Wissen/DSGVO-Verfahrensverzeichnis: Pflicht und Vorlage

DSGVO-Verfahrensverzeichnis: Pflicht und Vorlage

Das Verzeichnis von Verarbeitungstätigkeiten nach Art. 30 DSGVO ist für die meisten Unternehmen Pflicht. Welche Inhalte rein müssen, wer ausgenommen ist und welche BfDI-/Landesdatenschutz-Vorlagen es gibt.

ComplyCheck-Redaktion · Stand: 2026-05-27

dsgvoverfahrensverzeichnisart-30bfdidokumentation

DSGVO-Verfahrensverzeichnis: Pflicht und Vorlage

Das Verzeichnis von Verarbeitungstätigkeiten (kurz: Verfahrensverzeichnis, VVT) nach Art. 30 DSGVO ist eine der wenigen wirklich konkret formulierten Pflichten der Datenschutz-Grundverordnung — und gleichzeitig eine der am häufigsten unvollständig umgesetzten. Aufsichtsbehörden prüfen das VVT routinemäßig bei jeder Auskunfts- oder Beschwerdebearbeitung; ein fehlendes oder lückenhaftes Verzeichnis ist deshalb meist die erste konkrete Beanstandung.

Dieser Artikel ordnet ein: Wer ist tatsächlich pflichtig, was muss exakt drinstehen, welche Vorlagen die Behörden bereitstellen — und wo die praktischen Stolperfallen liegen.

Art. 30 DSGVO erklärt

Die zentrale Norm in voller Knappheit (sinngemäße Wiedergabe):

(1) Jeder Verantwortliche und gegebenenfalls sein Vertreter führen ein Verzeichnis aller Verarbeitungstätigkeiten, die ihrer Zuständigkeit unterliegen. Dieses Verzeichnis enthält sämtliche folgenden Angaben: a) den Namen und die Kontaktdaten des Verantwortlichen [...] b) die Zwecke der Verarbeitung c) eine Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten d) die Kategorien von Empfängern [...] e) gegebenenfalls Übermittlungen [...] in ein Drittland [...] f) wenn möglich, die vorgesehenen Fristen für die Löschung [...] g) wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen [...].

Das VVT ist kein Datenschutz-Bericht für die Öffentlichkeit, kein TOM-Konzept und keine Datenschutz-Folgenabschätzung — sondern ein internes Steuerungsinstrument, das auf Anfrage der Aufsicht vorgelegt wird.

Hinweis

VVT ist kein TOM, keine DPIA, keine Datenschutzerklärung

Häufige Verwechslung: Das VVT ist kein Datenschutz-Bericht für die Öffentlichkeit, kein TOM-Konzept und keine Datenschutz-Folgenabschätzung. Es ist ein internes Steuerungsinstrument, das auf Anfrage der Aufsicht vorgelegt wird (Art. 30 Abs. 4) — typischerweise binnen 7-14 Tagen. Eine Veröffentlichungspflicht auf der Website besteht nicht. Was öffentlich werden muss, sind die Art. 13/14-Informationspflichten in der Datenschutzerklärung — die sind aber wieder ein anderes Dokument.

Wer ist pflichtig?

Grundsatz: alle

Art. 30 Abs. 1 verpflichtet jeden Verantwortlichen, Art. 30 Abs. 2 jeden Auftragsverarbeiter — unabhängig von Größe oder Branche. „Verantwortlicher" ist nach Art. 4 Nr. 7 DSGVO jede natürliche oder juristische Person, die über Zweck und Mittel der Verarbeitung entscheidet. Bereits eine Webseite mit Kontaktformular, Newsletter oder Mitarbeiter-Mailadressen genügt.

Die scheinbare Ausnahme: Art. 30 Abs. 5

Unternehmen und Einrichtungen mit weniger als 250 Beschäftigten sind ausgenommen — aber nur dann, wenn kumulativ alle folgenden Bedingungen erfüllt sind:

  • die Verarbeitung birgt kein Risiko für die Rechte und Freiheiten der betroffenen Personen
  • die Verarbeitung erfolgt nicht regelmäßig (Art. 5 Abs. 1 lit. b)
  • es werden keine besonderen Kategorien personenbezogener Daten verarbeitet (Art. 9 — Gesundheit, Religion, sexuelle Orientierung, biometrische Daten, etc.)
  • es werden keine Daten zu strafrechtlichen Verurteilungen verarbeitet (Art. 10)

In der Praxis scheitert die Ausnahme bei nahezu jedem operativ tätigen Unternehmen — denn schon die regelmäßige Lohnabrechnung (Mitarbeiterdaten + Gesundheitsdaten via Krankmeldung) kippt die Ausnahme. Die Datenschutzkonferenz (DSK) hat in Kurzpapier Nr. 1 klargestellt: praktisch jeder Arbeitgeber führt regelmäßige Verarbeitungen durch und ist deshalb VVT-pflichtig.

Auftragsverarbeiter (Art. 30 Abs. 2)

Auftragsverarbeiter (z.B. SaaS-Anbieter, Hosting-Provider, Steuerberater) führen ein eigenes Verzeichnis mit reduziertem Inhalt — Name und Kontaktdaten des Verantwortlichen, Kategorien der durchgeführten Verarbeitungen, Drittlandübermittlungen und TOM.

Wichtig: das Auftragsverarbeiter-VVT ist nicht das gleiche wie der Auftragsverarbeitungs-Vertrag (AVV nach Art. 28). Beide sind Pflicht, aber unterschiedliche Dokumente.

Achtung

Die „250-Mitarbeiter-Ausnahme" greift fast nie

Häufiger Irrtum: „Wir haben unter 250 MA, wir sind raus." Falsch — die Ausnahme nach Art. 30 Abs. 5 greift nur, wenn alle vier Bedingungen kumulativ erfüllt sind: kein Risiko für Betroffene, keine regelmäßige Verarbeitung, keine besonderen Datenkategorien (Art. 9), keine Strafverfolgungs-Daten (Art. 10). Schon die regelmäßige Lohnabrechnung (Mitarbeiterdaten + Gesundheitsdaten via Krankmeldung) kippt die Ausnahme. Die DSK hat in Kurzpapier Nr. 1 klargestellt: praktisch jeder Arbeitgeber führt regelmäßige Verarbeitungen durch und ist VVT-pflichtig.

Was muss rein? Pflicht-Inhalte im Detail

Für jeden einzelnen Verarbeitungsvorgang verlangt Art. 30 Abs. 1 mindestens:

a) Name und Kontaktdaten

  • Name des Verantwortlichen (Firma)
  • Anschrift
  • Vertretungsberechtigte Person(en)
  • Kontaktdaten des Datenschutzbeauftragten (falls bestellt — Art. 37)
  • Bei Konzernen: ggf. der gemeinsam Verantwortliche (Art. 26)

b) Zwecke der Verarbeitung

Konkret formuliert — nicht „allgemeine Geschäftstätigkeit". Beispiele für brauchbare Zweckformulierungen:

  • „Lohnabrechnung und Erfüllung arbeitsrechtlicher Pflichten"
  • „Versand des wöchentlichen Newsletters mit Produkt-Updates"
  • „Bewerber-Management vom Eingang bis zur Vertragsentscheidung"
  • „Buchhaltung und Aufbewahrung steuerrelevanter Belege nach AO §147"

c) Kategorien betroffener Personen und personenbezogener Daten

Beispiele:

  • Betroffene: Beschäftigte, Bewerber, Kunden, Lieferanten, Newsletter-Abonnenten, Website-Besucher
  • Datenkategorien: Stammdaten (Name, Anschrift, Geburtsdatum), Kommunikationsdaten (E-Mail, Telefon), Vertragsdaten, Zahlungsdaten, Beschäftigungsdaten (Lohn, Urlaubsabrechnung), Gesundheitsdaten (Krankmeldungen), Nutzungsdaten (Logs, Cookies)

d) Kategorien von Empfängern

Wer bekommt die Daten? Eigene Mitarbeiter, externe Dienstleister (mit Namen oder Kategorien), Behörden (Finanzamt, Sozialversicherung), Banken, Berufsgenossenschaften usw.

e) Drittlandübermittlungen

Wird die Verarbeitung außerhalb der EU/EWR durchgeführt? Bei „ja" — auf welcher Rechtsgrundlage? (Angemessenheitsbeschluss, Standardvertragsklauseln, BCR, Ausnahme nach Art. 49). Bei US-SaaS besonders relevant.

f) Löschfristen

Soweit möglich konkret. Praxis: oft als Standardfristen je Datenkategorie hinterlegt — z.B. „Bewerberdaten: 6 Monate nach Absage, sofern keine Einwilligung zur längeren Speicherung".

g) TOM-Beschreibung

Allgemeine Beschreibung der technischen und organisatorischen Maßnahmen — Verschlüsselung, Zugriffskonzept, Pseudonymisierung, Backup, Notfallkonzept usw. Eine detaillierte TOM-Anlage kann separat geführt und im VVT referenziert werden.

Praxis-Tipps

Praxis-Tipp

Drei Schritte zum belastbaren VVT

Pragmatische Reihenfolge für KMU: (1) Behörden-Mustervorlage von BfDI oder Landes-DSB als Excel laden (kostenlos), (2) pro Verarbeitungszweck einen Eintrag — „Lohnabrechnung", „Newsletter-Marketing", „Bewerber-Management" — egal welches Tool dahintersteht (Granularität: nicht pro Tool, nicht pro Abteilung, sondern pro Zweck), (3) halbjährlichen Review im Kalender fixieren plus Ad-hoc-Update bei neuem Tool oder Prozess. Spezialisierte VVT-Software lohnt erst ab ~30 Verarbeitungen.

1. Granularität ist Kunst, nicht Wissenschaft

Pro Tool ein Eintrag wäre zu kleinteilig, pro Abteilung zu grob. Praxisbewährt: pro Verarbeitungszweck ein Eintrag. „Lohnabrechnung" ist ein Eintrag — egal ob dahinter DATEV, Excel oder ein HR-SaaS steht. „Newsletter-Marketing" ist ein Eintrag — egal ob Brevo, Mailchimp oder ActiveCampaign.

2. Format ist freigestellt

Art. 30 Abs. 3 erlaubt schriftlich oder elektronisch. In der Praxis hat sich Excel/Numbers für KMU bewährt, weil filterbar und mit den Behörden-Templates kompatibel. Spezialisierte VVT-Tools (z.B. otris, DSMS-Plattformen, audatis) lohnen sich erst ab mittelgroßem Bestand (~30+ Verarbeitungen).

3. Vorlagepflicht — Tempo zählt

Art. 30 Abs. 4: das VVT ist auf Anfrage der Aufsicht zur Verfügung zu stellen. Übliche Fristen liegen bei 7-14 Tagen. Wer dann ein leeres Excel oder ein durcheinander geratenes Word-Dokument liefert, signalisiert: „Datenschutz ist hier kein gelebter Prozess." Das ist regelmäßig der Trigger für eine vertiefte Prüfung.

4. Aktualisierung als Routine

Jede Änderung am Verarbeitungs-Setup (neuer Cookie-Banner, neuer Bewerbungsprozess, neues HR-Tool, neuer Newsletter, neues CRM) erfordert eine VVT-Anpassung. Praxisempfehlung: VVT halbjährlich review, plus Ad-hoc bei größeren Änderungen.

5. Bei kombinierter Auftragsverarbeitung

Wer SaaS-Anbieter ist (Auftragsverarbeiter) und gleichzeitig eigene Kunden- und Mitarbeiterdaten verarbeitet (Verantwortlicher), muss beide Verzeichnisse führen — sie können in einem Dokument zusammengefasst werden, müssen aber klar getrennt sein.

Vorlage-Hinweise

Die folgenden kostenlosen Mustervorlagen werden von deutschen Aufsichtsbehörden zur Verfügung gestellt:

  • BfDI (Bundesbeauftragte): Excel-/PDF-Mustervorlage auf der Verfahrensverzeichnis-Übersichtsseite
  • Berliner Datenschutzbeauftragte: detaillierte Excel-Vorlage inklusive Beispielzeilen für typische Verarbeitungen
  • LfDI Baden-Württemberg: PDF-Muster speziell für kleine und mittlere Unternehmen
  • Bayerisches LDA: branchenspezifische Muster (Vereine, Arztpraxen, Bildungseinrichtungen)
  • DSK-Kurzpapier Nr. 1: konzeptioneller Leitfaden zum VVT-Aufbau

Daneben existieren Branchen-Muster der Verbände (z.B. DIHK für Industrie und Handel, ZDH für Handwerk, BVDW für digitale Wirtschaft). Diese sind meist DSGVO-konform, aber im Detail unterschiedlich strukturiert — die Behörden-Vorlagen sind im Zweifel der robustere Ausgangspunkt.

FAQ

Muss das VVT extern eingereicht oder veröffentlicht werden?

Nein. Das VVT ist ein internes Dokument und wird ausschließlich auf Anfrage einer Aufsichtsbehörde herausgegeben (Art. 30 Abs. 4 DSGVO). Eine Veröffentlichungspflicht — z.B. auf der Website — besteht nicht. Was hingegen veröffentlicht werden muss, sind die Informationspflichten nach Art. 13/14 DSGVO (typischerweise in der Datenschutzerklärung).

Welche Sanktionen drohen bei unvollständigem VVT?

Nach Art. 83 Abs. 4 DSGVO sind Verstöße gegen Art. 30 mit Bußgeld bis zu 10 Mio. € oder 2 % des weltweiten Jahresumsatzes (jeweils höherer Betrag) bewehrt. In der Praxis ist das selten der erste Sanktionsschritt — meist setzt die Behörde Nachfristen, eskaliert über Auflagen und Anordnungen. Wer aber wiederholt nicht liefert, riskiert reale Bußgelder; deutsche Aufsichtsbehörden haben mehrfach Bußgelder im fünfstelligen Bereich gegen mittelständische Betriebe wegen fehlender oder leerer VVTs verhängt.

Kann das VVT durch ein Tool wie OneTrust oder DSMS-Software automatisiert werden?

Ja, gängige Tools (OneTrust, audatis manager, otris privacy, datenschutzexperte, etc.) decken das VVT als Standard-Modul ab. Für Unternehmen mit 5-15 Verarbeitungen lohnt sich meist eine sauber gepflegte Excel-Lösung — der Tool-Aufwand übersteigt sonst den Nutzen.

Was passiert mit dem VVT bei einer Betriebsübergabe / Fusion?

Bei einem Asset-Deal übernimmt der Erwerber die bestehenden Datenbestände und damit auch die Pflicht zur Fortführung des VVT. Bei einem Share-Deal bleibt die Gesellschaft erhalten und führt ihr VVT unverändert weiter. In beiden Fällen empfiehlt sich eine VVT-Review im Rahmen der Datenschutz-Due-Diligence.

Reicht es, das VVT einmal jährlich zu aktualisieren?

Formal ja — Art. 30 DSGVO schreibt keine Aktualisierungsfrequenz vor. Praktisch ist ein jährlicher Review aber das absolute Minimum. Bei dynamischen Unternehmen (häufige Tool-Wechsel, schnelles Wachstum) ist ein halbjährlicher oder quartalsweiser Rhythmus realistischer, damit die Aufzeichnungen nicht systematisch hinter der Realität herhinken.

Veröffentlicht durch die ComplyCheck-Redaktion. Veröffentlicht am 27. Mai 2026.

Verantwortlich i.S.d. § 18 MStV: siehe Impressum.

Fehler entdeckt oder ergänzende Erfahrung? korrektur@complycheck.de

Artikel teilen
CC

Compliance-Updates ohne GRC-Bloat

NIS2-, DORA- und KRITIS-Hinweise für KMU: kurz, quellenbasiert und mit nächsten Schritten.

🎁 Gratis dazu: NIS2-Scope-Checkliste für KMU

Das könnte dich auch interessieren

Kommentare (0)

Kommentar schreiben

Kommentare werden vor der Veröffentlichung geprüft.