{/* Section 1: Was ist ein VVT? */}

1. Was ist ein Verzeichnis von Verarbeitungstaetigkeiten?

Das Verzeichnis von Verarbeitungstaetigkeiten (VVT) ist ein zentrales Dokumentationsinstrument der Datenschutz-Grundverordnung (DSGVO). Es erfasst systematisch alle Prozesse innerhalb einer Organisation, bei denen personenbezogene Daten verarbeitet werden. Das VVT bildet damit das Rueckgrat Ihres Datenschutzmanagements und dient als Nachweis gegenueber Aufsichtsbehoerden, dass Sie Ihre Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO ernst nehmen.

{/* Legal Reference Box */}

Rechtsgrundlage: Art. 30 DSGVO

«Jeder Verantwortliche und gegebenenfalls sein Vertreter fuehren ein Verzeichnis aller Verarbeitungstaetigkeiten, die ihrer Zustaendigkeit unterliegen.» – Art. 30 Abs. 1 Satz 1 DSGVO. Das VVT muss schriftlich gefuehrt werden, wobei ein elektronisches Format zulaessig ist (Art. 30 Abs. 3).

Konkret bedeutet das: Jedes Mal, wenn Ihre Organisation personenbezogene Daten erhebt, speichert, uebertraegt, aendert oder loescht, stellt dies eine Verarbeitungstaetigkeit dar, die im VVT dokumentiert werden muss. Typische Beispiele sind die Lohn- und Gehaltsabrechnung, das Bewerbermanagement, der Betrieb einer Website mit Kontaktformular oder die Nutzung von Cloud-Diensten zur E-Mail-Kommunikation.

Das VVT ist kein einmaliges Projekt, sondern ein lebendes Dokument: Es muss fortlaufend aktualisiert werden, wenn neue Verarbeitungen hinzukommen, bestehende sich aendern oder Verarbeitungen eingestellt werden. Aufsichtsbehoerden koennen das VVT jederzeit anfordern – eine fehlende oder unvollstaendige Dokumentation kann Bussgelder nach Art. 83 Abs. 4 lit. a DSGVO nach sich ziehen.

{/* Section 2: Wer muss ein VVT fuehren? */}

2. Wer muss ein VVT fuehren?

Die kurze Antwort: Nahezu jede Organisation. Art. 30 Abs. 5 DSGVO sieht zwar eine Ausnahme fuer Unternehmen mit weniger als 250 Mitarbeitern vor, doch diese Ausnahme greift nur, wenn die Verarbeitung nicht regelmaessig erfolgt, keine Risiken fuer Betroffene birgt und keine besonderen Datenkategorien (Art. 9) betrifft. In der Praxis erfuellt kaum ein Unternehmen alle drei Bedingungen gleichzeitig – bereits eine regelmaessige Kundendatenbank oder Lohnbuchhaltung macht das VVT zur Pflicht.

Pflichten fuer Verantwortliche (Art. 30 Abs. 1)

Als Verantwortlicher – also die natuerliche oder juristische Person, die ueber Zwecke und Mittel der Verarbeitung entscheidet – muessen Sie ein umfassendes VVT fuehren. Dies betrifft jedes Unternehmen, jeden Verein, jede Behoerde und jede Bildungseinrichtung, die personenbezogene Daten verarbeitet. Das VVT des Verantwortlichen umfasst die meisten Pflichtangaben und bildet die Grundlage fuer alle weiteren Datenschutzmassnahmen wie die Datenschutz-Folgenabschaetzung (DSFA) oder die Beantwortung von Betroffenenanfragen.

Pflichten fuer Auftragsverarbeiter (Art. 30 Abs. 2)

Auch Auftragsverarbeiter – also Dienstleister, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeiten – muessen ein eigenes VVT fuehren. Typische Beispiele sind Cloud-Anbieter, IT-Dienstleister, Lohnbueros oder Hosting-Provider. Das VVT des Auftragsverarbeiters ist weniger umfangreich, muss aber dennoch Kategorien der Verarbeitungen, Angaben zu Drittlandsuebermittlungen und die technisch-organisatorischen Massnahmen (TOMs) enthalten.

{/* Tip Box */}

Praxistipp

Auch wenn Sie glauben, unter die Ausnahme des Art. 30 Abs. 5 zu fallen: Fuehren Sie trotzdem ein VVT. Ohne Verzeichnis koennen Sie die Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO kaum erfuellen. Im Ernstfall muss Ihre Organisation nachweisen, dass die Ausnahme greift – und genau das erfordert eine Dokumentation, die dem VVT stark aehnelt.

Sonderfall: Bildungseinrichtungen und Schulen

Schulen und Bildungseinrichtungen verarbeiten regelmaessig besonders schuetzenswerte Daten von Minderjaehrigen. Hier gelten erhoehte Anforderungen: Noten, Fehlzeiten, Foerdermassnahmen und gesundheitliche Einschraenkungen gehoeren zu den Kategorien, die besonderer Sorgfalt beduerfen. Das VVT muss hier besonders detailliert die Rechtsgrundlagen (haeufig Art. 6 Abs. 1 lit. e DSGVO in Verbindung mit den jeweiligen Landesschulgesetzen) und die Loeschfristen dokumentieren.

{/* Section 3: Was muss im VVT stehen? */}

3. Was muss im VVT stehen? – Pflichtinhalte nach Art. 30 Abs. 1

Art. 30 Abs. 1 DSGVO definiert einen Mindestkatalog an Angaben, die jede Verarbeitungstaetigkeit im VVT enthalten muss. Die folgende Tabelle zeigt alle Pflichtfelder mit Erlaeuterungen und konkreten Beispielen aus der Praxis.

Pflichtfeld	Rechtsgrundlage	Beispiel
Name und Kontaktdaten des Verantwortlichen	Art. 30 Abs. 1 lit. a	Musterfirma GmbH, Musterstr. 1, 10115 Berlin
Name des Datenschutzbeauftragten	Art. 30 Abs. 1 lit. a	Dr. Maria Muster, dsb@musterfirma.de
Zwecke der Verarbeitung	Art. 30 Abs. 1 lit. b	Durchfuehrung des Beschaeftigungsverhaeltnisses
Kategorien betroffener Personen	Art. 30 Abs. 1 lit. c	Beschaeftigte, Bewerber, Kunden
Kategorien personenbezogener Daten	Art. 30 Abs. 1 lit. c	Stammdaten, Kontaktdaten, Bankverbindung
Kategorien von Empfaengern	Art. 30 Abs. 1 lit. d	Finanzbehorden, Sozialversicherungstraeger, Steuerberater
Uebermittlungen in Drittlaender	Art. 30 Abs. 1 lit. e	USA (Standardvertragsklauseln), kein Transfer
Loeschfristen	Art. 30 Abs. 1 lit. f	3 Jahre nach Ende des Beschaeftigungsverhaeltnisses
Technisch-organisatorische Massnahmen (TOMs)	Art. 30 Abs. 1 lit. g	Verschluesselung, Zugriffskontrolle, Backups

{/* Legal Reference Box */}

Hinweis: Empfohlene Zusatzangaben

Ueber die Pflichtfelder hinaus empfehlen Aufsichtsbehoerden wie die DSK (Datenschutzkonferenz), weitere Felder aufzunehmen: die Rechtsgrundlage der Verarbeitung (Art. 6 Abs. 1 DSGVO), die verantwortliche Fachabteilung, das Datum der letzten Aktualisierung sowie einen Verweis auf eine durchgefuehrte Datenschutz-Folgenabschaetzung (DSFA), falls erforderlich.

{/* Section 4: Schritt-fuer-Schritt */}

4. VVT erstellen – Schritt-fuer-Schritt Anleitung

Die Erstellung eines VVT wirkt auf den ersten Blick komplex, laesst sich aber in fuenf ueberschaubare Schritte gliedern. Gehen Sie methodisch vor und beziehen Sie alle Fachabteilungen Ihrer Organisation ein.

{/* Step 1 */}

Bestandsaufnahme aller Verarbeitungen

Erfassen Sie zunaechst alle Prozesse in Ihrer Organisation, bei denen personenbezogene Daten verarbeitet werden. Fuehren Sie Interviews mit den Leitern aller Fachabteilungen: Personalwesen, Vertrieb, Marketing, IT, Finanzbuchhaltung, Kundenservice und Geschaeftsfuehrung.

Praxistipp: Starten Sie mit einer einfachen Frage an jede Abteilung: «Welche personenbezogenen Daten verarbeiten Sie im Tagesgeschaeft und welche Software-Systeme nutzen Sie dafuer?» Erstellen Sie daraus eine Rohliste aller Verarbeitungstaetigkeiten. Vergessen Sie nicht die weniger offensichtlichen Prozesse wie Videoüberwachung, Zugangskontrollsysteme oder die Nutzung von Messenger-Diensten.

{/* Step 2 */}

Verarbeitungen strukturiert dokumentieren

Ueberfuehren Sie die Rohliste in ein strukturiertes Format. Fuer jede Verarbeitungstaetigkeit erfassen Sie alle Pflichtangaben nach Art. 30 Abs. 1 (siehe Tabelle oben). Verwenden Sie eine einheitliche Vorlage, damit alle Eintraege konsistent und vergleichbar sind.

Praxistipp: Gruppieren Sie die Verarbeitungen nach Fachabteilungen oder Geschaeftsprozessen. Typische Gruppierungen sind: Personalverwaltung, Kundenbeziehungsmanagement, Marketingmassnahmen, IT-Betrieb, Finanzen/Buchhaltung und Kommunikation. Innerhalb jeder Gruppe benennen Sie die konkreten Einzelverarbeitungen.

{/* Step 3 */}

Rechtsgrundlagen und Loeschfristen festlegen

Bestimmen Sie fuer jede Verarbeitungstaetigkeit die passende Rechtsgrundlage nach Art. 6 Abs. 1 DSGVO. Die gaengigsten sind: Einwilligung (lit. a), Vertragserfullung (lit. b), rechtliche Verpflichtung (lit. c) und berechtigtes Interesse (lit. f). Dokumentieren Sie fuer jede Rechtsgrundlage eine konkrete Begruendung.

Legen Sie anschliessend die Loeschfristen fest. Diese ergeben sich aus gesetzlichen Aufbewahrungspflichten (z.B. 6 Jahre fuer Geschaeftsbriefe nach HGB, 10 Jahre fuer Buchungsbelege nach AO) und dem Grundsatz der Speicherbegrenzung (Art. 5 Abs. 1 lit. e DSGVO). Wo keine gesetzliche Aufbewahrungspflicht besteht, sollten Daten nach Zweckerfullung zeitnah geloescht werden.

{/* Step 4 */}

Technisch-organisatorische Massnahmen (TOMs) zuordnen

Ordnen Sie jeder Verarbeitungstaetigkeit die relevanten Schutzmassnahmen zu. Die TOMs muessen dem Stand der Technik entsprechen und ein dem Risiko angemessenes Schutzniveau gewaehrleisten (Art. 32 DSGVO). Unterscheiden Sie zwischen technischen Massnahmen (Verschluesselung, Pseudonymisierung, Firewalls, Zugriffskontrollen) und organisatorischen Massnahmen (Schulungen, Vertraulichkeitsvereinbarungen, Vier-Augen-Prinzip, Berechtigungskonzepte).

Praxistipp: Erstellen Sie ein zentrales TOM-Dokument, auf das Sie im VVT referenzieren koennen. So vermeiden Sie Redundanzen und stellen sicher, dass Aenderungen an den TOMs automatisch fuer alle betroffenen Verarbeitungstaetigkeiten gelten.

{/* Step 5 */}

Regelmaessige Ueberpruefung und Aktualisierung

Ein VVT ist nur nuetzlich, wenn es aktuell ist. Definieren Sie einen festen Review-Zyklus – mindestens jaehrlich, idealerweise quartalsweise. Legen Sie ausserdem fest, bei welchen Ereignissen eine sofortige Aktualisierung erfolgen muss: Einfuehrung neuer Software, Wechsel von Dienstleistern, organisatorische Umstrukturierungen oder Aenderungen gesetzlicher Rahmenbedingungen.

Praxistipp: Benennen Sie fuer jede Verarbeitungstaetigkeit einen fachlichen Verantwortlichen, der Aenderungen meldet. Verknuepfen Sie das VVT-Review mit bestehenden Prozessen wie dem Aenderungsmanagement (Change Management) oder dem jaehrlichen Audit-Zyklus Ihrer Organisation.

{/* Section 5: Haeufige Fehler */}

5. Haeufige Fehler beim VVT – und wie Sie sie vermeiden

Aus unserer Erfahrung in der Beratung von Schulen und Bildungseinrichtungen sehen wir immer wieder dieselben Stolperfallen. Vermeiden Sie diese vier haeufigen Fehler von Anfang an.

{/* Mistake 1 */}

Fehler 1: VVT nur einmal erstellen und nie aktualisieren

Viele Organisationen erstellen ein VVT im Rahmen eines Projekts und legen es dann ab. Doch ein veraltetes VVT ist fast so schlecht wie gar keines – es taeuscht Compliance vor, die nicht existiert. Neue Tools, Dienstleister oder Prozesse werden nicht erfasst, und im Ernstfall stimmt die Dokumentation nicht mit der Realitaet ueberein. Richten Sie automatische Erinnerungen ein und machen Sie das VVT-Review zum festen Bestandteil Ihres Datenschutzkalenders.

{/* Mistake 2 */}

Fehler 2: Zu grobe Granularitaet der Verarbeitungen

Ein Eintrag wie «Personalwesen» ist viel zu allgemein. Unterschiedliche Verarbeitungstaetigkeiten innerhalb einer Abteilung haben oft unterschiedliche Rechtsgrundlagen, Loeschfristen und Empfaengerkreise. Trennen Sie zum Beispiel: Bewerbermanagement (Rechtsgrundlage: Art. 6 Abs. 1 lit. b, Loeschfrist: 6 Monate), Lohnabrechnung (Rechtsgrundlage: Art. 6 Abs. 1 lit. c, Loeschfrist: 10 Jahre) und Zeiterfassung (Rechtsgrundlage: Art. 6 Abs. 1 lit. b, Loeschfrist: 2 Jahre).

{/* Mistake 3 */}

Fehler 3: Drittlandsuebermittlungen uebersehen

Cloud-Dienste wie Google Workspace, Microsoft 365 oder Zoom uebermitteln Daten in Drittlaender (insbesondere die USA). Diese Uebermittlungen muessen im VVT dokumentiert und mit geeigneten Garantien abgesichert werden – etwa durch Standardvertragsklauseln (SCCs) oder einen Angemessenheitsbeschluss. Pruefen Sie fuer jeden eingesetzten Dienstleister, wo die Daten tatsaechlich gespeichert und verarbeitet werden, und halten Sie die Ergebnisse im VVT fest.

{/* Mistake 4 */}

Fehler 4: Fehlende Einbindung der Fachabteilungen

Das VVT darf kein reines Datenschutz-Projekt sein. Wenn nur der DSB oder die IT-Abteilung das Verzeichnis pflegt, werden zwangslaeufig Verarbeitungen uebersehen. Jede Fachabteilung kennt ihre eigenen Prozesse am besten und muss aktiv in die Erstellung und Pflege eingebunden werden. Benennen Sie Datenschutzkoordinatoren in jeder Abteilung, die als Ansprechpartner fuer VVT-relevante Aenderungen dienen.

{/* Section 6: VVT-Vorlage */}

6. VVT-Vorlage mit Beispieleintraegen

Die folgende Tabelle zeigt drei beispielhafte Eintraege, wie sie in einem VVT einer Bildungseinrichtung aussehen koennten. Nutzen Sie dieses Format als Ausgangspunkt fuer Ihr eigenes Verzeichnis.

Feld	Schueleranmeldung	Lohn- und Gehaltsabrechnung	Website-Betrieb
Bezeichnung	Anmeldung und Verwaltung von Schuelerdaten	Abrechnung und Auszahlung von Gehaeltern	Betrieb der oeffentlichen Website
Verantwortlicher	Musterschule, Schulstr. 5, 30159 Hannover	Musterschule, Schulstr. 5, 30159 Hannover	Musterschule, Schulstr. 5, 30159 Hannover
Zweck	Erfuellung der Schulpflicht, Verwaltung des Schulverhaeltnisses	Durchfuehrung der Beschaeftigungsverhaeltnisse	Oeffentlichkeitsarbeit, Information der Schulgemeinschaft
Rechtsgrundlage	Art. 6 Abs. 1 lit. e DSGVO i.V.m. NSchG	Art. 6 Abs. 1 lit. b, c DSGVO i.V.m. EntgFG, SGB IV	Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse)
Betroffene	Schueler, Erziehungsberechtigte	Lehrkraefte, Verwaltungspersonal	Website-Besucher
Datenkategorien	Name, Geburtsdatum, Adresse, Noten, Fehlzeiten	Stammdaten, Bankverbindung, Steuer-ID, SV-Nummer	IP-Adresse, Browser-Typ, Zugriffszeitpunkte
Empfaenger	Schulbehoerde, aufnehmende Schule bei Wechsel	Finanzamt, Krankenkasse, Rentenversicherung	Hosting-Anbieter (AV-Vertrag)
Drittlandtransfer	Nein	Nein	Nein (EU-Hosting)
Loeschfrist	5 Jahre nach Verlassen der Schule	10 Jahre (Aufbewahrungspflicht AO)	7 Tage (Serverlogfiles)
TOMs	Rollenbasierte Zugriffskontrolle, verschluesselte Datenbank, Backup	Verschluesselung, Zugriffsbeschraenkung auf HR, Vier-Augen-Prinzip	TLS-Verschluesselung, automatische Log-Rotation

{/* Tip Box */}

Tabellenformat vs. Einzeldokumente

Fuer kleine Organisationen mit weniger als 20 Verarbeitungen reicht eine Tabellenkalkulation (z.B. LibreOffice Calc) oft aus. Ab einer gewissen Groesse empfiehlt sich jedoch eine spezialisierte Software, die Zusammenhaenge zwischen Verarbeitungen, TOMs und Auftragsverarbeitern automatisch verknuepft und Aenderungen versioniert.

{/* Section 7: Automatisierung */}

7. VVT automatisiert verwalten mit BreakPilot Comply

Die manuelle Pflege eines VVT in Tabellenkalkulationen wird mit wachsender Organisationsgroesse schnell unuebersichtlich und fehleranfaellig. BreakPilot Comply bietet eine digitale Loesung, die speziell fuer Bildungseinrichtungen und KMU im DACH-Raum entwickelt wurde.

So unterstuetzt BreakPilot Comply Ihr VVT

✓
Vorgefertigte Vorlagen fuer Bildungseinrichtungen: Starten Sie mit branchenspezifischen Vorlagen, die typische Verarbeitungen wie Schueleranmeldung, Notenverwaltung, Lernplattformen und Kommunikationssysteme bereits enthalten.
✓
Automatische Verknuepfung mit TOM und DSFA: Technisch-organisatorische Massnahmen und Datenschutz-Folgenabschaetzungen werden direkt mit den relevanten VVT-Eintraegen verknuepft – Aenderungen propagieren automatisch.
✓
Loeschfristen-Management: Automatische Erinnerungen, wenn Loeschfristen ablaufen. Sie behalten den Ueberblick ueber alle Aufbewahrungsfristen und koennen die Loeschung dokumentiert nachweisen.
✓
Audit-Trail und Versionierung: Jede Aenderung am VVT wird mit Zeitstempel und Bearbeiter protokolliert. Bei einer Pruefung durch die Aufsichtsbehoerde koennen Sie jederzeit nachweisen, wann welche Anpassung vorgenommen wurde.
✓
DSGVO-konformes Hosting in Deutschland: Alle Daten werden ausschliesslich auf Servern in Deutschland verarbeitet und gespeichert. Kein Drittlandtransfer, keine US-Cloud-Abhaengigkeit.

{/* CTA */}

Kostenlose Demo vereinbaren Unverbindlich – kein Vertrag erforderlich

{/* Conclusion */}

Fazit

Das Verzeichnis von Verarbeitungstaetigkeiten ist weit mehr als eine laestige Pflichtaufgabe – es ist das Fundament Ihres gesamten Datenschutzmanagements. Ein sorgfaeltig gepflegtes VVT verschafft Ihnen Transparenz ueber alle Datenverarbeitungen in Ihrer Organisation, erleichtert die Beantwortung von Betroffenenanfragen und schafft Vertrauen bei Aufsichtsbehoerden.

Beginnen Sie mit der Bestandsaufnahme, dokumentieren Sie systematisch und etablieren Sie einen festen Aktualisierungsrhythmus. Mit den richtigen Werkzeugen und Prozessen wird das VVT vom buerokratischen Aufwand zum echten Mehrwert fuer Ihre Organisation.

{/* Legal Disclaimer */}

Hinweis: Dieser Artikel dient der allgemeinen Information und stellt keine Rechtsberatung dar. Die Inhalte wurden mit groesster Sorgfalt erstellt, ersetzen jedoch nicht die individuelle Beratung durch einen Datenschutzbeauftragten oder Rechtsanwalt. Fuer die Richtigkeit, Vollstaendigkeit und Aktualitaet wird keine Gewaehr uebernommen. Stand: Februar 2026.

Verzeichnis von Verarbeitungstaetigkeiten (VVT) erstellen