Zum Hauptinhalt springen
Datenschutz / DSGVO

Verarbeitungsverzeichnis (VVT)

Das Verzeichnis aller Verarbeitungstätigkeiten, das gem. Art. 30 DSGVO von jedem Verantwortlichen geführt werden muss.

Das Verzeichnis von Verarbeitungstätigkeiten (VVT) ist eines der zentralen Instrumente der DSGVO-Compliance. Gemäß Art. 30 DSGVO ist jeder Verantwortliche verpflichtet, ein solches Verzeichnis schriftlich – auch in elektronischer Form – zu führen und der Aufsichtsbehörde auf Anfrage zur Verfügung zu stellen. Es bildet die dokumentarische Grundlage für die gesamte datenschutzrechtliche Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO.

Das VVT muss für jede Verarbeitungstätigkeit mindestens die folgenden Angaben enthalten: Name und Kontaktdaten des Verantwortlichen, den Verarbeitungszweck, eine Beschreibung der betroffenen Personengruppen und Datenkategorien, die Empfänger oder Empfängerkategorien, etwaige Drittlandübermittlungen einschließlich der Garantien, die vorgesehenen Löschfristen sowie eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen. Auftragsverarbeiter müssen ein eigenes Verzeichnis für alle im Auftrag durchgeführten Verarbeitungen führen.

In der Praxis ist das VVT weit mehr als ein bürokratisches Dokument: Es hilft Ihnen als Compliance Officer, einen systematischen Überblick über alle Datenflüsse im Unternehmen zu gewinnen, Risiken frühzeitig zu erkennen und die Notwendigkeit einer Datenschutz-Folgenabschätzung (DSFA) zu beurteilen. Unternehmen mit weniger als 250 Mitarbeitern sind von der Pflicht nur ausgenommen, wenn die Verarbeitung kein Risiko für die Betroffenenrechte birgt, nicht gelegentlich erfolgt und keine besonderen Datenkategorien betrifft – was in der Praxis selten zutrifft.

Rechtliche Grundlage

Art. 30 DSGVO

Praxisbeispiel

Ein mittelständisches Produktionsunternehmen bereitet sich auf eine Prüfung durch die Landesdatenschutzbehörde vor. Die Behörde fordert das Verarbeitungsverzeichnis innerhalb von zwei Wochen an. Als Compliance Officer stellen Sie fest, dass das VVT zuletzt vor 18 Monaten aktualisiert wurde und die kürzlich eingeführte HR-Software sowie das neue CRM-System noch nicht erfasst sind. Sie aktualisieren das Verzeichnis umgehend, ergänzen die fehlenden Einträge mit allen Pflichtangaben nach Art. 30 DSGVO und stellen sicher, dass Löschfristen für alle Kategorien definiert sind. Das aktualisierte VVT wird der Behörde fristgerecht übermittelt.

Häufige Fragen

Grundsätzlich jeder Verantwortliche und jeder Auftragsverarbeiter. Eine Ausnahme gilt für Unternehmen mit weniger als 250 Mitarbeitern, sofern ihre Verarbeitungen kein Risiko bergen, nicht regelmäßig erfolgen und keine besonderen Datenkategorien betreffen – was in der Praxis kaum vorkommt.
Das VVT muss gemäß Art. 30 DSGVO mindestens Name und Kontakt des Verantwortlichen, Verarbeitungszwecke, betroffene Personengruppen, Datenkategorien, Empfänger, Drittlandübermittlungen, Löschfristen und eine Beschreibung der technischen und organisatorischen Maßnahmen enthalten.
Das VVT muss stets aktuell gehalten werden. Bei jeder Einführung neuer Software, Dienstleister oder Verarbeitungsprozesse ist eine Aktualisierung erforderlich. Empfehlenswert ist eine mindestens jährliche Vollüberprüfung sowie eine anlassbezogene Prüfung bei organisatorischen Änderungen.

So unterstützt preeco Sie

Erfahren Sie, wie unsere Software Sie bei diesem Thema unterstützt.

Mehr erfahren

Verwandte Begriffe

Personenbezogene Daten Auftragsverarbeitung (AVV) Technische und organisatorische Maßnahmen (TOMs) Datenschutzbeauftragter (DSB) Rechenschaftspflicht (Accountability)
Zurück zum Glossar