In einem Satz. Eine Verarbeitungsverzeichnis-Vorlage ist das Tabellen-Muster für das Verzeichnis von Verarbeitungstätigkeiten (VVT) nach Art. 30 DSGVO — sie erfasst pro Verarbeitung neun Pflichtinhalte (Zweck, Rechtsgrundlage, Datenkategorien, Empfänger, Löschfristen, TOM) und ist das erste Dokument, das jede Aufsichtsbehörde verlangt.
Das VVT ist das Rückgrat Ihrer Rechenschaftspflicht (Art. 5 Abs. 2). Ohne es können Sie Compliance nicht nachweisen — und werden im Aufsichtsverfahren regelmäßig härter sanktioniert. Diese Vorlage liefert die Tabellenstruktur und einen ausgefüllten Beispieleintrag. Vertiefung im VVT-Leitfaden und in den Detail-Pflichten des Art. 30.
Wichtige Punkte
- Pflicht für praktisch alle Unternehmen (KMU-Ausnahme greift selten).
- Neun Pflichtinhalte für Verantwortliche (Abs. 1), sieben für Auftragsverarbeiter (Abs. 2).
- Ein Eintrag je Verarbeitungstätigkeit, nicht je Datensatz.
- Schriftlich, auf Anfrage der Aufsicht vorzulegen.
- Bußgeld bis 10 Mio. € / 2 % (Art. 83 Abs. 4).
Die Vorlage: Stammdatenblatt
VERZEICHNIS VON VERARBEITUNGSTÄTIGKEITEN (Art. 30 Abs. 1 DSGVO)
Verantwortlicher: [Firma, Anschrift]
Vertreter (falls Art. 27): [Name]
Datenschutzbeauftragter: [Name, Kontakt]
Stand / Version: [Datum, v1.0]
Die Vorlage: Eintragstabelle (pro Verarbeitung)
| Feld | Inhalt |
|---|---|
| Nr. / Bezeichnung | z. B. „HR-01 Bewerbermanagement" |
| Zweck der Verarbeitung | Auswahl geeigneter Bewerber |
| Rechtsgrundlage | Art. 6 Abs. 1 lit. b; § 26 BDSG |
| Kategorien betroffener Personen | Bewerber |
| Kategorien personenbezogener Daten | Stammdaten, Lebenslauf, Zeugnisse |
| Kategorien von Empfängern | Fachabteilung, Bewerbertool (AV) |
| Drittlandübermittlung + Garantien | keine / SCC bei US-Tool |
| Löschfrist | 6 Monate nach Absage (AGG-Frist) |
| Allgemeine TOM-Beschreibung | Zugriffsbeschränkung, Verschlüsselung |
| Verantwortliche Fachabteilung | Personal |
Beispiel: fünf typische Einträge
| Nr. | Verarbeitung | Rechtsgrundlage | Löschfrist |
|---|---|---|---|
| HR-01 | Bewerbermanagement | Art. 6 (1) b, § 26 BDSG | 6 Monate nach Absage |
| HR-02 | Lohnabrechnung | Art. 6 (1) b/c | 10 Jahre (§ 257 HGB, § 147 AO) |
| MK-01 | Newsletter-Versand | Art. 6 (1) a (Einwilligung) | bis Widerruf |
| VT-01 | CRM / Kundenverwaltung | Art. 6 (1) b | 3 Jahre nach Vertragsende |
| IT-01 | Server-Logging | Art. 6 (1) f | 7–90 Tage |
Die Löschfristen sollten mit Ihrem Löschkonzept abgestimmt sein, das die Fristen systematisch begründet — Grundlage ist die Speicherbegrenzung nach Art. 5 Abs. 1 lit. e, erläutert im Beitrag zur Speicherbegrenzung.
So passen Sie das Muster an
- Verarbeitungen inventarisieren. Gehen Sie Abteilung für Abteilung vor (HR, Vertrieb, Marketing, IT, Buchhaltung). Ein KMU kommt typischerweise auf 20–40 Einträge.
- Rechtsgrundlage je Eintrag festlegen. Art. 6 Abs. 1 lit. a–f — bei berechtigtem Interesse (lit. f) dokumentieren Sie die Interessenabwägung, siehe berechtigtes Interesse.
- Empfänger inklusive Auftragsverarbeiter erfassen. Jeder Empfänger, der weisungsgebunden verarbeitet, braucht einen AVV.
- TOM verknüpfen. Verweisen Sie auf Ihre allgemeine TOM-Beschreibung nach Art. 32 DSGVO.
- Versionierung einführen. Dokumentieren Sie Änderungen mit Datum und Verantwortlichem — die Aufsicht will die Historie sehen.
Verzeichnis für Auftragsverarbeiter (Abs. 2)
Nicht nur Verantwortliche, auch Auftragsverarbeiter müssen ein Verzeichnis führen — mit reduziertem Inhalt nach Art. 30 Abs. 2. Erfasst werden Name und Kontakt aller Auftraggeber, die im jeweiligen Auftrag durchgeführten Verarbeitungskategorien, etwaige Drittlandübermittlungen mit Garantien sowie eine allgemeine Beschreibung der TOM. Wer also selbst als Dienstleister für andere Unternehmen Daten verarbeitet (etwa eine Agentur, ein Rechenzentrum oder ein SaaS-Anbieter), braucht ein zweites Verzeichnis aus der Auftragsverarbeiter-Perspektive. Beide Rollen können in einem Unternehmen zusammenfallen: Für die eigene Kundenverwaltung sind Sie Verantwortlicher, für die im Kundenauftrag betriebene Plattform Auftragsverarbeiter.
Der Weg zum vollständigen Verzeichnis
Ein belastbares Verzeichnis entsteht selten am Schreibtisch, sondern im Gespräch mit den Fachabteilungen. Bewährt hat sich ein strukturiertes Vorgehen: Zunächst benennen Sie je Abteilung einen Process Owner, der die tatsächlich genutzten Anwendungen und Datenflüsse kennt. In kurzen Interviews klären Sie pro Prozess Zweck, Datenarten, Empfänger und Speicherdauer. Anschließend gleichen Sie die genannten Tools mit der IT-Inventarliste ab — häufig tauchen dabei „Schatten-IT"-Anwendungen auf, die niemand offiziell freigegeben hat, die aber personenbezogene Daten verarbeiten. Jede dieser Anwendungen braucht einen Eintrag und, sofern extern betrieben, einen AVV.
Rechnen Sie für die Ersterstellung realistisch mit mehreren Wochen. Der eigentliche Aufwand liegt jedoch in der Pflege: Jede neue Software, jeder neue Dienstleister und jeder geänderte Zweck muss zeitnah nachgezogen werden. Ein Verzeichnis, das nur einmal jährlich vor dem Audit aktualisiert wird, bildet die Realität nicht ab und erfüllt die Rechenschaftspflicht nur scheinbar.
Häufige Fehler
- Sich auf die KMU-Ausnahme verlassen. Art. 30 Abs. 5 befreit Unternehmen unter 250 Beschäftigten nur, wenn die Verarbeitung nur gelegentlich erfolgt, kein Risiko besteht und keine Art.-9-Daten betroffen sind. Praktisch erfüllt fast jedes Unternehmen mindestens „nicht nur gelegentlich" — die Pflicht besteht damit.
- Excel als Dauerlösung. Theoretisch zulässig, praktisch ab 20 Einträgen unwartbar. Änderungen an Löschfristen oder Auftragsverarbeitern werden nicht nachgezogen.
- Zu grob oder zu fein. Ein Eintrag pro Datenfeld ist überflüssig; ein Eintrag für „alle HR-Prozesse" zu grob. Granularität: funktional zusammenhängende Verarbeitung.
- Keine Pflege. Deutsche Wohnen wurde 2019 mit 14,5 Mio. € sanktioniert — im Kern wegen fehlender Löschstrukturen und mangelnder Datenübersicht. Ein gepflegtes VVT ist die Voraussetzung, um solche Lücken überhaupt zu erkennen.
Ab etwa 30 Verarbeitungstätigkeiten lohnt sich Werkzeugunterstützung: Legiscope führt das VVT strukturiert, verknüpft jeden Eintrag mit AVV, TOM und Löschfrist und erzeugt den Aufsichts-Export auf Knopfdruck.
FAQ
Reicht eine Excel-Tabelle als Verarbeitungsverzeichnis?
Formal ja — Art. 30 verlangt nur „schriftlich, auch elektronisch". Praktisch skaliert Excel schlecht: Verknüpfungen zu AVV, TOM und Löschkonzept fehlen, und Änderungen werden nicht konsistent nachgezogen. Für kleine Unternehmen mit wenigen Verarbeitungen ist es ein akzeptabler Start, für wachsende Organisationen ein Risiko.
Wie viele Einträge braucht ein KMU?
Erfahrungsgemäß 20 bis 40. Ein reiner Online-Händler mit wenig Personal liegt eher bei 20, ein produzierendes Unternehmen mit HR, Vertrieb, Service und IT bei 40 oder mehr. Entscheidend ist die funktionale Trennung, nicht die absolute Zahl.
Muss ich das Verzeichnis veröffentlichen?
Nein. Das VVT ist ein internes Dokument, das Sie der Aufsichtsbehörde auf Verlangen vorlegen (Art. 30 Abs. 4). Es ist nicht mit der öffentlich einsehbaren Datenschutzerklärung zu verwechseln.
Was prüft die Aufsichtsbehörde zuerst?
In der Praxis fast immer das Verarbeitungsverzeichnis. Es zeigt der Behörde auf einen Blick, ob eine Organisation ihre Datenverarbeitung überhaupt überblickt. Fehlt es oder ist es lückenhaft, entsteht ein negativer Gesamteindruck, der andere Verstöße schwerer wiegen lässt.
Muss ich die Rechtsgrundlage im Verzeichnis angeben?
Art. 30 Abs. 1 nennt die Rechtsgrundlage nicht ausdrücklich als Pflichtinhalt, doch die Aufsichtspraxis erwartet sie als Best Practice — und die Rechenschaftspflicht nach Art. 5 Abs. 2 verlangt ohnehin, dass Sie für jede Verarbeitung eine Rechtsgrundlage nach Art. 6 (bzw. Art. 9 bei besonderen Kategorien) belegen können. Führen Sie sie deshalb je Eintrag mit. Bei berechtigtem Interesse (Art. 6 Abs. 1 lit. f) gehört zusätzlich die dokumentierte Interessenabwägung dazu.
Wie granular sollte ein Eintrag sein?
Die richtige Granularität liegt zwischen zwei Extremen. Ein Eintrag je Datenfeld ist überflüssig und macht das Verzeichnis unbrauchbar; ein einziger Eintrag für „alle Kundenprozesse" ist zu grob und verschleiert Rechtsgrundlagen und Fristen. Die Faustregel lautet: ein Eintrag je funktional zusammenhängender Verarbeitungstätigkeit. „Bewerbermanagement", „Lohnabrechnung", „Newsletter-Versand" oder „Videoüberwachung Eingang" sind gute Einheiten, weil sie jeweils einen eigenen Zweck, eine eigene Rechtsgrundlage und eine eigene Löschfrist haben. Orientieren Sie sich an den Geschäftsprozessen, nicht an den einzelnen IT-Systemen — ein System wie das CRM kann mehrere Verarbeitungstätigkeiten beherbergen, während eine Verarbeitungstätigkeit mehrere Systeme berühren kann.
Fazit
Das Verarbeitungsverzeichnis ist kein bürokratischer Selbstzweck, sondern die Landkarte Ihrer Datenverarbeitung. Nutzen Sie die Vorlage, erfassen Sie alle neun Pflichtinhalte pro Eintrag und halten Sie das Dokument aktuell. Wer das VVT sauber führt, hat die Rechenschaftspflicht nach Art. 5 Abs. 2 zu großen Teilen erfüllt. Den Normtext des Art. 30 lesen Sie bei EUR-Lex; praxisnahe Muster stellt auch der BfDI bereit.
Legiscope automates this for you
Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.
Start free trial