeichnis von Verarbeitungstätigkeiten, Art. 30 Abs. 1

VVT Datenschutz – Das Verzeichnis von Verarbeitungstätigkeiten nach DSGVO einfach erklärt

Das Verzeichnis von Verarbeitungstätigkeiten (VVT) ist das Herzstück jedes Datenschutzmanagementsystems. Art. 30 DSGVO verpflichtet Unternehmen, eine vollständige und aktuelle Dokumentation aller Datenverarbeitungsprozesse zu führen. Dieser Praxis-Guide erklärt, was das VVT enthalten muss, wer es führen muss und wie Sie es rechtssicher aufbauen.

Mit PLANIT PRIMA das VVT automatisch erstellen — Workflows dokumentieren, Artikel 30-Anforderungen abhaken, Pflichtfelder automatisch befüllen.

Was ist das Verarbeitungsverzeichnis (VVT)?

Das Verzeichnis von Verarbeitungstätigkeiten (VVT) ist eine interne Dokumentation, die jede Verarbeitung personenbezogener Daten in Ihrem Unternehmen erfasst. Art. 30 Abs. 1 DSGVO legt fest, was dieses Verzeichnis mindestens enthalten muss:

  • Name und Kontaktdaten des Verantwortlichen
  • Zwecke der Verarbeitung
  • Beschreibung der Kategorien von betroffenen Personen und personenbezogenen Daten
  • Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt werden
  • Übermittlungen an Drittländer (wenn vorhanden)
  • Vorgesehene Fristen für die Löschung der Daten
  • Allgemeine Beschreibung der technischen und organisatorischen Maßnahmen (TOM)

Gemäß Art. 30 Abs. 1 S. 1 DSGVO führt der Verantwortliche ein Verzeichnis aller Verarbeitungstätigkeiten, die seiner Zuständigkeit unterliegen. Die Anforderungen sind damit eindeutig: vollständig, aktuell, schriftlich — und auf Anfrage der Aufsichtsbehörde vorzulegen.

Wer muss ein VVT führen?

Art. 30 Abs. 5 DSGVO enthält eine Ausnahmeregelung für kleine Unternehmen: Unternehmen mit weniger als 250 Mitarbeitern sind von der VVT-Pflicht ausgenommen — aber nur, wenn die Verarbeitung:

  • kein Risiko für die Rechte und Freiheiten der betroffenen Personen birgt,
  • nur gelegentlich erfolgt, und
  • keine besonderen Datenkategorien nach Art. 9 DSGVO oder strafrechtliche Daten nach Art. 10 DSGVO umfasst.

In der Praxis greift diese Ausnahme kaum: Fast jedes Unternehmen verarbeitet Mitarbeiterdaten (Lohnbuchhaltung, Krankmeldungen) und Kundendaten (Rechnungen, Kontaktdaten) — mindestens teilweise regelmäßig. Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) empfiehlt, die Ausnahme eng auszulegen. Im Zweifel sollte jedes Unternehmen ein VVT führen.

Das Verwaltungsgericht Ansbach hat in einem vielbeachteten Urteil (Az. AN 14 K 21.01668, 2022) klargestellt, dass die bloße Behauptung einer Ausnahme nach Art. 30 Abs. 5 DSGVO nicht ausreicht. Das Unternehmen muss nachweisen, dass tatsächlich keine der Ausnahmevoraussetzungen fehlt. Diese Beweislast liegt beim Verantwortlichen — gemäß Art. 5 Abs. 2 DSGVO (Rechenschaftspflicht).

Auftragsverarbeiter und das VVT

Nicht nur der Verantwortliche, auch der Auftragsverarbeiter muss ein eigenes Verzeichnis führen. Art. 30 Abs. 2 DSGVO verpflichtet Auftragsverarbeiter dazu, ein Verzeichnis aller Kategorien von Verarbeitungstätigkeiten zu führen, die sie im Auftrag eines Verantwortlichen durchführen.

Dieses Verzeichnis des Auftragsverarbeiters enthält:

  • Name und Kontaktdaten des Auftragsverarbeiters und jedes Verantwortlichen
  • Kategorien von Verarbeitungen, die im Auftrag jedes Verantwortlichen durchgeführt werden
  • Übermittlungen in Drittländer (wenn vorhanden)
  • Allgemeine Beschreibung der TOM

Wenn Ihr Unternehmen Dienstleistungen für andere erbringt und dabei personenbezogene Daten verarbeitet (z. B. IT-Dienstleister, Steuerberater, Lohnbuchhaltungs-Software-Anbieter), müssen Sie also zwei Verzeichnisse führen: eines als Verantwortlicher (für eigene Verarbeitungen) und eines als Auftragsverarbeiter (für Verarbeitungen im Auftrag). Mehr dazu im Spoke: VVT für Auftragsverarbeiter — Pflichten nach Art. 30 Abs. 2.

Sonderfall Betriebsrat

Der Betriebsrat verarbeitet im Rahmen seiner gesetzlichen Aufgaben personenbezogene Daten der Beschäftigten. Ob und wie er ein eigenes VVT führen muss, ist rechtlich komplex. Der Betriebsrat handelt zwar nicht als eigener Verantwortlicher im klassischen Sinne, unterliegt aber den datenschutzrechtlichen Pflichten nach § 79a BetrVG. Einen ausführlichen Ratgeber finden Sie im Artikel: VVT und Betriebsrat — was gilt?

Struktur des VVT: Pflichtfelder Schritt für Schritt

Schritt 1: Verarbeitungstätigkeit benennen

Jeder Eintrag im VVT entspricht einer klar abgegrenzten Verarbeitungstätigkeit. Gängige Beispiele: Bewerbermanagement, Lohn- und Gehaltsabrechnung, Kundenverwaltung, E-Mail-Marketing, Videoüberwachung. Nicht jeder Geschäftsprozess muss als separate Tätigkeit eingetragen werden — zusammengehörige Verarbeitungen können zusammengefasst werden, solange Zweck und Rechtsgrundlage identisch sind.

Schritt 2: Rechtsgrundlage dokumentieren

Für jede Verarbeitungstätigkeit muss eine Rechtsgrundlage aus Art. 6 Abs. 1 DSGVO vorliegen. Typische Grundlagen: Vertragserfüllung (lit. b) für Mitarbeiter- und Kundendaten, gesetzliche Verpflichtung (lit. c) für steuerliche und buchhalterische Aufzeichnungen, berechtigtes Interesse (lit. f) für Sicherheitskameras oder Direktmarketing.

Schritt 3: Betroffene Personen und Datenkategorien

Wessen Daten werden verarbeitet (Kunden, Mitarbeiter, Lieferanten, Bewerber)? Welche Kategorien von Daten (Name, Adresse, Bankdaten, Gesundheitsdaten)? Bei besonderen Datenkategorien nach Art. 9 DSGVO muss zusätzlich eine Ausnahme nach Art. 9 Abs. 2 DSGVO vorliegen — das ist im VVT zu vermerken.

Schritt 4: Empfänger und Auftragsverarbeiter

Wer erhält die Daten? Unterscheiden Sie zwischen internen Empfängern (Abteilungen) und externen Empfängern (Behörden, Steuerberater, IT-Dienstleister). Bei Auftragsverarbeitern ist der jeweilige AVV-Abschluss zu dokumentieren und auf das AVV zu verweisen.

Schritt 5: Speicher- und Löschfristen

Für jede Verarbeitungstätigkeit sind die Löschfristen im VVT anzugeben. Quellen: gesetzliche Aufbewahrungsfristen (z. B. 10 Jahre für buchhalterische Unterlagen nach § 147 AO, 6 Jahre für Handelsbriefe), vertragliche Vereinbarungen, und das unternehmenseigene Löschkonzept. Mehr zum Thema: Löschkonzept DSGVO — Fristen dokumentieren.

Schritt 6: Technische und organisatorische Maßnahmen (TOM)

Art. 30 Abs. 1 lit. g DSGVO fordert eine „allgemeine Beschreibung“ der TOM. Im VVT reicht eine Kurzdarstellung (z. B. „Zugriffskontrolle über Benutzerkonten, Verschlüsselung der Datenübertragung (TLS 1.2+), regelmäßige Backups“). Die ausführliche TOM-Dokumentation erfolgt separat und wird im VVT referenziert.

Rechtliche Einordnung: Rechenschaftspflicht und Kontrolle durch die Aufsichtsbehörde

Das VVT ist das primäre Instrument der Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO. Wer das VVT nicht führt, kann seinen Datenschutzpflichten nicht nachkommen — und dies im Streitfall nicht nachweisen. Aufsichtsbehörden fordern das VVT regelmäßig bei Kontrollen an.

Das Oberverwaltungsgericht Nordrhein-Westfalen hat in einem wegweisenden Beschluss (Az. 16 B 1539/20, 2021) bestätigt, dass die Aufsichtsbehörde berechtigt ist, das VVT ohne konkreten Anlass anzufordern. Die Verpflichtung zur Vorlage ergibt sich unmittelbar aus Art. 30 Abs. 4 DSGVO. Unternehmen, die kein VVT führen oder dieses auf Anfrage nicht vorlegen, riskieren Bußgelder nach Art. 83 Abs. 4 lit. a DSGVO.

Der Datenschutzbeauftragte überwacht die Einhaltung dieser Pflicht nach Art. 39 Abs. 1 lit. b DSGVO. Er überprüft die Vollständigkeit des VVT, aktualisiert es bei neuen Verarbeitungstätigkeiten und meldet Lücken an die Geschäftsführung. Mehr zur Rolle des DSB: Datenschutzbeauftragter überwacht das VVT.

Auch der Auftragsverarbeitungsvertrag (AVV) und das VVT sind eng verzahnt: Jeder AVV muss im VVT aufgeführt sein. Wenn ein Auftragsverarbeiter ohne dokumentierten AVV verwendet wird, ist das ein schwerwiegender Datenschutzverstoß. Mehr dazu: AVV und Verarbeitungsverzeichnis.

VVT in der Praxis: Häufige Fehler

  • Veraltetes VVT: Das VVT muss bei jeder neuen Verarbeitungstätigkeit aktualisiert werden. Einmalig erstellt und dann vergessen ist ein verbreiteter Fehler.
  • Fehlende Löschfristen: Art. 30 Abs. 1 lit. f DSGVO fordert vorgesehene Fristen für die Löschung. Viele VVTs schweigen dazu.
  • Unvollständige Auftragsverarbeiter-Liste: Cloud-Dienste, Newsletter-Tools, IT-Dienstleister — alle müssen erfasst sein, auch wenn sie „selbstverständlich“ erscheinen.
  • Fehlende TOM-Referenz: Zumindest eine Kurzdarstellung der Sicherheitsmaßnahmen muss im VVT enthalten sein.
  • Kein VVT des Auftragsverarbeiters: Wer Daten im Auftrag verarbeitet, muss zusätzlich ein eigenes Verzeichnis nach Art. 30 Abs. 2 DSGVO führen.

VVT und Datenschutz-Folgenabschätzung (DSFA)

Das VVT ist nicht nur eine Dokumentationspflicht — es ist auch der erste Schritt zur Feststellung, ob eine Datenschutz-Folgenabschätzung (DSFA) nach Art. 35 DSGVO erforderlich ist. Wer seine Verarbeitungstätigkeiten vollständig dokumentiert hat, kann systematisch prüfen, welche Verarbeitungen ein hohes Risiko für die Rechte und Freiheiten betroffener Personen aufweisen.

Art. 35 Abs. 1 DSGVO verlangt eine DSFA insbesondere bei neuen Verarbeitungstätigkeiten, die aufgrund ihrer Art, ihres Umfangs, ihrer Umstände oder ihrer Zwecke voraussichtlich ein hohes Risiko für betroffene Personen darstellen. Ohne ein vollständiges VVT fehlt die Grundlage für diese Risikoeinschätzung.

Typische Verarbeitungstätigkeiten, die im VVT dokumentiert sind und eine DSFA erfordern können:

  • Systematische und umfangreiche Verarbeitung besonderer Datenkategorien (Art. 9 DSGVO)
  • Profiling mit rechtlichen oder ähnlich bedeutsamen Auswirkungen
  • Systematische Überwachung von Beschäftigten (z. B. Videoüberwachung, GPS-Tracking)
  • Verarbeitung von Daten schutzbedürftiger Personen (Kinder, Patienten)
  • Umfangreiche Verarbeitung öffentlich zugänglicher Daten

Praxistipp: Ergänzen Sie Ihr VVT um eine Spalte „DSFA erforderlich (ja/nein/geprüft am)“. So schlagen Sie zwei Fliegen mit einer Klappe: Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO und DSFA-Risikobewertung nach Art. 35 DSGVO in einem Arbeitsschritt.

VVT-Vorlage und Muster

Ein vollständiges VVT-Muster enthält für jede Verarbeitungstätigkeit eine tabellarische Übersicht mit allen Pflichtfeldern aus Art. 30 DSGVO. PLANIT PRIMA bietet eine dynamische VVT-Vorlage, die automatisch befüllt wird und die Pflichtfelder prüft. VVT automatisch erstellen mit PLANIT PRIMA.

Häufige Fragen

Wer muss nach DSGVO ein Verarbeitungsverzeichnis führen?

Grundsätzlich jeder Verantwortliche nach Art. 30 Abs. 1 DSGVO und jeder Auftragsverarbeiter nach Art. 30 Abs. 2 DSGVO. Die Ausnahme für Unternehmen unter 250 Mitarbeiter nach Art. 30 Abs. 5 DSGVO greift in der Praxis selten, da die Bedingungen kumulativ erfüllt sein müssen (kein Risiko, nur gelegentliche Verarbeitung, keine besonderen Datenkategorien).

Was passiert, wenn ich kein VVT führe?

Fehlt das VVT oder ist es unvollständig, riskieren Sie ein Bußgeld nach Art. 83 Abs. 4 lit. a DSGVO von bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes. Zusätzlich kann die Aufsichtsbehörde Abhilfemaßnahmen anordnen (Art. 58 Abs. 2 DSGVO), z. B. die Verarbeitungstätigkeit vorübergehend auszusetzen.

Muss das VVT in einer bestimmten Form geführt werden?

Gemäß Art. 30 Abs. 3 DSGVO muss das VVT schriftlich geführt werden — auch in elektronischer Form ist zulässig. Ein Excel-Sheet, eine spezialisierte Datenschutzsoftware oder eine Datenbank sind alle zulässige Formen, solange das Dokument der Aufsichtsbehörde auf Anfrage zur Verfügung gestellt werden kann.

Wie oft muss das Verarbeitungsverzeichnis aktualisiert werden?

Das VVT muss bei jeder Änderung der Verarbeitungstätigkeiten aktualisiert werden — also bei neuen Systemen, neuen Zwecken, neuen Auftragsverarbeitern oder geänderten Löschfristen. Es gibt keine gesetzlich vorgegebene Mindestprüffrequenz, jedoch empfehlen Aufsichtsbehörden mindestens eine jährliche Überprüfung.

Muss der Auftragsverarbeiter ein eigenes VVT führen?

Ja. Art. 30 Abs. 2 DSGVO verpflichtet Auftragsverarbeiter explizit dazu, ein eigenes Verzeichnis aller Kategorien von Verarbeitungstätigkeiten zu führen, die sie im Auftrag eines Verantwortlichen durchführen. Dieses Verzeichnis ist inhaltlich schlanker als das des Verantwortlichen, aber ebenso verpflichtend.

Weitere Beiträge

TOM Homeoffice: Datenschutz-Maßnahmen für Remote-Arbeit

Homeoffice und Remote-Arbeit sind zur Normalität geworden. Doch wenn Mitarbeiter von zu Hause aus

Zugriffskontrolle DSGVO: Technische Maßnahmen nach Art. 32

Zugriffskontrolle ist eine der zentralen technischen und organisatorischen Maßnahmen (TOM), die Art. 32 DSGVO

Wie verbindet man KI mit juristischen Daten? MCP einfach erklärt

Künstliche Intelligenz kann juristische Fragen beantworten. Aber ohne Zugriff auf geprüfte Daten bleibt sie

Warum Prompts allein nicht ausreichen

Viele glauben: Wenn die Antworten der KI nicht gut sind, liegt es am Prompt.

Was ist Grounding in der KI? Einfach erklärt

Kurz erklärt Künstliche Intelligenz liefert oft schnelle Antworten – aber nicht immer verlässliche. Grounding

KI ohne Grounding vs. mit Grounding: Ein Praxisvergleich

Die Theorie ist klar: KI macht Fehler im juristischen Kontext. Doch wie groß ist

TOM Cloud Computing: Datenschutz-Maßnahmen für Cloud-Dienste

Cloud-Dienste sind aus dem modernen Geschäftsleben nicht mehr wegzudenken. Doch wer personenbezogene Daten in

Betroffenenanfrage DSGVO: Fristen, Prozess und Pflichten für Unternehmen

Erhält Ihr Unternehmen eine Betroffenenanfrage nach der DSGVO, zählt jede Stunde. Art. 12 Abs.

Warum ChatGPT falsche juristische Antworten gibt – und wie man das verhindert

Das Problem betrifft nicht nur ChatGPT, sondern alle großen Sprachmodelle wie Claude oder Microsoft

// PRIMA Newsletter

Datenschutz effizient und sicher umsetzen. 

Melden Sie sich an für regelmäßige Updates.

  • Wichtige Neuerungen im Datenschutz
  • Pragmatische Tipps für die Praxis
  • Best-Practice zum Senken der Compliance-Kosten
  • Exklusive Einladungen zu Webinaren
Sie können Ihre Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen. Sie können hierzu den Abmeldelink in den Newslettern nutzen oder sich an mail@planitprima.com wenden. Nähere Informationen finden Sie in unserer Datenschutzerklärung
Linkedin Instagram Youtube

PLANIT // TECH GmbH

Jungfernstieg 1
20095 Hamburg
Deutschland

 

mail@planitprima.com
Tel: +49 (0) 40 609 44 190
Fax: +49 (0) 40 609 44 199

PLANIT // PRIMA

Online-Schulungen
// PRIMA-Tour

Changelog

Downloads

Datenschutz-Management-Software

DSGVO Audit

DSGVO Audit Bericht

DSGVO Audit Software
DSGVO-Software
DSGVO-Tool

 

Kooperationen
Downloads
Datenschutzorganisation

KI-Verordnung

Datenschutz-Software Whitelabel

Kostenlos registrieren
©PLANIT // TECH GmbH 2024 | | Nutzungsbedingungen | Datenschutzerklärung | Impressum

©PLANIT // TECH GmbH 2024