Verarbeitungsverzeichnis erstellen 2026: Vorlage Art. 30 DSGVO

· · Kategorie: DSGVO
Praxis-Hinweis: Dieser Artikel ist praxisorientierte Compliance-Dokumentation, keine Rechtsberatung. Wir sind Compliance-Spezialist, keine Anwaltskanzlei. Für rechtsverbindliche Auskünfte konsultieren Sie eine zugelassene Rechtsanwältin oder einen Rechtsanwalt.

TL;DR

  • Pflicht ab 1 Mitarbeiter — die 250-MA-Schwelle in Art. 30 Abs. 5 ist in der Praxis fast wertlos
  • 9 Pflichtfelder für Verantwortliche, 9 weitere für Auftragsverarbeiter
  • Excel reicht — Tools nur ab ~50 Verarbeitungstätigkeiten sinnvoll
  • Prüfreihenfolge der Aufsicht: VVT → AVV → TOM → DSFA
  • Häufigster Fehler: veraltete Empfänger-Listen und fehlende Löschfristen

1. Was ist ein Verarbeitungsverzeichnis?

Ein Verarbeitungsverzeichnis (VVT) nach Art. 30 DSGVO listet systematisch alle personenbezogenen Datenverarbeitungen eines Unternehmens auf. Zweck: Nachweis der Rechenschaftspflicht (Art. 5 Abs. 2 DSGVO) und Grundlage jeder Aufsichtsanfrage.

"Jeder Verantwortliche und gegebenenfalls sein Vertreter führen ein Verzeichnis aller Verarbeitungstätigkeiten, die ihrer Zuständigkeit unterliegen." — Art. 30 Abs. 1 DSGVO

Das VVT ist keine technische Datenbank. Es ist eine prozessuale Übersicht: welche Daten werden zu welchem Zweck mit welcher Rechtsgrundlage von wem für wie lange verarbeitet?

Wer den vollständigen Dokumentensatz nicht von Grund auf neu aufsetzen will, findet im DSGVO-Kit eine fertige VVT-Excel mit 14 KMU-typischen Verarbeitungen, AVV-Verknüpfung und TOM-Anhang.

2. Wer braucht ein VVT — und wer wirklich nicht?

Nach Art. 30 Abs. 1: alle Verantwortlichen. Nach Art. 30 Abs. 2: alle Auftragsverarbeiter. Die 250-MA-Ausnahme (Art. 30 Abs. 5) greift nur kumulativ:

  1. weniger als 250 Beschäftigte UND
  2. keine voraussichtlich hohen Risiken UND
  3. keine regelmäßige Verarbeitung UND
  4. keine besonderen Kategorien (Art. 9) ODER strafrechtliche Daten

In der Praxis: Personaldaten (Lohnabrechnung) sind regelmäßige Verarbeitung. CRM ist regelmäßige Verarbeitung. Newsletter ist regelmäßige Verarbeitung. Damit kickt die Ausnahme bei jedem Unternehmen ab 1 Mitarbeiter mit Kunden.

3. Welche Inhalte muss das VVT enthalten?

9 Pflichtfelder pro Verarbeitungstätigkeit (Verantwortlicher, Art. 30 Abs. 1):

PflichtfeldBeispiel
1. Name + Kontaktdaten Verantwortlicher (+ DSB)Mustermann GmbH, info@..., DSB: ext-dsb@...
2. Zwecke der VerarbeitungKundenbeziehungsmanagement, Bestellabwicklung
3. Beschreibung der Kategorien betroffener PersonenKunden, Interessenten
4. Beschreibung der Kategorien personenbezogener DatenStammdaten, Kommunikationsdaten, Vertragsdaten
5. Kategorien der EmpfängerSteuerberater (AV), Versanddienstleister (AV), Behörden
6. Drittlandübermittlungen + GarantienMailchimp (USA, DPF), Google Workspace (USA, DPF)
7. Geplante LöschfristenKundendaten 10 Jahre (HGB), Bewerber 6 Monate (AGG)
8. Allgemeine Beschreibung der TOMVerweis auf TOM-Konzept (Art. 32)
9. RechtsgrundlageArt. 6 Abs. 1 lit. b (Vertrag), Art. 6 Abs. 1 lit. f (berechtigtes Interesse)

4. VVT in Excel oder als Tool?

KriteriumExcelTool
Anzahl Verarbeitungen < 50✓ optimaloverkill
Anzahl Verarbeitungen > 50unhandlich✓ sinnvoll
Multi-Standort / Konzernschwierig✓ Mehrwert
Versionsverwaltungmanuell✓ automatisch
Kosten0 €2.000–15.000 €/Jahr
DSB-Akzeptanz✓ vollständig✓ vollständig
Audit-Akzeptanz Aufsicht

Aufsichts-Standpunkt: Form ist egal — solange Inhalt, Aktualität und Lesbarkeit stimmen. BfDI und Landes-DSB akzeptieren ausdrücklich Excel-VVTs.

5. 8 Schritte zum prüffesten VVT

  1. Verarbeitungstätigkeiten identifizieren: Workshop mit allen Abteilungen (HR, Vertrieb, Marketing, IT, Buchhaltung, Geschäftsleitung). 14-Stationen-Methode: pro Mitarbeitenden-Lifecycle 1 VT, pro Kunden-Lifecycle 1 VT.
  2. Verantwortlichkeit klären: sind wir Verantwortlicher (Art. 4 Nr. 7) oder Auftragsverarbeiter (Art. 4 Nr. 8) oder gemeinsam Verantwortliche (Art. 26)?
  3. Rechtsgrundlage festlegen: Art. 6 Abs. 1 lit. a-f. Bei Mitarbeiterdaten meist § 26 BDSG. Bei besonderen Kategorien (Art. 9): zusätzliche Rechtsgrundlage.
  4. Datenkategorien systematisch dokumentieren: Stammdaten, Vertragsdaten, Kommunikationsdaten, Nutzungsdaten, Standortdaten — pro Kategorie eine Zeile.
  5. Empfänger inkl. Drittländer: EU-Empfänger reichen meist namentliche Auflistung. Drittländer brauchen Garantie (SCC, DPF, BCR) — separate Spalte.
  6. Löschfristen pro Kategorie: Aufbewahrungspflichten HGB/AO (10 Jahre), SGB (5 Jahre), arbeitsrechtl. Aufbewahrung. Konflikt mit Art. 17 (Löschung) dokumentieren.
  7. TOM-Verweis: kein VVT ohne TOM-Anhang. Kein eigenes TOM pro VT — sondern Verweis auf zentrales TOM-Konzept (Art. 32).
  8. Review-Zyklus festlegen: jährlich + bei Änderungen. Quartalsweise empfohlen für ständig wachsende Unternehmen.

6. 14 typische KMU-VVT-Einträge

  1. Lohnabrechnung (gemeinsam mit Steuerberater, AV-Vertrag)
  2. Bewerbermanagement (eigener Server oder E-Recruiting-SaaS)
  3. Newsletter-Versand (Mailchimp/CleverReach/Brevo)
  4. CRM-Kunden-Stammdaten (Salesforce/HubSpot/eigene DB)
  5. Webanalyse (Pirsch cookieless / Matomo / GA4)
  6. Videoüberwachung Werkshalle / Außenbereich
  7. Kundenkommunikation (E-Mail, Telefon, Chat)
  8. Auftragsverarbeitung (Daten in unserem Auftrag durch IT-Dienstleister)
  9. Lieferantenmanagement (Stammdaten, Verträge)
  10. Beschwerdemanagement (Kunden + interne Meldestelle)
  11. Krankheitsfälle / BEM (besondere Kategorien Art. 9, § 167 SGB IX)
  12. Zeiterfassung (Mitarbeiter, BAG-Pflicht-Urteil 2022)
  13. Fuhrpark + GPS-Tracking (sofern eingesetzt)
  14. Arbeitsmittel-Inventar (Laptop, Mobile, sofern personenbezogen)

7. 9 häufige Fehler vermeiden

  1. Veraltete Empfänger-Listen (alte Newsletter-Tools nicht entfernt)
  2. Fehlende Löschfristen ('keine konkrete Angabe')
  3. Kein Drittland-Hinweis bei US-Tools (Mailchimp, Google, Zoom)
  4. Auftragsverarbeitung mit eigentlich gemeinsam Verantwortlichen verwechselt
  5. Kein VVT für die Tochter-GmbH
  6. 'Sammelverarbeitung Kommunikation' — zu unspezifisch
  7. Kein TOM-Verweis, sondern TOM-Inhalt im VVT (Doppelung)
  8. Format-Probleme: PDF statt bearbeitbares Format (Aufsicht braucht Excel/CSV)
  9. Keine Versionierung (welche Fassung ist gültig?)

8. VVT bei Aufsichtsanfragen

BfDI-Tätigkeitsbericht 2024: 85 % aller Aufsichtsanfragen beginnen mit Vorlage des VVT. Praxis-Reihenfolge der Prüfung:

  1. VVT — Vollständigkeit, Aktualität, Plausibilität
  2. AVV — werden alle externen Auftragsverarbeiter im VVT genannt? Ist für jeden ein AVV vorhanden?
  3. TOM-Konzept — passend zur Risikolage der Verarbeitungen?
  4. DSFA — bei den Verarbeitungen mit hohem Risiko durchgeführt?

Wer beim VVT scheitert, kann nicht 'überraschend gut' beim Rest sein. Das VVT ist die Pflichtfundament-Übung.

Häufig gestellte Fragen

Reicht eine Excel-Tabelle als VVT?
Ja, ab Praxis-Sicht völlig ausreichend. Tools werden erst ab ca. 50 Verarbeitungstätigkeiten oder Multi-Standort-Strukturen sinnvoll. Wichtig: Versionsverwaltung, konsistente Kategorien, klare Verknüpfung mit AVV und TOM.
Wann muss das VVT aktualisiert werden?
Ständig, bei jeder Änderung. Praxis-Standard: quartalsweise Review + ad-hoc bei neuen Verarbeitungen, neuen IT-Systemen oder neuen Auftragsverarbeitern. Aktualisierungen mit Datum dokumentieren — sonst bei Aufsichtsanfrage Probleme.
Greift die 250-Mitarbeiter-Ausnahme in Art. 30 Abs. 5 in der Praxis?
Fast nie. Die Ausnahme gilt nur, wenn die Verarbeitung KEIN Risiko, NICHT regelmäßig UND keine besonderen Daten betrifft — kumulativ. Schon Personaldaten oder Newsletter erfüllen das Kriterium 'regelmäßig' und kicken die Ausnahme.
Müssen interne HR-Verarbeitungen wie Krankheitsfälle ins VVT?
Ja. Auch besondere Kategorien nach Art. 9 (Gesundheitsdaten) sind im VVT zu listen — mit Hinweis auf die Rechtsgrundlage (i.d.R. § 26 BDSG für Beschäftigtendatenschutz). Aufbewahrung und Löschfristen separat dokumentieren.
Was wenn Aufsicht das VVT verlangt — wie schnell muss es vorliegen?
Art. 30 Abs. 4 DSGVO: 'auf Anfrage'. In der Praxis erwarten Aufsichten eine Übermittlung binnen 1-2 Wochen. Wer nicht liefern kann, signalisiert grobe Compliance-Mängel — Bußgeld-Verschärfung wahrscheinlich.
Ist ein VVT für Vereine Pflicht?
Ja, sobald der Verein personenbezogene Daten verarbeitet (immer der Fall — Mitgliederverwaltung). Vereine fallen unter dieselben Regeln wie KMU. Eintragung in unserem DSGVO-Kit für Vereine vorbereitet.
Auftragsverarbeiter: muss ich auch ein VVT führen?
Ja, nach Art. 30 Abs. 2 DSGVO mit eigenem Pflichtfeld-Katalog. Inhalt: Name + Kontaktdaten Verantwortlicher, Kategorien der Verarbeitungen für jeden Verantwortlichen, ggf. Drittlandtransfers, allgemeine Beschreibung der TOM. Nicht zu verwechseln mit dem AVV-Vertrag selbst.
Brauche ich pro Tochterunternehmen ein eigenes VVT?
Ja, wenn jede Tochter eigenständig Verantwortlicher ist (typisch bei deutschen Konzern-Strukturen). Konzernlösung ist möglich, aber rechtlich riskant — die Aufsichten erwarten saubere Trennung der Verantwortlichkeiten.

Quellen

Verwandte Artikel

DSGVO · Glossar

VVT (Verarbeitungsverzeichnis)

Glossar-Eintrag mit Direktdefinition.

 DSGVO · Glossar

AVV (Auftragsverarbeitung Art. 28)

Mustervertrag, Pflichtinhalte, BayLDA-Praxis.

 DSGVO · Cluster

DSGVO Österreich-Komplettpaket

AT-spezifische DSGVO-Anpassungen.

Werkzeuge & Selbsttests

DSGVO-Checkliste 30 Pruefpunkte fuer Datenschutz-Compliance im KMU. Bussgeld-Rechner Berechnen Sie das potenzielle Bussgeld-Risiko fuer Ihr Unternehmen. DSGVO Self-Assessment Strukturierter Selbsttest mit Reifegrad-Score und Massnahmen-Roadmap. Cookie-Banner-Audit TDDG/DSGVO-Pruefung Ihres Cookie-Banners mit konkreten Korrektur-Hinweisen.