VVT (Verarbeitungsverzeichnis)
Verarbeitungsverzeichnis nach Art. 30 DSGVO — Pflicht ab 1 Mitarbeiter
TL;DR
Das Verarbeitungsverzeichnis (VVT) ist ein nach Art. 30 DSGVO geführtes Verzeichnis aller Verarbeitungstätigkeiten eines Verantwortlichen oder Auftragsverarbeiters. Es enthält 9 Pflichtfelder (z.B. Zwecke, Datenkategorien, Empfänger, Löschfristen) und ist auf Verlangen der Aufsichtsbehörde vorzulegen.
Was ist VVT (Verarbeitungsverzeichnis)?
Das VVT (auch Verarbeitungsverzeichnis genannt) ist nach Art. 30 Abs. 1 DSGVO Pflicht für alle Verantwortlichen — die in Art. 30 Abs. 5 genannte Ausnahme für Unternehmen unter 250 Mitarbeitenden greift in der Praxis fast nie, weil sie Regel-Verarbeitungen wie Personaldaten, Kunden-CRM oder Newsletter ausschließt.
Auftragsverarbeiter führen ein eigenes VVT nach Art. 30 Abs. 2 mit anderen Pflichtfeldern. Aufsichtsbehörden beginnen 85 % aller Anfragen mit der Forderung nach VVT-Vorlage (BfDI Tätigkeitsbericht 2024).
Praxisbeispiel
Ein 30-Personen-Maschinenbauer dokumentiert im VVT seine Verarbeitungstätigkeiten:
- Lohnabrechnung (gemeinsam mit Steuerberater als AV)
- CRM-Kunden-Stammdaten (eigene Datenbank)
- Bewerbungsmanagement (E-Recruiting-SaaS)
- Videoüberwachung Werkshalle
- Newsletter-Versand (Cleverreach)
Pro Eintrag werden 9 Pflichtfelder dokumentiert: Zweck, Rechtsgrundlage, Datenkategorien, Empfänger, Drittlandtransfer, Löschfristen, TOM-Verweis, Verantwortlicher, AV (sofern relevant).