Zuletzt aktualisiert am 3. April 2026
Die DSGVO sieht vor, dass Unternehmer ein Verzeichnis von Verarbeitungstätigkeiten (VVT) führen (Art. 30 DSGVO). In diesem ersten Teil zum VVT erfahren Sie, wer ein solches Verzeichnis führen muss und was die Folgen bei einem Verstoß sind.
Lesen Sie hier den Teil 2 der VVT-Serie zum Inhalt eines VVT.
Warum überhaupt ein VVT?
Die Pflicht, ein VVT zu führen, wird in Art. 30 DSGVO festgehalten. Das Verzeichnis bildet den Kern jedes Datenschutzmanagementsystems (DSMS).
Das Verzeichnis ermöglicht eine Übersicht über alle in einem Unternehmen stattfindenden Verarbeitungsvorgänge. Diese Vorgänge könne anhand dieser Übersicht einfacher kontrolliert werden. Auch eine Risikoabwägung und die Erkennung von Handlungsbedarf werden so erleichtert.
Hinter der Regelung zum VVT steht nicht zuletzt auch der Rechenschaftsgrundsatz (Art. 5 II DSGVO). Außerdem steigert es Kontrolle und Transparenz.
Wann ist ein VVT Pflicht?
Nach Art. 30 DSGVO ist grundsätzlich jeder Verantwortliche und jeder Auftragsverarbeiter verpflichtet, ein VVT zu führen. Dabei unterscheiden sich die Verzeichnisse in ihrem Inhalt je nachdem ob es sich beim Verzeichnisführer um einen Verantwortlichen oder Auftragsverarbeiter handelt. Für den Verantwortlichen gilt die Auflistung in Art. 30 I DSGVO, für den Auftragsverarbeiter dagegen die Auflistung in Art. 30 II DSGVO.
Mehr zum Inhalt eines VVT erfahren Sie hier.
Die Definitionen von Verantwortlichem und Auftragsverarbeiter finden sich in Art. 4 Nr. 7 und Nr. 8 DSGVO. Mehr zur Unterscheidung zwischen Verantwortlichem und Auftragsverarbeiter finden Sie hier.
Wann bin ich von der Pflicht zur Führung eines VVT befreit?
Wenn der Verantwortliche weniger als 250 Mitarbeiter beschäftigt, kann er grundsätzlich von der Führung eines VVT befreit sein. Zu dieser Ausnahme gibt es allerdings drei Rückausnahmen: Ein VVT ist doch wieder verpflichtend, wenn eine Verarbeitung erfolgt, die entweder ein Risiko für Rechte und Freiheiten der Betroffenen birgt (z.B. Überwachungsmaßnahmen), nicht nur gelegentlich erfolgt oder besondere Kategorien von Daten (Art. 9 oder 10 DSGVO) betrifft. Gerade die zweite Rückausnahme (regelmäßige Verarbeitung) umfasst nahezu alle Unternehmen, sodass in den allermeisten Fällen auch für Unternehmen mit weniger als 250 Mitarbeitern eine Pflicht zur Führung eines VVT besteht.
Was passiert bei einem Verstoß?
Wenn ein zur Führung eines VVT Verpflichteter kein VVT führt oder es unvollständig führt, stellt dies eine Ordnungswidrigkeit nach Art. 84 IV lit. a DSGVO dar.
Die zuständige Aufsichtsbehörde kann dann ein Bußgeld verhängen.
Typische Fehler beim VVT und wie man sie vermeidet
In der Praxis zeigen sich bei der Erstellung und Pflege eines VVT regelmäßig typische Fehler. Der häufigste Fehler ist die Unvollständigkeit: Viele Unternehmen erfassen nur die offensichtlichen Verarbeitungstätigkeiten wie die Lohn- und Gehaltsabrechnung oder die Kundenverwaltung. Weniger offensichtliche Verarbeitungen wie die Videoüberwachung des Betriebsgeländes, die Verarbeitung von Bewerberdaten oder die Nutzung von Tracking-Tools auf der Unternehmenswebsite werden häufig vergessen.
Ein weiterer häufiger Fehler ist die fehlende Aktualisierung. Ein VVT ist kein statisches Dokument, sondern muss kontinuierlich an veränderte Verarbeitungsprozesse angepasst werden. Wird ein neues IT-System eingeführt, ein neuer Dienstleister beauftragt oder eine neue Marketingmaßnahme gestartet, muss das VVT entsprechend ergänzt werden.
Praktische Umsetzung eines VVT
Für die praktische Umsetzung stehen verschiedene Methoden zur Verfügung. Kleine Unternehmen können das VVT in einer einfachen Excel-Tabelle führen. Für größere Unternehmen empfehlen sich spezialisierte Datenschutz-Management-Software-Lösungen, die das VVT mit anderen Datenschutzprozessen verknüpfen.
Bei der Erstellung sollte systematisch vorgegangen werden. Zunächst werden alle Abteilungen und Geschäftsprozesse identifiziert, in denen personenbezogene Daten verarbeitet werden. Anschließend wird für jeden Prozess ein eigener Eintrag im VVT angelegt, der die in Art. 30 DSGVO geforderten Informationen enthält. Besonders wichtig ist die Einbindung aller relevanten Fachabteilungen.
Inhalt eines VVT: Die Pflichtangaben nach Art. 30 DSGVO
Art. 30 I DSGVO legt fest, welche Informationen ein VVT mindestens enthalten muss. Dazu gehören der Name und die Kontaktdaten des Verantwortlichen, seines Vertreters und des Datenschutzbeauftragten, die Zwecke der Verarbeitung, eine Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten, die Kategorien von Empfängern, gegebenenfalls Übermittlungen in Drittländer, die vorgesehenen Fristen für die Löschung sowie eine allgemeine Beschreibung der technisch-organisatorischen Maßnahmen.
Für Auftragsverarbeiter gelten nach Art. 30 II DSGVO abweichende Anforderungen. Hier müssen insbesondere die Kategorien der im Auftrag durchgeführten Verarbeitungen und die Namen der Auftraggeber dokumentiert werden.
Das VVT als Grundlage des Datenschutzmanagements
Das VVT dient nicht nur der Erfüllung einer gesetzlichen Pflicht, sondern bildet die Grundlage für ein effektives Datenschutzmanagementsystem. Auf Basis des VVT können Datenschutz-Folgenabschätzungen durchgeführt, Auftragsverarbeitungsverträge geprüft, Betroffenenanfragen bearbeitet und Datenpannen dokumentiert werden. Ein gut geführtes VVT ermöglicht es dem Datenschutzbeauftragten, schnell einen Überblick über alle Verarbeitungstätigkeiten zu gewinnen und Risiken zu identifizieren.
Konsequenzen bei Verstößen: Bußgelder und Praxisfälle
Die Konsequenzen eines fehlenden oder unvollständigen VVT sollten nicht unterschätzt werden. Art. 83 IV lit. a DSGVO sieht Bußgelder von bis zu 10 Millionen Euro oder bis zu zwei Prozent des weltweiten Jahresumsatzes vor. In der Praxis haben deutsche Aufsichtsbehörden bereits Bußgelder wegen fehlender oder mangelhafter VVT verhängt.
Ein ordnungsgemäß geführtes VVT demonstriert die Rechenschaftsfähigkeit des Unternehmens und kann bei der Bemessung von Bußgeldern strafmindernd wirken. Es zeigt der Aufsichtsbehörde, dass das Unternehmen seine datenschutzrechtlichen Pflichten ernst nimmt und ein systematisches Datenschutzmanagement betreibt.
VVT in der Praxis: Branchenspezifische Besonderheiten
Je nach Branche unterscheiden sich die Anforderungen an ein VVT erheblich. Im Gesundheitswesen müssen beispielsweise die besonderen Kategorien personenbezogener Daten nach Art. 9 DSGVO (Gesundheitsdaten) besonders berücksichtigt werden. Im E-Commerce sind die Verarbeitungstätigkeiten rund um Online-Marketing, Zahlungsabwicklung und Kundendatenmanagement besonders komplex und erfordern eine detaillierte Dokumentation.
Für Unternehmen in Sachsen und Dresden empfiehlt es sich, branchenspezifische Muster-VVT als Ausgangspunkt zu nutzen und diese an die eigenen Gegebenheiten anzupassen. Die Industrie- und Handelskammer Dresden stellt hierfür teilweise Vorlagen zur Verfügung. Allerdings ersetzt eine solche Vorlage nicht die individuelle Anpassung an die tatsächlichen Verarbeitungsprozesse des Unternehmens.
Digitalisierung des VVT
Die Führung eines VVT in Papierform oder in einfachen Tabellenkalkulationen stößt bei wachsenden Unternehmen schnell an ihre Grenzen. Moderne Datenschutz-Management-Systeme bieten die Möglichkeit, das VVT digital zu führen und mit anderen Datenschutzprozessen wie der Datenschutz-Folgenabschätzung, dem Löschkonzept und dem Einwilligungsmanagement zu verknüpfen.
Die Vorteile einer digitalen Lösung liegen in der automatisierten Erinnerung an Überprüfungsintervalle, der einfachen Versionierung und Nachvollziehbarkeit von Änderungen, der schnellen Exportmöglichkeit für Anfragen der Aufsichtsbehörde sowie der kollaborativen Bearbeitung durch mehrere Fachabteilungen. Bei der Auswahl einer Software-Lösung sollte darauf geachtet werden, dass diese selbst den Anforderungen der DSGVO genügt und die Daten innerhalb der EU gespeichert werden.
Regelmäßige Überprüfung und Aktualisierung
Ein VVT ist nur dann ein wirksames Instrument des Datenschutzmanagements, wenn es regelmäßig überprüft und aktualisiert wird. Die Datenschutzkonferenz empfiehlt eine mindestens jährliche Überprüfung des gesamten Verzeichnisses. Darüber hinaus sollte das VVT anlassbezogen aktualisiert werden, etwa bei der Einführung neuer Software-Systeme, dem Wechsel von Dienstleistern, der Aufnahme neuer Geschäftsfelder oder
Die DATUREX GmbH unterstützt Unternehmen in Dresden und ganz Sachsen bei der Erstellung, Überprüfung und Aktualisierung ihres Verzeichnisses von Verarbeitungstätigkeiten. Als erfahrener externer Datenschutzbeauftragter sorgen wir dafür, dass Ihr VVT stets den aktuellen Anforderungen entspricht.
organisatorischen Veränderungen im Unternehmen.Unterstützung durch einen externen Datenschutzbeauftragten
Die Erstellung und Pflege eines Verzeichnisses von Verarbeitungstätigkeiten erfordert fundiertes datenschutzrechtliches Wissen. Ein externer Datenschutzbeauftragter kann Unternehmen bei der systematischen Erfassung aller Verarbeitungstätigkeiten, der korrekten Dokumentation nach Art. 30 DSGVO, der regelmäßigen Überprüfung und Aktualisierung sowie der Integration des VVT in das gesamte Datenschutzmanagementsystem unterstützen.
Ein vollständiges und aktuelles VVT bildet die ideale Grundlage für die Durchführung von Datenschutz-Folgenabschätzungen (DSFA) nach Art. 35 DSGVO. Anhand des VVT lässt sich schnell erkennen, welche Verarbeitungstätigkeiten ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen bergen und daher einer DSFA bedürfen. Die systematische Verknüpfung von VVT und DSFA spart nicht nur Zeit, sondern stellt auch sicher, dass keine risikobehaftete Verarbeitung übersehen wird. Moderne Datenschutzmanagement-Software kann die Erstellung und Pflege eines VVT erheblich vereinfachen. Tools wie OneTrust, DataGuard oder Proliance bieten strukturierte Vorlagen, automatische Erinnerungen bei Aktualisierungsbedarf und die Möglichkeit, Verarbeitungstätigkeiten mit zugehörigen Dokumenten wie Auftragsverarbeitungsverträgen und Datenschutz-Folgenabschätzungen zu verknüpfen. Die Auswahl der richtigen Software sollte sich an der Unternehmensgröße, der Komplexität der Verarbeitungsprozesse und den individuellen Compliance-Anforderungen orientieren. Das VVT Datenschutz bildet das zentrale Dokumentationsinstrument für jedes Unternehmen, das personenbezogene Daten verarbeitet. Der Begriff „VVT Datenschutz“ fasst alle Anforderungen zusammen, die Art. 30 DSGVO an das Verzeichnis von Verarbeitungstätigkeiten stellt. Dabei geht es nicht nur um die formale Erfüllung einer Pflicht, sondern um ein lebendiges Werkzeug des Datenschutzmanagements. Die Anforderungen an ein VVT im Datenschutz lassen sich in drei Kernbereiche gliedern: Vollständigkeit, Aktualität und Verfügbarkeit. Vollständigkeit bedeutet, dass sämtliche Verarbeitungstätigkeiten — von der Lohnbuchhaltung über die Kundenverwaltung bis hin zur Videoüberwachung — erfasst sein müssen. Aktualität erfordert, dass jede Änderung an Verarbeitungsprozessen zeitnah im VVT nachgezogen wird. Verfügbarkeit heißt, dass das VVT der Aufsichtsbehörde auf Anfrage jederzeit vorgelegt werden können muss. Ein häufig unterschätzter Aspekt des VVT Datenschutz ist die Verknüpfung mit Auftragsverarbeitungsverträgen (AVV). Jeder externe Dienstleister, der personenbezogene Daten im Auftrag verarbeitet, muss sowohl im VVT dokumentiert als auch durch einen AVV nach Art. 28 DSGVO abgesichert sein. Fehlt einer dieser Bausteine, drohen empfindliche Bußgelder. Für ein rechtssicheres VVT im Datenschutz empfiehlt sich die Erstellung eines Datenschutzkonzepts, das die organisatorischen Rahmenbedingungen für die VVT-Pflege festlegt. Dazu gehören klare Verantwortlichkeiten, definierte Überprüfungsintervalle und ein Prozess für die Meldung neuer Verarbeitungstätigkeiten durch die Fachabteilungen. Unternehmen, die diese Strukturen etablieren, erfüllen nicht nur die gesetzlichen Anforderungen, sondern profitieren auch von einer besseren Übersicht über ihre Datenflüsse und Risiken. Die DATUREX GmbH unterstützt Unternehmen in Dresden und Sachsen bei der professionellen Erstellung und Pflege ihres Verzeichnisses von Verarbeitungstätigkeiten. Kontaktieren Sie uns für eine unverbindliche Erstberatung. In der Praxis zeigen sich bei der Erstellung und Pflege eines VVT immer wieder typische Fehler, die Unternehmen vermeiden sollten. Ein häufiger Fehler ist die unvollständige Erfassung von Verarbeitungstätigkeiten. Viele Unternehmen dokumentieren zwar offensichtliche Prozesse wie die Lohn- und Gehaltsabrechnung oder die Kundenverwaltung, übersehen aber weniger offensichtliche Verarbeitungen wie Videoüberwachung, Bewerberdatenmanagement, Newsletter-Versand oder die Nutzung von Cloud-Diensten. Ein weiteres Problem ist die fehlende Aktualisierung des VVT. Das Verzeichnis ist kein statisches Dokument, sondern muss bei jeder Änderung der Verarbeitungsprozesse angepasst werden. Dies gilt insbesondere bei der Einführung neuer Software, dem Wechsel von Dienstleistern oder der Aufnahme neuer Geschäftsfelder. Die Aufsichtsbehörden prüfen nicht nur, ob ein VVT existiert, sondern auch, ob es aktuell und vollständig ist. Auch die unzureichende Dokumentation der Rechtsgrundlagen ist ein häufiger Mangel. Für jede Verarbeitungstätigkeit muss eine klare Rechtsgrundlage nach Art. 6 Abs. 1 DSGVO angegeben werden. Pauschale Verweise auf „berechtigte Interessen“ ohne konkrete Interessenabwägung genügen nicht. Ein professionelles Datenschutzkonzept bildet die Grundlage für ein rechtssicheres VVT und hilft, diese Fehler systematisch zu vermeiden.Das VVT als Grundlage für Datenschutz-Folgenabschätzungen
Digitale Tools für die VVT-Verwaltung
VVT Datenschutz — Anforderungen nach Art. 30 DSGVO
Häufige Fehler beim Verzeichnis von Verarbeitungstätigkeiten
Weiter zu Teil 2 zum VVT geht es hier.