Was ist ein Verarbeitungsverzeichnis nach DSGVO?

Ein Verarbeitungsverzeichnis (VVT) nach Art. 30 DSGVO ist eine Dokumentation aller Verarbeitungstätigkeiten, bei denen personenbezogene Daten verarbeitet werden. Es muss Angaben zum Zweck der Verarbeitung, den Kategorien betroffener Personen, den Empfängern und den Löschfristen enthalten.

Was muss im Verarbeitungsverzeichnis stehen?

Pflichtangaben sind: Name und Kontaktdaten des Verantwortlichen, Zwecke der Verarbeitung, Kategorien betroffener Personen und personenbezogener Daten, Empfänger, Übermittlungen in Drittländer, vorgesehene Löschfristen und technische/organisatorische Maßnahmen.

Verarbeitungsverzeichnis DSGVO - Beispiel ausgefüllt & Vorlage

Q: Wer muss ein Verarbeitungsverzeichnis führen?

Grundsätzlich muss jedes Unternehmen, das personenbezogene Daten verarbeitet, ein Verarbeitungsverzeichnis führen. Dies gilt für Unternehmen jeder Größe - von Einzelunternehmern bis zu Großkonzernen.

Auf einen Blick: Ein Verarbeitungsverzeichnis (VVT) ist nach Art. 30 DSGVO für jedes Unternehmen Pflicht. Mit unserer DSGVO-Software erstellen Sie Ihr Verarbeitungsverzeichnis in wenigen Minuten – mit ausgefüllten Beispielen, Vorlagen und automatischer Risikobewertung.

Was ist ein Verarbeitungsverzeichnis?

Das Verarbeitungsverzeichnis – auch Verzeichnis von Verarbeitungstätigkeiten (VVT) genannt – dokumentiert alle Prozesse in Ihrem Unternehmen, bei denen personenbezogene Daten verarbeitet werden. Es ist das zentrale Dokument Ihres Datenschutz-Managements und die Grundlage für jede Datenschutz-Prüfung durch Aufsichtsbehörden.

Gemäß Art. 30 DSGVO müssen Verantwortliche ein solches Verzeichnis führen. Bei Verstößen drohen Bußgelder von bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes.

Pflichtangaben im Verarbeitungsverzeichnis

Jede Verarbeitungstätigkeit in Ihrem Verzeichnis muss folgende Informationen enthalten:

Bezeichnung & Zweck
Name der Verarbeitungstätigkeit und der konkrete Zweck der Datenverarbeitung

Betroffene & Kategorien
Welche Personengruppen betroffen sind und welche Datenkategorien verarbeitet werden

Rechtsgrundlage
Die rechtliche Basis nach Art. 6 DSGVO (z.B. Vertrag, Einwilligung, berechtigtes Interesse)

Technische Maßnahmen
Technische und organisatorische Maßnahmen (TOMs) zum Schutz der Daten

Löschfristen
Vorgesehene Fristen für die Löschung der verschiedenen Datenkategorien

Drittlandtransfer
Übermittlungen in Drittländer und die jeweiligen Garantien nach Art. 44 ff. DSGVO

So erstellen Sie Ihr Verarbeitungsverzeichnis mit unserer Software

Unser Datenschutz-Management-System macht die Erstellung Ihres Verarbeitungsverzeichnisses so einfach wie möglich:

1. Vorgefertigte Verarbeitungstätigkeiten auswählen

Wählen Sie aus über 50 typischen Verarbeitungstätigkeiten die passenden für Ihr Unternehmen aus. Von der Lohnabrechnung über die Kundenverwaltung bis zum E-Mail-Marketing – die häufigsten Prozesse sind bereits vorkonfiguriert und mit Beispieldaten ausgefüllt.

2. Angaben anpassen und ergänzen

Passen Sie die vorausgefüllten Angaben an Ihre konkreten Gegebenheiten an. Rechtsgrundlagen, Löschfristen und Empfänger sind als Vorschläge hinterlegt und können mit wenigen Klicks angepasst werden.

3. Risikobewertung automatisch durchführen

Unsere Software bewertet automatisch das Risiko jeder Verarbeitungstätigkeit und zeigt Ihnen, wo Handlungsbedarf besteht. Die integrierte Risikomatrix orientiert sich an den Vorgaben der Datenschutzkonferenz (DSK).

4. TOMs zuordnen und dokumentieren

Ordnen Sie jeder Verarbeitungstätigkeit die passenden technischen und organisatorischen Maßnahmen zu. Unsere Vorlagen enthalten bereits die wichtigsten TOMs nach dem Stand der Technik.

5. Export und Nachweis

Exportieren Sie Ihr fertiges Verarbeitungsverzeichnis als PDF-Dokument – jederzeit aktuell und bereit für Aufsichtsbehörden, Audits oder Kundenanfragen.

Typische Verarbeitungstätigkeiten – Beispiele aus der Praxis

Verarbeitungstätigkeit	Zweck	Rechtsgrundlage
Lohn- und Gehaltsabrechnung	Durchführung der Gehaltsabrechnung	Art. 6 Abs. 1 lit. b, c DSGVO
Kundenverwaltung / CRM	Verwaltung von Kundenbeziehungen	Art. 6 Abs. 1 lit. b DSGVO
Bewerbermanagement	Durchführung des Bewerbungsverfahrens	Art. 6 Abs. 1 lit. b DSGVO, § 26 BDSG
Website-Analyse (Google Analytics)	Analyse des Nutzerverhaltens	Art. 6 Abs. 1 lit. a DSGVO
E-Mail-Marketing / Newsletter	Versand von Werbemails	Art. 6 Abs. 1 lit. a DSGVO
Videoüberwachung	Schutz von Eigentum und Personen	Art. 6 Abs. 1 lit. f DSGVO

Warum ist das Verarbeitungsverzeichnis so wichtig?

Das Verarbeitungsverzeichnis ist weit mehr als eine lästige Pflicht. Es ist Ihr wichtigstes Werkzeug im Datenschutz-Management:

Nachweis gegenüber Behörden: Bei einer Prüfung durch die Datenschutz-Aufsichtsbehörde ist das VVT das erste Dokument, das angefordert wird. Wer kein aktuelles Verzeichnis vorlegen kann, riskiert empfindliche Bußgelder.

Transparenz im Unternehmen: Sie sehen auf einen Blick, welche Daten wo und warum verarbeitet werden. Das schafft Klarheit für alle Beteiligten – von der Geschäftsführung bis zum einzelnen Mitarbeiter.

Grundlage für Datenschutz-Folgenabschätzung: Für Verarbeitungen mit hohem Risiko ist eine DSFA nach Art. 35 DSGVO erforderlich. Das Verarbeitungsverzeichnis liefert die Basis dafür.

Erfüllung der Rechenschaftspflicht: Nach Art. 5 Abs. 2 DSGVO müssen Sie die Einhaltung der Datenschutzgrundsätze nachweisen können. Das VVT ist dafür das zentrale Instrument.

Häufige Fehler beim Verarbeitungsverzeichnis

Fehler 1: Kein Verzeichnis vorhanden
Viele Unternehmen glauben, sie bräuchten kein VVT, weil sie weniger als 250 Mitarbeiter haben. Diese Ausnahme greift jedoch fast nie, da die meisten Verarbeitungen regelmäßig stattfinden.

Fehler 2: Veraltete Einträge
Ein VVT muss aktuell sein. Neue Verarbeitungstätigkeiten müssen zeitnah ergänzt, weggefallene Prozesse gelöscht werden.

Fehler 3: Fehlende Risikobewertung
Ohne Risikobewertung können Sie nicht erkennen, welche Verarbeitungen besonders schutzbedürftig sind und möglicherweise eine DSFA erfordern.

Fehler 4: Unvollständige Angaben
Fehlende Löschfristen, ungenannte Empfänger oder pauschale Rechtsgrundlagen sind typische Mängel, die bei Prüfungen auffallen.

Verarbeitungsverzeichnis mit unserer Software erstellen

Statt mühsam Excel-Tabellen zu pflegen, nutzen Sie unsere spezialisierte Datenschutz-Software. Die Vorteile:

In Minuten fertig
Über 50 vorgefertigte Verarbeitungstätigkeiten zum Anpassen

Immer aktuell
Automatische Erinnerungen bei fälligen Überprüfungen

Risikobewertung inklusive
Automatische Risikomatrix nach DSK-Standard

PDF-Export
Jederzeit druckfertig für Behörden und Audits

Verarbeitungsverzeichnis jetzt erstellen

Testen Sie unsere Software mit vollständig ausgefülltem Beispiel-Verarbeitungsverzeichnis.

Kostenlose Demo testen →

Alle Editionen vergleichen →

Häufig gestellte Fragen zum Verarbeitungsverzeichnis

Wer muss ein Verarbeitungsverzeichnis führen?

Grundsätzlich jeder Verantwortliche und jeder Auftragsverarbeiter. Die Ausnahme für Unternehmen mit weniger als 250 Mitarbeitern greift nur, wenn die Verarbeitung nicht regelmäßig erfolgt – was in der Praxis fast nie der Fall ist. Auch Einzelunternehmer und kleine Betriebe müssen daher in der Regel ein VVT führen.

Wie oft muss das Verarbeitungsverzeichnis aktualisiert werden?

Es gibt keine feste Frist. Das VVT muss jedoch immer den aktuellen Stand widerspiegeln. Empfehlung: Mindestens einmal jährlich überprüfen und bei jeder neuen Verarbeitungstätigkeit oder Änderung sofort aktualisieren.

Kann ich das Verarbeitungsverzeichnis in Excel führen?

Grundsätzlich ja, aber Excel-Tabellen werden schnell unübersichtlich und sind fehleranfällig. Es gibt keine automatische Risikobewertung, keine Erinnerungen und keine Verknüpfung mit TOMs oder Löschkonzepten. Eine spezialisierte Software spart Zeit und reduziert Fehler erheblich.

Was passiert, wenn ich kein Verarbeitungsverzeichnis habe?

Bei einer Prüfung durch die Aufsichtsbehörde müssen Sie das VVT vorlegen können. Ein fehlendes oder mangelhaftes Verzeichnis kann als Verstoß gegen Art. 30 DSGVO mit einem Bußgeld von bis zu 10 Millionen Euro geahndet werden. In der Praxis fallen die Bußgelder meist niedriger aus, sind aber dennoch empfindlich.

Was ist der Unterschied zwischen Verarbeitungsverzeichnis und Datenschutzkonzept?

Das Verarbeitungsverzeichnis dokumentiert konkret jede einzelne Verarbeitungstätigkeit. Das Datenschutzkonzept ist umfassender und beschreibt die gesamte Datenschutz-Strategie eines Unternehmens, einschließlich Richtlinien, Zuständigkeiten und Prozesse. Beide Dokumente ergänzen sich und sind Teil eines vollständigen Datenschutz-Management-Systems.

Weiterführende Themen zum Datenschutz

TOMs nach DSGVO →

Erfahren Sie mehr über technische und organisatorische Maßnahmen (TOMs), die Sie in Ihrem Verarbeitungsverzeichnis dokumentieren müssen.

Datenschutzkonzept →

Das Verarbeitungsverzeichnis ist ein zentraler Bestandteil Ihres Datenschutzkonzepts.

DSGVO Bußgeldkatalog →

Welche Bußgelder drohen bei fehlendem Verarbeitungsverzeichnis? Unser Bußgeldkatalog gibt Auskunft.

DSGVO Checkliste →

Prüfen Sie mit unserer DSGVO-Checkliste, ob Ihr Verarbeitungsverzeichnis vollständig ist.

ISO 27001 Zertifizierung →

Für eine ISO 27001 Zertifizierung ist ein lueckenloses Verarbeitungsverzeichnis Voraussetzung.