Verzeichnis von Verarbeitungstätigkeiten (VVT) Deutschland

Das Verzeichnis von Verarbeitungstätigkeiten (VVT) in Deutschland ist ein internes Dokumentationswerkzeug, das jeder Verantwortliche und jeder Auftragsverarbeiter nach Art. 30 der Datenschutz-Grundverordnung (DSGVO, Verordnung (EU) 2016/679) führen muss. Das VVT bildet das zentrale Nachweisdokument für die Rechenschaftspflicht (Accountability) nach Art. 5 Abs. 2 DSGVO — Verantwortliche müssen gegenüber der zuständigen Datenschutzaufsichtsbehörde (Landesbeauftragter für Datenschutz, BfDI) nachweisen können, dass ihre Datenverarbeitungen den Anforderungen der DSGVO entsprechen, und das VVT ist das primäre Instrument für diesen Nachweis.

Rechtlicher Hintergrund: Art. 30 DSGVO ist am 25. Mai 2018 anwendbar geworden. Die Vorgängerregelung im deutschen Recht war §4e des Bundesdatenschutzgesetzes alter Fassung (BDSG a.F.), der eine vergleichbare, wenn auch weniger detaillierte Meldepflicht an den Datenschutzbeauftragten enthielt. Mit der DSGVO wurde die öffentliche Melderegisterstruktur abgeschafft und durch die interne Dokumentationspflicht im VVT ersetzt. Das neue BDSG (Bundesdatenschutzgesetz) vom 25. Mai 2018, zuletzt geändert durch das Gesetz zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680, enthält in §8 ergänzende Anforderungen für öffentliche Stellen des Bundes; für private Unternehmen gilt Art. 30 DSGVO unmittelbar.

Inhaltliche Anforderungen: Das VVT muss nach Art. 30 Abs. 1 DSGVO für jeden Verarbeitungsvorgang folgende Angaben enthalten: den Namen und die Kontaktdaten des Verantwortlichen sowie gegebenenfalls des gemeinsamen Verantwortlichen (Art. 26 DSGVO), des Vertreters des Verantwortlichen (Art. 27 DSGVO) und des Datenschutzbeauftragten (Art. 37 DSGVO i.V.m. §38 BDSG); die Zwecke der Verarbeitung; eine Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten; die Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden; Übermittlungen von personenbezogenen Daten an ein Drittland oder eine internationale Organisation und die Dokumentation der geeigneten Garantien nach Art. 46 DSGVO (Standardvertragsklauseln, BCR, Angemessenheitsbeschluss der EU-Kommission); die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien; sowie — soweit möglich — eine allgemeine Beschreibung der technischen und organisatorischen Sicherheitsmaßnahmen nach Art. 32 DSGVO.

Das VVT dient nicht nur der Nachweisführung gegenüber Aufsichtsbehörden, sondern auch als interne Steuerungsgrundlage für das Datenschutzmanagement: Nur wer weiß, welche Daten er wo, wie lange und zu welchem Zweck verarbeitet, kann Betroffenenrechte nach Art. 15–22 DSGVO (Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit, Widerspruch) fristgemäß bedienen und Datenschutzverletzungen nach Art. 33–34 DSGVO korrekt an die zuständige Aufsichtsbehörde (z.B. den Landesbeauftragten für Datenschutz und Informationsfreiheit Nordrhein-Westfalen, LfDI NRW, oder das Hamburgische Beauftragte für Datenschutz und Informationsfreiheit, HmbBfDI) melden. Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) in Bonn hat zur praktischen Führung des VVT eine detaillierte Orientierungshilfe veröffentlicht.

Das Verzeichnis von Verarbeitungstätigkeiten in Deutschland ist grundsätzlich für jeden Verantwortlichen und jeden Auftragsverarbeiter Pflicht, der personenbezogene Daten im Sinne von Art. 4 Nr. 1 DSGVO verarbeitet. Art. 30 Abs. 5 DSGVO sieht eine Ausnahme nur für Unternehmen und Einrichtungen vor, die weniger als 250 Mitarbeiter beschäftigen — und diese Ausnahme gilt nur dann, wenn die Verarbeitung kein Risiko für die Rechte und Freiheiten der betroffenen Personen birgt, die Verarbeitung nicht nur gelegentlich erfolgt und keine besonderen Datenkategorien nach Art. 9 Abs. 1 DSGVO oder strafrechtlich relevante Daten nach Art. 10 DSGVO umfasst.

Praktisch bedeutet dies: Fast jede Organisation in Deutschland — egal ob GmbH, AG, Einzelunternehmen, Verein, Arztpraxis, Kanzlei oder Behörde — ist zur Führung eines VVT verpflichtet, weil die Ausnahme des Art. 30 Abs. 5 DSGVO extrem eng ist. Die Datenschutzkonferenz (DSK) hat klargestellt, dass die Verarbeitung von Beschäftigtendaten, Kundendaten oder Mitgliederdaten als nicht nur gelegentlich gilt, sodass selbst Kleinstunternehmen mit Angestellten oder Kundenstamm ein VVT führen müssen.

Situationen, in denen ein vollständiges VVT unbedingt aktuell gehalten sein muss:

Handelsregistereintragung und Aufnahme des Geschäftsbetriebs: Mit der Aufnahme der Geschäftstätigkeit und der ersten Verarbeitung von Mitarbeiter- oder Kundendaten entsteht sofort die VVT-Pflicht. Das VVT ist vor oder zeitgleich mit Beginn der Verarbeitung zu erstellen.

Datenschutzprüfungen und Kontrollen der Aufsichtsbehörde: Datenschutzaufsichtsbehörden wie das Bayerische Landesamt für Datenschutzaufsicht (BayLDA), das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD) oder die Berliner Beauftragte für Datenschutz und Informationsfreiheit (BlnBDI) können nach Art. 58 Abs. 1 lit. a DSGVO jederzeit das VVT anfordern. Fehlt das VVT oder ist es veraltet, stellt dies einen Verstoß dar, der mit Bußgeldern nach Art. 83 Abs. 4 DSGVO geahndet werden kann.

Auftragsverarbeitungsbeziehungen nach Art. 28 DSGVO: Wenn ein Unternehmen als Auftragsverarbeiter für einen anderen Verantwortlichen tätig ist (z.B. IT-Dienstleister, Cloud-Anbieter, Payroll-Dienstleister, Druckdienstleister), muss auch der Auftragsverarbeiter nach Art. 30 Abs. 2 DSGVO ein eigenes VVT führen, das aus Sicht des Auftragsverarbeiters dokumentiert.

Zertifizierungen und Compliance-Nachweise: ISO 27001-Zertifizierungen, TISAX-Bewertungen in der Automobilindustrie sowie branchenspezifische Compliance-Anforderungen (z.B. BaFin-Merkblätter für Finanzdienstleister) setzen ein gepflegtes VVT voraus. Auch bei Due-Diligence-Prüfungen im Rahmen von M&A-Transaktionen wird das VVT regelmäßig angefordert.

Ersatz oder Neueinführung von IT-Systemen: Jede Einführung eines neuen CRM-Systems, ERP-Systems, Personalverwaltungssystems oder einer anderen datenschutzrelevanten Software erfordert eine Aktualisierung des VVT für die betroffenen Verarbeitungsvorgänge.

Ein rechtskonformes Verzeichnis von Verarbeitungstätigkeiten in Deutschland muss nach Art. 30 DSGVO und den Empfehlungen der DSK folgende Kernbestandteile enthalten:

Angaben zum Verantwortlichen und DSB (Art. 30 Abs. 1 lit. a DSGVO): Für jeden Verarbeitungsvorgang sind der vollständige Name und die Kontaktdaten des Verantwortlichen anzugeben. Hat die Organisation einen Datenschutzbeauftragten nach Art. 37 DSGVO i.V.m. §38 BDSG bestellt — was für Unternehmen mit mehr als 20 Personen, die regelmäßig mit der automatisierten Verarbeitung personenbezogener Daten befasst sind (§38 Abs. 1 BDSG), Pflicht ist —, sind dessen Name und Kontaktdaten ebenfalls anzugeben. Bei gemeinsamen Verantwortlichen nach Art. 26 DSGVO sind alle gemeinsamen Verantwortlichen zu benennen.

Verarbeitungszwecke (Art. 30 Abs. 1 lit. b DSGVO): Für jeden Verarbeitungsvorgang ist der spezifische Zweck anzugeben — nicht nur abstrakte Kategorien wie "Personalverwaltung", sondern konkrete Zwecke wie "Lohnbuchhaltung und Abführung von Lohnsteuer und Sozialversicherungsbeiträgen gemäß §41b EStG und §28a SGB IV". Eine exakte Zweckbeschreibung ist Grundlage für die Verhältnismäßigkeitsprüfung und die Zweckbindung nach Art. 5 Abs. 1 lit. b DSGVO.

Kategorien betroffener Personen und Datenkategorien (Art. 30 Abs. 1 lit. c DSGVO): Zu dokumentieren sind die Kategorien betroffener Personen (z.B. Beschäftigte, Kunden, Lieferanten, Website-Besucher, Patienten, Vereinsmitglieder) und die verarbeiteten Datenkategorien (z.B. Stammdaten, Kontaktdaten, Zahlungsdaten, Gesundheitsdaten nach Art. 9 DSGVO, biometrische Daten, Standortdaten). Besondere Kategorien nach Art. 9 DSGVO erfordern eine ausdrückliche Kennzeichnung und die Angabe der Ausnahme, auf die sich die Verarbeitung stützt (z.B. Art. 9 Abs. 2 lit. h DSGVO für Gesundheitsberufe, §22 BDSG für spezifische deutsche Ausnahmen).

Empfänger und Drittlandübermittlungen (Art. 30 Abs. 1 lit. d und e DSGVO): Alle internen und externen Empfänger personenbezogener Daten sind zu benennen — von Behörden (Finanzamt, Bundesagentur für Arbeit, Deutsche Rentenversicherung) über Auftragsverarbeiter (Steuerberater, IT-Dienstleister, Cloudanbieter) bis hin zu Kooperationspartnern. Drittlandübermittlungen an Länder außerhalb des Europäischen Wirtschaftsraums (EWR) erfordern die Angabe der Übertragungsgrundlage: Angemessenheitsbeschluss der EU-Kommission, Standardvertragsklauseln (SCC) der Europäischen Kommission, Binding Corporate Rules (BCR) oder sonstige geeignete Garantien nach Art. 46 DSGVO. Nach dem Schrems-II-Urteil des EuGH (C-311/18) und der DSK-Orientierungshilfe zu Drittlandtransfers sind für Übermittlungen in die USA und andere Drittländer in der Regel ergänzende Transfer Impact Assessments (TIA) erforderlich.

Löschfristen und Speicherbegrenzung (Art. 30 Abs. 1 lit. f DSGVO): Für jeden Verarbeitungsvorgang ist die vorgesehene Löschfrist anzugeben. Diese ergibt sich aus dem Zweck der Verarbeitung, gesetzlichen Aufbewahrungspflichten (z.B. 10 Jahre für Buchungsbelege nach §147 AO, 6 Jahre für Handelsbriefe nach §257 HGB, 2 Jahre für Entgeltabrechnungen nach §309 SGB III) sowie ggf. Verjährungsfristen (§195 BGB: regelmäßige Verjährungsfrist 3 Jahre, §199 BGB: Verjährungsbeginn). Das VVT muss ein vollständiges, rechtskonformes Löschkonzept für alle Datenkategorien enthalten.

Technische und organisatorische Maßnahmen (Art. 30 Abs. 1 lit. g DSGVO): Das VVT enthält eine allgemeine Beschreibung der TOMs nach Art. 32 DSGVO — z.B. Verschlüsselungsverfahren, Zugriffsberechtigungskonzept, Datensicherungskonzept, Zutritts- und Zugangskontrolle, Pseudonymisierungstechniken, Protokollierung von Datenzugriffen. Das Portal forms-legal.com stellt dieses VVT-Muster als strukturierten Ausgangspunkt zur Verfügung. Verwandte Dokumente im Katalog: Datenschutz-Folgenabschätzung nach DSGVO Art. 35 und Datenschutzerklärung Website nach DSGVO Art. 13.

Das Führen und Aktualisieren des Verzeichnisses von Verarbeitungstätigkeiten in Deutschland erfolgt idealerweise nach einem strukturierten Prozess, der alle relevanten Abteilungen und Systeme einschließt.

Schritt 1: Bestandsaufnahme aller Verarbeitungsvorgänge. Führen Sie zunächst eine vollständige Inventur aller in Ihrer Organisation stattfindenden Datenverarbeitungen durch. Befragen Sie alle Abteilungen (Personalwesen, Buchhaltung, Vertrieb, Marketing, IT, Einkauf, Kundendienst) nach den von ihnen genutzten Systemen und den dabei verarbeiteten personenbezogenen Daten. Typische Verarbeitungsvorgänge in deutschen Unternehmen sind: Personalverwaltung und Lohnabrechnung (§26 BDSG, §41b EStG); Buchführung und Rechnungslegung (§238 HGB, §257 HGB, §147 AO); Kundenverwaltung und CRM; Videoüberwachung von Betriebsräumen; Website-Betrieb einschließlich Cookies und Tracking; E-Mail-Archivierung; Bewerberverfahren; Lieferantenverwaltung.

Schritt 2: Kategorisierung und Strukturierung. Legen Sie für jeden identifizierten Verarbeitungsvorgang einen separaten Eintrag im VVT an. Strukturieren Sie das VVT nach Verarbeitungszwecken oder nach Abteilungen — beide Ansätze sind zulässig. In größeren Organisationen mit mehr als 250 Beschäftigten empfiehlt die DSK eine Strukturierung nach den Verarbeitungszwecken.

Schritt 3: Ausfüllen der Pflichtfelder für jeden Verarbeitungsvorgang. Tragen Sie für jeden Vorgang ein: Bezeichnung und Beschreibung; Rechtsgrundlage nach Art. 6 (und ggf. Art. 9 Abs. 2) DSGVO; Datenkategorien und Kategorien betroffener Personen; Empfänger (intern und extern); etwaige Drittlandübermittlungen mit Transfergrundlage; Löschfristen; sowie eingesetzte TOMs.

Schritt 4: Verzeichnis des Auftragsverarbeiters (soweit zutreffend). Wenn Ihre Organisation als Auftragsverarbeiter nach Art. 28 DSGVO für andere Verantwortliche tätig ist, führen Sie zusätzlich ein separates VVT nach Art. 30 Abs. 2 DSGVO, das die Verarbeitungen für die jeweiligen Auftraggeber dokumentiert.

Schritt 5: Einbeziehung des Datenschutzbeauftragten. Der DSB prüft das VVT auf Vollständigkeit und Rechtmäßigkeit. Er gibt eine Stellungnahme ab und weist auf Lücken hin. Das VVT ist dem DSB vor der Fertigstellung zur Prüfung vorzulegen.

Schritt 6: Dokumentation der Drittlandtransfers und TIA. Für jeden Drittlandtransfer ist die angewandte Rechtsgrundlage (SCC, Angemessenheitsbeschluss, BCR) zu dokumentieren. Nach dem Schrems-II-Urteil (EuGH C-311/18) und der DSK-Orientierungshilfe vom November 2021 ist für Übermittlungen in die USA ergänzend ein Transfer Impact Assessment (TIA) durchzuführen, das bewertet, ob das Drittland ein gleichwertiges Datenschutzniveau bietet.

Schritt 7: Regelmäßige Überprüfung und Aktualisierung. Das VVT ist kein einmaliges Dokument. Es ist bei jeder Änderung der Datenverarbeitungen zu aktualisieren: neue Systeme, neue Zwecke, neue Empfänger, neue Auftragsverarbeiter. Empfohlen wird ein Review-Zyklus von mindestens jährlich oder bei wesentlichen organisatorischen oder technischen Änderungen.

Die rechtlichen Anforderungen an das Verzeichnis von Verarbeitungstätigkeiten in Deutschland ergeben sich unmittelbar aus Art. 30 DSGVO und werden durch das BDSG, die DSK-Orientierungshilfen und die Aufsichtspraxis der deutschen Landesdatenschutzbehörden konkretisiert.

Grundpflicht aus Art. 30 Abs. 1 DSGVO: Jeder Verantwortliche muss ein VVT führen. Das VVT muss schriftlich geführt werden — Art. 30 Abs. 3 DSGVO erlaubt ausdrücklich die elektronische Form. Es muss auf Anfrage der Aufsichtsbehörde nach Art. 30 Abs. 4 DSGVO vorgelegt werden. Aufsichtsbehörden wie das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) führen regelmäßige anlassunabhängige Prüfungen durch, bei denen das VVT standardmäßig abgefragt wird.

Pflicht des Auftragsverarbeiters (Art. 30 Abs. 2 DSGVO): Auch Auftragsverarbeiter müssen ein eigenes VVT führen, das mindestens enthält: Namen und Kontaktdaten des Auftragsverarbeiters und jedes Verantwortlichen, in dessen Auftrag der Auftragsverarbeiter tätig ist; sowie Kategorien der im Auftrag jedes Verantwortlichen durchgeführten Verarbeitungen; Drittlandübermittlungen; und allgemeine Beschreibung der TOMs.

Sanktionen bei fehlendem oder unvollständigem VVT (Art. 83 Abs. 4 lit. a DSGVO): Verstöße gegen Art. 30 DSGVO können mit Geldbußen bis zu 10.000.000,00 Euro oder bis zu 2 % des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres geahndet werden. Die deutschen Aufsichtsbehörden haben in der Vergangenheit vor allem bei Unternehmen mit offensichtlich fehlendem oder extrem lückenhaftem VVT Bußgelder verhängt.

Datenschutzbeauftragter und VVT (§38 BDSG, Art. 37–39 DSGVO): Unternehmen, die nach §38 Abs. 1 BDSG zur Bestellung eines Datenschutzbeauftragten verpflichtet sind (in der Regel: Unternehmen mit regelmäßig mehr als 20 mit automatisierter Datenverarbeitung befassten Personen, oder bei risikobehafteten Verarbeitungen), müssen den DSB in die Erstellung und Pflege des VVT einbeziehen. Der DSB hat nach Art. 39 Abs. 1 lit. b DSGVO die Aufgabe, die Einhaltung der DSGVO zu überwachen — und das VVT ist das zentrale Prüfungsobjekt dieser Überwachung.

Kompatibilität mit bestehenden Verzeichnispflichten: Das VVT nach DSGVO Art. 30 hat die frühere Verfahrensverzeichnispflicht nach §4g BDSG a.F. abgelöst. Unternehmen, die ein internes Verfahrensverzeichnis nach altem BDSG geführt haben, können dieses als Ausgangspunkt nutzen, müssen es jedoch an die neuen und erweiterten Anforderungen der DSGVO anpassen.

Fehler beim Verzeichnis von Verarbeitungstätigkeiten in Deutschland sind weit verbreitet und können bei Datenschutzkontrollen durch die Aufsichtsbehörde zu Bußgeldern und Verwarnungen führen.

Veraltetes oder unvollständiges VVT: Der häufigste Fehler ist ein VVT, das einmalig erstellt und danach nicht mehr aktualisiert wurde. Neue Systeme, neue Dienstleister (insbesondere Cloud-Dienste wie Microsoft 365, Google Workspace, Salesforce) und neue Verarbeitungszwecke werden nicht nachgepflegt. Aufsichtsbehörden bewerten ein veraltetes VVT als gleichwertig mit einem fehlenden VVT — der Verstoß gegen Art. 30 DSGVO liegt in beiden Fällen vor.

Fehler bei der Ausnahmeregelung des Art. 30 Abs. 5 DSGVO: Viele kleine Unternehmen und Handwerksbetriebe glauben irrtümlich, wegen weniger als 250 Mitarbeitern kein VVT zu benötigen. Die Ausnahme des Art. 30 Abs. 5 DSGVO gilt aber nur, wenn gleichzeitig alle drei Bedingungen erfüllt sind: unter 250 Mitarbeiter UND keine riskante Verarbeitung UND nur gelegentliche Verarbeitung. Da fast jedes Unternehmen mit Angestellten Beschäftigtendaten verarbeitet (was als nicht gelegentlich gilt), greift die Ausnahme in der Praxis kaum.

Fehlende oder unklare Löschfristen: Art. 30 Abs. 1 lit. f DSGVO verlangt die Angabe von Löschfristen. Viele VVT enthalten hier nur vage Formulierungen wie "nach Beendigung der Geschäftsbeziehung" ohne konkreten Zeitraum. Korrekt ist die Angabe konkreter Fristen, z.B. "7 Jahre nach Rechnungsstellung gemäß §147 Abs. 1 AO" oder "3 Jahre nach Vertragsende gemäß §195 BGB".

Nicht dokumentierte Drittlandtransfers: Nach dem Schrems-II-Urteil des EuGH (C-311/18) hat die Nutzung US-amerikanischer Cloud-Dienste (AWS, Microsoft Azure, Google Cloud) Datenschutzimplikationen, die im VVT vollständig dokumentiert sein müssen — einschließlich der angewendeten Standardvertragsklauseln (SCC) und des Transfer Impact Assessments (TIA). Fehlt diese Dokumentation, stellt sie einen schweren Verstoß dar.

Fehlende Auftragsverarbeiterverzeichnisse: Unternehmen, die als Auftragsverarbeiter für Kunden tätig sind, vergessen häufig, das eigene Auftragsverarbeiter-VVT nach Art. 30 Abs. 2 DSGVO zu führen — ein separates Dokument, das die im Auftrag geführten Verarbeitungen aus Sicht des Auftragsverarbeiters dokumentiert.