DSGVO Verarbeitungsverzeichnis VVT Erstellen
DSGVO: Verarbeitungsverzeichnis (VVT) erstellen – Anleitung und Vorlage 2026
1. Was ist das Verarbeitungsverzeichnis (VVT)?
Das Verarbeitungsverzeichnis von Verarbeitungstätigkeiten (VVT) ist eine zentrale Dokumentation, die alle Verarbeitungen personenbezogener Daten in einem Unternehmen systematisch erfasst. Es ist nach Artikel 30 Datenschutz-Grundverordnung (DSGVO) eine Pflichtdokumentation und dient als Nachweis der Datenschutzkonformität.
Das VVT dokumentiert, welche Daten verarbeitet werden, zu welchem Zweck, wer diese Daten verarbeitet, wo sie gespeichert werden und wie lange sie aufbewahrt werden. Es ist eines der wichtigsten Instrumente zur Nachweisführung nach Art. 5 Abs. 2 DSGVO (Accountability-Prinzip).
💡 Tipp: Das VVT muss nicht öffentlich zugänglich sein, aber jederzeit der Aufsichtsbehörde vorgelegt werden können. Halten Sie es zentral, aktuell und nachvollziehbar.
2. Wer muss ein VVT führen?
Grundsätzlich muss jede Organisation, die personenbezogene Daten verarbeitet, ein VVT führen. Es gibt jedoch eine wichtige Ausnahme nach Art. 30 Abs. 5 DSGVO:
| Kriterium | VVT-Pflicht | Erläuterung |
|---|---|---|
| Weniger als 250 Mitarbeiter | Teilweise | Ausnahme nur bei gelegentlicher Datenverarbeitung und nicht mit besonderen Kategorien. Für Verarbeitung besonderer Daten (Art. 9 DSGVO) besteht auch bei <250 MA Pflicht. |
| 250+ Mitarbeiter | Ja | Unbeschränkte Dokumentationspflicht nach Art. 30 DSGVO |
| Behörden, Öffentliche Stellen | Ja | Vollständige Pflicht unabhängig von Größe |
| Verarbeitung besonderer Daten | Ja | Auch bei <250 MA muss VVT dokumentiert werden |
⚠️ Wichtig: Die Exception für kleine Unternehmen ist eng auszulegen. Auch Klein- und Mittelbetriebe müssen ein VVT führen, wenn sie Daten von Bewerber, Kunden oder Mitarbeitern verarbeiten. Die DSGVO unterscheidet hier nicht wie das alte BDSG.
3. Was muss im VVT dokumentiert werden?
Nach Artikel 30 DSGVO muss das Verarbeitungsverzeichnis folgende Informationen für jede Verarbeitungstätigkeit enthalten:
3.1 Für Verantwortliche (Controller) – Art. 30 Abs. 1 DSGVO:
- Name und Kontaktdaten des Verantwortlichen
- Name und Kontaktdaten des Datenschutzbeauftragten (falls vorhanden)
- Zwecke der Verarbeitung
- Kategorien betroffener Personen (Kunden, Mitarbeiter, Lieferanten, Interessenten)
- Kategorien personenbezogener Daten (Name, E-Mail, IP-Adresse, Zahlungsdaten, etc.)
- Kategorien von Empfängern (interne Abteilungen, externe Dienstleister, Behörden)
- Informationen über Übermittlung in Drittländer oder an internationale Organisationen
- Löschfristen bzw. Aufbewahrungsfristen für die Daten
- Allgemeine Beschreibung der technischen und organisatorischen Maßnahmen nach Art. 32 DSGVO
3.2 Für Auftragsverarbeiter (Processor) – Art. 30 Abs. 2 DSGVO:
Auftragsverarbeiter müssen dokumentieren:
- Name und Kontaktdaten des Auftragsverarbeiters
- Name und Kontaktdaten des Datenschutzbeauftragten (falls vorhanden)
- Kategorien von Verarbeitungen für jeden Auftraggeber
- Name und Kontaktdaten der Verantwortlichen
- Art und Umfang der Datenverarbeitung (beispielsweise "Hosting-Dienstleistungen", "Payroll Processing")
- Verarbeitungsort(e)
- Allgemeine Beschreibung technischer und organisatorischer Maßnahmen
✅ Gut zu wissen: Das VVT muss nicht in einer bestimmten Form vorliegen. Excel, Word oder spezialisierte DSGVO-Softwarelösungen sind gleichermaßen geeignet – wichtig ist die Vollständigkeit und Aktualität der Dokumentation.
4. VVT-Vorlage und Struktur
Hier ist eine praktische Vorlage für ein Verarbeitungsverzeichnis mit allen erforderlichen Spalten:
| Verarbeitungstätigkeit | Zweck | Kategorien betroffener Personen | Kategorien von Daten | Empfänger | Aufbewahrungsfrist | TOM | Drittlandtransfer |
|---|---|---|---|---|---|---|---|
| Kundendaten-Management (CRM) | Verwaltung von Kundenbeziehungen, Marketing, Fulfillment | Aktuelle Kunden, potenzielle Kunden, Interessenten | Name, E-Mail, Telefon, Adresse, Zahlungsdaten, Kaufhistorie | Intern: Vertrieb, Marketing, Finanzen; Extern: Zahlungsdienstleister, Versand, CRM-Hoster | 3 Jahre nach letztem Kontakt (Geschäftsbedarf) | Verschlüsselung, Zugriffskontrolle, regelmäßige Backups | Nein |
| Mitarbeiterdaten | Personalverwaltung, Abrechnung, Kommunikation, Compliance | Angestellte, Bewerber, Contractoren | Name, Adresse, SSN, Gehalt, Krankentagsdaten, Notfaltkontakt | Intern: HR, Finanzen, Management; Extern: Payroll-Provider, Steuerberater, Sozialversicherung | Nach Ende des Arbeitsverhältnisses + 10 Jahre (steuerlich/arbeitsrechtlich) | Verschlüsselte Speicherung, Zugriffsverwaltung, Audit-Logs | Nein |
| Website-Analytik | Verständnis von User-Verhalten, Optimierung der Website, Marketing-Analyse | Website-Besucher, potenzielle Kunden | IP-Adresse, Cookies, Verweildauer, Klickverhalten, Gerätetyp | Intern: Marketing, Geschäftsleitung; Extern: Analytics-Anbieter (z.B. Matomo, Google Analytics) | 13 Monate (Standard Google Analytics) | Anonymisierung, Pseudonymisierung, Cookie-Consent, IP-Masking | Ja, falls Google Analytics mit Standard-Transfer (klären!) |
| E-Mail-Marketing | Newsletter, Werbung, Kundeninformation, Promotionen | Newsletter-Abonnenten, Kunden mit Einwilligung | E-Mail, Name, Präferenzen, Öffnungsverhalten, Link-Clicks | Intern: Marketing; Extern: E-Mail-Service-Provider (MailChimp, Brevo, etc.) | Solange Einwilligung gültig, dann 3 Jahre nach Abmeldung | Double Opt-In, Einwilligungsverwaltung, TLS-Verschlüsselung | Klären je nach Anbieter |
| Lieferantendaten | Verwaltung von Geschäftsbeziehungen, Kommunikation, Zahlungsabwicklung | Lieferanten, deren Kontaktpersonen, Geschäftsführer | Firmennamen, Kontaktpersonen, E-Mail, Bankdaten, Steuernummer | Intern: Einkauf, Finanzen, Geschäftsführung; Extern: Finanzbehörden, ggf. Auditer | 6 Jahre nach Geschäftsabschluss (Aufbewahrungspflicht HGB) | Zugriffskontrolle, Verschlüsselung sensibler Daten, regelmäßige Backups | Nein (nur EU) |
5. Unterschied: Controller VVT vs. Processor VVT
Ein kritischer Unterschied besteht zwischen dem Verarbeitungsverzeichnis des Verantwortlichen (Controller) und des Auftragsverarbeiters (Processor):
| Aspekt | Verantwortlicher (Controller) | Auftragsverarbeiter (Processor) |
|---|---|---|
| Wer füllt aus | Das Unternehmen, das die Daten selbst verarbeitet | Der Dienstleister, der Daten im Auftrag verarbeitet |
| Zweck | Alle Zwecke, die das Unternehmen selbst definiert | Zwecke, die vom Controller vorgegeben werden |
| Detail-Ebene | Detailliert und spezifisch (einzelne Verarbeitungen) | Kategorien von Verarbeitungen (z.B. "Hosting für mehrere Kunden") |
| Aufbewahrungsfrist | Business-basiert (z.B. 3 Jahre nach Kundenzusammenhang) | Wie vom Controller vorgegeben |
| Beispiel | Ein E-Commerce-Unternehmen dokumentiert "Kundendaten für Vertrieb und Marketing" | Ein Hosting-Provider dokumentiert "Speicherung von Websites für mehrere Kunden" |
💡 Tipp: Auftragsverarbeiter sind nicht verantwortlich für die Zwecke der Verarbeitung – diese definiert der Controller. Der Processor dokumentiert nur, welche Art Verarbeitung er durchführt.
6. Technische und organisatorische Maßnahmen (TOM)
Im VVT müssen die technischen und organisatorischen Maßnahmen nach Art. 32 DSGVO dokumentiert werden. Diese beschreiben, wie Daten geschützt werden:
Technische Maßnahmen:
- Verschlüsselung (bei Übertragung und Speicherung)
- Zugriffskontrolle (Authentifizierung, Autorisierung)
- Firewalls und Intrusion-Detection-Systeme
- Regelmäßige Backups
- Datensicherung und Wiederherstellungspläne (Business Continuity)
- Protokollierung und Monitoring (Audit-Logs)
Organisatorische Maßnahmen:
- Datenschutz durch Datenschutz-by-Design und by Default
- Schulungen und Sensibilisierung der Mitarbeiter
- Datenschutz-Folgenabschätzung (DPIA) bei höherem Risiko
- Datenschutzrichtlinien und Verfahrensanweisungen
- Zugriffsberechtigungen und Rollenverwaltung
- Vertraulichkeitserklärungen für Mitarbeiter und Dienstleister
7. Praktische Beispiele für VVT-Einträge
Beispiel 1: Kundendatenbank
Verarbeitungstätigkeit: CRM-Kundendaten-Management Verantwortlicher: Musterunternehmen GmbH, Musterstraße 1, 10115 Berlin Datenschutzbeauftragter: datenschutz@musterunternehmen.de Zweck: Verwaltung von Kundenbeziehungen, Versand von Angeboten, Rechnungsstellung Kategorien betroffener Personen: Geschäftskunden, Einzelkunden, Interessenten Kategorien personenbezogener Daten: - Identifikationsdaten: Name, Anschrift, E-Mail, Telefon, Kundennummer - Geschäftsdaten: Vertragsinformationen, Kaufhistorie, Zahlungsverhalten - Kommunikation: Anfragen, Feedback Empfänger: - Intern: Vertrieb, Kundensupport, Finanzen, Management - Extern: Zahlungsdienstleister (Stripe), CRM-Anbieter, Versandunternehmen Länder: Deutschland, EU Aufbewahrungsfrist: 3 Jahre nach letztem aktiven Kontakt Technische/Organisatorische Maßnahmen: - Verschlüsselung während Übertragung (HTTPS/TLS) - Verschlüsselte Speicherung in PostgreSQL-Datenbank - Zugriffskontrolle mit Rolle-basiertem Zugang (RBAC) - Regelmäßige Backups (täglich, 30 Tage Aufbewahrung) - Audit-Logs für alle Zugriffe auf Kundendaten - Schulung aller Mitarbeiter mit Kundenzugriff (jährlich) - Datenschutz-Geheimhaltungsvereinbarung für alle Nutzer
Beispiel 2: E-Mail-Marketing
Verarbeitungstätigkeit: Newsletter-Marketing Verantwortlicher: Musterunternehmen GmbH Zweck: Information über neue Produkte, Promotionen, Unternehmensnews Kategorien betroffener Personen: Newsletter-Abonnenten, Kunden mit Einwilligung Kategorien personenbezogener Daten: - E-Mail-Adresse - Name (optional) - Newsletter-Präferenzen - Engagement-Daten (Öffnungen, Klicks) Empfänger: - Intern: Marketing-Abteilung - Extern: E-Mail-Service-Provider (Brevo/Sendinblue) Aufbewahrungsfrist: Während Abonnement aktiv, dann 6 Monate nach Abmeldung (CASL/GDPR) Rechtsgrundlage: Art. 6 Abs. 1 Buchstabe a DSGVO (Einwilligung) Technische/Organisatorische Maßnahmen: - Double-Opt-In-Verfahren - Verwaltung von Einwilligungen mit Timestamps - TLS-verschlüsselte Übertragung zu E-Mail-Provider - Audit-Trail für Abmeldungen - Angebrachte Abmeldeoption in jedem Newsletter
8. VVT-Wartung und Aktualisierung
Das VVT ist kein einmaliges Dokument, sondern muss kontinuierlich aktualisiert werden. Folgende Situationen erfordern eine Aktualisierung:
| Ereignis | Aktion | Frist |
|---|---|---|
| Neue Verarbeitungstätigkeit | Eintrag ins VVT dokumentieren | Vor Beginn der Verarbeitung |
| Zweckänderung einer Verarbeitung | VVT aktualisieren, ggf. neue Rechtsgrundlage prüfen | Vor Umsetzung |
| Neue Auftragsverarbeiter/Empfänger | VVT ergänzen | Vor Datenweitergabe |
| Datenschutzvorfall (Breach) | VVT überprüfen, TOM ggf. verbessern | Nach Incident |
| Neue technische Systeme oder Tools | VVT anpassen (neue TOM) | Vor Implementierung |
| Jährliche Review | Alle Einträge überprüfen und ggf. aktualisieren | Jährlich (z.B. zum Geschäftsjahresende) |
⚠️ Wichtig: Unternehmen, die ein veraltetes VVT führen (das neue Datenverarbeitungen nicht dokumentiert), riskieren hohe Bußgelder. Die Aufsichtsbehörden kontrollieren gezielt, ob das VVT aktuell ist. Besonders bei Datenpannen wird ein unvollständiges VVT als Compliance-Verstoß ausgelegt.
9. VVT Update-Checkliste
| Kontrollfrage | Status | Verantwortliche Person |
|---|---|---|
| Werden alle aktuellen Datenverarbeitungen dokumentiert? | ☐ Ja ☐ Nein | |
| Sind alle Zwecke der Verarbeitung aktuell und beschrieben? | ☐ Ja ☐ Nein | |
| Sind alle Empfänger und Drittanbieter dokumentiert? | ☐ Ja ☐ Nein | |
| Sind Aufbewahrungsfristen klar definiert und einhaltbar? | ☐ Ja ☐ Nein | |
| Sind alle TOM implementiert und dokumentiert? | ☐ Ja ☐ Nein | |
| Bestehen aktuelle AVV (Auftragsverarbeitungsverträge) mit allen Prozessoren? | ☐ Ja ☐ Nein | |
| Sind Datenschutz-Folgenabschätzungen (DPIA) durchgeführt wo notwendig? | ☐ Ja ☐ Nein | |
| Wurde das VVT in den letzten 12 Monaten überprüft und aktualisiert? | ☐ Ja ☐ Nein |
10. Konsequenzen eines fehlenden oder unvollständigen VVT
Die fehlende oder unzureichende Dokumentation des VVT ist ein Verstoß gegen Art. 30 DSGVO und kann zu erheblichen Bußgeldern führen:
- Bußgeldrahmen: bis zu 10.000.000 EUR oder bis zu 2% des weltweiten Jahresumsatzes (Art. 83 Abs. 4 DSGVO)
- Deutsche Aufsichtsbehörden: Kontrollieren gezielt VVT-Einhaltung bei Datenschutzprüfungen
- Mangel als Beweismittel: Ein fehlendes VVT gilt bei Aufsichtsbehörden als Indikator für unzureichendes Datenschutz-Management
- Prozessrisiko: In Datenschutzklagen können Unternehmen die Compliance nicht nachweisen
- Reputation: Verstöße können öffentlich gemacht werden und schaden dem Vertrauen
11. Tools zur VVT-Verwaltung
Es gibt verschiedene Möglichkeiten, ein VVT zu dokumentieren:
| Tool/Methode | Vorteile | Nachteile | Kosten |
|---|---|---|---|
| Excel / Google Sheets | Einfach, kostenlos, jeder kennt es | Nicht versioniert, Versionierungsprobleme bei vielen Nutzer, keine Automation | Kostenlos |
| Word / Google Docs Dokumentation | Ausführliche Dokumentation möglich, einfach zu verstehen | Schwer zu durchsuchen, nicht strukturiert, wartungsintensiv | Kostenlos |
| Spezialisierte DSGVO-Software (Consentmanager, DataGov, Compliance-Tower) | Automatisierung, Integrationsmöglichkeiten, Audit-Trail, Reminder für Updates | Höhere Kosten, möglicherweise Overkill für kleine Unternehmen | 200-2000 EUR/Jahr |
| Open-Source-Lösungen (Datawin, GDPR Tracker) | Flexibel, anpassbar, kostenfrei modifizierbar | Erfordert IT-Kenntnisse, weniger Support, Integration aufwändig | Kostenlos (bis auf Hosting) |
| Datenschutzbüro/Beratung (externe DSB) | Professionell, legal validiert, kompletter Service | Teuer, externe Abhängigkeit | 2000-5000 EUR/Jahr |
12. Wann sollte das VVT überprüft werden?
Regelmäßige Überprüfung und Aktualisierung sind essentiell für die Compliance:
- Jährlich: Mindestens einmal pro Jahr sollte eine vollständige Überprüfung stattfinden
- Nach Organisationsänderungen: Bei Mergers, Umstrukturierungen oder neuen Geschäftsbereichen
- Nach Datenpannen: Zur Überprüfung und Verbesserung von Sicherheitsmaßnahmen
- Bei neuen Technologien: KI, Cloud-Services, neue Monitoring-Tools erfordern VVT-Update
- Bei Änderungen der Verarbeitungsprozesse: Neue Systeme, neue Dienste, neue Empfänger
- Vor Datenschutz-Audits oder Zertifizierungen: ISO 27001, BSI IT-Grundschutz
13. Verwandte Dokumentationen
- 📖 DSGVO Website-Checkliste 2026
- 📖 DSGVO: Auftragsverarbeitervertrag (AVV) erstellen
- 📖 Datenschutzerklärung erstellen 2026
- 📖 Datenschutz-Folgenabschätzung (DPIA) Anleitung
- 🔧 Enjyn Crawler – Website auf Sicherheit prüfen
Zuletzt aktualisiert: April 2026 | Rechtsstand: DSGVO (EU 2016/679), BDSG (2018) | Diese Informationen stellen keine Rechtsberatung dar. Konsultieren Sie bei kritischen Fragen einen Datenschutzanwalt.