Das Verzeichnis der Verarbeitungstätigkeiten (VVT) ist seit Einführung der DSGVO 2018 das am häufigsten geprüfte Dokument bei Aufsichtsbehörden. Wer kein VVT hat — oder ein lückenhaftes — wird bei Kontrollen direkt beanstandet. Trotzdem haben wir bei Erstberatungen immer wieder die Situation, dass Unternehmen entweder kein VVT oder ein Excel-Chaos besitzen. Dieser Artikel zeigt, wie Sie ein prüfungsfestes VVT systematisch aufbauen.

Was das VVT ist — und warum es Pflicht ist

Das Verzeichnis der Verarbeitungstätigkeiten nach Art. 30 DSGVO ist eine dokumentierte Aufstellung aller personenbezogenen Datenverarbeitungen in Ihrem Unternehmen. Es dient zwei Zwecken:

1. Interne Übersicht: Sie wissen selbst, was wo warum verarbeitet wird.
2. Nachweis gegenüber Aufsichtsbehörden: Auf Anfrage müssen Sie das VVT vorlegen können.

Wer ist zur VVT-Führung verpflichtet?

Die Pflicht trifft:

• Alle Unternehmen mit 250 oder mehr Beschäftigten — unabhängig von der Datenverarbeitung.
• Kleinere Unternehmen, wenn eine der folgenden Bedingungen zutrifft: regelmäßige Verarbeitung, Verarbeitung besonderer Kategorien (Gesundheit, biometrische Daten), Risiko für Rechte und Freiheiten der Betroffenen.

In der Praxis: Jedes Unternehmen mit Mitarbeitern, Kunden, Newsletter oder Website-Tracking ist zur VVT-Führung verpflichtet. Die „Ausnahmen“ sind Theorie.

Welche Informationen gehören ins VVT?

Art. 30 definiert die Mindestinhalte. Für jede Verarbeitungstätigkeit dokumentieren Sie:

1. Name und Kontaktdaten des Verantwortlichen (= Ihr Unternehmen)
2. Zwecke der Verarbeitung
3. Beschreibung der Kategorien betroffener Personen
4. Kategorien der personenbezogenen Daten
5. Kategorien der Empfänger (intern + extern)
6. Falls zutreffend: Übermittlungen an Drittländer oder internationale Organisationen
7. Vorgesehene Löschfristen
8. Allgemeine Beschreibung der technischen und organisatorischen Maßnahmen (TOM) nach Art. 32

Bei Auftragsverarbeitern zusätzlich: Name und Kontaktdaten des Verantwortlichen, in dessen Auftrag verarbeitet wird.

Schritt 1: Inventar aller Verarbeitungstätigkeiten erstellen

Bevor Sie das VVT füllen, müssen Sie wissen, welche Verarbeitungen es überhaupt gibt. Gehen Sie alle Bereiche systematisch durch:

Personal / HR

• Bewerbermanagement
• Personalakten
• Gehaltsabrechnung
• Zeiterfassung
• Urlaubsverwaltung
• Schulungsmanagement
• Arbeitszeugnisse

Vertrieb / Marketing

• CRM-System (Kundendaten)
• Newsletter-Verwaltung
• Website-Analytics (Google Analytics, Matomo)
• Werbe-Tracking (Facebook Pixel, LinkedIn Insight Tag)
• Lead-Erfassung (Kontaktformulare)
• Remarketing

Buchhaltung / Finanzen

• Rechnungsstellung
• Mahnwesen
• Gutschrift- und Rückerstattungsprozesse
• Zahlungsabwicklung

IT-Infrastruktur

• Benutzer-Account-Management
• Log-File-Analysen
• Backup- und Wiederherstellungsprozesse
• Monitoring-Tools
• E-Mail-System

Operative Prozesse

• Support / Kundenservice
• Lieferantenmanagement
• Zugangskontrolle (Besucherregistrierung, Ausweise)
• Videoüberwachung

Tipp: Gehen Sie die Abteilungen einzeln durch und interviewen Sie jeweils den Verantwortlichen. 30-45 Minuten pro Abteilung reichen meist.

Schritt 2: Für jede Verarbeitung die 8 Kern-Felder befüllen

Pro Verarbeitungstätigkeit erstellen Sie einen „Datensatz“ mit folgenden Feldern:

Feld 1: Bezeichnung der Verarbeitung

Kurz und prägnant. Beispiel: „Newsletter-Versand an Bestandskunden“ oder „Bewerbermanagement (eingehende Bewerbungen)“.

Feld 2: Zweck

Warum verarbeiten Sie diese Daten? Beispiel: „Information von Bestandskunden über neue Produkte und Angebote auf Basis ihrer Einwilligung.“

Feld 3: Rechtsgrundlage

Nach welchem Artikel der DSGVO ist die Verarbeitung rechtmäßig? Meist einer von:

• Art. 6 Abs. 1 lit. a — Einwilligung
• Art. 6 Abs. 1 lit. b — Vertragserfüllung
• Art. 6 Abs. 1 lit. c — Rechtliche Verpflichtung
• Art. 6 Abs. 1 lit. f — Berechtigtes Interesse
• § 26 BDSG — Beschäftigtendatenverarbeitung

Feld 4: Kategorien betroffener Personen

Beispiele: „Bewerber“, „Bestandsmitarbeiter“, „Kunden (B2C)“, „Ansprechpartner Kunden (B2B)“, „Besucher“.

Feld 5: Kategorien personenbezogener Daten

Vorname, Nachname, E-Mail, Telefon, Adresse, Geburtsdatum, Bankverbindung, IP-Adresse, Bewerbungsunterlagen. Besondere Kategorien (Gesundheit, Gewerkschaftsmitgliedschaft etc.) explizit ausweisen.

Feld 6: Empfängerkategorien

Wer erhält die Daten? Interne Empfänger (Abteilungen) und externe (Dienstleister, Behörden, Geschäftspartner).

Feld 7: Löschfristen

Pro Datenkategorie: Wie lange werden die Daten gespeichert? Beispiele:

• Bewerbungen bei Absage: 6 Monate nach Absage (bei Aufbewahrung für spätere Stellen: Einwilligung einholen)
• Mitarbeiterdaten: bis 10 Jahre nach Ausscheiden (wegen Steuerrecht)
• Kundendaten: bis 10 Jahre (AO, HGB)
• Newsletter-Abonnenten: bis Widerruf

Feld 8: Technische und organisatorische Maßnahmen (TOM)

Allgemeine Beschreibung der Sicherheitsmaßnahmen. Kann auf ein separates TOM-Dokument verweisen.

Schritt 3: Auftragsverarbeiter identifizieren und dokumentieren

Jeder externe Dienstleister, der personenbezogene Daten in Ihrem Auftrag verarbeitet, ist ein Auftragsverarbeiter nach Art. 28. Typische Beispiele:

• Cloud-Hosting-Anbieter (AWS, Microsoft 365, Google Workspace)
• E-Mail-Dienstleister (Mailgun, SendGrid)
• Newsletter-Tools (Mailchimp, Brevo)
• CRM-Systeme (HubSpot, Salesforce, Pipedrive)
• Website-Hoster
• Buchhaltungssoftware (DATEV, Lexware, sevDesk)
• Support-Tools (Zendesk, Intercom)
• Externe IT-Dienstleister
• Externe Lohn- und Gehaltsbüros

Für jeden Auftragsverarbeiter brauchen Sie:

1. AVV (Auftragsverarbeitungsvertrag) nach Art. 28 DSGVO — unterschrieben
2. Prüfung der Sicherheit des Auftragsverarbeiters (z.B. durch ISO 27001-Zertifikat)
3. Drittlandtransfer-Prüfung: Werden Daten außerhalb der EU/EWR verarbeitet? Dann brauchen Sie zusätzliche Garantien (Standardvertragsklauseln, EU-US Data Privacy Framework).

Schritt 4: Drittlandtransfers sauber dokumentieren

Seit dem Schrems-II-Urteil (2020) ist der Datentransfer in die USA besonders kritisch. Das EU-US Data Privacy Framework (DPF) seit Juli 2023 erleichtert Transfers zu zertifizierten US-Anbietern, aber nicht alle Anbieter sind dabei.

Für jeden Anbieter in einem Drittland dokumentieren Sie:

• Welches Land?
• Welche Rechtsgrundlage (Angemessenheitsbeschluss, Standardvertragsklauseln, BCRs, Einwilligung)?
• Bei den USA: Ist der Anbieter DPF-zertifiziert?
• Transfer-Impact-Assessment durchgeführt?

Schritt 5: Format wählen — Excel vs. Tool

Das VVT braucht kein spezielles Format. Sie haben die Wahl:

Option A: Excel / Google Sheets

Kostenlos, flexibel, bekannt. Funktioniert für kleine Unternehmen (unter 20 Verarbeitungen) gut. Nachteile: Versionierung schwierig, keine Historie, Aufsichtsbehörden erwarten gepflegte Dokumente.

Option B: Dedicated Tool

DSGVO-Software wie Datenschutz-Tools, ISMS-Plattformen mit DSGVO-Modul. Vorteil: Templates, automatische Pflichtfelder, Versionierung, Exporte für Aufsichtsbehörden. Nachteil: Lizenzkosten (typisch 50-200 € pro Monat).

Unsere Empfehlung

Bis 20 Verarbeitungen: Excel reicht, wenn diszipliniert gepflegt. Ab 20 Verarbeitungen oder mit wachsender Komplexität: dediziertes Tool macht mittelfristig das Leben leichter.

Schritt 6: Workflow für Pflege etablieren

Das VVT ist kein Einmal-Dokument. Es muss aktuell gehalten werden. Folgender Workflow bewährt sich:

1. Änderungs-Trigger definieren: Neue Software einführen → VVT prüfen. Neue Geschäftsbeziehung → VVT prüfen. Neuer Prozess → VVT prüfen.
2. Quartals-Review: Einmal im Quartal VVT komplett durchgehen. Mindestens 1 Stunde pro Quartal.
3. Jahres-Review: Einmal im Jahr intensiv. Alle Verarbeitungstätigkeiten prüfen, Löschfristen, Drittlandtransfers, neue Risiken.
4. Versionierung: Änderungen mit Datum und Änderungsgrund dokumentieren.

Schritt 7: Prüfungsfeste Qualität sicherstellen

Ein gutes VVT besteht diese Qualitätsprüfung:

• ✓ Alle Abteilungen abgedeckt (HR, Vertrieb, IT, Finanzen, Operations)
• ✓ Für jede Verarbeitung alle 8 Kern-Felder vollständig
• ✓ Rechtsgrundlagen plausibel und konsistent
• ✓ Alle Auftragsverarbeiter erfasst
• ✓ Drittlandtransfers mit Rechtsgrundlage dokumentiert
• ✓ Löschfristen konkret (nicht „wenn nicht mehr benötigt“)
• ✓ TOM-Verweis oder eigene Beschreibung
• ✓ Letztes Update-Datum sichtbar

Die 8 häufigsten Fehler beim VVT

1. VVT gar nicht vorhanden — Top-1-Beanstandung bei Aufsichtsprüfungen.
2. Nicht alle Verarbeitungen erfasst — oft fehlen Newsletter, Tracking-Tools, Schatten-IT.
3. Rechtsgrundlagen falsch — „berechtigtes Interesse“ wird zu häufig als Generalklausel missbraucht.
4. Löschfristen unspezifisch — „wenn nicht mehr benötigt“ ist keine Löschfrist.
5. Keine Aktualisierung — VVT aus 2019 bei einem Unternehmen, das 2025 komplett andere Tools nutzt.
6. Keine Verbindung zu AVVs — VVT listet 15 Auftragsverarbeiter, aber nur 5 haben AVVs.
7. Drittlandtransfers ignoriert — US-Dienste ohne Rechtsgrundlage-Prüfung.
8. TOM-Verweis fehlt — „TOM siehe separates Dokument“ ohne das Dokument selbst zu haben.

Praxisbeispiel: Mini-VVT für ein typisches KMU

Ein kleines Beratungsunternehmen mit 15 Mitarbeitern hat typischerweise 15-25 Verarbeitungen. Beispiel-Auszug (3 von 20):

Bezeichnung	Zweck	Rechtsgrundlage	Löschfrist
Newsletter-Versand	B2B-Marketing	Art. 6 Abs. 1 lit. a (Einwilligung)	Bis Widerruf
Bewerbermanagement	Stellenbesetzung	§ 26 BDSG	6 Monate nach Absage
Kundenrechnungsstellung	Vertragserfüllung	Art. 6 Abs. 1 lit. b + Art. 6 Abs. 1 lit. c (Aufbewahrungspflicht)	10 Jahre (§ 257 HGB)

Wer soll das machen? Intern oder extern?

Kleine Unternehmen (< 20 MA)

Interne Person (z.B. Geschäftsführer oder Assistenz) kann das VVT mit Vorlage erstellen. Zeitaufwand: 20-30 Stunden für den Aufbau, 2-3 Stunden pro Monat für Pflege.

Mittelständler (20-150 MA)

Oft lohnt sich externe Unterstützung. Ein externer Datenschutzbeauftragter (DSB) ab 249 €/Monat erstellt und pflegt das VVT mit. Vorteil: professionell, up-to-date, ohne internes Personal zu binden.

Größere Unternehmen (150+ MA)

Interner DSB ist Pflicht nach BDSG § 38. Er kümmert sich um das VVT als Teil seiner Aufgaben. Zusätzlich oft ISMS-Software als Unterstützung.

Fazit: Ihr 30-Tage-Plan für das VVT

So bauen Sie in 30 Tagen ein solides VVT auf:

• Tag 1-5: Inventar — alle Abteilungen interviewen
• Tag 6-12: Datensätze füllen — 8 Kern-Felder pro Verarbeitung
• Tag 13-17: Auftragsverarbeiter + AVVs prüfen, Lücken dokumentieren
• Tag 18-21: Drittlandtransfers prüfen
• Tag 22-26: Löschfristen konkretisieren
• Tag 27-30: Qualitätscheck + Workflow für Pflege etablieren

Drei konkrete Schritte, die Sie heute machen können:

1. DSGVO-Check: Der kostenlose DSGVO-Check (3 Minuten) zeigt Ihre Datenschutz-Reife und wo Lücken sind.
2. DSGVO-Leitfaden lesen: Der DSGVO-Leitfaden (PDF, 18 Seiten) enthält detaillierte Erklärungen aller DSGVO-Anforderungen.
3. Ready-Kit holen: Unser DSGVO Ready-Kit enthält VVT-Vorlagen, TOM-Templates, AVV-Muster — sofort einsetzbar.

Ein gepflegtes VVT ist Ihre beste Versicherung gegen Aufsichtsprüfungen. Die Zeit, die Sie in den Aufbau investieren, sparen Sie zehnfach bei der nächsten Kontrolle oder Betroffenenanfrage.