EuroComply
Sign up
Back to blog
DSGVO 8 min read

Verzeichnis von Verarbeitungstätigkeiten nach DSGVO: Ein Praxisleitfaden

What you need to know: Verzeichnis von Verarbeitungstätigkeiten nach DSGVO: Ein Praxisleitfaden

Das Verzeichnis von Verarbeitungstätigkeiten (VVT) ist für die meisten Organisationen nach Art. 30 DSGVO verpflichtend. Dieser Leitfaden zeigt, was aufgezeichnet werden muss, wer ausgenommen ist und wie ein VVT aufgebaut und gepflegt wird.

Source: EuroComply Editorial (2026-04-14)Reviewed:
EuroComply Team
EU regulatory specialistsContent reviewed against official EUR-Lex texts
EuroComply Editorial Team

Das Verzeichnis von Verarbeitungstätigkeiten (VVT) ist eines der grundlegenden Rechenschaftsdokumente, die die DSGVO vorschreibt. Art. 30 verpflichtet Verantwortliche und Auftragsverarbeiter, ein schriftliches Verzeichnis aller von ihnen durchgeführten Verarbeitungstätigkeiten mit personenbezogenen Daten zu führen. Trotz seiner Bedeutung ist das VVT häufig unvollständig, veraltet oder schlicht nicht vorhanden.

Dieser Leitfaden behandelt, wer ein VVT führen muss, was es enthalten muss und wie es aufgebaut und aktuell gehalten wird.

Was ein VVT ist

Ein VVT ist ein dokumentiertes Inventar jeder Verarbeitungstätigkeit, die Ihre Organisation im Umgang mit personenbezogenen Daten durchführt. Es ist kein öffentliches Dokument — es ist ein internes Rechenschaftsdokument, das für Ihre Organisation geführt und den Aufsichtsbehörden auf Anfrage vorgelegt wird.

Art. 30 unterscheidet zwischen den Pflichten der Verantwortlichen (Organisationen, die Zwecke und Mittel der Verarbeitung bestimmen) und der Auftragsverarbeiter (Organisationen, die Daten im Auftrag eines Verantwortlichen verarbeiten). Die meisten Unternehmen sind für ihre eigene Datenverarbeitung Verantwortliche und für Daten, die sie im Auftrag von Kunden verarbeiten, Auftragsverarbeiter.

Wer ausgenommen ist

Art. 30 Abs. 5 sieht eine Ausnahme für Organisationen mit weniger als 250 Beschäftigten vor, es sei denn, die Verarbeitung:

  • birgt voraussichtlich ein Risiko für die Rechte und Freiheiten der betroffenen Personen;
  • erfolgt nicht nur gelegentlich; oder
  • umfasst besondere Kategorien von Daten (Art. 9) oder Daten über strafrechtliche Verurteilungen (Art. 10).

In der Praxis ist diese Ausnahme enger, als sie erscheint. „Nicht nur gelegentlich" bedeutet jede Verarbeitung, die regelmäßig oder fortlaufend erfolgt — dazu gehören Beschäftigtendaten, Kundendaten, Marketinglisten und das Lieferantenmanagement. Jede Organisation, die Kundendaten pflegt, Gehaltsabrechnungen erstellt oder regelmäßig Marketing-E-Mails versendet, qualifiziert sich allein aufgrund der „nicht nur gelegentlichen" Verarbeitung nicht für die Ausnahme.

Die praktische Konsequenz: Die meisten Unternehmen — unabhängig von der Beschäftigtenzahl — benötigen ein VVT. Wenn Sie personenbezogene Daten regelmäßig verarbeiten, sollten Sie eines führen.

Was das VVT des Verantwortlichen enthalten muss (Art. 30 Abs. 1)

| Element | Was aufzuzeichnen ist | |---------|----------------------| | Name und Kontaktdaten | Name und Anschrift des Verantwortlichen sowie ggf. des Datenschutzbeauftragten (DSB) | | Zwecke der Verarbeitung | Warum Sie diese Daten verarbeiten | | Kategorien betroffener Personen | Über wen die Daten handeln (Beschäftigte, Kunden, Website-Besucher) | | Kategorien personenbezogener Daten | Welche Daten Sie speichern (Name, E-Mail, Gesundheitsdaten, Finanzdaten) | | Kategorien von Empfängern | An wen Sie die Daten weitergeben (Dritte, Auftragsverarbeiter) | | Drittlandübermittlungen | Übermittlungen außerhalb des EWR und die vorhandenen Schutzmaßnahmen | | Löschfristen | Wie lange Sie die Daten aufbewahren (oder die Kriterien zur Festlegung dieser Fristen) | | Sicherheitsmaßnahmen | Beschreibung der technischen und organisatorischen Maßnahmen (Art. 32) |

Alle acht Elemente sind verpflichtend. Die am häufigsten unvollständigen Abschnitte sind Löschfristen und Sicherheitsmaßnahmen.

Was das VVT des Auftragsverarbeiters enthalten muss (Art. 30 Abs. 2)

Wenn Ihre Organisation als Auftragsverarbeiter für Daten Dritter handelt (z. B. ein SaaS-Unternehmen, das Kundendaten verarbeitet, ein Lohnabrechnungsdienstleister, ein Cloud-Speicheranbieter), muss Ihr VVT als Auftragsverarbeiter enthalten:

  • Name und Kontaktdaten des Auftragsverarbeiters und jedes Verantwortlichen, in dessen Auftrag Sie tätig sind
  • Kategorien von Verarbeitungen, die im Auftrag jedes Verantwortlichen durchgeführt werden
  • Drittlandübermittlungen und Schutzmaßnahmen
  • Beschreibung der Sicherheitsmaßnahmen

Praktische Struktur: Nach Verarbeitungstätigkeit gliedern

Das praktikabelste Format ist eine Tabelle mit einer Zeile pro Verarbeitungstätigkeit. Fassen Sie Aktivitäten nach Geschäftsbereichen zusammen:

Personal: Recruiting, Personalakten, Gehaltsabrechnung, Leistungsmanagement, Offboarding Marketing: E-Mail-Kampagnen, Lead-Erfassung, CRM, Werbetargeting Kundenservice: Support-Tickets, Gesprächsaufzeichnungen, Kontoverwaltung Finanzen: Rechnungsstellung, Kreditorenbuchhaltung, Finanzberichterstattung IT und Systeme: Zugriffsprotokolle, Systemüberwachung, Lieferantenmanagement Recht und Compliance: Vertragsmanagement, Vorfallsprotokoll, regulatorisches Berichtswesen

Jede Zeile in Ihrer Tabelle sollte alle acht Elemente nach Art. 30 Abs. 1 für diese Tätigkeit erfassen. Eine einzelne Zeile könnte so aussehen:

| Tätigkeit | Zweck | Betroffene Personen | Personenbezogene Daten | Empfänger | Löschfrist | Übermittlungen | Sicherheit | |-----------|-------|---------------------|------------------------|-----------|------------|----------------|------------| | Gehaltsabrechnung | Verarbeitung von Gehaltszahlungen | Beschäftigte | Name, Bankverbindung, Gehalt, Steuernummer | Lohnabrechnungsdienstleister, Finanzbehörde | Dauer des Arbeitsverhältnisses + 7 Jahre | Keine | Verschlüsselte Übertragung, Zugangskontrollen |

Datenmapping zuerst

Sie können kein VVT erstellen, ohne zuvor die Datenflüsse erfasst zu haben. Führen Sie vor der Erstellung des Dokuments eine Datenmapping-Übung durch:

  1. Abteilungsleiter befragen — Fragen Sie jede Abteilung: Welche personenbezogenen Daten erfassen Sie? Woher stammen sie? Wofür nutzen Sie sie? An wen geben Sie sie weiter? Wie lange bewahren Sie sie auf?
  2. Systemverzeichnis prüfen — Listen Sie jedes System auf, das personenbezogene Daten speichert: CRM, HRIS, Marketingplattform, Support-Desk, Buchhaltungssoftware, Dateispeicher. Jedes System entspricht wahrscheinlich einer oder mehreren Verarbeitungstätigkeiten.
  3. Lieferantenverträge prüfen — Ihre Auftragsverarbeitungsverträge (AVV) mit Drittanbietern werden aufzeigen, welche Daten an diese fließen und zu welchem Zweck.
  4. Datenschutzhinweise prüfen — Ihre öffentlich zugänglichen Datenschutzhinweise beschreiben betroffenen Personen gegenüber Verarbeitungstätigkeiten. Diese sollten direkt mit Zeilen in Ihrem VVT übereinstimmen (falls nicht, müssen möglicherweise auch Ihre Datenschutzhinweise aktualisiert werden).

Löschfristen: Der schwierigste Abschnitt

Löschfristen sind der am häufigsten unvollständige Abschnitt jedes VVT. Die Versuchung besteht darin, „nach gesetzlicher Vorschrift" zu schreiben — aber das ist unzureichend. Art. 30 verlangt, dass Sie tatsächliche Fristen oder die zur Festlegung verwendeten Kriterien angeben.

Erstellen Sie parallel zu Ihrem VVT einen Löschplan. Ermitteln Sie für jede Verarbeitungstätigkeit:

  • Die geltende gesetzliche Aufbewahrungspflicht (falls vorhanden) — z. B. Lohnunterlagen: 6 Jahre (Vereinigtes Königreich), 10 Jahre (Deutschland), 3 Jahre (Frankreich)
  • Die betriebliche Rechtfertigung für eine Aufbewahrung über das gesetzliche Mindestmaß hinaus
  • Die Aufbewahrungsfrist in konkreten Begriffen: „3 Jahre nach Vertragsende" — nicht „so lange wie erforderlich"

Wenn Sie tatsächlich keine Frist angeben können (z. B. Unterlagen, die so lange aufbewahrt werden, wie ein Rechtsstreit möglich ist), dokumentieren Sie die Kriterien, die für den Zeitpunkt der Löschung maßgeblich sind.

Das VVT aktuell halten

Ein VVT, das bei der Erstellung korrekt war, aber seit zwei Jahren nicht aktualisiert wurde, ist eine Haftungsquelle. Definieren Sie klare Anlässe für VVT-Aktualisierungen:

  • Neues System oder Tool eingeführt — fügt eine oder mehrere Verarbeitungstätigkeiten hinzu
  • Neue Datenkategorie erhoben — aktualisiert eine bestehende Aktivitätszeile
  • Neuer Drittanbieter als Auftragsverarbeiter beauftragt — aktualisiert die Empfängerspalte und erfordert einen AVV
  • Prozessänderung — jede wesentliche Änderung daran, wie, warum oder von wem Daten verarbeitet werden
  • Jährliche Überprüfung — eine regelmäßige Überprüfung aller Tätigkeiten zur Erkennung von Abweichungen

Führen Sie ein Änderungsprotokoll neben dem VVT: Wann wurde jede Zeile zuletzt überprüft, was hat sich geändert und wer hat die Änderung genehmigt. Dies weist den Aufsichtsbehörden gegenüber eine fortlaufende Rechenschaftspflicht nach.

VVT-Vorlage: Kernspalten

Eine minimal konforme VVT-Tabelle für einen Verantwortlichen:

| Verarbeitungstätigkeit | Geschäftsbereich | Zweck | Rechtsgrundlage | Betroffene Personen | Kategorien personenbezogener Daten | Besondere Kategorien? | Empfänger | Drittlandübermittlungen | Löschfrist | Sicherheitsmaßnahmen | Zuletzt überprüft | |------------------------|-----------------|-------|-----------------|---------------------|-----------------------------------|----------------------|------------|------------------------|------------|----------------------|-------------------|

Beginnen Sie mit dieser Struktur und fügen Sie Spalten hinzu, sobald die Anforderungen Ihrer Organisation erkennbar werden. Eine Tabellenkalkulation ist ausreichend — es ist keine Spezialsoftware erforderlich, obwohl zweckgebundene Tools die laufende Pflege erleichtern.


Zuletzt aktualisiert: April 2026. Ausschließlich zu Informationszwecken — keine Rechtsberatung.

Häufig gestellte Fragen

Gilt die VVT-Ausnahme für Organisationen mit weniger als 250 Beschäftigten für mein Unternehmen?

Die Ausnahme nach Art. 30 Abs. 5 ist enger, als die meisten Organisationen annehmen. Auch wenn Sie weniger als 250 Beschäftigte haben, müssen Sie ein VVT führen, wenn Ihre Verarbeitung „nicht nur gelegentlich" erfolgt, ein Risiko für betroffene Personen birgt oder besondere Kategorien von Daten nach Art. 9 betrifft. In der Praxis verarbeitet nahezu jedes Unternehmen, das Kundendaten, Gehaltsabrechnungen, Marketinglisten oder Lieferantendaten verwaltet, regelmäßig und fortlaufend — was bedeutet, dass die Bedingung „nicht nur gelegentlich" erfüllt ist und die Ausnahme nicht gilt. Die Aufsichtsbehörden in der gesamten EU haben diese Voraussetzung durchgängig eng ausgelegt. Die sichere Vorgehensweise ist, ein VVT unabhängig von der Beschäftigtenzahl zu führen.

Welche Informationen muss ein VVT nach Art. 30 DSGVO enthalten?

Für Verantwortliche verlangt Art. 30 Abs. 1 acht Elemente: Name und Kontaktdaten des Verantwortlichen sowie etwaiger gemeinsam Verantwortlicher oder des DSB; die Zwecke jeder Verarbeitungstätigkeit; die Kategorien betroffener Personen; die Kategorien der verarbeiteten personenbezogenen Daten; die Kategorien der Empfänger einschließlich etwaiger Empfänger in Drittländern; Einzelheiten zu Übermittlungen in Drittländer und den vorhandenen Schutzmaßnahmen; die vorgesehenen Löschfristen oder die zur Festlegung dieser Fristen verwendeten Kriterien; sowie eine allgemeine Beschreibung der technischen und organisatorischen Sicherheitsmaßnahmen. Die in der Praxis am häufigsten unvollständigen Abschnitte sind Löschfristen und Sicherheitsmaßnahmen — beide werden von den Aufsichtsbehörden genau geprüft.

Wie häufig sollten wir unser VVT aktualisieren?

Die DSGVO schreibt keine gesetzliche Prüfhäufigkeit vor, aber der Grundsatz der Rechenschaftspflicht nach Art. 5 Abs. 2 verlangt, dass Organisationen jederzeit die Einhaltung der Vorschriften nachweisen können. Best Practice ist es, das VVT immer dann zu aktualisieren, wenn ein Auslöseereignis eintritt — Einführung eines neuen Systems, Beauftragung eines neuen Auftragsverarbeiters, Prozessänderung oder Erhebung einer neuen Datenkategorie — und eine vollständige jährliche Überprüfung als Regelaufgabe durchzuführen. Das Führen eines Änderungsprotokolls neben dem VVT, das festhält, wann jede Zeile zuletzt überprüft wurde und was sich geändert hat, liefert einen Prüfpfad, der eine fortlaufende Rechenschaftspflicht nachweist und bei Prüfungen durch die Aufsichtsbehörden positiv bewertet wird.

Quellen

  • EUR-Lex, Verordnung (EU) 2016/679 (DSGVO), Art. 30: https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A32016R0679
  • Europäischer Datenschutzausschuss, Leitlinien zu den Begriffen „Verantwortlicher" und „Auftragsverarbeiter" in der DSGVO: https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-072020-concepts-controller-and-processor_en
  • ICO (Vereinigtes Königreich), Accountability framework — records of processing activities: https://ico.org.uk/for-organisations/accountability-framework/records-of-processing-and-lawful-basis/

Dieser Beitrag dient ausschließlich Informationszwecken und stellt keine Rechtsberatung dar. Konsultieren Sie qualifizierte Rechtsberatung, bevor Sie Compliance-Entscheidungen treffen.

Key takeaways: Verzeichnis von Verarbeitungstätigkeiten nach DSGVO: Ein Praxisleitfaden

This article covers: Was ein VVT ist, Wer ausgenommen ist, Was das VVT des Verantwortlichen enthalten muss (Art. 30 Abs. 1).

  • Was ein VVT ist
  • Wer ausgenommen ist
  • Was das VVT des Verantwortlichen enthalten muss (Art. 30 Abs. 1)
  • Was das VVT des Auftragsverarbeiters enthalten muss (Art. 30 Abs. 2)
  • Praktische Struktur: Nach Verarbeitungstätigkeit gliedern
Source: EuroComply Editorial (2026-04-14)Reviewed:
EC

EuroComply Editorial Team

EU regulatory compliance specialists covering the AI Act, GDPR, NIS2, and related legislation. Content reviewed against official EU regulation texts and enforcement guidance.

For informational purposes only. Consult qualified legal counsel.

Share:

Get the weekly EU compliance briefing — 2 minutes, every Thursday.

See how your site scores

Run a free EU compliance scan — no signup, 30 seconds.

Verzeichnis von Verarbeitungstätigkeiten nach DSGVO: Ein Praxisleitfaden