Datenschutz

VVT-Software: Verarbeitungsverzeichnis automatisieren

VVT-Software 2026 im Vergleich: Excel gegen dedizierte Tools für das Verzeichnis der Verarbeitungstätigkeiten nach Art. 30 DSGVO, Funktionen und Kosten.

Auch verfügbar in:Español·Nederlands·Polski

Lohnt sich eine dedizierte VVT-Software, oder reicht Excel für das Verzeichnis von Verarbeitungstätigkeiten? Kurzantwort: Für ein Kleinstunternehmen mit einer Handvoll Verarbeitungen genügt Excel vorübergehend. Ab etwa 20 bis 30 Verarbeitungstätigkeiten, mehreren Standorten oder der ersten Behördenanfrage kippt die Rechnung — dann erinnert Excel niemanden an Überprüfungen, versioniert nicht revisionssicher, verknüpft das VVT nicht mit den AV-Verträgen und erzeugt keinen behördentauglichen Export. VVT-Software automatisiert genau das: das Führen, Aktualisieren und Exportieren des Verzeichnisses nach Art. 30 DSGVO. Dieser Vergleich zeigt, wann sich der Wechsel lohnt und worauf es bei der Auswahl ankommt.

Key Takeaways

  • Das VVT nach Art. 30 DSGVO ist das erste Dokument jeder Behördenprüfung — es muss jederzeit aktuell und exportierbar sein.
  • Excel funktioniert bis etwa 20-30 Verarbeitungen; danach dominieren Pflegeaufwand, fehlende Versionierung und Verknüpfungslücken.
  • Kernfunktionen dedizierter Tools: automatische Updates aus AVV-Änderungen, Verantwortlicher-/Auftragsverarbeiter-Sichten, Wiedervorlagen und deutscher Behörden-Export.
  • Auslöser für viele deutsche Unternehmen: die Fragebogen-Prüfaktionen der Landesbehörden (z. B. BayLDA), die ein aktuelles Verzeichnis binnen Frist verlangen.

Was Art. 30 DSGVO tatsächlich verlangt

Art. 30 DSGVO verpflichtet Verantwortliche und Auftragsverarbeiter, ein Verzeichnis aller Verarbeitungstätigkeiten zu führen. Für jede Tätigkeit müssen unter anderem Zweck, Kategorien betroffener Personen und Daten, Empfänger, Drittlandtransfers, Löschfristen und die technisch-organisatorischen Maßnahmen dokumentiert sein. Die Ausnahme für Unternehmen unter 250 Mitarbeitern (Art. 30 Abs. 5) greift praktisch nie, weil sie an Bedingungen — Regelmäßigkeit, Risiko, besondere Datenkategorien — geknüpft ist, die fast jedes Unternehmen erfüllt.

Der Detailrahmen ist in unseren Beiträgen zum Verzeichnis von Verarbeitungstätigkeiten und zum Artikel-30-Detail ausführlich beschrieben. Wichtig für die Toolauswahl: Das Verzeichnis ist kein statisches Dokument. Es muss bei jeder neuen Verarbeitung, jedem neuen Dienstleister und jeder Prozessänderung fortgeschrieben werden — und genau daran scheitert die Excel-Lösung.

Excel gegen dedizierte VVT-Software

Kriterium Excel/Word Dedizierte VVT-Software
Aufsetzen schnell, kostenlos Onboarding nötig
Versionierung manuell, fehleranfällig revisionssicher, automatisch
Wiedervorlagen keine automatische Erinnerungen
AVV-Verknüpfung keine VVT ↔ AVV-Register verknüpft
Mehrere Gesellschaften unübersichtlich Mandantenfähig, konsolidierbar
Behörden-Export händisch formatiert strukturiert auf Knopfdruck
Betroffenenrechte-Bezug keiner Datenkategorie → Auskunftsfähigkeit
Skalierung bricht ab ~30 Verarbeitungen linear

Der Wendepunkt ist selten die Mitarbeiterzahl, sondern die Zahl der Verarbeitungen und Dienstleister. Ein 30-Personen-Onlineshop mit 40 Verarbeitungen und 25 Auftragsverarbeitern hat ein größeres Verzeichnisproblem als ein 200-Personen-Handwerksbetrieb mit 15 Verarbeitungen.

Worauf es bei der Auswahl ankommt

Automatische Updates aus AVV-Änderungen. Das VVT und das AVV-Register müssen verbunden sein. Kommt ein neuer Auftragsverarbeiter hinzu, soll die zugehörige Verarbeitung im Verzeichnis nicht per Hand nachgetragen werden müssen.

Doppelte Sicht: Verantwortlicher und Auftragsverarbeiter. Wer sowohl eigene Daten verarbeitet als auch als Dienstleister tätig ist, braucht beide Verzeichnisse nach Art. 30 Abs. 1 und Abs. 2 — sauber getrennt.

Behörden-Export auf Deutsch. In koordinierten Prüfaktionen (etwa die Fragebogenkampagnen des BayLDA) verlangt die Behörde das Verzeichnis binnen Frist. Ein Tool, dessen Export erst mühsam formatiert werden muss, hilft dann nicht.

Wiedervorlagen und Vollständigkeitsprüfung. Das System soll melden, wenn eine Verarbeitung seit zwölf Monaten nicht überprüft wurde oder Pflichtfelder fehlen.

Eine breitere Marktübersicht mit Anbietern und Preisen liefert unser DSGVO-Software-Vergleich; wer eine Vorlage sucht, findet sie in unserer Verarbeitungsverzeichnis-Vorlage.

Anbieter und Kosten 2026

Dedizierte VVT-Funktionen sind heute Teil praktisch jeder DSMS-Plattform. Integrierte EU-Plattformen wie Legiscope erzeugen das Verzeichnis weitgehend automatisch und verknüpfen es mit AVV und DSFA — geeignet für KMU und Mittelstand. Deutsche Bündelanbieter (DataGuard, heyData) liefern das VVT als Teil eines Beratungspakets. EU-Einstiegstools wie Dastra bieten solide Verzeichnis-Module ab etwa 79 €/Monat; die Vorlagen sind teils französisch geprägt, BDSG-Spezifika selbst prüfen. Enterprise-Suiten (OneTrust) bieten maximale Konfigurierbarkeit für Konzerne, sind für ein reines VVT-Bedürfnis aber überdimensioniert.

Preisrahmen: Für ein KMU liegt eine Plattform mit vollem VVT-Modul bei 2.000 bis 12.000 € pro Jahr. Der Vergleichsmaßstab bleibt die Handarbeit — 300 bis 800 Stunden jährlicher Pflegeaufwand für Verzeichnis, AVV und DSFA zusammen.

Der Prüfaktions-Auslöser: warum Timing zählt

Die meisten Unternehmen wechseln nicht proaktiv zu VVT-Software, sondern reaktiv — ausgelöst durch eine Behördenanfrage. Mehrere Landesbehörden führen seit Jahren koordinierte schriftliche Prüfaktionen durch: Das BayLDA verschickt Fragebögen an ausgewählte Branchen, andere Behörden folgen mit eigenen Kampagnen. Die Behörde setzt eine Frist — oft zwei bis vier Wochen — und verlangt unter anderem das aktuelle Verzeichnis nach Art. 30.

Wer in diesem Moment ein gepflegtes, exportierbares Verzeichnis hat, beantwortet die Anfrage in Stunden. Wer ein veraltetes Excel-Dokument über drei Abteilungen verteilt hat, verbringt die Frist mit Rekonstruktion — und liefert am Ende ein Dokument, dem man die Eile ansieht. Genau dieser Unterschied ist das Argument für Software: nicht der Komfort im Alltag, sondern die Belastbarkeit im Ernstfall. Wer die eigene Reife testen will, findet in unserem DSGVO-Software-Vergleich die Kriterien für die Toolauswahl.

Häufige Fehler und die Migration aus Excel

Aus der Prüfpraxis kenne ich vier wiederkehrende Mängel, die auch teure Software nicht automatisch behebt — auf die es bei der Konfiguration aber ankommt:

  • Unvollständige TOM-Angaben. Art. 30 verlangt eine allgemeine Beschreibung der technisch-organisatorischen Maßnahmen. Viele Verzeichnisse lassen dieses Feld leer oder füllen es mit Floskeln. Gute Software erzwingt eine strukturierte Angabe.
  • Fehlende Löschfristen. Jede Verarbeitung braucht eine dokumentierte Frist. Das Verzeichnis sollte hier mit dem Löschkonzept verknüpft sein, nicht getrennt geführt werden.
  • Vergessene Auftragsverarbeiter. Neue Dienstleister — ein Newsletter-Tool, ein Cloud-Speicher — werden eingeführt, aber nicht ins Verzeichnis übernommen. Die Verknüpfung mit dem AVV-Register verhindert das.
  • Keine Versionierung. In einer Prüfung will die Behörde wissen, seit wann eine Verarbeitung besteht und wann sie zuletzt geprüft wurde. Excel liefert das nicht; ein revisionssicheres System schon.

Ein Verzeichnis ohne diese vier Punkte ist formal vorhanden, aber inhaltlich angreifbar. Die Software ist nur so gut wie die Disziplin, mit der sie geführt wird — sie senkt allerdings die Hürde, es richtig zu tun.

Migration aus Excel: der praktische Weg. Der Wechsel scheitert selten an der Software, sondern an der Angst vor der Datenübernahme. Dabei ist der Weg planbar. Ein gutes Tool importiert ein bestehendes Excel-Verzeichnis strukturiert — Spalten werden auf Felder gemappt, offensichtliche Lücken markiert. Was danach bleibt, ist Qualitätsarbeit: fehlende Löschfristen ergänzen, Auftragsverarbeiter zuordnen, TOM präzisieren.

Zwei Fragen entscheiden über die Migrationskosten. Erstens: Importiert das Tool automatisch, oder wird die Übernahme als Dienstleistung berechnet? Bei Enterprise-Suiten ist die Migration oft ein separater Projektposten von mehreren tausend Euro. Zweitens, und ebenso wichtig: Was exportiert das Tool, wenn Sie kündigen? Ein System ohne vollständigen Export bindet Sie und macht den nächsten Wechsel teuer. Klären Sie beide Punkte vor der Unterschrift.

Ein realistischer Zeitplan für ein KMU: Import in Tagen, inhaltliche Bereinigung in zwei bis vier Wochen, danach läuft das Verzeichnis. Setzen Sie einen Meilenstein — ein vollständiges, exportfähiges Verzeichnis binnen 30 Tagen. Schafft die Plattform das im KMU-Segment nicht, ist sie überkonstruiert.

Ein bewährtes Vorgehen in vier Schritten macht die Übernahme beherrschbar. Erstens: das Excel-Verzeichnis bereinigen, bevor Sie importieren — Dubletten entfernen, Spaltenüberschriften vereinheitlichen, offensichtlich veraltete Einträge markieren. Zweitens: den Import durchführen und das automatische Feld-Mapping kontrollieren; gerade Löschfristen und TOM-Angaben werden aus Excel selten sauber übernommen. Drittens: die Auftragsverarbeiter dem AVV-Register zuordnen, damit künftige Vertragsänderungen automatisch ins Verzeichnis zurückfließen. Viertens: eine Vollständigkeitsprüfung laufen lassen und die vom System markierten Lücken abarbeiten. Erst wenn dieser Durchlauf steht, schalten Sie das alte Excel ab. Der häufigste Migrationsfehler ist, beide Systeme dauerhaft parallel zu führen — dann pflegt niemand mehr konsequent, und die Behörde bekommt am Ende zwei widersprüchliche Verzeichnisse zu sehen. Legen Sie deshalb ein festes Abschaltdatum für das alte Excel fest und kommunizieren Sie es an alle Fachbereiche, die bisher Einträge geliefert haben — sonst laufen im Hintergrund weiter Parallelversionen, die den ganzen Migrationsgewinn wieder auffressen.

FAQ

Ist Excel für das Verarbeitungsverzeichnis DSGVO-konform?

Rechtlich verbietet Art. 30 DSGVO kein Format — ein sauber geführtes Excel-Verzeichnis erfüllt die Vorgabe formal. Praktisch scheitert Excel an der Pflege: keine Wiedervorlagen, keine revisionssichere Versionierung, keine Verknüpfung mit AV-Verträgen. Ab etwa 20-30 Verarbeitungen oder der ersten Behördenanfrage wird der Aufwand größer als der Preis jeder KMU-Software.

Was muss VVT-Software mindestens können?

Ein strukturiertes Verzeichnis nach Art. 30 mit allen Pflichtfeldern, getrennte Sichten für Verantwortlichen und Auftragsverarbeiter, Verknüpfung mit dem AVV-Register, automatische Wiedervorlagen und einen behördentauglichen deutschen Export. Alles darüber hinaus ist Komfort; diese Funktionen sind die Untergrenze.

Was kostet VVT-Software?

Als eigenständiges Modul selten sinnvoll — das Verzeichnis ist heute Teil einer DSMS-Plattform. Für ein KMU liegt eine solche Plattform bei 2.000 bis 12.000 € pro Jahr; EU-Einstiegstools beginnen bei etwa 79 €/Monat. Der Vergleich lohnt gegen die 300-800 Stunden manueller Jahrespflege.

Wie oft muss das Verzeichnis aktualisiert werden?

Fortlaufend. Jede neue Verarbeitung, jeder neue Dienstleister und jede Prozessänderung muss zeitnah eingetragen werden — nicht einmal jährlich. Gute Software erzwingt das über Wiedervorlagen und die Verknüpfung mit AVV- und DSFA-Prozessen, damit das Verzeichnis in jeder Prüfung aktuell ist.

Fazit

Das Verarbeitungsverzeichnis ist das erste, was eine deutsche Aufsichtsbehörde sehen will — und der häufigste Grund, aus dem KMU in einer Prüfaktion ins Straucheln geraten. Excel trägt bis zu einem gewissen Punkt; danach kostet die Handarbeit mehr als jede Software. Dedizierte VVT-Software lohnt sich, sobald das Verzeichnis mit AV-Verträgen, mehreren Gesellschaften oder Wiedervorlagen zu tun bekommt. Kaufen Sie für die Prüfaktion, die kommt — nicht für den Idealfall, in dem sich nie etwas ändert.

Siehe auch: Angrenzende Werkzeuge behandeln wir in unseren Vergleichen zu DSFA-Software im Vergleich, zur übergreifenden Datenschutz-Management-Software (DSMS) sowie zur DSGVO-Software für Arztpraxen.

See Legiscope in action

AI-powered GDPR compliance that saves 340+ hours/year. Trusted by compliance professionals across Europe.

Request a demo
TD
Written by
Fondateur de Legiscope et expert RGPD

Docteur en droit de l'Université Panthéon-Assas (Paris II), 23 ans d'expérience en droit du numérique et conformité RGPD. Ancien conseiller de l'administration du Premier ministre sur la mise en œuvre du RGPD. Thiébaut est le fondateur de Legiscope, plateforme de conformité RGPD automatisée par l'IA.

View full author profile →