VAllgemein

Verzeichnis von Verarbeitungstätigkeiten (VVT) nach Art. 30 DSGVO

Pflichtliste aller Datenverarbeitungen inkl. Zwecke, Empfänger, Fristen, TOMs.
3 Aufrufe

Ein Verzeichnis von Verarbeitungstätigkeiten (VVT) nach Art. 30 DSGVO ist eine verpflichtende, schriftliche (auch elektronische) Übersicht aller personenbezogenen Datenverarbeitungen in Ihrem Unternehmen. Es dokumentiert u. a. Zwecke, Kategorien von Daten und Betroffenen, Empfänger, Löschfristen sowie technische und organisatorische Maßnahmen (TOMs) – und dient als zentraler Nachweis Ihrer DSGVO-Compliance.

Was bedeutet „VVT“ nach Art. 30 DSGVO?

„VVT“ ist die Abkürzung für Verzeichnis von Verarbeitungstätigkeiten. Gemeint ist keine einmalige Checkliste, sondern eine lebende Dokumentation: Immer wenn sich Prozesse, IT-Systeme, Dienstleister oder Zwecke ändern, muss das VVT aktualisiert werden. Für KMU ist das VVT oft das wichtigste „Grunddokument“, weil es viele weitere Pflichten stützt (z. B. Informationspflichten, Auftragsverarbeitung, Löschkonzept).

Wie funktioniert ein VVT in der Praxis? (KMU-Workflow)

  • 1) Verarbeitungstätigkeiten sammeln: z. B. Lohnabrechnung, Bewerbermanagement, Newsletter, CRM, Videoüberwachung, Support-Tickets.
  • 2) Pro Tätigkeit die Pflichtangaben erfassen: Verantwortlicher, Zwecke, Rechtsgrundlagen, Datenkategorien, Betroffenengruppen, Empfänger/Drittländer, Löschfristen, TOMs.
  • 3) Dienstleister zuordnen: z. B. Cloud-Hosting, Steuerbüro, E-Mail-Marketing – inkl. AV-Vertrag/Data Processing Agreement (DPA/AVV).
  • 4) Risiken & Schutz prüfen: Passen TOMs (Zugriffskontrollen, Backups, Verschlüsselung, Rollen)? Gibt es ggf. eine DSFA/DPIA?
  • 5) Verantwortlichkeiten festlegen: Wer pflegt das VVT, wie oft wird es geprüft (z. B. quartalsweise) und wie werden Änderungen gemeldet?

Welche Inhalte muss ein VVT typischerweise enthalten?

Art. 30 DSGVO nennt Mindestangaben. Für Verantwortliche sind das insbesondere: Name/Kontaktdaten des Verantwortlichen (und ggf. Datenschutzbeauftragten), Zwecke, Kategorien betroffener Personen und personenbezogener Daten, Kategorien von Empfängern, ggf. Drittlandtransfers inkl. Garantien, geplante Löschfristen sowie eine allgemeine Beschreibung der TOMs. Auftragsverarbeiter führen ein eigenes Verzeichnis für die im Auftrag verarbeiteten Tätigkeiten.

Beispiele für Verarbeitungstätigkeiten (kleines Unternehmen)

  • Personalverwaltung: Arbeitsverträge, Zeiterfassung, Krankmeldungen; Empfänger: Steuerberater, Krankenkassen; Löschfristen nach HGB/AO und arbeitsrechtlichen Vorgaben.
  • Kunden- & Auftragsabwicklung: Angebote, Rechnungen, Support; Empfänger: Zahlungsdienstleister, Versanddienstleister; TOMs: Rollenrechte im ERP/CRM, Protokollierung.
  • Website & Marketing: Kontaktformular, Newsletter, Tracking; Empfänger: Hosting, ggf. Marketing-Tool; Rechtsgrundlage: Vertrag/Einwilligung; Löschfristen: z. B. 6–24 Monate je nach Zweck.

Warum ist das VVT wichtig (und wann wird es kritisch)?

Das VVT ist oft das erste Dokument, das Aufsichtsbehörden bei Anfragen oder Prüfungen sehen wollen. Es hilft Ihnen außerdem, Datenflüsse zu verstehen, unnötige Verarbeitung zu reduzieren (Stichwort Data Minimization (Datenminimierung)) und Löschfristen sauber umzusetzen. Kritisch wird es, wenn neue Tools „nebenbei“ eingeführt werden (z. B. KI-Chatbots oder ChatGPT im Support), ohne Zweck, Rechtsgrundlage, Empfänger und TOMs zu dokumentieren.

Was kostet ein VVT?

Die Kosten hängen stark von Unternehmensgröße, Prozessreife und Tool-Landschaft ab. KMU erstellen ein erstes VVT häufig intern mit Vorlagen (Zeitaufwand z. B. einige Stunden bis wenige Tage). Externe Unterstützung kann sinnvoll sein, wenn viele Systeme/Dienstleister, internationale Transfers oder komplexe Prozesse vorliegen.

Zahlen & Fakten

0%
weniger Audit-AufwandEin gepflegtes VVT verkürzt in KMU typischerweise die Vorbereitung auf Datenschutz- und Kundenprüfungen, weil Zwecke, Empfänger und Löschfristen zentral dokumentiert sind.
0,0x
schnellere AuskunftUnternehmen mit strukturiertem VVT können Betroffenenanfragen und interne Rückfragen zu Datenflüssen deutlich schneller beantworten als Betriebe mit verstreuter Dokumentation.
0%
häufige DokumentationslückenEin erheblicher Teil kleiner und mittlerer Unternehmen weist bei Datenschutzprüfungen unvollständige Verzeichnisse oder veraltete Einträge zu Verarbeitungstätigkeiten auf.

Anwendungsfälle in der Praxis

HR
HR-Prozesse im VVT sauber dokumentieren und Auskunftsanfragen schneller beantworten
Ein KMU erfasst im Verzeichnis von Verarbeitungstätigkeiten alle personenbezogenen Datenflüsse rund um Bewerbungen, Personalverwaltung, Zeiterfassung und Lohnabrechnung. So kann die Personalabteilung bei Auskunfts- oder Löschanfragen sofort nachvollziehen, welche Systeme betroffen sind, welche Dienstleister eingebunden sind und wie lange Daten gespeichert werden.

Wie gut bist du beim Verzeichnis von Verarbeitungstätigkeiten (VVT) nach Art. 30 DSGVO aufgestellt?

Beantworte 5 kurze Fragen und finde heraus, wo du stehst.
Hast du bereits ein dokumentiertes Verzeichnis aller relevanten Verarbeitungstätigkeiten in deinem Unternehmen?
Sind für jede Verarbeitung die Zwecke, betroffenen Datenkategorien und Empfänger klar erfasst?
Hast du für die einzelnen Verarbeitungstätigkeiten Aufbewahrungs- bzw. Löschfristen dokumentiert?
Sind die technischen und organisatorischen Maßnahmen (TOMs) den jeweiligen Verarbeitungstätigkeiten nachvollziehbar zugeordnet?
Wird dein VVT regelmäßig überprüft und bei neuen Prozessen, Tools oder Dienstleistern zeitnah aktualisiert?

Ist dein Verzeichnis von Verarbeitungstätigkeiten vollständig, aktuell und im Alltag wirklich nutzbar?

Ein VVT nach Art. 30 DSGVO ist schnell angefangen, aber oft fehlen klare Zuordnungen von Tools, Prozessen, Empfängern, Löschfristen oder technischen und organisatorischen Maßnahmen. Mit dem Tech-Gutachten analysiere ich deine bestehende Systemlandschaft, mache Datenflüsse und eingesetzte Tools transparent und schaffe die Grundlage, um dein Verzeichnis sauber und praxisnah aufzubauen oder zu überarbeiten. So erkennst du nicht nur, welche Verarbeitungstätigkeiten dokumentiert werden müssen, sondern auch, wo unnötige Risiken, doppelte Tools oder blinde Flecken entstehen. Das Ergebnis ist mehr Klarheit für Datenschutz, interne Abläufe und fundierte Entscheidungen bei deiner technischen Organisation.

Häufig gestellte Fragen

Was ist ein Verzeichnis von Verarbeitungstätigkeiten (VVT) nach Art. 30 DSGVO?
Das VVT ist eine verpflichtende Übersicht aller Prozesse, in denen Ihr Unternehmen personenbezogene Daten verarbeitet. Es beschreibt u. a. Zwecke, Datenkategorien, Empfänger, Löschfristen und TOMs als Nachweis der DSGVO-Compliance.