Zum Inhalt springen

Verzeichnis von Verarbeitungstätigkeiten (VVT): Wer es braucht und was hineingehört

Provimedia Redaktion 7 Min. Lesezeit 11. Juli 2026 0 Aufrufe
Datenschutz & DSGVO
Verzeichnis von Verarbeitungstätigkeiten (VVT): Wer es braucht und was hineingehört
Symbolbild · mit KI erstellt

Ein Verarbeitungsverzeichnis (Verzeichnis von Verarbeitungstätigkeiten, VVT) ist eine nach Art. 30 DSGVO vorgeschriebene schriftliche oder elektronische Dokumentation aller personenbezogenen Datenverarbeitungen eines Unternehmens. Nach diesem Beitrag wissen Sie, warum die 250-Mitarbeiter-Ausnahme Ihr Unternehmen fast nie befreit — und legen Ihr VVT in sechs Schritten an.

Von der Provimedia Redaktion · Stand: Juli 2026 · Dieser Beitrag ist eine allgemeine Information und keine Rechtsberatung.

Was ist ein Verzeichnis von Verarbeitungstätigkeiten?

Das Verzeichnis von Verarbeitungstätigkeiten ist die zentrale Dokumentationspflicht der DSGVO: Es erfasst systematisch, welche personenbezogenen Daten ein Unternehmen zu welchem Zweck, auf welcher Rechtsgrundlage und wie lange verarbeitet. Rechtsgrundlage ist Art. 30 DSGVO, der zwischen der Pflicht für Verantwortliche (Abs. 1) und für Auftragsverarbeiter (Abs. 2) unterscheidet – Letztere führen ein eigenes, etwas schlankeres Verzeichnis zu den Tätigkeiten, die sie im Auftrag eines Verantwortlichen ausführen.

Ein bestimmtes Format schreibt die Verordnung nicht vor: Schriftlich oder elektronisch ist gleichermaßen zulässig. In der Praxis hat sich eine tabellarische Struktur je Verarbeitungstätigkeit durchgesetzt, etwa mit eigenen Zeilen oder Einzelblättern für "Kundendatenverwaltung", "Bewerbermanagement" oder "Newsletterversand". Für Sie heißt das: ein Tabellenblatt pro Tätigkeit — mehr verlangt niemand.

Wer muss ein Verarbeitungsverzeichnis führen?

Grundsätzlich ist jeder Verantwortliche und jeder Auftragsverarbeiter zur Führung eines Verzeichnisses verpflichtet, unabhängig von Unternehmensgröße oder Rechtsform. Das betrifft Kapitalgesellschaften ebenso wie Freiberufler, Vereine oder Einzelunternehmer, sobald personenbezogene Daten verarbeitet werden – etwa von Kunden, Mitarbeitenden oder Website-Besuchern.

Die Datenschutzkonferenz (DSK) stellt in ihrem Kurzpapier Nr. 1 (Stand 17.12.2018) klar, dass die Pflicht grundsätzlich sämtliche, auch teilweise automatisierte Verarbeitungen sowie nicht automatisierte, in einem Dateisystem gespeicherte Verarbeitungen umfasst. Eine Ausnahme sieht Art. 30 Abs. 5 DSGVO nur für Organisationen mit weniger als 250 Mitarbeitenden vor – und diese Ausnahme greift in der Praxis seltener, als viele annehmen.

Gilt die KMU-Ausnahme wirklich für kleine Unternehmen?

Nein, die Ausnahme nach Art. 30 Abs. 5 DSGVO greift für die meisten Unternehmen praktisch nicht – trotz weniger als 250 Mitarbeitenden. Sie ist an drei eng gefasste Bedingungen geknüpft: Die Befreiung entfällt bereits, sobald mindestens eine davon erfüllt ist.

  • Die Verarbeitung birgt ein Risiko für die Rechte und Freiheiten der betroffenen Personen (dazu zählen laut DSK regelmäßig Scoring und Überwachungsmaßnahmen).
  • Die Verarbeitung erfolgt nicht nur gelegentlich.
  • Die Verarbeitung betrifft besondere Datenkategorien nach Art. 9 DSGVO oder strafrechtliche Daten nach Art. 10 DSGVO.

Laut DSK gilt bereits die regelmäßige Verarbeitung von Kunden- oder Beschäftigtendaten als "nicht nur gelegentlich". Da praktisch jedes Unternehmen laufend Kundendaten, Rechnungsdaten oder Personalakten verarbeitet, entfällt die KMU-Ausnahme in der weit überwiegenden Zahl der Fälle. Sie ist in der Praxis eher die Ausnahme von der Ausnahme als eine belastbare Befreiung für kleine Betriebe.

Die DSK betont zudem: Anders als bei der Datenschutz-Folgenabschätzung nach Art. 35 DSGVO muss kein hohes Risiko vorliegen. Bereits jedes Risiko für Rechte und Freiheiten genügt, um die Ausnahme entfallen zu lassen.

Was muss ins Verzeichnis? Pflichtinhalte nach Art. 30 Abs. 1 DSGVO

Art. 30 Abs. 1 Satz 2 lit. a bis g DSGVO listet abschließend auf, welche Angaben ein Verantwortlicher für jede einzelne Verarbeitungstätigkeit dokumentieren muss.

Pflichtangabe (Art. 30 Abs. 1)Inhalt
Name und Kontaktdaten (lit. a)Verantwortlicher, ggf. gemeinsam Verantwortliche, Vertreter und Datenschutzbeauftragter
Zwecke der Verarbeitung (lit. b)Konkreter Zweck je Verarbeitungstätigkeit, z. B. Gehaltsabrechnung oder Bewerbermanagement
Betroffene Personen und Datenkategorien (lit. c)Beschreibung der Kategorien betroffener Personen und der verarbeiteten Datenarten
Kategorien von Empfängern (lit. d)Empfänger, denen Daten offengelegt wurden oder werden, einschließlich Empfänger in Drittländern
Drittlandübermittlungen (lit. e)Empfängerland bzw. -organisation sowie Dokumentation geeigneter Garantien, sofern eine Übermittlung stattfindet
Löschfristen (lit. f)Vorgesehene Fristen für die Löschung der jeweiligen Datenkategorien, wenn möglich
Technische und organisatorische Maßnahmen (lit. g)Allgemeine Beschreibung der TOM nach Art. 32 Abs. 1 DSGVO, wenn möglich

Wie erstellt man ein Verarbeitungsverzeichnis? Schritt für Schritt

Ein VVT lässt sich strukturiert in sechs Schritten aufbauen, unabhängig davon, ob eine Tabelle, ein Mustervordruck der Aufsichtsbehörden oder eine Software genutzt wird.

  1. Verarbeitungstätigkeiten identifizieren: Alle Abteilungen – Personal, Vertrieb, Marketing, IT – befragen, wo personenbezogene Daten anfallen, von der Bewerberverwaltung bis zum Newsletter-Versand.
  2. Verantwortlichkeiten klären: Festlegen, wer intern für jede Verarbeitungstätigkeit inhaltlich zuständig ist und als Ansprechpartner dient.
  3. Pflichtangaben je Tätigkeit erfassen: Zweck, Rechtsgrundlage, betroffene Personengruppen, Datenkategorien, Empfänger und Löschfristen gemäß Art. 30 Abs. 1 DSGVO dokumentieren.
  4. Drittlandtransfers prüfen: Bei Cloud-Diensten oder Tools mit Sitz außerhalb der EU beziehungsweise des EWR die Übermittlungsgrundlage, etwa Standardvertragsklauseln, vermerken.
  5. TOM referenzieren: Technische und organisatorische Maßnahmen nach Art. 32 DSGVO knapp beschreiben oder auf ein bestehendes Sicherheitskonzept verweisen.
  6. Verzeichnis aktuell halten: Bei neuen Tools, Prozessen oder Dienstleistern den betroffenen Eintrag zeitnah ergänzen – das Verzeichnis ist ein lebendes Dokument, kein einmaliges Projekt.

Was droht bei einem fehlenden oder unvollständigen Verzeichnis?

Ein fehlendes, unvollständiges oder auf Anforderung nicht vorgelegtes Verzeichnis kann nach Art. 83 Abs. 4 lit. a DSGVO mit einer Geldbuße geahndet werden. Der Bußgeldrahmen reicht bis zu 10 Millionen Euro oder bis zu 2 Prozent des weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres – je nachdem, welcher Betrag höher ist.

Nach Art. 30 Abs. 4 DSGVO müssen Verantwortliche und Auftragsverarbeiter das Verzeichnis den Aufsichtsbehörden auf Anfrage jederzeit zur Verfügung stellen; eine Vorlagepflicht gegenüber der Öffentlichkeit besteht dagegen nicht mehr, anders als beim früheren Verfahrensverzeichnis nach BDSG. Wichtig zu wissen: Das Verzeichnis allein erfüllt nicht die gesamte Rechenschaftspflicht nach DSGVO aus Art. 5 Abs. 2 DSGVO. Laut DSK ist es nur ein Baustein neben weiteren Nachweisen wie Einwilligungsdokumentation, Verfahrensbeschreibungen und den Ergebnissen von Datenschutz-Folgenabschätzungen.

Häufige Fragen (FAQ)

Muss ein Freiberufler ein Verarbeitungsverzeichnis führen?

Ja: Sobald ein Freiberufler personenbezogene Daten von Kunden, Patienten oder Mandanten regelmäßig verarbeitet, gilt die Pflicht aus Art. 30 Abs. 1 DSGVO unabhängig von der Beschäftigtenzahl. Entscheidend ist allein, dass die Verarbeitung nicht nur gelegentlich erfolgt – die Größe der Praxis oder Kanzlei spielt keine Rolle.

Wer im Unternehmen verantwortet das VVT?

Die Pflicht trifft das Unternehmen als Verantwortlichen im Sinne der DSGVO, nicht eine einzelne Person. In der Praxis übernimmt meist der Datenschutzbeauftragte oder eine benannte Ansprechperson je Abteilung die laufende Pflege, während die Gesamtverantwortung bei der Geschäftsführung bleibt.

VVT vs. Datenschutzerklärung — was ist der Unterschied?

Das Verarbeitungsverzeichnis ist ein internes Dokument, das der Aufsichtsbehörde auf Anfrage vorgelegt wird, aber – anders als früher das Verfahrensverzeichnis nach BDSG – nicht öffentlich einsehbar sein muss. Die Datenschutzerklärung richtet sich dagegen an die betroffenen Personen selbst und muss für sie jederzeit öffentlich zugänglich sein, etwa auf der Website.

Wie oft muss das Verarbeitungsverzeichnis aktualisiert werden?

Es gibt keine feste gesetzliche Frist für die Aktualisierung. Das Verzeichnis muss aber laufend gepflegt werden: Sobald sich Zwecke, Datenkategorien, Empfänger oder eingesetzte Tools ändern, ist der betroffene Eintrag zeitnah zu ergänzen.

Wer im Unternehmen für die Pflege des Verzeichnisses zuständig ist, profitiert von einem soliden Grundverständnis zentraler DSGVO-Begriffe wie Verarbeitungszweck, Rechtsgrundlage oder Löschfrist. Die DSGVO-Grundlagenschulung von Provimedia vermittelt dieses Basiswissen kompakt und schließt mit einem Teilnahmezertifikat ab – ein Nachweis für Mitarbeitende, die an der Erstellung oder Pflege des Verarbeitungsverzeichnisses mitwirken.

Quellen

Beitrag teilen

Bleiben Sie auf dem Laufenden

Erhalten Sie die neuesten Artikel, Insights und Branchen-Updates direkt in Ihr Postfach.

Abmeldung jederzeit möglich. Es gilt unsere Datenschutzerklärung.

Bereit für den dokumentierten Schulungsnachweis?

Die DSGVO-Grundlagenschulung für Ihr Team – online, in rund 90 Minuten, mit datiertem Teilnahmezertifikat je Person.