Das Verzeichnis von Verarbeitungstätigkeiten (VVT) ist eine der zentralen Dokumentationspflichten der DSGVO. Artikel dreißig verpflichtet jeden Verantwortlichen und jeden Auftragsverarbeiter, ein solches Verzeichnis zu führen. In der Praxis bildet das VVT das Rückgrat jeder Datenschutz-Compliance: Ohne ein vollständiges und aktuelles Verzeichnis fehlt die Grundlage für die Erfüllung nahezu aller weiteren Datenschutzpflichten.
Laut einer Erhebung des BfDI verfügen jedoch nur etwa 55 % der deutschen Unternehmen über ein vollständiges Verzeichnis von Verarbeitungstätigkeiten. Die häufigsten Mängel betreffen unvollständige Einträge, fehlende Aktualisierungen und mangelnde Dokumentation der Rechtsgrundlagen. Dieser Artikel erklärt Schritt für Schritt, wie Sie ein DSGVO-konformes Verzeichnis von Verarbeitungstätigkeiten erstellen und dauerhaft pflegen.
Was ist ein Verzeichnis von Verarbeitungstätigkeiten?
Das Verzeichnis von Verarbeitungstätigkeiten ist ein strukturiertes Dokument, das alle Verarbeitungsvorgänge mit personenbezogenen Daten innerhalb einer Organisation systematisch erfasst. Es dient als Bestandsaufnahme aller Datenverarbeitungen und macht transparent, welche Daten zu welchen Zwecken, auf welcher Rechtsgrundlage und mit welchen Schutzmaßnahmen verarbeitet werden.
Funktionen und Bedeutung des Verzeichnisses
Das VVT erfüllt mehrere Funktionen gleichzeitig. Es ist das zentrale Instrument zum Nachweis der Rechenschaftspflicht nach der DSGVO. Bei einer Prüfung durch die Aufsichtsbehörde wird das Verzeichnis regelmäßig als erstes Dokument angefordert. Ohne ein vollständiges VVT lassen sich weder Auskunftsersuchen ordnungsgemäß beantworten noch Löschanfragen korrekt umsetzen. Das Verzeichnis bildet die Basis für die Identifikation von Hochrisikoverarbeitungen, die eine Datenschutz-Folgenabschätzung erfordern, und schafft einen Überblick über alle Datenflüsse, der die systematische Prüfung der Rechtmäßigkeit jeder einzelnen Verarbeitung ermöglicht.
Wer muss ein Verzeichnis führen?
Artikel 30 DSGVO unterscheidet zwischen dem Verzeichnis des Verantwortlichen und dem Verzeichnis des Auftragsverarbeiters. Beide haben unterschiedliche Pflichtinhalte, und beide müssen bei Bedarf der Aufsichtsbehörde vorgelegt werden können.
Pflicht auch für kleine Unternehmen
Die DSGVO sieht eine Ausnahme für Unternehmen mit weniger als zweihundertfünfzig Beschäftigten vor. Diese Ausnahme greift jedoch nicht, wenn die Verarbeitung ein Risiko für die Rechte und Freiheiten der betroffenen Personen birgt, die Verarbeitung nicht nur gelegentlich erfolgt oder besondere Datenkategorien verarbeitet werden.
In der Praxis bedeutet dies, dass nahezu jedes Unternehmen ein VVT führen muss, da die Verarbeitung personenbezogener Daten in aller Regel nicht nur gelegentlich erfolgt. Der EDPB hat diese Auslegung in einem Positionspapier bestätigt und empfohlen, die Ausnahme eng auszulegen. Auch Kleinstunternehmen sollten daher nicht auf die Erstellung eines Verzeichnisses verzichten. Allerdings sieht das im November 2025 vorgelegte Digital-Omnibus-Paket der EU-Kommission vor, die bestehende Ausnahme von der VVT-Pflicht von derzeit 250 auf künftig 750 Beschäftigte auszuweiten — Unternehmen unterhalb dieser Schwelle müssten das Verzeichnis dann nur noch für Hochrisiko-Verarbeitungen führen.
Pflichtinhalte nach der DSGVO
Die Anforderungen an den Inhalt des Verzeichnisses unterscheiden sich je nachdem, ob es sich um das Verzeichnis des Verantwortlichen oder des Auftragsverarbeiters handelt. Die vollständige Einhaltung der Pflichtinhalte ist entscheidend für die Rechtswirksamkeit des Verzeichnisses.
Verzeichnis des Verantwortlichen
Das Verzeichnis muss für jede Verarbeitungstätigkeit folgende Angaben enthalten: Name und Kontaktdaten des Verantwortlichen, gegebenenfalls des gemeinsam Verantwortlichen und des Datenschutzbeauftragten; eine präzise Beschreibung der Zwecke der Verarbeitung (allgemeine Formulierungen wie “Geschäftszwecke” sind unzureichend; stattdessen sollten konkrete Zwecke benannt werden); die Kategorien betroffener Personen und die Kategorien personenbezogener Daten; die Kategorien von Empfängern einschließlich Empfängern in Drittländern; Angaben zu Übermittlungen an Drittländer einschließlich des verwendeten Transfermechanismus; die vorgesehenen Löschfristen für die verschiedenen Datenkategorien; sowie eine allgemeine Beschreibung der technischen und organisatorischen Sicherheitsmaßnahmen.
Verzeichnis des Auftragsverarbeiters. Das Verzeichnis des Auftragsverarbeiters ist schlanker und enthält Name und Kontaktdaten des Auftragsverarbeiters und des jeweiligen Verantwortlichen, die Kategorien der im Auftrag durchgeführten Verarbeitungen, Angaben zu Drittlandübermittlungen sowie eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen.
Schrittweise Erstellung des Verzeichnisses
Die Erstellung eines vollständigen VVT erfordert einen strukturierten Ansatz. Die folgenden Schritte haben sich in der Praxis bewährt und ermöglichen eine effiziente Umsetzung auch in komplexen Organisationsstrukturen.
Bestandsaufnahme und Dokumentation
Schritt eins: Bestandsaufnahme aller Verarbeitungstätigkeiten. Beginnen Sie mit einer systematischen Erhebung aller Verarbeitungsvorgänge in Ihrer Organisation. Befragen Sie die Fachabteilungen – Personalwesen, Vertrieb, Marketing, IT, Finanzen und Kundenservice – zu ihren jeweiligen Datenverarbeitungen. In einem mittelständischen Unternehmen ergeben sich typischerweise zwischen dreißig und achtzig verschiedene Verarbeitungstätigkeiten.
Schritt zwei: Dokumentation der Pflichtangaben. Erfassen Sie für jede identifizierte Verarbeitungstätigkeit alle Pflichtinhalte. Nutzen Sie eine einheitliche Struktur, die alle Pflichtfelder abdeckt. Eine strukturierte DSGVO-Checkliste hilft dabei, keine Pflichtangabe zu übersehen und die Vollständigkeit jedes Eintrags sicherzustellen.
Schritt drei: Prüfung der Rechtsgrundlagen. Ordnen Sie jeder Verarbeitungstätigkeit eine Rechtsgrundlage zu. Die häufigsten Rechtsgrundlagen sind Einwilligung, Vertragserfüllung, rechtliche Verpflichtung und berechtigtes Interesse. Bei berechtigtem Interesse muss zusätzlich eine dokumentierte Interessenabwägung vorliegen, die nachvollziehbar und aktuell sein muss.
Schritt vier: Integration in die Prozesse. Das VVT darf kein statisches Dokument sein. Integrieren Sie die Aktualisierung in Ihre Geschäftsprozesse: Bei der Einführung neuer Software, bei organisatorischen Änderungen, beim Wechsel von Dienstleistern und bei Änderungen der Rechtsgrundlage muss das Verzeichnis aktualisiert werden. Die Einbindung des Datenschutzbeauftragten in Change-Management-Prozesse stellt die laufende Aktualität sicher.
Typische Fehler bei der Verzeichnisführung
Die Erfahrung aus Datenschutzaudits und Aufsichtsbehördenprüfungen zeigt wiederkehrende Defizite bei der Führung des Verzeichnisses. Die Kenntnis dieser Fehler hilft, kostspielige Compliance-Lücken frühzeitig zu schließen.
Defizite, die Sie vermeiden sollten
Zu allgemeine Beschreibungen: Eine Verarbeitungstätigkeit als “Datenverarbeitung zur Geschäftsabwicklung” zu beschreiben, genügt nicht den DSGVO-Anforderungen. Jede Verarbeitungstätigkeit muss hinreichend konkret dokumentiert werden, damit Aufsichtsbehörden und betroffene Personen die Verarbeitung nachvollziehen können.
Fehlende Aktualisierung: Ein Verzeichnis, das seit Jahren nicht aktualisiert wurde, verfehlt seinen Zweck vollständig. Nur etwa 38 % der Unternehmen aktualisieren ihr VVT mindestens einmal jährlich. Die Berliner Datenschutzbeauftragte hat fehlende Aktualisierungen ausdrücklich als bußgeldrelevant eingestuft.
Fehlende Löschfristen: Viele Verzeichnisse enthalten keine konkreten Löschfristen. Diese sind jedoch notwendig, um das Recht auf Löschung effektiv umzusetzen und den Grundsatz der Speicherbegrenzung zu erfüllen. Ohne definierte Löschfristen riskieren Unternehmen, Daten unbegrenzt zu speichern und damit gegen die DSGVO zu verstoßen.
Kein Verzeichnis für Auftragsverarbeiter: Unternehmen, die auch als Auftragsverarbeiter tätig sind, übersehen häufig, dass sie ein separates Verzeichnis führen müssen. Dieses Versäumnis kann bei einer Aufsichtsbehördenprüfung zu empfindlichen Konsequenzen führen.
Muster, Vorlagen und empfohlene Struktur
Es gibt keine vorgeschriebene Form für das VVT. Tabellenkalkulationen sind ebenso zulässig wie spezialisierte Datenschutz-Management-Software. Entscheidend ist die Vollständigkeit und Nachvollziehbarkeit des Dokuments.
Eine bewährte Struktur für jede Verarbeitungstätigkeit umfasst folgende Spalten: Bezeichnung der Verarbeitungstätigkeit, verantwortliche Fachabteilung, Zweck der Verarbeitung, Rechtsgrundlage, Kategorien betroffener Personen, Kategorien personenbezogener Daten, Empfänger der Daten, Drittlandübermittlung und Transfermechanismus, Löschfrist, technische und organisatorische Maßnahmen und Datum der letzten Überprüfung.
Das DSGVO-Portal bietet kostenlose Vorlagen, die als Ausgangspunkt dienen können. Der BfDI stellt ebenfalls Musterformulare zur Verfügung, die den gesetzlichen Anforderungen entsprechen und regelmäßig aktualisiert werden. Die Nutzung solcher Vorlagen kann die Erstellungszeit erheblich reduzieren und stellt sicher, dass keine Pflichtangaben vergessen werden. Für Unternehmen mit einer großen Zahl von Verarbeitungstätigkeiten empfiehlt sich der Einsatz spezialisierter Software, die auch die Verknüpfung mit DSGVO-Bußgeldern und Risikoanalysen ermöglicht.
FAQ
Muss das Verzeichnis der Aufsichtsbehörde vorgelegt werden?
Ja, gemäß der DSGVO muss das Verzeichnis der Aufsichtsbehörde auf Anfrage zur Verfügung gestellt werden. Es muss jedoch nicht proaktiv eingereicht werden. In der Praxis wird das Verzeichnis bei Datenschutzprüfungen, nach Datenpannen und bei Beschwerden betroffener Personen regelmäßig angefordert. Unternehmen sollten daher sicherstellen, dass das VVT jederzeit in einem vorzeigbaren Zustand ist.
In welchem Format muss das Verzeichnis geführt werden?
Die DSGVO schreibt kein bestimmtes Format vor. Das Verzeichnis muss lediglich schriftlich geführt werden, wobei ein elektronisches Format zulässig ist. Tabellenkalkulationen, Datenbanken und spezialisierte Datenschutz-Software sind gleichermaßen geeignet. Entscheidend ist, dass das Verzeichnis vollständig, aktuell und schnell verfügbar ist. Für Unternehmen mit umfangreichen Verarbeitungstätigkeiten empfiehlt sich der Einsatz spezialisierter Software.
Wie oft muss das Verzeichnis aktualisiert werden?
Die DSGVO schreibt keinen festen Aktualisierungsrhythmus vor, verlangt aber implizit die fortlaufende Aktualität. In der Praxis empfiehlt sich eine anlassbezogene Aktualisierung bei jeder Änderung einer Verarbeitungstätigkeit, ergänzt durch eine systematische Gesamtüberprüfung mindestens einmal jährlich. Bei signifikanten organisatorischen Veränderungen, Systemwechseln oder neuen Geschäftsprozessen ist eine sofortige Aktualisierung erforderlich.
Automate your GDPR compliance
Save 340+ hours per year on compliance work. Legiscope provides AI-powered GDPR management trusted by compliance professionals.
Discover Legiscope
