Verzeichnis von Verarbeitungstätigkeiten (VVT) — Vorlage nach Art. 30 DSGVO
Art. 30 DSGVO verpflichtet fast alle Unternehmen zur Führung eines Verzeichnisses aller Datenverarbeitungstätigkeiten. Diese Seite erklärt die Pflichtangaben und hilft Ihnen, ein gesetzeskonformes VVT zu erstellen.
Wer muss ein VVT führen?
Verantwortlicher
Grundsätzlich alle Unternehmen
Jedes Unternehmen, das personenbezogene Daten verarbeitet, muss ein VVT führen. Ausnahmen für Unternehmen unter 250 Mitarbeitende gelten nur, wenn keine regelmäßige, umfangreiche oder risikobehaftete Verarbeitung stattfindet.
Auftragsverarbeiter
SaaS, Cloud, IT-Dienstleister
Auftragsverarbeiter müssen ein eigenes VVT über die für Auftraggeber durchgeführten Verarbeitungen führen (Art. 30 Abs. 2 DSGVO). Dieses enthält abweichende Pflichtangaben.
Bußgeld: Fehlendes oder unvollständiges VVT kann als Verstoß gegen Art. 30 DSGVO geahndet werden — bis zu 20.000.000 € oder 4 % des weltweiten Jahresumsatzes (Article 83(5)).
Vorlage — Verantwortlicher
Pflichtangaben im VVT (Art. 30 Abs. 1 DSGVO)
Name und Kontaktdaten
Art. 30 Abs. 1 lit. aBeispiel: Unternehmensname, Adresse, Datenschutzbeauftragter (DSB)
Zwecke der Verarbeitung
Art. 30 Abs. 1 lit. bBeispiel: Personalverwaltung, Kundenverwaltung, Marketingkommunikation
Kategorien betroffener Personen
Art. 30 Abs. 1 lit. cBeispiel: Mitarbeitende, Kunden, Interessenten, Lieferanten
Kategorien personenbezogener Daten
Art. 30 Abs. 1 lit. cBeispiel: Name, E-Mail, IBAN, Gesundheitsdaten (besonders schützenswert)
Empfänger-Kategorien
Art. 30 Abs. 1 lit. dBeispiel: Lohnbuchhaltung-Dienstleister, Marketingagentur, Behörden
Drittlandübermittlungen
Art. 30 Abs. 1 lit. eBeispiel: USA-Übermittlung: Rechtsgrundlage (SCC/Angemessenheitsbeschluss)
Löschfristen
Art. 30 Abs. 1 lit. fBeispiel: Bewerberdaten: 6 Monate, Buchhaltungsbelege: 10 Jahre
Technische und organisatorische Maßnahmen
Art. 30 Abs. 1 lit. gBeispiel: Verschlüsselung, Zugangskontrollen, Pseudonymisierung
Empfohlene Struktur eines VVT-Eintrags
# VVT-Eintrag: [Bezeichnung der Verarbeitungstätigkeit]
Stand: [Datum] | Version: [Nr.] | Verantwortlicher DSB: [Name]
## Zweck der Verarbeitung
[z.B. Personalverwaltung — Gehaltsabrechnung für Mitarbeitende]
## Rechtsgrundlage
[Art. 6 Abs. 1 lit. b DSGVO (Vertrag) / lit. c (gesetzliche Pflicht) / lit. a (Einwilligung)]
## Betroffene Personen & Datenkategorien
[Mitarbeitende: Name, IBAN, Steuer-ID, Sozialversicherungsnummer]
## Empfänger
[Lohnbuchhaltungsdienstleister GmbH, Finanzamt, Sozialversicherungsträger]
## Löschfrist
[Gehaltsbelege: 10 Jahre nach Ablauf des Steuerjahres (§147 AO)]
## Technische und organisatorische Maßnahmen (TOM)
[Verschlüsselung (AES-256), rollenbasierte Zugriffsrechte, Logging]
VVT erstellen — Schritt für Schritt
Verarbeitungstätigkeiten erfassen
Inventarisieren Sie alle Prozesse, in denen personenbezogene Daten verarbeitet werden: HR, CRM, Marketing, IT-Systeme, Buchhaltung.
Rechtsgrundlage bestimmen
Ordnen Sie jeder Verarbeitungstätigkeit eine Rechtsgrundlage nach Art. 6 (oder Art. 9 für besondere Kategorien) zu.
Empfänger und Drittlandtransfers dokumentieren
Listen Sie alle Auftragsverarbeiter (AVV erforderlich) und Drittlandübermittlungen mit Schutzmaßnahme auf.
Löschfristen und TOM festlegen
Definieren Sie konkrete Löschfristen (gesetzliche + interne) und die technischen/organisatorischen Schutzmaßnahmen je Verarbeitungstätigkeit.
DSGVO-Compliance automatisieren
EuroComply hilft Ihnen, Ihr VVT digital zu führen, AVV zu verwalten und DSFA-Prüfungen zu dokumentieren. Alle DSGVO-Artefakte an einem Ort.
AVV-Vertrag Muster
Auftragsverarbeitungsvertrag nach Art. 28 DSGVO
DSFA-Vorlage
Datenschutz-Folgenabschätzung nach Art. 35 DSGVO
Diese Vorlage dient ausschließlich der allgemeinen Information und stellt keine Rechtsberatung dar. Maßgeblich ist die Verordnung (EU) 2016/679 (DSGVO) in ihrer jeweils gültigen Fassung sowie das nationale Datenschutzrecht (BDSG). Letzte Überprüfung: Juni 2026.