Verzeichnis von Verarbeitungstätigkeiten (VVT) führen

Wer als Unternehmen personenbezogene Kundendaten verarbeitet – etwa in der Vertragsabwicklung, im Support oder im Marketing –, muss lückenlos dokumentieren, welche Daten zu welchem Zweck verarbeitet werden. Genau dafür schreibt die DSGVO ein eigenes Verzeichnis vor, das viele Unternehmen im Alltagsgeschäft unterschätzen.
Kurz erklärt: Das Verzeichnis von Verarbeitungstätigkeiten (VVT) ist eine nach Art. 30 DSGVO vorgeschriebene, laufend gepflegte Dokumentation aller Verarbeitungsvorgänge mit personenbezogenen Daten. Betroffen sind praktisch alle Unternehmen mit Kundendaten, da die Ausnahme für Betriebe unter 250 Mitarbeitenden bei regelmäßiger Verarbeitung faktisch nicht greift. Fehlt das Verzeichnis, drohen empfindliche Bußgelder.
Wer ist von der VVT-Pflicht betroffen?
Betroffen ist grundsätzlich jedes Unternehmen, das personenbezogene Daten verarbeitet – unabhängig von der Betriebsgröße. Zwar sieht Art. 30 DSGVO eine Ausnahme für Unternehmen mit weniger als 250 Mitarbeitenden vor, diese greift jedoch nur, wenn die Verarbeitung nicht regelmäßig erfolgt, kein Risiko für die Rechte der betroffenen Personen birgt und keine besonderen Datenkategorien betrifft. Sobald ein Unternehmen Kundendaten in Verträgen, Newslettern, Buchhaltung oder Support verarbeitet, handelt es sich um eine regelmäßige Verarbeitung – die Ausnahme greift damit faktisch fast nie. In der Praxis müssen also nahezu alle Unternehmen mit Kundenkontakt ein VVT führen, vom Einzelunternehmer mit Online-Shop bis zur Agentur mit mehreren Mitarbeitenden. Die Betriebsgröße entscheidet also seltener über die Pflicht als die Art der Verarbeitung.
Was müssen Sie konkret tun?
Sie müssen für jeden Verarbeitungsvorgang – etwa Vertragsabwicklung, Marketing, Support oder Buchhaltung – dokumentieren, zu welchem Zweck er erfolgt, auf welcher Rechtsgrundlage er beruht, welche Personengruppen und Datenkategorien betroffen sind, wer die Daten erhält und wie lange sie gespeichert werden. Ergänzend sollten Verweise auf die technischen und organisatorischen Maßnahmen (TOM) je Verarbeitung aufgenommen werden, da diese eng mit dem VVT zusammenhängen. Die folgende Übersicht zeigt, welche Angaben je Verarbeitungsvorgang mindestens erfasst werden sollten:
| Angabe | Beispiel |
|---|---|
| Zweck der Verarbeitung | Vertragsabwicklung, Newsletter-Versand, Support |
| Rechtsgrundlage | Vertrag, Einwilligung, berechtigtes Interesse |
| Betroffene Personengruppen | Kunden, Interessenten, Mitarbeitende |
| Datenkategorien | Kontaktdaten, Vertragsdaten, Zahlungsdaten |
| Empfänger | Interne Abteilungen, externe Dienstleister |
| Löschfrist | Je nach Vorgang, z. B. nach Vertragsende |
Welche dieser Pflichten konkret für Ihr Unternehmen gelten, zeigt ein Werkzeug wie Company Audit im Überblick.
Wie gehen Sie beim Aufbau des Verzeichnisses vor?
Der Aufbau folgt einem klaren Ablauf, der sich mit einer einfachen Tabelle umsetzen lässt:
- Alle Verarbeitungsvorgänge mit Kundendaten auflisten (Vertragsabwicklung, Marketing, Support, Buchhaltung …).
- Je Vorgang Zweck, Rechtsgrundlage, betroffene Personengruppen und Datenkategorien dokumentieren.
- Empfänger, auch externe Dienstleister, sowie Löschfristen je Vorgang festhalten.
- TOM-Verweise je Verarbeitung ergänzen.
- Verzeichnis bei neuen Prozessen oder Tools laufend aktualisieren.
Welche praktischen Tipps helfen bei der Umsetzung?
Für die Umsetzung reicht in der Praxis eine einfache, aber vollständig gepflegte Tabelle – ein aufwendiges Software-Tool ist rechtlich nicht vorgeschrieben. Entscheidend ist, dass alle Verarbeitungsvorgänge erfasst sind und die Tabelle bei Änderungen zeitnah aktualisiert wird. Sinnvoll ist außerdem, das VVT an den Anfang der Datenschutz-Compliance zu stellen: Da es sämtliche Verarbeitungsvorgänge sichtbar macht, bildet es die Grundlage, auf der sich weitere Pflichten wie Auftragsverarbeitungsverträge, technische und organisatorische Maßnahmen oder der Umgang mit Datenpannen erst sinnvoll aufbauen lassen. Wer zuerst das Verzeichnis erstellt, erkennt automatisch, wo noch AVV fehlen oder TOM nachgeschärft werden müssen.
Bis wann und wie oft muss das Verzeichnis gepflegt werden?
Das VVT ist keine einmalige Aufgabe, sondern muss laufend aktuell gehalten werden. Sobald ein neuer Prozess, ein neues Tool oder ein neuer Dienstleister hinzukommt, der personenbezogene Daten verarbeitet, muss das Verzeichnis entsprechend ergänzt werden. Eine feste Frist für die Ersterstellung nennt Art. 30 DSGVO nicht – die Pflicht besteht jedoch ab dem Zeitpunkt, an dem personenbezogene Daten regelmäßig verarbeitet werden, also in der Regel ab Geschäftsbeginn.
Was droht bei einem Verstoß?
Fehlt ein Verzeichnis oder ist es unvollständig, handelt es sich um einen Verstoß gegen Art. 30 DSGVO. Die DSGVO sieht dafür Bußgelder von bis zu 10 Mio. Euro oder 2 % des weltweiten Jahresumsatzes vor, je nachdem, welcher Betrag höher ist. Zusätzlich kann ein fehlendes VVT bei einer behördlichen Prüfung oder nach einer Datenpanne die Aufklärung erschweren und den Eindruck mangelnder Compliance verstärken.
Häufige Fragen
Muss ich als kleines Unternehmen wirklich ein VVT führen?
In den meisten Fällen ja. Die Ausnahme für Unternehmen unter 250 Mitarbeitenden greift nur bei seltener, risikoarmer Verarbeitung ohne besondere Datenkategorien. Sobald regelmäßig Kundendaten verarbeitet werden, entfällt die Ausnahme – und das betrifft auch kleine Betriebe und Selbständige.
Reicht eine einfache Excel-Tabelle als Verzeichnis aus?
Ja. Eine einfache Tabelle ist rechtlich ausreichend, solange sie vollständig ist und alle in Art. 30 DSGVO geforderten Angaben enthält. Eine spezielle Software ist nicht vorgeschrieben.
Muss das Verzeichnis öffentlich zugänglich sein?
Nein, das VVT ist eine interne Dokumentation. Es muss aber auf Verlangen der Aufsichtsbehörde jederzeit vorgelegt werden können.
Was hat das VVT mit anderen Datenschutzpflichten zu tun?
Das VVT bildet die Grundlage für viele weitere Pflichten, etwa Auftragsverarbeitungsverträge (AVV), technische und organisatorische Maßnahmen (TOM) oder die Meldung von Datenpannen. Es empfiehlt sich daher, das Verzeichnis zuerst zu erstellen.
Wer im Unternehmen ist für das VVT verantwortlich?
Verantwortlich ist die Unternehmensleitung als datenschutzrechtlich Verantwortlicher. Ist ein Datenschutzbeauftragter bestellt, unterstützt dieser bei Aufbau und Pflege des Verzeichnisses.
Quelle: Art. 30 DSGVO. Dieser Beitrag ist eine allgemeine Information und ersetzt keine Rechtsberatung im Einzelfall. Stand: Juli 2026.
Beitrag teilen
Bleiben Sie auf dem Laufenden
Erhalten Sie die neuesten Artikel, Insights und Branchen-Updates direkt in Ihr Postfach.
Ähnliche Beiträge
Weitere Artikel, die Sie interessieren könnten.
Zusammenfassende Meldung, OSS und Intrastat bei EU-Handel
ZM bis 25. des Folgemonats, OSS quartalsweise, Intrastat ab Schwellenwert: EU-Meldepflichten kompakt erklärt.
Verpackungen im LUCID-Register anmelden und Mengen melden
Verpackte Ware verkaufen? Dann ist die Registrierung im Verpackungsregister LUCID vor Verkaufsbeginn Pflicht – ohne Bagatellgrenze.
Verbraucherschlichtung: Informationspflicht nach § 36 VSBG
Wer über Verbraucherschlichtung informieren muss, was in AGB und Website gehört – und warum der alte ODR-Link jetzt selbst ein Risiko ist.
Bereit für Ihr KI-Kompetenz-Zertifikat?
Sichern Sie sich das anerkannte KI-Zertifikat – flexibel, online und EU-AI-Act-konform.