Kowoll Protects Logo +49 7071 770371

Ratgeber · 22. Mai 2026

Verarbeitungsverzeichnis anlegen — Pflicht, Inhalt und Praxis-Vorlage

Verarbeitungsverzeichnis anlegen nach Art. 30 DSGVO: Pflicht-Inhalte, Praxis-Vorlage, häufige Fehler, Tools und Beispiele für KMU.

Tabelle mit Verarbeitungstätigkeiten auf Laptop-Bildschirm — Verarbeitungsverzeichnis nach Art. 30 DSGVO

Das Verzeichnis von Verarbeitungstätigkeiten — kurz VVT — ist das Rückgrat jeder DSGVO-konformen Organisation. Wer keins hat, hat ein Problem. Wer eins hat, das vier Jahre alt ist und niemand mehr versteht, hat ein größeres Problem. Hier ist die Praxis-Anleitung, wie Sie ein VVT anlegen, das die Aufsicht akzeptiert — und das Sie als Geschäftsführer auch wirklich nutzen.

Was das VVT ist (und was nicht)

Das VVT nach Art. 30 DSGVO ist eine vollständige Übersicht aller Verarbeitungstätigkeiten Ihres Unternehmens, in denen personenbezogene Daten verarbeitet werden. Es ist kein juristisches Gutachten, kein Vertragstext und keine Datenschutzerklärung. Es ist eine strukturierte Tabelle, die zeigt: Welche Daten verarbeiten Sie, wofür, auf welcher Rechtsgrundlage, mit welchen Tools, wie lange.

Die Aufsicht kann das VVT jederzeit anfordern. Wer auf Anfrage liefern muss und nichts hat, bekommt typischerweise eine Verwarnung, im Wiederholungsfall ein Bußgeld nach Art. 83 Abs. 4 — bis zu 10 Mio. Euro oder 2 % vom Jahresumsatz. Reale Fälle finden Sie im Artikel DSGVO-Bußgelder 2026.

Wer ein VVT braucht — und wer nicht

Art. 30 Abs. 5 DSGVO sieht eine kleine Ausnahme vor: Unternehmen mit unter 250 Mitarbeitern sind nur dann verpflichtet, wenn:

  • die Verarbeitung regelmäßig stattfindet (was bei laufendem Geschäftsbetrieb fast immer der Fall ist),
  • die Verarbeitung ein Risiko für die Rechte Betroffener birgt (Kundendaten = Risiko),
  • oder besondere Datenkategorien (Art. 9 DSGVO) verarbeitet werden.

In der Praxis: Jedes KMU mit laufendem Geschäftsbetrieb braucht ein VVT. Der Ausnahme-Tatbestand greift praktisch nur bei Vereinen ohne Personal und Einzelfirmen ohne Kundenstamm.

Pflicht-Inhalte nach Art. 30 Abs. 1 DSGVO

Jeder Eintrag im VVT muss folgende Felder enthalten:

  1. Name und Kontaktdaten des Verantwortlichen (= Ihr Unternehmen) und ggf. des DSB
  2. Zwecke der Verarbeitung — wofür werden die Daten genutzt?
  3. Kategorien betroffener Personen — Kunden, Mitarbeiter, Bewerber, Lieferanten, Newsletter-Abonnenten, …
  4. Kategorien personenbezogener Daten — Stammdaten, Kontaktdaten, Bankdaten, Gesundheitsdaten, …
  5. Empfänger — wer bekommt die Daten? Eigene Mitarbeiter, Steuerberater, Versand, Cloud-Anbieter
  6. Drittlandübermittlungen — gehen Daten in die USA, UK, Indien? Welche Garantien gibt es? Mehr unter Drittland und SCCs
  7. Löschfristen — wie lange werden Daten aufbewahrt?
  8. Technische und organisatorische Maßnahmen (TOMs) — Verschlüsselung, Backup, Zutrittskontrolle

Wer Auftragsverarbeiter ist (z.B. IT-Dienstleister, Lohnbüro, Cloud-Hoster), führt zusätzlich ein VVT nach Art. 30 Abs. 2 mit etwas anderen Pflichtfeldern.

Beispiel-Einträge für ein typisches KMU

Ein klassisches B2B-KMU mit 25 Mitarbeitern hat typischerweise 15 bis 25 Verarbeitungstätigkeiten. Hier exemplarische Einträge:

  • Personalverwaltung — Mitarbeiterdaten, Lohnabrechnung, Urlaubsverwaltung; Rechtsgrundlage Art. 6 Abs. 1 lit. b DSGVO + § 26 BDSG; Empfänger: Steuerbüro, Lohnbüro; Löschfrist 10 Jahre nach Austritt
  • Bewerbermanagement — Bewerbungsunterlagen, ggf. Lebenslauf mit Foto; Art. 6 Abs. 1 lit. b/f + § 26 BDSG; Empfänger: HR-Team, Fachbereich; Löschung 6 Monate nach Absage
  • Kundenbuchhaltung — Stammdaten, Bankverbindung, Rechnungen; Art. 6 Abs. 1 lit. b + § 147 AO; Empfänger: Steuerberater, Bank; Löschfrist 10 Jahre
  • Newsletter-Versand — E-Mail-Adresse, Vorname; Art. 6 Abs. 1 lit. a (Einwilligung); Empfänger: Mailchimp (USA, mit SCCs + DPF); Löschung bei Abmeldung
  • Kontaktformular Website — Name, E-Mail, Anfragetext; Art. 6 Abs. 1 lit. b/f; Empfänger: Vertrieb; Löschung 12 Monate nach Erledigung
  • Videoüberwachung Eingang — Bewegtbild, Zeitstempel; Art. 6 Abs. 1 lit. f (Hausrecht); Empfänger: Geschäftsführung; Löschung nach 72 Stunden
  • Werkstatt-Auftragsverwaltung — Kunden-/Fahrzeugdaten, Reparaturhistorie; Art. 6 Abs. 1 lit. b; Empfänger: Werkstatt-Personal; Löschfrist 10 Jahre

Diese Einträge lassen sich für die meisten Branchen anpassen. Mehr zu branchenspezifischen Verarbeitungen siehe Handwerk, Arztpraxis, IT und Software, Produktion und Handel.

Die häufigsten Fehler in der Praxis

Aus über 100 VVT-Audits seit 2018 kristallisieren sich fünf typische Probleme heraus:

  • Cookie-Banner-Tracking fehlt: Google Analytics, Meta Pixel und Co. werden eingesetzt, aber nicht im VVT geführt. Wenn die Aufsicht das Web-Tracking prüft, fliegt das sofort auf.
  • AVV-Beziehungen nicht gepflegt: Jeder Cloud-Dienst (Microsoft 365, DATEV-Online, Dropbox, ChatGPT) muss als Empfänger geführt sein, mit AVV im Hintergrund.
  • Löschfristen vergessen oder zu pauschal: “Wenn nicht mehr benötigt” ist keine Frist. Konkrete Zahlen je Datenart sind Pflicht.
  • Rechtsgrundlagen falsch zugeordnet: Bewerbung läuft nicht auf “berechtigtes Interesse”, sondern auf Anbahnung eines Vertragsverhältnisses. Mehr unter Art. 6 DSGVO.
  • Stand des Dokuments unklar: Wenn das VVT vom 17.03.2021 ist, akzeptiert das die Aufsicht nicht mehr. Versionierung mit Datum und Verantwortlichem ist Pflicht.

Tool-Empfehlungen — was wirklich funktioniert

Drei Kategorien, die wir in der Praxis sehen:

Excel / Google Sheets: Funktioniert für KMU mit unter 25 Verarbeitungstätigkeiten. Vorteil: keine Lizenzkosten, jeder kennt das Format. Nachteil: kein Workflow, keine Erinnerungen, manuelle Pflege.

Spezialsoftware (Caralegal, datenschutzexperte.de, Otris privacy, Activemind, DataAgenda): Lohnt sich ab ca. 50 MA oder bei komplexem Datenfluss. Lizenzen ab 1.500 Euro pro Jahr.

Notion / Confluence mit Datenschutz-Template: Guter Mittelweg für tech-affine KMU. Cross-Referenzierung mit TOMs, AVVs und Schulungs-Doku möglich.

Für Erstkunden setzen wir bei Kowoll standardmäßig auf eine erprobte Excel-Vorlage mit drei Tabs (VVT Art. 30 Abs. 1, AVV-Register, TOM-Liste). Erst wenn das Unternehmen über 60 Mitarbeiter hinauswächst, wechseln wir auf eine Spezialsoftware.

Praxis-Vorlage: Aufbau in 5 Schritten

  1. Bestandsaufnahme: Alle eingesetzten Systeme listen — CRM, ERP, Buchhaltung, HR-Tool, Cloud, Cookie-Banner, Newsletter-Tool, Kundenportale, Tracking. Das ist die Grundlage.
  2. Verarbeitungstätigkeiten ableiten: Aus jedem System ergeben sich typischerweise 1 bis 4 Verarbeitungstätigkeiten.
  3. Felder pro Eintrag ausfüllen: Alle 8 Pflichtfelder aus Art. 30 Abs. 1.
  4. AVVs verknüpfen: Jeden externen Dienstleister im VVT als Empfänger nennen + AVV referenzieren.
  5. Review-Zyklus festlegen: Mindestens jährlich oder bei größeren Änderungen (neues Tool, neuer Prozess).

Für Schritt 1 bis 3 brauchen Sie typischerweise 4 bis 8 Stunden bei einem KMU mit 10 bis 30 Mitarbeitern. Die Aufbauphase ist BAFA-förderfähig bis zu 50 %.

Pflege im Alltag — der entscheidende Punkt

Ein VVT, das einmal angelegt und dann nie aktualisiert wird, ist wertlos. Pflege-Auslöser:

  • Neues Tool wird eingeführt → Eintrag erweitern + AVV einholen
  • Neuer Geschäftsbereich → neue Verarbeitungstätigkeiten
  • Änderung der Löschfristen (z.B. durch neue Gesetze) → anpassen
  • Wechsel der Cloud → Drittland-Bewertung neu prüfen
  • Mindestens jährlicher Komplett-Review

Wer das ohne externen DSB stemmen will, braucht intern eine verantwortliche Person mit ca. 2 bis 4 Stunden pro Quartal. Wer es auslagern will, hat das im Festpreis-Modell inklusive — siehe Kostenmodelle.

Konkrete nächste Schritte

Wenn Sie noch kein VVT haben oder Ihres älter als 18 Monate ist: lassen Sie es prüfen. Thomas Kowoll macht einen kostenlosen 30-Minuten-Audit über Telefon oder Video und gibt direkt eine Einschätzung — was funktioniert, was fehlt, wo das größte Risiko liegt. Erreichbar unter +49 7071 770371 oder über das Kontaktformular. Wenn Sie zuerst die Kosten kalkulieren wollen, hilft der Kostenrechner auf der Startseite.

Weiterlesen