von | Aug. 22, 2018 | Datenschutz | 0 Kommentare

Symbolbild zum Thema Technische und organisatorische Maßnahmen

Zuletzt aktualisiert am 10. April 2026

Verfahrensverzeichnis nach DSGVO: Pflicht, Inhalt & Aufbau

Das Verfahrensverzeichnis (Verzeichnis von Verarbeitungstätigkeiten) ist eine der zentralen Dokumentationspflichten der DSGVO. Erfahren Sie, wer es führen muss und was hineingehört.

Was ist ein Verfahrensverzeichnis?

Ein Verfahrensverzeichnis — offiziell als „Verzeichnis von Verarbeitungstätigkeiten“ (VVT) bezeichnet — ist eine strukturierte Dokumentation aller Prozesse in einem Unternehmen oder einer Organisation, bei denen personenbezogene Daten verarbeitet werden. Es bildet das Herzstück der datenschutzrechtlichen Dokumentation und dient als Nachweis der DSGVO-Compliance gegenüber den Aufsichtsbehörden.

Das Verfahrensverzeichnis gibt einen vollständigen Überblick darüber, welche personenbezogenen Daten zu welchem Zweck, auf welcher Rechtsgrundlage und mit welchen Schutzmaßnahmen verarbeitet werden. Es ist damit weit mehr als nur eine bürokratische Pflicht — es ist ein wichtiges Instrument für ein funktionierendes Datenschutz-Management.

Externen Datenschutzbeauftragten beauftragen — bundesweit ab 250 € / Monat

DATUREX GmbH stellt Ihnen einen externen Datenschutzbeauftragten nach Art. 37 DSGVO — inklusive Audit, Schulungen, VVT-Pflege und Datenpannen-Meldung. Kostenlose Ersteinschätzung in 30 Minuten.

→ Leistungen ansehenErsteinschätzung anfragen

Gesetzliche Grundlage: Art. 30 DSGVO

Die Pflicht zur Führung eines Verfahrensverzeichnisses ergibt sich aus Art. 30 DSGVO (Verzeichnis von Verarbeitungstätigkeiten). Die Vorschrift verpflichtet sowohl Verantwortliche (Art. 30 Abs. 1) als auch Auftragsverarbeiter (Art. 30 Abs. 2) zur Führung eines solchen Verzeichnisses.

Art. 30 Abs. 1 DSGVO legt fest, dass das Verzeichnis schriftlich zu führen ist — wobei ein elektronisches Format ausdrücklich zulässig ist. Das Verzeichnis ist der zuständigen Aufsichtsbehörde auf Anfrage zur Verfügung zu stellen.

Ergänzend stellt Erwägungsgrund 82 der DSGVO klar, dass das Verzeichnis dazu dient, die Einhaltung der DSGVO nachzuweisen. Die Datenschutz-Aufsichtsbehörden in Deutschland — wie die Sächsische Datenschutz- und Transparenzbeauftragte — prüfen das Verfahrensverzeichnis regelmäßig bei Kontrollen und im Rahmen von Beschwerden.

Wer muss ein Verfahrensverzeichnis führen?

Entgegen einem weit verbreiteten Missverständnis gilt die Pflicht zur Führung eines Verfahrensverzeichnisses praktisch für Unternehmen — unabhängig von ihrer Größe.

Die „250-Mitarbeiter-Ausnahme“ — ein Trugschluss

Art. 30 Abs. 5 DSGVO sieht zwar eine Ausnahme für Unternehmen mit weniger als 250 Mitarbeitern vor. Diese Ausnahme greift jedoch nur, wenn die Datenverarbeitung:

  • Kein Risiko für die Rechte und Freiheiten der Betroffenen birgt
  • Nur gelegentlich erfolgt
  • Keine besonderen Datenkategorien nach Art. 9 Abs. 1 DSGVO umfasst
  • Keine Daten über strafrechtliche Verurteilungen nach Art. 10 DSGVO betrifft

In der Praxis verarbeitet nahezu jedes Unternehmen regelmäßig personenbezogene Daten — sei es durch Lohnbuchhaltung, Kundenverwaltung, E-Mail-Kommunikation oder Websitebetrieb. Daher gilt die Ausnahme in aller Regel nicht. Die Datenschutzkonferenz (DSK) empfiehlt deshalb ausdrücklich: Jedes Unternehmen sollte ein Verfahrensverzeichnis führen.

Besonders verpflichtet sind:

  • Unternehmen mit 20 oder mehr Mitarbeitern, die regelmäßig personenbezogene Daten verarbeiten
  • Unternehmen, die einen Datenschutzbeauftragten bestellen müssen
  • Auftragsverarbeiter (z. B. IT-Dienstleister, Cloud-Anbieter, Lohnbüros)
  • Unternehmen, die besondere Kategorien personenbezogener Daten verarbeiten (Gesundheitsdaten, biometrische Daten etc.)

Was muss im Verfahrensverzeichnis dokumentiert werden?

Art. 30 Abs. 1 DSGVO definiert die Pflichtangaben für das Verzeichnis des Verantwortlichen. Für jede Verarbeitungstätigkeit müssen folgende Informationen erfasst werden:

Pflichtangaben nach Art. 30 Abs. 1 DSGVO

  • Name und Kontaktdaten des Verantwortlichen, ggf. des gemeinsam Verantwortlichen, des Vertreters und des Datenschutzbeauftragten
  • Zwecke der Verarbeitung: Warum werden die Daten verarbeitet? (z. B. Vertragserfüllung, Lohnabrechnung, Marketing)
  • Kategorien betroffener Personen: Wessen Daten werden verarbeitet? (z. B. Mitarbeiter, Kunden, Bewerber, Lieferanten)
  • Kategorien personenbezogener Daten: Welche Daten werden verarbeitet? (z. B. Name, Adresse, Bankdaten, Gesundheitsdaten)
  • Kategorien von Empfängern: An wen werden die Daten übermittelt? (z. B. Finanzamt, Sozialversicherungsträger, IT-Dienstleister)
  • Übermittlungen in Drittländer: Werden Daten in Länder außerhalb der EU/des EWR übermittelt? Welche Garantien bestehen?
  • Löschfristen: Wann werden die Daten gelöscht? (z. B. nach Ablauf gesetzlicher Aufbewahrungsfristen)
  • Technische und organisatorische Maßnahmen: Wie werden die Daten geschützt?

Empfohlene Zusatzangaben

Über die gesetzlichen Pflichtangaben hinaus empfiehlt es sich, weitere Informationen aufzunehmen:

  • Rechtsgrundlage der Verarbeitung (Art. 6 Abs. 1 DSGVO)
  • Verantwortliche Fachabteilung
  • Eingesetzte Software und IT-Systeme
  • Datum der letzten Überprüfung und Aktualisierung
  • Ergebnis einer Datenschutz-Folgenabschätzung (falls durchgeführt)

Verarbeitungsverzeichnis vs. Verfahrensverzeichnis: Der Unterschied

In der Praxis werden die Begriffe Verfahrensverzeichnis und Verarbeitungsverzeichnis häufig synonym verwendet. Technisch betrachtet gibt es jedoch eine historische Unterscheidung:

  • Verfahrensverzeichnis: Dieser Begriff stammt aus dem alten Bundesdatenschutzgesetz (BDSG a.F.) und bezeichnete die Übersicht über automatisierte Verarbeitungsverfahren
  • Verzeichnis von Verarbeitungstätigkeiten (VVT): Dies ist der offizielle Begriff der DSGVO nach Art. 30. Er ist weiter gefasst und umfasst alle Verarbeitungstätigkeiten — nicht nur automatisierte

Im aktuellen Datenschutzrecht ist der korrekte Terminus das Verzeichnis von Verarbeitungstätigkeiten. Der Begriff „Verfahrensverzeichnis“ ist jedoch nach wie vor gebräuchlich und wird in der Praxis als gleichbedeutend verstanden.

Muster und Aufbau eines Verfahrensverzeichnisses

Ein praxistaugliches Verfahrensverzeichnis kann als Tabelle oder Datenbank strukturiert werden. Folgende Struktur hat sich bewährt:

Empfohlene Gliederung pro Verarbeitungstätigkeit

  1. Bezeichnung der Verarbeitungstätigkeit (z. B. „Bewerbermanagement“, „Lohn- und Gehaltsabrechnung“, „Newsletter-Versand“)
  2. Verantwortliche Stelle und Kontaktdaten des Datenschutzbeauftragten
  3. Zweck der Verarbeitung und Rechtsgrundlage
  4. Kategorien betroffener Personen und verarbeiteter Daten
  5. Empfänger der Daten (intern und extern)
  6. Drittlandtransfers mit Angabe der Garantien
  7. Löschfristen und Aufbewahrungsdauer
  8. Technische und organisatorische Maßnahmen (Verweis auf TOM-Dokument)

Typische Verarbeitungstätigkeiten

In den meisten Unternehmen finden sich folgende standardmäßige Verarbeitungstätigkeiten:

  • Personalverwaltung und Lohnbuchhaltung
  • Bewerbermanagement
  • Kundenverwaltung (CRM)
  • Auftragsabwicklung und Rechnungsstellung
  • E-Mail-Kommunikation
  • Websitebetrieb und Webanalyse
  • Videoüberwachung (falls vorhanden)
  • Zutrittskontrolle
  • Newsletter-Versand und Marketing

Häufige Fehler und deren Konsequenzen

In unserer Beratungspraxis als externer Datenschutzbeauftragter in Dresden und ganz Sachsen begegnen uns regelmäßig folgende Fehler beim Verfahrensverzeichnis:

Die häufigsten Fehler

  • Kein Verzeichnis vorhanden: Erstaunlich viele Unternehmen haben schlicht kein Verfahrensverzeichnis — obwohl sie dazu verpflichtet sind
  • Veraltete Einträge: Das Verzeichnis wird einmal erstellt und dann nie wieder aktualisiert
  • Unvollständige Erfassung: Nicht alle Verarbeitungstätigkeiten sind dokumentiert — häufig fehlen z. B. die Videoüberwachung oder der Websitebetrieb
  • Fehlende Löschfristen: Die vorgesehenen Löschfristen fehlen oder sind nicht auf die tatsächlichen Aufbewahrungspflichten abgestimmt
  • Pauschale TOM-Beschreibung: Die technischen und organisatorischen Maßnahmen werden nur oberflächlich beschrieben, statt sie konkret auf die jeweilige Verarbeitungstätigkeit zu beziehen
  • Keine Drittland-Prüfung: Datenübermittlungen in Drittländer (z. B. durch US-amerikanische Cloud-Dienste) werden nicht erfasst

Mögliche Konsequenzen

Ein fehlendes oder mangelhaftes Verfahrensverzeichnis kann schwerwiegende Folgen haben:

  • Bußgelder: Die Aufsichtsbehörde kann Bußgelder von bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes verhängen (Art. 83 Abs. 4 DSGVO)
  • Beweislastproblem: Ohne Verzeichnis kann das Unternehmen bei einer Beschwerde oder Klage nicht nachweisen, dass es die DSGVO einhält
  • Schadensersatzrisiko: Ein fehlendes VVT kann als Indiz für mangelhaften Datenschutz gewertet werden und Schadensersatzansprüche nach Art. 82 DSGVO begünstigen
  • Reputationsschaden: Eine öffentlich bekannt gewordene Datenschutzverletzung beschädigt das Vertrauen von Kunden und Geschäftspartnern

Unterstützung durch einen externen Datenschutzbeauftragten

Die Erstellung und laufende Pflege eines vollständigen Verfahrensverzeichnisses erfordert Fachkenntnis und Erfahrung. Ein externer Datenschutzbeauftragter unterstützt Sie bei der systematischen Erfassung aller Verarbeitungstätigkeiten, der korrekten Dokumentation und der regelmäßigen Aktualisierung.

Als externer Datenschutzbeauftragter in Dresden und Sachsen begleiten wir Unternehmen aller Branchen und Größen bei der Umsetzung ihrer Dokumentationspflichten — praxisnah, effizient und rechtssicher.

→ Jetzt unverbindlich beraten lassen

Häufig gestellte Fragen zum Verfahrensverzeichnis

Muss jedes Unternehmen ein Verfahrensverzeichnis führen?

Praktisch ja. Zwar sieht Art. 30 Abs. 5 DSGVO eine Ausnahme für Unternehmen mit weniger als 250 Mitarbeitern vor, diese greift jedoch nur bei gelegentlicher Datenverarbeitung ohne Risiko. Da nahezu jedes Unternehmen regelmäßig personenbezogene Daten verarbeitet (Lohnbuchhaltung, Kundenverwaltung etc.), ist die Pflicht in der Praxis universell.

Was ist der Unterschied zwischen Verfahrensverzeichnis und Verarbeitungsverzeichnis?

Der Begriff Verfahrensverzeichnis stammt aus dem alten Bundesdatenschutzgesetz. Die DSGVO verwendet den Begriff Verzeichnis von Verarbeitungstätigkeiten (VVT). In der Praxis werden beide Begriffe synonym verwendet, wobei das VVT der DSGVO umfassender ist und alle Verarbeitungstätigkeiten einschließt.

Welche Strafe droht ohne Verfahrensverzeichnis?

Ein fehlendes Verfahrensverzeichnis kann mit Bußgeldern von bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes geahndet werden. Zudem kann es bei Datenschutzbeschwerden als Indiz für mangelhaften Datenschutz gewertet werden und die Beweislast verschlechtern.

Wie oft muss das Verfahrensverzeichnis aktualisiert werden?

Das Verfahrensverzeichnis muss laufend aktuell sein. Eine Aktualisierung ist bei jeder Änderung der Verarbeitungstätigkeiten erforderlich — etwa bei Einführung neuer Software, Änderung von Geschäftsprozessen oder neuen Auftragsverarbeitern. Eine jährliche Gesamtüberprüfung ist empfehlenswert.

Kann das Verfahrensverzeichnis elektronisch geführt werden?

Ja. Art. 30 Abs. 3 DSGVO erlaubt ausdrücklich die elektronische Form. Das Verzeichnis kann als Excel-Tabelle, in einer Datenschutz-Management-Software oder einem anderen elektronischen Format geführt werden. Wichtig ist, dass es jederzeit der Aufsichtsbehörde zur Verfügung gestellt werden kann.

Wer ist für die Erstellung des Verfahrensverzeichnisses verantwortlich?

Die Verantwortung liegt beim Verantwortlichen im Sinne der DSGVO — also bei der Unternehmensleitung. Der Datenschutzbeauftragte unterstützt bei der Erstellung und Pflege, die eigentliche Dokumentation erfolgt in Zusammenarbeit mit den Fachabteilungen, die die jeweiligen Verarbeitungstätigkeiten durchführen.

Professioneller Datenschutz für Ihr Unternehmen

Die DATUREX GmbH ist Ihr zertifizierter externer Datenschutzbeauftragter — bundesweit, persönlich und DSGVO-konform. Ab 250 €/Monat.

Kostenlose Erstberatung anfragen

Kommentar absenden