VAllgemein

Verzeichnis von Verarbeitungstätigkeiten (VVT) nach Art. 30 DSGVO

Pflichtliste aller Datenverarbeitungen inkl. Zwecke, Empfänger, Fristen, TOMs.

Ein Verzeichnis von Verarbeitungstätigkeiten (VVT) nach Art. 30 DSGVO ist eine verpflichtende, schriftliche (auch elektronische) Übersicht aller personenbezogenen Datenverarbeitungen in Ihrem Unternehmen. Es dokumentiert u. a. Zwecke, Kategorien von Daten und Betroffenen, Empfänger, Löschfristen sowie technische und organisatorische Maßnahmen (TOMs) – und dient als zentraler Nachweis Ihrer DSGVO-Compliance.

Was bedeutet „VVT“ nach Art. 30 DSGVO?

„VVT“ ist die Abkürzung für Verzeichnis von Verarbeitungstätigkeiten. Gemeint ist keine einmalige Checkliste, sondern eine lebende Dokumentation: Immer wenn sich Prozesse, IT-Systeme, Dienstleister oder Zwecke ändern, muss das VVT aktualisiert werden. Für KMU ist das VVT oft das wichtigste „Grunddokument“, weil es viele weitere Pflichten stützt (z. B. Informationspflichten, Auftragsverarbeitung, Löschkonzept).

Wie funktioniert ein VVT in der Praxis? (KMU-Workflow)

  • 1) Verarbeitungstätigkeiten sammeln: z. B. Lohnabrechnung, Bewerbermanagement, Newsletter, CRM, Videoüberwachung, Support-Tickets.
  • 2) Pro Tätigkeit die Pflichtangaben erfassen: Verantwortlicher, Zwecke, Rechtsgrundlagen, Datenkategorien, Betroffenengruppen, Empfänger/Drittländer, Löschfristen, TOMs.
  • 3) Dienstleister zuordnen: z. B. Cloud-Hosting, Steuerbüro, E-Mail-Marketing – inkl. AV-Vertrag/Data Processing Agreement (DPA/AVV).
  • 4) Risiken & Schutz prüfen: Passen TOMs (Zugriffskontrollen, Backups, Verschlüsselung, Rollen)? Gibt es ggf. eine DSFA/DPIA?
  • 5) Verantwortlichkeiten festlegen: Wer pflegt das VVT, wie oft wird es geprüft (z. B. quartalsweise) und wie werden Änderungen gemeldet?

Welche Inhalte muss ein VVT typischerweise enthalten?

Art. 30 DSGVO nennt Mindestangaben. Für Verantwortliche sind das insbesondere: Name/Kontaktdaten des Verantwortlichen (und ggf. Datenschutzbeauftragten), Zwecke, Kategorien betroffener Personen und personenbezogener Daten, Kategorien von Empfängern, ggf. Drittlandtransfers inkl. Garantien, geplante Löschfristen sowie eine allgemeine Beschreibung der TOMs. Auftragsverarbeiter führen ein eigenes Verzeichnis für die im Auftrag verarbeiteten Tätigkeiten.

Beispiele für Verarbeitungstätigkeiten (kleines Unternehmen)

  • Personalverwaltung: Arbeitsverträge, Zeiterfassung, Krankmeldungen; Empfänger: Steuerberater, Krankenkassen; Löschfristen nach HGB/AO und arbeitsrechtlichen Vorgaben.
  • Kunden- & Auftragsabwicklung: Angebote, Rechnungen, Support; Empfänger: Zahlungsdienstleister, Versanddienstleister; TOMs: Rollenrechte im ERP/CRM, Protokollierung.
  • Website & Marketing: Kontaktformular, Newsletter, Tracking; Empfänger: Hosting, ggf. Marketing-Tool; Rechtsgrundlage: Vertrag/Einwilligung; Löschfristen: z. B. 6–24 Monate je nach Zweck.

Warum ist das VVT wichtig (und wann wird es kritisch)?

Das VVT ist oft das erste Dokument, das Aufsichtsbehörden bei Anfragen oder Prüfungen sehen wollen. Es hilft Ihnen außerdem, Datenflüsse zu verstehen, unnötige Verarbeitung zu reduzieren (Stichwort Data Minimization (Datenminimierung)) und Löschfristen sauber umzusetzen. Kritisch wird es, wenn neue Tools „nebenbei“ eingeführt werden (z. B. KI-Chatbots oder ChatGPT im Support), ohne Zweck, Rechtsgrundlage, Empfänger und TOMs zu dokumentieren.

Was kostet ein VVT?

Die Kosten hängen stark von Unternehmensgröße, Prozessreife und Tool-Landschaft ab. KMU erstellen ein erstes VVT häufig intern mit Vorlagen (Zeitaufwand z. B. einige Stunden bis wenige Tage). Externe Unterstützung kann sinnvoll sein, wenn viele Systeme/Dienstleister, internationale Transfers oder komplexe Prozesse vorliegen.