Verzeichnis von Verarbeitungstätigkeiten (VVT, Art. 30 DSGVO)

Die Datenschutz-Grundverordnung (DSGVO) verpflichtet Unternehmen, den Umgang mit personenbezogenen Daten lückenlos und transparent darzustellen. Ein zentrales Instrument hierfür ist das Verzeichnis von Verarbeitungstätigkeiten (VVT) nach Art. 30 DSGVO.

Das VVT dokumentiert alle Prozesse, bei denen personenbezogene Daten verarbeitet werden, von der Personalverwaltung über die Kundenbetreuung bis hin zu Marketingaktivitäten. Es dient als Nachweis gegenüber Aufsichtsbehörden und hilft Unternehmen, ihre Datenschutzprozesse zu strukturieren und Risiken frühzeitig zu erkennen.


Sinn und Zweck des VVT

Das Verzeichnis von Verarbeitungstätigkeiten hat mehrere wichtige Funktionen:

  • Transparenz: Übersicht über alle Datenflüsse im Unternehmen
  • Rechtssicherheit: Nachweis gegenüber Datenschutzbehörden bei Prüfungen
  • Risikoanalyse: Identifizierung von Schwachstellen in Prozessen
  • Grundlage für Datenschutz-Folgenabschätzungen (DSFA)
  • Effizienzsteigerung: Strukturierte Abläufe und klare Verantwortlichkeiten

Rechtliche Grundlage: Art. 30 DSGVO

Art. 30 DSGVO schreibt klar vor, dass Verantwortliche und Auftragsverarbeiter (Art. 30 Abs. 1 bzw. Abs. 2 DSGVO) ein Verzeichnis über alle Verarbeitungstätigkeiten führen müssen.

Wer ist von der Pflicht betroffen?

  • Verantwortliche: Unternehmen, die personenbezogenen Daten verarbeiten und die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheiden, vgl. Art. 4 Nr. 7 DSGVO
  • Auftragsverarbeiter: Externe Dienstleister, die personenbezogenen Daten im Auftrag des Verantwortlichen verarbeiten, vgl. Art. 4 Nr. 8 DSGVO

(Vermeintliche) Ausnahmen von der Pflicht, Art. 30 Abs. 5 DSGVO:

Unternehmen mit weniger als 250 Mitarbeitern sind nicht zum Führen von VVT verpflichtet, es sei denn:

  • die Verarbeitung nicht nur gelegentlich erfolgt,
  • sensible Daten (Art. 9 DSGVO) betroffen sind oder
  • ein hohes Risiko für die Rechte und Freiheiten der Betroffenen besteht.

Hinweis: Regelmäßig liegt mindestens eine der „Ausnahmen von der Ausnahme“ vor. Beispielsweise erfüllt das Führen von Personalakten alle drei o. g. Fälle. Folglich benötigen (fast) alle Unternehmen ein VVT.

Wiederkehrende Pflichten

Unternehmen müssen nicht nur ein VVT führen, sondern auch folgende Pflichten beachten:

  1. Aktualisierungspflicht
    • Das Verzeichnis muss regelmäßig überprüft und aktualisiert werden.
    • Änderungen in Prozessen, Software oder Dienstleistern sofort einpflegen.
  2. Bereitstellungspflicht
    • Auf Anfrage muss das VVT der Datenschutzbehörde unverzüglich vorgelegt werden.
  3. Dokumentationspflicht
    • Änderungen müssen nachvollziehbar dokumentiert werden, um die Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO zu erfüllen.

(Pflicht-) Inhalte des VVT

Nach Art. 30 Abs. 1 DSGVO (für Verantwortliche) muss ein VVT folgende Angaben enthalten:

PflichtangabeErläuterungBeispiel
VerantwortlicherName und Kontaktdaten des UnternehmensMuster GmbH, Musterstraße 1, 12345 Musterstadt
Zwecke der VerarbeitungWarum werden die Daten verarbeitet?Lohnabrechnung, Kundenverwaltung, Marketing
Beschreibung der Kategorien betroffener PersonenWer ist betroffen?Kunden, Bewerber, Mitarbeiter
Kategorien personenbezogener DatenWelche Daten werden verarbeitet?Name, Adresse, E-Mail, Bankdaten
Kategorien von EmpfängernWer erhält die Daten?Steuerberater, Cloud-Anbieter, Versanddienstleister
Übermittlungen in DrittländerFalls Daten außerhalb der EU verarbeitet werdenUSA – AWS-Server, Standardvertragsklauseln
Vorgesehene LöschfristenWann werden Daten gelöscht?Bewerberdaten nach 6 Monaten
Technische und organisatorische Maßnahmen (TOM)Überblick über SicherheitsmaßnahmenVerschlüsselung, Zugriffsrechte, Backup-Systeme

Beispiele für typische Verarbeitungstätigkeiten:

  • Personalverwaltung (u. a. Lohnabrechnung, Zeiterfassung, Bewerbermanagement)
  • Kundenbetreuung und CRM-Systeme
  • Newsletter-Versand und E-Mail-Marketing
  • Videoüberwachung
  • IT-Systemadministration
  • Auftragsabwicklung und Versand
  • Website-Tracking und Cookies

Häufige Fehler beim VVT

Viele Unternehmen machen typische Fehler, die zu Beanstandungen bei Datenschutzprüfungen führen:

  • Unvollständige Angaben, z. B. fehlende Löschfristen oder Empfänger
  • Veraltete Einträge, weil Änderungen nicht zeitnah eingetragen wurden
  • Keine Unterscheidung zwischen Verantwortlichem und Auftragsverarbeiter
  • Fehlende Drittländer-Angaben bei Cloud-Diensten
  • Nicht dokumentierte technische und organisatorische Maßnahmen (TOM)

Folgen bei Nichtbeachtung

Wer kein VVT führt oder ein fehlerhaftes Verzeichnis vorlegt, riskiert hohe Konsequenzen:

  • Bußgelder bis zu 10 Mio. € oder 2 % des weltweiten Jahresumsatzes (Art. 83 DSGVO)
  • Reputationsschäden durch negative Berichterstattung
  • Verlust von Kundenvertrauen
  • Nicht dokumentierte technische und organisatorische Maßnahmen (TOM)

Best Practices für ein DSGVO-konformes VVT

Mit den richtigen Maßnahmen lässt sich ein VVT effizient und rechtssicher umsetzen:

  1. Zentrale Verwaltung
    • Nutzung von Datenschutz-Management-Software
    • Einheitliche Vorlagen und Standardprozesse
  2. Klare Verantwortlichkeiten
    • Benennung eines Datenschutzkoordinators oder externen Datenschutzbeauftragten
    • Festlegung, wer Änderungen einpflegt und überprüft
  3. Dokumentationspflicht
    • Jährliche Aktualisierungspflicht oder bei wesentlichen Prozessänderungen
    • Interne Audits zur Qualitätssicherung
  4. Dokumentationspflicht
    • Grundlage für Datenschutz-Folgenabschätzungen (Art. 35 DSGVO)
    • Verknüpfung mit Löschkonzept und Informationspflichten

Unsere Leistungen: Professionelles VVT für Ihr Unternehmen

Als externe Datenschutzbeauftragte bzw. Datenschutzberater unterstützen wir Unternehmen bei der Erstellung und Pflege ihres Verzeichnisses von Verarbeitungstätigkeiten.

  1. Analyse der Datenflüsse
    • Wir identifizieren alle Prozesse, bei denen personenbezogene Daten verarbeitet werden.
  2. Erstellung eines individuellen VVT
    • Maßgeschneiderte Vorlagen für dein Unternehmen
    • Integration aller gesetzlichen Anforderungen
  3. Schulung der Mitarbeitenden
    • Sensibilisierung deines Teams für den richtigen Umgang mit dem VVT.
  4. Laufende Betreuung
    • Regelmäßige Updates und Anpassungen bei rechtlichen oder organisatorischen Änderungen.

Das Verzeichnis von Verarbeitungstätigkeiten ist mehr als nur eine gesetzliche Pflicht. Es ist ein zentrales Werkzeug, um Datenschutzprozesse zu steuern, Risiken zu minimieren und Transparenz zu schaffen. Mit einem gut gepflegten VVT sind Sie bestens auf Prüfungen vorbereitet und zeigen Kunden sowie Behörden, dass Datenschutz in Ihrem Unternehmen ernst genommen wird.


Checkliste: Ist Ihr VVT vollständig?

  • Enthält das VVT alle Pflichtangaben nach Art. 30 DSGVO?
  • Werden Löschfristen klar definiert und dokumentiert?
  • Sind alle Datenflüsse im Unternehmen erfasst?
  • Gibt es aktuelle Angaben zu Auftragsverarbeitern und Drittländern?
  • Wird das VVT regelmäßig überprüft und aktualisiert?

Wenn Sie eine dieser Fragen mit „Nein“ beantworten müssen, besteht dringender Handlungsbedarf.

+49 911 7903034

info@it-rechtsberater.de


© 2025 IT Rechtsberater – Datenschutzbeauftragter. All rights reserved. Impressum I Datenschutzerklärung