DSGVO Verzeichnis von Verarbeitungstätigkeiten
Author
Dr. Thomas Helbing
Date Published
Das Verzeichnis von Verarbeitungstätigkeiten (VVT) ist eine Dokumentationsanforderung der EU-Datenschutzgrundverordnung (DSGVO). Gemäß Art. 30 DSGVO müssen Unternehmen eine Liste aller Tätigkeiten erstellen, bei denen sie personenbezogene Daten verarbeiten (Verarbeitungstätigkeiten).
Für das Verzeichnis von Verarbeitungstätigkeiten (VVT) werden – etwas unpräzise – auch die Begriffe Verfahrensverzeichnis und Verarbeitungsverzeichnis verwendet.
Um die Arbeit am VVT zu erleichtern, wurde ein Generator entwickelt, der VVT-Einträge mittels KI entwirft: der VVT-O-Mat.
Zusammenfassung
- Art. 30 DSGVO verlangt von Unternehmen ein Verzeichnis aller Verarbeitungstätigkeiten – die KMU-Ausnahme (< 250 Beschäftigte) greift praktisch fast nie.
- Eine „Verarbeitungstätigkeit" ist ein Bündel von Verarbeitungsschritten mit einheitlichem Zweck; die richtige Granularität orientiert sich an Geschäftsprozessen, nicht an einzelnen IT-Systemen.
- Pflichtangaben: Zweck, Datenarten, Betroffenenkreis, Empfänger, Drittlandübermittlungen, Löschfristen und technisch-organisatorische Maßnahmen; ergänzend sinnvoll: Rechtsgrundlage, IT-System, Auftragsverarbeiter.
- Das VVT ist nicht nur Pflichtdokumentation, sondern Grundlage für Datenschutz-Compliance, Rechenschaftspflicht, Informationspflichten und Auskunftsersuchen.
1. Was ist eine Verarbeitungstätigkeit?
Der Begriff „Verarbeitungstätigkeit" ist in der DSGVO nicht definiert. Deshalb besteht oft Unklarheit, was in welchem Detailgrad in dem Verzeichnis der Verarbeitungstätigkeiten zu dokumentieren ist.
Eine „Verarbeitungstätigkeit" kann verstanden werden als
ein Bündel von Verarbeitungsschritten, das einem einheitlichen, übergeordneten Zweck dient, z. B. ein bestimmter Geschäftsprozess oder ein IT-Tool.
Beispiele für Verarbeitungstätigkeiten sind:
- Nutzung spezieller Software oder Geräte, mit denen Mitarbeiterdaten erfasst, gespeichert oder ausgewertet werden (z. B. Zeiterfassungssystem, digitale Personalakten, elektronisches Zugangskartensystem, Videoüberwachung).
- Standardisierte interne Abläufe, bei denen Mitarbeiterdaten kontinuierlich oder systematisch erfasst, gespeichert oder genutzt werden (z. B. Umgang mit Bewerberdaten, Verwaltung und Abwicklung von Fortbildungsmaßnahmen, Entgeltabrechnung, E-Mail-Newsletter für Kunden).
1.1 Granularität: Wie fein dokumentieren?
Oft stellt sich die Frage, in welcher Granularität die Verarbeitungstätigkeiten im Verzeichnis zu dokumentieren sind. Bei der Abgrenzungsfrage, ob bestimmte Verarbeitungen eine große oder mehrere kleinere Verarbeitungstätigkeiten darstellen, können folgende Gesichtspunkte berücksichtigt werden:
- Eine zu feingliedrige Aufteilung führt zu unübersichtlich vielen Verarbeitungstätigkeiten und erhöht unnötig den Verwaltungsaufwand.
- Eine zu grobgliedrige Aufteilung (z. B. „Personaldatenverwaltung") erlaubt keine sinnvolle Prüfung der Datenschutzkonformität mehr.
- Zur Ermittlung eines übergeordneten Zwecks bietet sich eine Orientierung an bestehenden Geschäftsprozessen oder Aufgabenbereichen an.
- Die Abgrenzung kann auch anhand der technischen Systeme erfolgen, die der Verarbeitungstätigkeit zugrunde liegen. Nicht jedes IT-System muss aber als eigene Verarbeitungstätigkeit angesehen werden.
- Würde eine Verarbeitungstätigkeit in die Verantwortlichkeit mehrerer Fachbereiche fallen, kann eine Aufteilung sinnvoll sein.
- Rein pragmatisch könnte bei kleineren Unternehmen eine geringere Granularität bei der Festlegung von Verarbeitungstätigkeiten akzeptiert werden.
1.2 Was nicht ins VVT muss
Rein abstrakte Verarbeitungen ohne konkreten Zweck (Beispiele: allgemeine Nutzung von Office-Programmen, allgemeine Projektorganisation) oder nur gelegentliche Verarbeitungen (Beispiele: Führen von Teilnehmerlisten von Besprechungen) müssen nicht als „Verarbeitungstätigkeiten" behandelt werden.
2. Beispiele für Verarbeitungstätigkeiten (Muster/Vorlagen) nach Art. 30 DSGVO
Nachfolgend sind typische Verarbeitungstätigkeiten in einem Unternehmen dargestellt. Die Liste ist beispielhaft und nicht abschließend und soll lediglich der Orientierung dienen.
Die Granularität ist eher an kleinen Unternehmen ausgerichtet. Bei mittleren und größeren Unternehmen dürfte z. B. im Personalbereich eine stärkere Aufteilung sinnvoll sein.
2.1 Personal
- Bewerbungsmanagement / Recruiting
- Personalaktenführung
- Gehaltsabrechnung
- Zeiterfassung (Kommen-/Gehen-Zeiten)
- Personalentwicklung / Mitarbeitergespräche
- Fuhrparkverwaltung
- Reisekostenabrechnung
2.2 IT
- E-Mail-Dienst für Mitarbeiter
- Internetzugang für Mitarbeiter
- Fileserver
- Intranet / Mitarbeiterverzeichnis
- Gäste-WLAN
2.3 Online
- Betrieb Webseite
- Newsletter-Abonnenten-Verwaltung
- Tracking (Analyse des Besucherverkehrs)
- Social-Media-Auftritte (z. B. Facebook-Fanpage)
2.4 Kunden
- Vertragsabwicklung / Verkauf / Vertrieb
- CRM (Kundendatenbank)
- Marketing (z. B. Newsletter-Subscriber-Listen, Opt-Out-Listen)
2.5 Allgemein / Lieferanten
- Kreditorenbuchhaltung
- Debitorenbuchhaltung
- Projektmanagement
- Produktion (z. B. Schichtpläne)
- Revision
- Recht
- Compliance
2.6 Sonstiges
- Videoüberwachung
3. Welche Angaben gehören in ein Verzeichnis von Verarbeitungstätigkeiten nach Art. 30 DSGVO?
3.1 Pflichtangaben nach Art. 30 DSGVO
Der zwingende Inhalt des Verzeichnisses der Verarbeitungstätigkeiten ist in Art. 30 DSGVO festgelegt. Neben dem Namen und den Kontaktdaten des Unternehmens und des etwaigen Datenschutzbeauftragten ist für jede einzelne Verarbeitungstätigkeit anzugeben:
- Zweck der Verarbeitung
- Verarbeitete Datenarten
- Personenkreis, über den Daten verarbeitet werden
- Empfänger
- Angaben zu Übermittlungen in Länder außerhalb der EU/des EWR
- Löschfristen
- Datensicherheitsmaßnahmen
3.2 Sinnvolle organisatorische Ergänzungen
Daneben bietet es sich an, folgende organisatorische Angaben zu ergänzen:
- Kurzbezeichnung (Titel) der Verarbeitungstätigkeit
- Intern verantwortliche Abteilung und Person
- Datum des Eintrags / der letzten Änderungen
Stützt das Unternehmen seine Datenverarbeitung auf die Rechtsgrundlage der „Interessenabwägung" (Art. 6 Abs. 1 lit. f DSGVO), sollte dies im Verzeichnis der Verarbeitungstätigkeiten vermerkt sein, zusammen mit der Angabe, welche konkreten Interessen verfolgt werden. Diese Information wird nämlich bei den Informationspflichten wieder benötigt.
3.3 Empfehlenswerte, nicht zwingende Angaben
Sinnvoll, obgleich nicht gesetzlich zwingend gefordert, sind:
- Rechtsgrundlage(n) nach Art. 6 DSGVO, auf die sich die Verarbeitung stützt; bei „Interessenabwägung" zusätzlich die berechtigten Interessen (Angaben werden für Datenschutzhinweise nach Art. 13 Abs. 1 lit. c und d DSGVO benötigt).
- Bezeichnung des eingesetzten IT-Systems
- Einsatz von Auftragsverarbeitern
- Vorliegen besonderer Kategorien personenbezogener Daten nach Art. 9 DSGVO
- nähere Erläuterung der Datenverarbeitung
- relevante Betriebsvereinbarungen
3.4 Umfang und Detailtiefe der Beschreibung
Der Umfang der Angaben zu den Verarbeitungstätigkeiten hängt von dem Ziel ab. Will man nur möglichst knapp die formalen gesetzlichen Anforderungen erfüllen, reichen die Pflichtangaben mit knapper Beschreibung.
Das Verzeichnis der Verarbeitungstätigkeiten ist aber auch zentraler Baustein eines Datenschutzmanagementsystems, um die Einhaltung des Datenschutzes im Unternehmen sicherzustellen (Compliance). Anhand des Verzeichnisses können die einzelnen Verarbeitungen auf ihre DSGVO-Konformität hin geprüft werden und etwaige Nachbesserungen erfolgen. Dies erfordert jedoch häufig eine über die Pflichtangaben hinausgehende Dokumentation der Verarbeitungen.
Zudem hilft ein detaillierteres Verzeichnis von Verarbeitungstätigkeiten dem Unternehmen bei der Einhaltung der sogenannten Rechenschaftspflicht. Aufgrund der Rechenschaftspflicht muss das Unternehmen in der Lage sein, die Einhaltung der DSGVO auch nachweisen zu können. Auch bei der Erstellung von Datenschutzinformationen (z. B. für Mitarbeiter oder Bewerber) sowie bei der Bearbeitung von Auskunftsersuchen ist das Verzeichnis ein wichtiges Hilfsmittel.
Da das Verzeichnis der Verarbeitungstätigkeiten auf Anfrage einer Aufsichtsbehörde vorgelegt werden muss, sollte sichergestellt sein, dass in diesem Fall nur die Pflichtangaben extrahiert werden können.
3.5 Praxistipp: Wiederholungen vor die Klammer ziehen
Um Wiederholungen zu vermeiden, bietet es sich an, bestimmte Beschreibungen gesondert zu verfassen und bei den einzelnen Einträgen im Verzeichnis nur auf diese zu verweisen, sofern sich beim konkreten Verfahren keine Besonderheiten ergeben. Diese Methode des „Vor-die-Klammer-Ziehens" ist vor allem bei den Löschfristen, den Datensicherheitsmaßnahmen und ggf. den Datenempfängern sinnvoll.
Die Angaben zu den einzelnen Verarbeitungstätigkeiten können in der Regel knapp und ggf. sogar stichpunktartig erfolgen, müssen aber vollständig und aus sich heraus verständlich sein. Je stärker die Datenverarbeitung die Interessen der Betroffenen beeinträchtigen kann, desto genauer muss die Beschreibung erfolgen. Kriterien sind hierbei z. B. Sensibilität der Daten, Umfang der Daten, Zahl der Betroffenen, Üblichkeit und Art der Verarbeitung.
3.6 VVT als reine Dokumentation – Prüfung separat
Manchmal werden im Verzeichnis der Verarbeitungstätigkeiten auch Aspekte aufgenommen, die der Prüfung der datenschutzrechtlichen Zulässigkeit des Verfahrens dienen, z. B. Fragen zum Rollen- und Berechtigungskonzept oder der Rechtsgrundlage. Ich persönlich empfehle, diese Themen aus dem Verzeichnis der Verarbeitungstätigkeiten herauszuhalten und dieses als reine Dokumentation zu sehen. Die DSGVO-Konformität kann dagegen in gesonderten Unterlagen geprüft und dokumentiert werden.
4. Beispiele, Muster, Vorlagen und kostenlose Excel-Vorlagen
- Hinweise der Datenschutzkonferenz (DSK) zum Verzeichnis von Verarbeitungstätigkeiten nach Art. 30 DS-GVO (PDF, BayLDA)
- GDD-Praxishilfe zum Verzeichnis der Verarbeitungstätigkeiten (PDF, Gesellschaft für Datenschutz und Datensicherheit e. V.)
- Bitkom-Leitfaden zum Verarbeitungsverzeichnis inklusive Erstellungstipps (PDF)
- Einfache Beispiele und Muster des BayLDA für kleine Unternehmen (Vereine, Kfz-Werkstatt, Handwerksbetrieb, Arztpraxis, WEG-Verwaltung, Online-Shop, Beherbergungsbetrieb)
5. Was ist noch wichtig zum Verzeichnis von Verarbeitungstätigkeiten?
- Das Verzeichnis der Verarbeitungstätigkeiten wird oft als lästige Dokumentationsanforderung wahrgenommen, ist aber ein zentraler Baustein zur Sicherstellung der Datenschutz-Compliance im Unternehmen.
- Die Führung des Verzeichnisses obliegt dem Unternehmen, nicht dem Datenschutzbeauftragten. Die Aufgabe kann aber an den Datenschutzbeauftragten delegiert werden, wenn dieser einverstanden ist. Vor der DSGVO war dies umstritten, nunmehr ist die Delegationsmöglichkeit von Aufsichtsbehörden anerkannt.
- Die Annahme, Unternehmen mit weniger als 250 Mitarbeitern müssten kein Verzeichnis von Verarbeitungstätigkeiten führen, ist verfehlt, da in der Regel eine Rückausnahme nach Art. 30 Abs. 5 DSGVO greift.
- Der Aufwand für die erstmalige Erstellung eines Verzeichnisses ist nicht zu unterschätzen. Auch die spätere Pflege bindet Ressourcen. Gerade bei mittleren und größeren Unternehmen bedarf es hierfür fester Prozesse und der Mitwirkung der Fachbereiche.
- Es gibt diverse Anbieter von Softwarelösungen zum Führen eines Verzeichnisses der Verarbeitungstätigkeiten. In vielen Fällen genügen aber Excel-Dateien oder kleine SharePoint-Lösungen. Software-Tools bringen oft viele weitere, nicht unbedingt gewollte Funktionen mit sich, kosten Geld und führen zu Lock-in-Effekten. Der Einsatz der Tools sollte daher gerade bei kleinen und mittleren Unternehmen gut abgewogen werden.
- Aufsichtsbehörden ist auf Anfrage das Verzeichnis der Verarbeitungstätigkeiten bereitzustellen.
- Die Begriffe „Verfahrensverzeichnis" oder „Verarbeitungsverzeichnis" sind veraltet und sollten nicht weiter genutzt werden.
- Das unter dem alten BDSG erforderliche „öffentliche Verfahrensverzeichnis" gibt es unter der Geltung der DSGVO nicht mehr.
Über den Autor
Über den Autor
Dieser Blogbeitrag wurde von Dr. Thomas Helbing, Fachanwalt für IT-Recht in München, verfasst.
Dr. Helbing wird seit 2020 durchgehend bis heute (2026) vom Handelsblatt als einer der „Deutschlands besten Anwälte" im Bereich IT-Recht und Datenschutzrecht ausgezeichnet.
Laut Kanzleimonitor.de (Ausgaben 2024–2026) zählt er zu den führenden Anwälten für Datenschutz und IT-Recht und ist unter den Top-100 Anwälten in Deutschland gelistet. Kanzleimonitor gilt als besonders aussagekräftige Marktstudie, da sie ausschließlich auf persönlichen Empfehlungen von Unternehmensjuristen basiert.
Dr. Helbing verfügt über langjährige Beratungserfahrung im Datenschutz- und IT-Recht und berät Mandanten unterschiedlichster Größen, vom Startup über wachstumsstarke SaaS-Unternehmen und Unicorns bis hin zu internationalen Konzernen.
Sein beruflicher Hintergrund umfasst das gesamte Spektrum der Praxis im IT- und Technologierecht. Er begann seine Laufbahn in einer internationalen Großkanzlei, sammelte anschließend Inhouse-Erfahrung in einem DAX-Unternehmen und ist selbst Unternehmer und Gründer mehrerer digitaler Projekte. Darüber hinaus verfügt er über praktische Programmiererfahrung, wodurch er technische Systeme, Softwarearchitekturen und digitale Geschäftsmodelle nicht nur juristisch, sondern auch aus technischer Perspektive versteht.
Zu seinen Mandanten zählen seit vielen Jahren unter anderem Technologieunternehmen und SaaS-Anbieter, führende deutsche Forschungseinrichtungen sowie eine systemrelevante deutsche Großbank. Seine Beratungsschwerpunkte liegen insbesondere in den Bereichen DSGVO-Compliance, Datenökonomie, SaaS, KI-Regulierung und IT-Vertragsrecht.