1. Was ist das Verzeichnis der Verarbeitungstätigkeiten?
Das Verzeichnis der Verarbeitungstätigkeiten (VVT) ist ein zentrales Dokument des Datenschutzrechts. Es listet alle Prozesse auf, bei denen ein Unternehmen personenbezogene Daten verarbeitet — von der Kundenverwaltung über die Lohnbuchhaltung bis hin zum E-Mail-Newsletter. Rechtliche Grundlage ist Art. 30 der Datenschutz-Grundverordnung (DSGVO), der seit dem 25. Mai 2018 EU-weit gilt.
Das VVT ist kein einmaliges Formular, sondern ein lebendes Dokument: Es muss aktuell gehalten werden und bei einer Prüfung durch die Aufsichtsbehörde unverzüglich vorgelegt werden können. Es dient gleichzeitig als Nachweis der Rechenschaftspflicht (Art. 5 Abs. 2 DSGVO) — ein Unternehmen muss nicht nur datenschutzkonform handeln, sondern dies auch belegen können.
2. Wer muss ein VVT führen?
Die Pflicht zur Führung eines VVT gilt grundsätzlich für alle Unternehmen ab 250 Mitarbeitern. Art. 30 Abs. 5 DSGVO sieht jedoch ausdrücklich vor, dass auch kleinere Unternehmen ein VVT führen müssen, wenn mindestens eine der folgenden Bedingungen zutrifft:
- Die Verarbeitung erfolgt nicht nur gelegentlich (d.h. regelmäßig oder dauerhaft)
- Es werden besondere Kategorien personenbezogener Daten verarbeitet (Art. 9 DSGVO: Gesundheitsdaten, biometrische Daten, religiöse Überzeugungen, Gewerkschaftszugehörigkeit etc.)
- Es werden Daten über strafrechtliche Verurteilungen oder Straftaten verarbeitet (Art. 10 DSGVO)
In der Praxis bedeutet dies: Nahezu jedes Unternehmen, das Kundendaten speichert, Mitarbeiter beschäftigt oder einen Newsletter betreibt, fällt unter die Pflicht — unabhängig von der Größe. Die Ausnahme für Unternehmen unter 250 Mitarbeitern ist eng gefasst und greift selten.
3. Pflichtangaben nach Art. 30 Abs. 1 DSGVO
Jeder Eintrag im VVT muss mindestens die folgenden sieben Angaben enthalten:
Name und Kontaktdaten des Verantwortlichen
Vollständige Bezeichnung und Anschrift des verantwortlichen Unternehmens sowie — falls vorhanden — des Datenschutzbeauftragten (DSB). Bei gemeinsamen Verantwortlichen (Art. 26 DSGVO) sind alle Parteien anzugeben.
Zwecke der Verarbeitung
Der konkrete Verarbeitungszweck muss klar benannt werden — z.B. "Vertragsabwicklung mit Kunden", "Gehaltsabrechnung für Mitarbeiter" oder "Versand des monatlichen Newsletters". Pauschalangaben wie "Marketingzwecke" oder "geschäftliche Tätigkeiten" sind nicht ausreichend.
Kategorien der Betroffenen und Datenkategorien
Welche Personengruppen sind betroffen (z.B. Kunden, Interessenten, Mitarbeiter, Lieferanten)? Welche Datenkategorien werden verarbeitet (z.B. Name, Adresse, E-Mail, Bankverbindung, Gesundheitsdaten)?
Empfänger und Empfängerkategorien
An wen werden die Daten weitergegeben? Dies umfasst interne Stellen (Buchhaltung, Vertrieb), externe Dienstleister (Steuerberater, IT-Dienstleister, Cloud-Anbieter) sowie Behörden. Eine Kategorisierung ist zulässig, wenn die konkreten Empfänger noch nicht feststehen.
Drittlandübermittlungen
Werden Daten in Länder außerhalb der EU/des EWR übermittelt (z.B. an US-amerikanische Cloud-Dienste), sind das Empfängerland und die Garantien (Angemessenheitsbeschluss, Standardvertragsklauseln, Binding Corporate Rules) anzugeben.
Löschfristen
Wann werden die Daten gelöscht oder gesperrt? Das VVT muss konkrete Fristen oder zumindest die Kriterien für deren Festlegung enthalten. Fehlt ein Löschkonzept, ist dies einer der häufigsten Kritikpunkte bei Behördenprüfungen.
Technische und organisatorische Maßnahmen (TOMs)
Art. 32 DSGVO verlangt angemessene Sicherheitsmaßnahmen. Diese TOMs sind im VVT zumindest summarisch zu beschreiben — z.B. Verschlüsselung, Zugangskontrollen, Pseudonymisierung, regelmäßige Datensicherung, Schulungen der Mitarbeiter.
4. Typische Einträge für KMU
Ein KMU-Verarbeitungsverzeichnis enthält in der Regel folgende Verarbeitungsvorgänge:
| Verarbeitungsvorgang | Betroffene | Datenkategorien | Rechtsgrundlage |
|---|---|---|---|
| Kundenverwaltung / CRM | Kunden, Interessenten | Name, Adresse, E-Mail, Kaufhistorie | Art. 6 Abs. 1 lit. b (Vertrag) |
| Mitarbeiterdaten / HR | Mitarbeiter, Bewerber | Sozialdaten, Gehalt, Krankmeldungen | Art. 6 Abs. 1 lit. b + § 26 BDSG |
| Buchhaltung / Rechnungen | Kunden, Lieferanten | Name, Adresse, Bankdaten, Rechnungsbeträge | Art. 6 Abs. 1 lit. c (rechtl. Verpflichtung) |
| E-Mail-Marketing / Newsletter | Abonnenten | Name, E-Mail-Adresse, Klickverhalten | Art. 6 Abs. 1 lit. a (Einwilligung) |
| Website-Cookies / Analytics | Website-Besucher | IP-Adresse, Nutzungsverhalten | Art. 6 Abs. 1 lit. a (Einwilligung) |
5. Häufige Fehler beim VVT
Aufsichtsbehörden und Datenschutzbeauftragte berichten immer wieder von denselben Mängeln:
- Zu pauschale Zweckangaben: "Marketingzwecke" oder "interne Verwaltung" genügen nicht. Jeder Prozess braucht eine spezifische Beschreibung.
- Fehlende oder ungenaue TOMs: "angemessene Sicherheitsmaßnahmen" ist keine Beschreibung — welche Verschlüsselung, welche Zugangsregelungen, welche Backup-Zyklen?
- Kein Löschkonzept: Ohne konkrete Fristen oder Kriterien fehlt ein zentraler Pflichtbestandteil.
- Veraltete Einträge: Neue Softwarelösungen, Cloud-Dienste oder veränderte Prozesse werden nicht ins VVT aufgenommen.
- Fehlende Auftragsverarbeiter: Externe Dienstleister (Cloud, Lohnbüro, IT-Support) müssen als Empfänger oder Auftragsverarbeiter eingetragen werden.
- Keine Rechtsgrundlage angegeben: Jede Verarbeitung braucht eine Erlaubnisgrundlage nach Art. 6 (oder Art. 9 für besondere Kategorien).
6. Wie oft muss das VVT aktualisiert werden?
Die DSGVO schreibt keine feste Aktualisierungsfrequenz vor, verlangt aber, dass das VVT stets aktuell ist. In der Praxis empfiehlt sich:
- Anlassbezogen: Sofort bei Einführung neuer Software, neuer Datenquellen, neuer Dienstleister oder bei Änderungen bestehender Prozesse
- Jährliche Überprüfung: Mindestens einmal pro Jahr alle Einträge auf Aktualität prüfen
- Nach Datenpannen (Art. 33 DSGVO): Das VVT ist im Rahmen der Ursachenanalyse zu überprüfen und ggf. anzupassen
- Bei Unternehmensveränderungen: Fusion, Übernahme, Expansion in neue Märkte — alle datenschutzrelevanten Änderungen müssen sich im VVT widerspiegeln
7. Bußgelder bei fehlendem oder mangelhaftem VVT
Ein fehlendes, unvollständiges oder veraltetes VVT ist ein Verstoß gegen Art. 30 DSGVO, der in den Bußgeldrahmen des Art. 83 Abs. 4 DSGVO fällt:
In der Praxis verhängen deutsche Aufsichtsbehörden (BayLDA, LfDI Baden-Württemberg, Berliner Beauftragte etc.) regelmäßig Bußgelder in vier- bis sechsstelliger Höhe für Dokumentationsmängel. Kleinstunternehmen erhalten in der Regel zunächst eine Verwarnung — bei wiederholten oder schwerwiegenden Verstößen folgen jedoch empfindliche Sanktionen.
8. VVT-Vorlage — Empfohlene Struktur
Ein praxistaugliches VVT ist tabellarisch aufgebaut. Jede Zeile entspricht einem Verarbeitungsvorgang. Die empfohlenen Spalten sind:
- Lfd. Nr. / ID — eindeutige Kennung des Eintrags
- Bezeichnung des Verarbeitungsvorgangs — aussagekräftiger Name
- Zweck der Verarbeitung — konkret, nicht pauschal
- Rechtsgrundlage — Art. 6 Abs. 1 lit. a/b/c/d/e/f DSGVO
- Kategorien betroffener Personen
- Verarbeitete Datenkategorien
- Interne Empfänger (Abteilungen)
- Externe Empfänger / Auftragsverarbeiter
- Drittlandübermittlung (Ja/Nein + Garantie)
- Löschfrist / Aufbewahrungsdauer
- TOMs (Kurzreferenz)
- Datum der letzten Überprüfung
- Bemerkungen / Links auf Datenschutz-Folgenabschätzung
9. Software vs. Excel: Vor- und Nachteile
Viele Unternehmen beginnen mit einer Excel-Tabelle — das ist zulässig, hat aber klare Nachteile:
| Merkmal | Excel / Tabelle | Spezialisierte Software |
|---|---|---|
| Einstieg / Kosten | Sofort, kostenlos | Ab 0 € (Freemium) bis ~50 €/Monat |
| Vollständigkeit | Abhängig von der Vorlage | Pflichtfelder integriert, Validierung |
| TOMs-Generator | Manuell | Geführter Assistent |
| Löschkonzept | Manuell pflegen | Automatische Erinnerungen |
| Export / Prüfbarkeit | PDF-Export möglich | Revisionssicherer Audit-Trail |
| Mehrsprachigkeit | Keine | DE, EN, PL u.a. |
| Geeignet für | Kleinstunternehmen, Einstieg | KMU, wachsende Unternehmen |
Für Unternehmen, die ihr VVT dauerhaft aktuell halten und bei Behördenanfragen schnell reagieren müssen, überwiegen die Vorteile einer Softwarelösung deutlich. Besonders wertvoll sind integrierte TOMs-Generatoren und automatische Hinweise auf ablaufende Löschfristen.
DSGVO-Register in 15 Minuten erstellen
RODO Rejestr von SaaSLab führt Sie Schritt für Schritt durch alle Pflichtfelder nach Art. 30 DSGVO — inkl. TOMs-Generator und Löschkonzept. Kein Excel, kein Raten.
Kostenlos testen →