Auf einen Blick: Das Verzeichnis der Verarbeitungst\u00e4tigkeiten (VVT) ist eine der zentralen Pflichten der DSGVO. Es dokumentiert, welche personenbezogenen Daten Ihr Unternehmen verarbeitet, zu welchem Zweck und wie lange. Fehlt das VVT, drohen Bu\u00dfgelder bis zu 10 Millionen Euro. Dieser Leitfaden erkl\u00e4rt alles, was Sie wissen m\u00fcssen \u2013 von der Rechtsgrundlage bis zur fertigen Vorlage.
Was ist das Verzeichnis der Verarbeitungst\u00e4tigkeiten?
Das Verzeichnis der Verarbeitungst\u00e4tigkeiten \u2013 kurz VVT, auch Verarbeitungsverzeichnis oder Verfahrensverzeichnis genannt \u2013 ist ein internes Dokument, das s\u00e4mtliche Prozesse eines Unternehmens erfasst, bei denen personenbezogene Daten verarbeitet werden. Es bildet gewisserma\u00dfen das \u201eGed\u00e4chtnis\u201c des Datenschutzes in Ihrer Organisation.
Stellen Sie sich das VVT als einen strukturierten Katalog vor: F\u00fcr jede Verarbeitungst\u00e4tigkeit \u2013 ob Bewerbermanagement, Kundendatenverwaltung, Lohnbuchhaltung oder Newsletter-Versand \u2013 gibt es einen eigenen Eintrag. Dieser Eintrag beschreibt genau, wer die Daten verarbeitet, zu welchem Zweck, welche Daten es sind, wie lange sie gespeichert werden und welche Sicherheitsma\u00dfnahmen ergriffen werden.
Das VVT dient gleich mehreren Zwecken: Es schafft intern Transparenz \u00fcber den Datenumgang, hilft bei der Identifizierung datenschutzrechtlicher Risiken, erleichtert die Beantwortung von Betroffenenanfragen und ist gegen\u00fcber Datenschutz-Aufsichtsbeh\u00f6rden nachweispflichtig. Kurz: Ohne VVT ist ein funktionierendes Datenschutzmanagement nicht m\u00f6glich.
Rechtsgrundlage: Art. 30 DSGVO
Die Pflicht zur F\u00fchrung eines Verarbeitungsverzeichnisses ergibt sich aus Art. 30 der Datenschutz-Grundverordnung (DSGVO). Der Artikel unterscheidet dabei zwischen zwei Konstellationen:
- Art. 30 Abs. 1 DSGVO richtet sich an den Verantwortlichen, also das Unternehmen, das selbst \u00fcber die Zwecke und Mittel der Datenverarbeitung entscheidet.
- Art. 30 Abs. 2 DSGVO richtet sich an den Auftragsverarbeiter, also Unternehmen, die Daten im Auftrag eines Dritten verarbeiten \u2013 etwa Cloud-Anbieter, IT-Dienstleister oder externe Buchhalter.
Das Verzeichnis muss gem\u00e4\u00df Art. 30 Abs. 3 DSGVO schriftlich gef\u00fchrt werden \u2013 in elektronischer oder Papierform. Art. 30 Abs. 4 DSGVO verpflichtet dazu, das Verzeichnis auf Anfrage der Aufsichtsbeh\u00f6rde vorzulegen. Wer dieser Pflicht nicht nachkommt, riskiert Bu\u00dfgelder nach Art. 83 Abs. 4 DSGVO von bis zu 10 Millionen Euro oder 2\u00a0% des weltweiten Jahresumsatzes.
Wichtig: Die DSGVO ist seit dem 25. Mai 2018 vollst\u00e4ndig anwendbar. Wer bis heute noch kein VVT f\u00fchrt, ist bereits seit Jahren im Verzug \u2013 und das ist kein theoretisches Risiko: Datenschutz-Aufsichtsbeh\u00f6rden in Deutschland fordern das VVT bei Pr\u00fcfungen und Beschwerden regelm\u00e4\u00dfig als erstes Dokument an.
Wer muss ein VVT f\u00fchren?
Grunds\u00e4tzlich gilt: Jedes Unternehmen und jede Organisation, die personenbezogene Daten verarbeitet, muss ein VVT f\u00fchren. Das betrifft Kapitalgesellschaften genauso wie Einzelunternehmer, Vereine, Beh\u00f6rden und gemeinn\u00fctzige Organisationen.
Art. 30 Abs. 5 DSGVO sieht zwar eine Ausnahme f\u00fcr Unternehmen mit weniger als 250 Mitarbeitern vor \u2013 diese Ausnahme greift jedoch nur dann, wenn alle drei folgenden Bedingungen erf\u00fcllt sind:
- Die Verarbeitung birgt kein Risiko f\u00fcr die Rechte und Freiheiten der betroffenen Personen,
- die Verarbeitung erfolgt nicht regelm\u00e4\u00dfig, und
- es werden keine besonderen Kategorien personenbezogener Daten (z.\u00a0B. Gesundheitsdaten, religi\u00f6se \u00dcberzeugungen) verarbeitet.
In der Praxis erf\u00fcllen die meisten Unternehmen diese Bedingungen nicht: Schon das F\u00fchren einer Mitarbeiterliste, die Nutzung von Google Analytics oder das Versenden eines Newsletters macht die Ausnahme hinfällig. Die Datenschutz-Aufsichtsbeh\u00f6rden empfehlen deshalb ausdr\u00fccklich, dass alle Unternehmen ein VVT f\u00fchren sollten, unabh\u00e4ngig von der Mitarbeiterzahl.
Was muss das Verzeichnis der Verarbeitungst\u00e4tigkeiten enthalten?
Art. 30 Abs. 1 DSGVO legt die Mindestinhalte des VVT f\u00fcr Verantwortliche fest. Jeder Eintrag muss die folgenden Angaben enthalten:
1. Name und Kontaktdaten
Namen und Kontaktdaten des Verantwortlichen (Ihres Unternehmens) sowie ggf. des gemeinsamen Verantwortlichen, des Vertreters und des Datenschutzbeauftragten. Das klingt trivial, wird aber oft vergessen \u2013 besonders die Angabe des DSB mit aktueller E-Mail-Adresse.
2. Zwecke der Verarbeitung
F\u00fcr welchen konkreten Zweck werden die Daten verarbeitet? Der Zweck muss spezifisch, eindeutig und legitim sein. \u201eGesch\u00e4ftsbetrieb\u201c ist kein ausreichender Zweck. Richtig w\u00e4re: \u201eBearbeitung von Bewerbungen und Auswahl geeigneter Kandidaten f\u00fcr offene Stellen\u201c oder \u201eVersand des monatlichen Newsletters an eingewilligte Abonnenten\u201c.
3. Kategorien betroffener Personen und personenbezogener Daten
Welche Personengruppen sind betroffen (Mitarbeiter, Kunden, Lieferanten, Bewerber, Webseitenbesucher)? Welche Datenkategorien werden verarbeitet (Name, Adresse, E-Mail, Bankdaten, Gesundheitsdaten, IP-Adressen)? Besondere Kategorien nach Art. 9 DSGVO m\u00fcssen explizit gekennzeichnet werden.
4. Kategorien von Empf\u00e4ngern
An wen werden die Daten weitergegeben? Das umfasst interne Empf\u00e4nger (andere Abteilungen) und externe Empf\u00e4nger (Auftragsverarbeiter wie Steuerberater, Cloud-Anbieter, E-Mail-Marketing-Dienste). Drittl\u00e4nder au\u00dferhalb der EU/EWR m\u00fcssen besonders gekennzeichnet werden.
5. \u00dcbermittlungen in Drittl\u00e4nder
Werden Daten in L\u00e4nder au\u00dferhalb der EU \u00fcbermittelt (z.\u00a0B. USA-Server von Google, Amazon, Microsoft)? Wenn ja: Auf welcher Grundlage (Angemessenheitsbeschluss, Standardvertragsklauseln, Binding Corporate Rules)? Drittland\u00fcbermittlungen sind ein h\u00e4ufig \u00fcbersehener Punkt \u2013 viele US-SaaS-Dienste fallen darunter.
6. L\u00f6schfristen
Wann werden die Daten gel\u00f6scht? Hier sind konkrete Fristen anzugeben, keine vagen Formulierungen wie \u201eso lange wie n\u00f6tig\u201c. Orientierung bieten gesetzliche Aufbewahrungspflichten (z.\u00a0B. 6 Jahre f\u00fcr Gesch\u00e4ftsbriefe nach HGB, 10 Jahre f\u00fcr Buchungsbelege) sowie interne L\u00f6schrichtlinien. Mehr zum Thema L\u00f6schkonzept.
7. Technische und organisatorische Ma\u00dfnahmen (TOMs)
Welche Sicherheitsma\u00dfnahmen sch\u00fctzen die Daten? Hier kann auf ein gesondertes TOM-Dokument verwiesen werden. Typische TOMs sind: Verschl\u00fcsselung, Zugangskontrollen, Backups, Pseudonymisierung, Schulungen. Das VVT muss nicht jede einzelne Ma\u00dfnahme auflisten \u2013 ein Verweis auf das TOM-Konzept gen\u00fcgt.
VVT f\u00fcr Auftragsverarbeiter: Was gilt zus\u00e4tzlich?
Wenn Ihr Unternehmen als Auftragsverarbeiter t\u00e4tig ist \u2013 also personenbezogene Daten im Auftrag eines anderen Unternehmens verarbeitet \u2013, gelten nach Art. 30 Abs. 2 DSGVO etwas andere Anforderungen. Das VVT des Auftragsverarbeiters muss enthalten: Name und Kontaktdaten aller Auftraggeber, Kategorien der Verarbeitungen je Auftraggeber, \u00dcbermittlungen in Drittl\u00e4nder inkl. Rechtsgrundlage sowie Beschreibung der technischen und organisatorischen Sicherheitsma\u00dfnahmen.
Schritt-f\u00fcr-Schritt: VVT erstellen
Schritt 1: Bestandsaufnahme aller Verarbeitungst\u00e4tigkeiten
Gehen Sie systematisch durch alle Abteilungen und Unternehmensprozesse: HR, Buchhaltung, Vertrieb, Marketing, IT, Kundenservice. Typische Verarbeitungst\u00e4tigkeiten in KMU sind: Personalverwaltung, Bewerbermanagement, Kundenverwaltung/CRM, Lieferantenmanagement, E-Mail-Marketing, Webseiten-Betrieb (Cookies, Analytics), Videoüberwachung, Buchhaltung, IT-Systeme und Vertragsmanagement.
Schritt 2: Jeden Eintrag ausf\u00fcllen
Nutzen Sie eine strukturierte Vorlage (Excel, Word oder Datenschutz-Software). F\u00fcllen Sie f\u00fcr jede identifizierte Verarbeitungst\u00e4tigkeit alle Pflichtfelder nach Art. 30 DSGVO aus. Seien Sie dabei pr\u00e4zise aber pragmatisch: Das VVT muss korrekt und vollst\u00e4ndig sein, nicht literarisch wertvoll.
Schritt 3: Rechtsgrundlagen pr\u00fcfen
Das VVT selbst schreibt die Angabe von Rechtsgrundlagen nicht zwingend vor (obwohl es f\u00fcr Pr\u00fcfzwecke empfohlen wird). Pr\u00fcfen Sie f\u00fcr jede Verarbeitungst\u00e4tigkeit, ob eine valide Rechtsgrundlage nach Art. 6 DSGVO vorliegt: Einwilligung, Vertragserf\u00fcllung, rechtliche Verpflichtung, lebenswichtige Interessen, \u00f6ffentliche Aufgabe oder berechtigtes Interesse.
Schritt 4: Auftragsverarbeiter identifizieren
F\u00fcr jede Verarbeitungst\u00e4tigkeit: Sind externe Dienstleister beteiligt? Wenn ja, m\u00fcssen Auftragsverarbeitungsvertr\u00e4ge (AVVs) abgeschlossen sein. H\u00e4ufig vergessene Auftragsverarbeiter: E-Mail-Dienste (Google Workspace, Microsoft 365, Mailchimp), Cloud-Speicher, Buchhaltungssoftware, Webhosting und Analytics-Tools.
Schritt 5: L\u00f6schfristen festlegen
Definieren Sie f\u00fcr jede Datenkategorie eine L\u00f6schfrist. Orientieren Sie sich an gesetzlichen Aufbewahrungspflichten und erg\u00e4nzen Sie diese um unternehmensspezifische Fristen. Wenn Sie noch kein L\u00f6schkonzept haben, ist die VVT-Erstellung ein guter Anlass, eines zu erstellen.
Schritt 6: VVT regelm\u00e4\u00dfig aktualisieren
Das VVT ist kein einmaliges Projekt, sondern ein lebendes Dokument. Es muss bei jeder \u00c4nderung \u2013 neues System, neuer Zweck, neuer Auftragsverarbeiter \u2013 umgehend aktualisiert werden. Empfehlenswert: eine j\u00e4hrliche Voll\u00fcberpr\u00fcfung aller Eintr\u00e4ge.
VVT-Muster: So sieht ein vollst\u00e4ndiger Eintrag aus
Hier ein Beispiel f\u00fcr den VVT-Eintrag \u201eE-Mail-Marketing / Newsletter\u201c:
| Feld | Inhalt |
|---|---|
| Name der Verarbeitungst\u00e4tigkeit | Versand des monatlichen Newsletters |
| Verantwortlicher | Musterfirma GmbH, Musterstra\u00dfe 1, 12345 Musterstadt |
| Datenschutzbeauftragter | Max Mustermann, [email protected] |
| Zweck der Verarbeitung | Versand von Marketinginformationen und Angeboten per E-Mail an eingewilligte Abonnenten |
| Rechtsgrundlage | Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) |
| Betroffene Personen | Newsletter-Abonnenten (Kunden, Interessenten) |
| Datenkategorien | Name, E-Mail-Adresse, Anmeldezeitpunkt, Klick- und \u00d6ffnungsverhalten |
| Empf\u00e4nger | Intern: Marketing-Abteilung; Extern: Mailchimp (Auftragsverarbeiter) |
| Drittland\u00fcbermittlung | USA (Mailchimp/Intuit) \u2013 Standardvertragsklauseln (SCC) |
| L\u00f6schfrist | Sofort nach Widerruf der Einwilligung; sp\u00e4testens 3 Jahre nach letzter Aktivit\u00e4t |
| TOMs | Verweis auf TOM-Konzept v2.1; Double-Opt-In, verschl\u00fcsselte \u00dcbertragung (TLS) |
H\u00e4ufige Fehler beim Verarbeitungsverzeichnis \u2013 und wie Sie sie vermeiden
Fehler 1: Verarbeitungst\u00e4tigkeiten fehlen
Viele VVTs sind unvollst\u00e4ndig, weil Verarbeitungen vergessen werden. Klassiker: Video\u00fcberwachung, Zeiterfassung, Betriebsratsarbeit, Fuhrparkverwaltung, WLAN-G\u00e4stezugang, Bewerbungsabsagen. Tipp: Gehen Sie einmal im Jahr alle IT-Systeme und Prozesse durch und fragen Sie: \u201eWerden hier personenbezogene Daten verarbeitet?\u201c
Fehler 2: Zu vage Beschreibungen
\u201eGesch\u00e4ftliche Datenverarbeitung\u201c oder \u201eMarketing\u201c sind keine ausreichenden Zweckbeschreibungen. Aufsichtsbeh\u00f6rden erwarten konkrete, nachvollziehbare Angaben. Schreiben Sie stattdessen: \u201eVersand personalisierter Angebote per E-Mail auf Basis des bisherigen Kaufverhaltens\u201c.
Fehler 3: Drittland\u00fcbermittlungen nicht dokumentiert
US-amerikanische Cloud-Dienste (Google Workspace, Microsoft 365, Salesforce, HubSpot, Zoom, AWS) sind Drittland\u00fcbermittlungen. Diese m\u00fcssen im VVT mit der jeweiligen \u00dcbermittlungsgrundlage dokumentiert werden.
Fehler 4: Keine L\u00f6schfristen oder nur pauschale Angaben
\u201eSo lange wie n\u00f6tig\u201c ist keine L\u00f6schfrist. Das VVT muss konkrete Zeitr\u00e4ume nennen. Erstellen Sie dazu ein L\u00f6schkonzept, das die Grundlage f\u00fcr die L\u00f6schfristen im VVT bildet.
Fehler 5: VVT ist veraltet
Ein VVT, das seit 2018 nicht aktualisiert wurde, bildet die Realit\u00e4t nicht ab. F\u00fchren Sie einen Prozess ein, der sicherstellt, dass das VVT bei jeder relevanten \u00c4nderung aktualisiert wird.
VVT-Software vs. Excel: Was ist besser?
F\u00fcr kleine Unternehmen mit wenigen Verarbeitungst\u00e4tigkeiten ist Excel v\u00f6llig ausreichend \u2013 kostenlos, sofort verf\u00fcgbar, einfach anpassbar. Ab ca. 50 Mitarbeitern oder komplexen Verarbeitungslandschaften lohnt sich der Umstieg auf eine spezialisierte L\u00f6sung: Diese bieten vorgefertigte Vorlagen, automatische Warnungen bei Ablauf von L\u00f6schfristen, integriertes Aufgabenmanagement und revisionssichere Dokumentation.
Bu\u00dfgelder und Konsequenzen bei fehlendem oder mangelhaftem VVT
Ein fehlendes, unvollst\u00e4ndiges oder veraltetes VVT ist eine Verletzung von Art. 30 DSGVO und kann gem\u00e4\u00df Art. 83 Abs. 4 DSGVO mit Bu\u00dfgeldern von bis zu 10 Millionen Euro oder 2\u00a0% des weltweiten Jahresumsatzes geahndet werden. In der Praxis verh\u00e4ngen Aufsichtsbeh\u00f6rden bei Verst\u00f6\u00dfen gegen organisatorische Pflichten wie das VVT h\u00e4ufig zun\u00e4chst Verwarnungen und setzen Fristen zur Nachbesserung. Kommen Unternehmen der Aufforderung nicht nach oder zeigen sie keine Bereitschaft zur Compliance, folgen empfindliche Bu\u00dfgelder.
H\u00e4ufig gestellte Fragen zum Verarbeitungsverzeichnis
Wer muss ein Verzeichnis der Verarbeitungst\u00e4tigkeiten f\u00fchren?
Grunds\u00e4tzlich jedes Unternehmen und jede Organisation, die personenbezogene Daten verarbeitet. Unternehmen mit weniger als 250 Mitarbeitern sind nur dann ausgenommen, wenn alle drei Kriterien (kein Risiko, nicht regelm\u00e4\u00dfig, keine besonderen Datenkategorien) gleichzeitig erf\u00fcllt sind \u2013 was in der Praxis selten der Fall ist.
Was kostet es, kein VVT zu f\u00fchren?
Das Fehlen eines VVT kann gem\u00e4\u00df Art. 83 Abs. 4 DSGVO mit Bu\u00dfgeldern von bis zu 10 Millionen Euro oder 2\u00a0% des weltweiten Jahresumsatzes geahndet werden.
Muss das VVT der Aufsichtsbeh\u00f6rde eingereicht werden?
Nein, das VVT muss nicht aktiv eingereicht werden. Es muss jedoch auf Anfrage der zust\u00e4ndigen Datenschutz-Aufsichtsbeh\u00f6rde vorgelegt werden k\u00f6nnen. Bei Beschwerden, Pr\u00fcfungen oder Datenschutzverletzungen ist das VVT oft das erste Dokument, das Beh\u00f6rden anfordern.
In welchem Format muss das VVT gef\u00fchrt werden?
Art. 30 Abs. 3 DSGVO schreibt schriftliche Form vor \u2013 elektronisch oder auf Papier. Eine bestimmte Software ist nicht vorgeschrieben. Excel-Tabellen, Word-Dokumente oder spezialisierte Datenschutz-Management-Software sind alle zul\u00e4ssig.
Wie oft muss das VVT aktualisiert werden?
Das VVT muss immer aktuell sein. Bei jeder \u00c4nderung einer Verarbeitungst\u00e4tigkeit muss es umgehend angepasst werden. Eine j\u00e4hrliche \u00dcberpr\u00fcfung aller Eintr\u00e4ge ist zus\u00e4tzlich empfehlenswert.
Fazit: VVT ist Pflicht \u2013 und mehr als nur B\u00fcrokratie
Das Verzeichnis der Verarbeitungst\u00e4tigkeiten ist keine l\u00e4stige B\u00fcrokratiepflicht, sondern der Grundstein eines funktionierenden Datenschutzmanagementsystems. Wer sein VVT sorgf\u00e4ltig pflegt, versteht seinen eigenen Datenumgang besser, erkennt Risiken fr\u00fchzeitig und kann im Ernstfall gegen\u00fcber Beh\u00f6rden und Betroffenen souver\u00e4n reagieren.
Wenn Sie Ihr VVT erstellen oder \u00fcberarbeiten m\u00f6chten und professionelle Unterst\u00fctzung suchen, helfen wir Ihnen gerne. Oder informieren Sie sich \u00fcber verwandte Datenschutzthemen: Datenschutz-Folgenabsch\u00e4tzung (DSFA) und L\u00f6schkonzept nach DSGVO.