Auf den Punkt: Wer in den letzten Jahren mit einer Datenschutzbehörde zu tun hatte, kennt das Muster: Die erste Anfrage betrifft fast immer das Verarbeitungsverzeichnis. Wer es nicht vorlegen kann, hat den Termin schon halb verloren – wer ein veraltetes oder lückenhaftes Dokument schickt, oft auch. Aus 18 Jahren Beratungspraxis im Mittelstand ist es die häufigste vermeidbare Schwachstelle.
 |
| Verarbeitungsverzeichnis nach Art. 30 EU-DSGVO |
Was ist ein Verarbeitungsverzeichnis (VVT)?
Das Verarbeitungsverzeichnis – offiziell „Verzeichnis von Verarbeitungstätigkeiten" (VVT) – ist ein nach Art. 30 DSGVO vorgeschriebenes Dokument, in dem ein Unternehmen alle Verarbeitungen personenbezogener Daten strukturiert dokumentiert. Es wird intern geführt und auf Anforderung der Aufsichtsbehörde vorgelegt.
Vereinfacht: Das VVT ist die strukturierte Antwort auf die Frage „Welche personenbezogenen Daten verarbeiten wir, zu welchem Zweck und auf welcher Rechtsgrundlage?"
Wer muss ein Verarbeitungsverzeichnis führen?
Art. 30 Abs. 5 DSGVO enthält zwar eine Ausnahme für Unternehmen mit weniger als 250 Mitarbeitenden – diese Ausnahme greift in der Praxis jedoch fast nie. Sie entfällt nämlich, sobald eine der drei folgenden Bedingungen zutrifft:
- Die Verarbeitung birgt ein Risiko für die Rechte und Freiheiten der betroffenen Personen
- Die Verarbeitung erfolgt nicht nur gelegentlich
- Es werden besondere Kategorien personenbezogener Daten verarbeitet (Gesundheits-, Religions-, Gewerkschaftsdaten u. a.) oder Daten zu strafrechtlichen Verurteilungen
Da praktisch jedes Unternehmen Mitarbeiter- und Kundendaten dauerhaft verarbeitet – und damit „nicht nur gelegentlich" – gilt die Pflicht zum Verarbeitungsverzeichnis in der Praxis für nahezu alle Unternehmen, unabhängig von der Größe. Auftragsverarbeiter führen ein eigenes, reduziertes VVT nach Art. 30 Abs. 2 DSGVO.
Warum die Datenschutzbehörde zuerst danach fragt
Aus Sicht der Aufsichtsbehörde ist das Verarbeitungsverzeichnis das schnellste diagnostische Werkzeug. Es zeigt auf wenigen Seiten:
- Hat das Unternehmen einen Überblick über seine Datenverarbeitungen?
- Sind die Rechtsgrundlagen sauber zugeordnet?
- Wurden technische und organisatorische Maßnahmen reflektiert?
- Gibt es Auftragsverarbeitungen – und sind die vertraglich geregelt?
Ein gepflegtes Verarbeitungsverzeichnis signalisiert: Hier wurde nachgedacht. Ein fehlendes oder schludrig geführtes VVT signalisiert das Gegenteil – und führt regelmäßig dazu, dass die Aufsichtsbehörde tiefer prüft. Vom Bayerischen Landesamt für Datenschutzaufsicht (BayLDA) bis zum LfDI Baden-Württemberg ist das Vorgehen identisch: erst das VVT, dann der Rest.
Die Konsequenz aus der Praxis: Wer im Audit oder bei einer Beschwerde steht und das VVT nicht zeigen kann, wird mit hoher Wahrscheinlichkeit vertieft geprüft. Das Bußgeldrisiko steigt deutlich.
Was muss im Verarbeitungsverzeichnis stehen?
Art. 30 Abs. 1 DSGVO listet die Pflichtangaben für Verantwortliche auf. In jeden VVT-Eintrag gehören:
- Name und Kontaktdaten des Verantwortlichen und – sofern bestellt – des Datenschutzbeauftragten
- Zweck der Verarbeitung (z. B. „Personaladministration", „Kundenkommunikation", „Bewerbermanagement")
- Kategorien betroffener Personen und Kategorien personenbezogener Daten
- Empfänger oder Empfängerkategorien – auch in Drittländern, einschließlich der jeweiligen Garantien
- Löschfristen für die jeweiligen Datenkategorien
- Allgemeine Beschreibung der technischen und organisatorischen Maßnahmen (TOM) nach Art. 32 DSGVO
In der Beratungspraxis empfehlen wir, das Verarbeitungsverzeichnis pro Verarbeitungstätigkeit zu strukturieren. Mittelständische Unternehmen kommen typischerweise auf 15 bis 40 Einträge – je nach Komplexität der Geschäftsprozesse.
Die 5 häufigsten Fehler im Verarbeitungsverzeichnis
Aus mehreren hundert geprüften Verzeichnissen – diese fünf Fehler sehen wir am häufigsten:
1. Einmal erstellt, nie wieder angefasst
Das VVT trägt das Erstellungsdatum 2018 und wurde seitdem nicht aktualisiert. Neue Verarbeitungen – Cloud-Migration, Marketing-Automation, KI-Anwendungen – fehlen vollständig. Im Audit ist das einer der ersten Hinweise auf systematische Datenschutz-Vernachlässigung.
2. Standardverarbeitungen werden vergessen
Personalverwaltung, Lohnbuchhaltung, Bewerbermanagement, Lieferanten- und Kontaktdatenmanagement, Marketing-Automation, Videoüberwachung – die Klassiker, die im Tagesgeschäft nicht als „Verarbeitung" wahrgenommen werden, fehlen im VVT. Insbesondere die HR-Verarbeitungen werden regelmäßig vergessen.
3. Technische und organisatorische Maßnahmen sind pauschal
„Passwortschutz, Backup, Zugriffsbeschränkung" – auf jedem Eintrag derselbe Text. Aufsichtsbehörden erwarten verarbeitungsspezifische Aussagen, gerade bei sensiblen Daten. Eine pauschale TOM-Beschreibung wird im Audit als fehlende Risikobetrachtung gewertet.
4. Keine Verantwortlichkeit benannt
Im Audit kommt die Frage: „Wer ist hausintern für die Pflege dieses Eintrags zuständig?" – und niemand kann antworten. Das Verarbeitungsverzeichnis ist niemandes Aufgabe und damit faktisch die Aufgabe von niemandem. Folge: Es veraltet zwangsläufig.
5. Auftragsverarbeitungen unklar dokumentiert
Externe Dienstleister wie Cloud-Anbieter, IT-Wartung, Lohnbuchhalter werden im VVT erwähnt, aber ohne klare Zuordnung zu einem Auftragsverarbeitungsvertrag (AVV). Im Audit eine direkte und meist teure Lücke.
Das VVT als lebendes Dokument
Ein Verarbeitungsverzeichnis ist kein Compliance-Etikett, das man einmal anbringt und vergisst. Es ist ein lebendes Dokument, das mit dem Unternehmen wächst. Praktische Empfehlungen aus der Beratung:
- Verantwortlichkeit benennen. Eine Person oder Rolle (Datenschutzbeauftragter oder eine zugeordnete IT-/HR-Funktion) ist namentlich für die Pflege verantwortlich.
- Jährliche Vollprüfung. Mindestens einmal jährlich wird das gesamte VVT durchgegangen – idealerweise mit den Fachabteilungen, die die Verarbeitungen wirklich kennen.
- Anlassbezogene Updates. Neue Software, neuer Geschäftsprozess, neuer Dienstleister – die VVT-Aktualisierung muss Teil des jeweiligen Onboarding- bzw. Change-Prozesses sein.
- Schlankes Format. Eine strukturierte Excel-Vorlage reicht in der Regel. Spezialsoftware lohnt erst ab einer gewissen Komplexität.
- Konsistenz mit anderen Dokumenten. Datenschutzerklärung, AV-Verträge, Löschkonzept und VVT müssen zueinander passen – Widersprüche sind im Audit fatal.
Häufig gestellte Fragen zum Verarbeitungsverzeichnis
Sind kleine Unternehmen vom Verarbeitungsverzeichnis befreit?
In der Theorie ja – nach Art. 30 Abs. 5 DSGVO sind Unternehmen mit weniger als 250 Mitarbeitenden befreit. In der Praxis greift die Ausnahme jedoch fast nie, weil Verarbeitungen typischerweise „nicht nur gelegentlich" stattfinden (z. B. Mitarbeiter- oder Kundendaten). Im Zweifel gilt: VVT führen.
Wie oft muss das Verarbeitungsverzeichnis aktualisiert werden?
Mindestens jährlich vollständig und anlassbezogen bei jeder Änderung – neue Verarbeitung, neuer Dienstleister, neue Software. Konkrete Pflicht-Intervalle nennt die DSGVO nicht, Aufsichtsbehörden erwarten aber eine erkennbare und aktuelle Pflege.
Muss das Verarbeitungsverzeichnis veröffentlicht werden?
Nein. Das VVT ist ein internes Dokument und wird ausschließlich auf Anforderung der Aufsichtsbehörde vorgelegt. Es muss weder Betroffenen noch der Öffentlichkeit zugänglich gemacht werden – im Unterschied zur Datenschutzerklärung.
Was passiert, wenn kein VVT vorgelegt werden kann?
Das Fehlen eines Verarbeitungsverzeichnisses ist ein eigenständiger Verstoß gegen Art. 30 DSGVO und kann mit einem Bußgeld von bis zu 10 Mio. € oder 2 % des weltweiten Jahresumsatzes geahndet werden (Art. 83 Abs. 4 DSGVO). In der Praxis prüft die Behörde im Verfahren auch andere Verstöße tiefer – das Fehlen des VVT erhöht das Risiko insgesamt deutlich.
Welche Tools eignen sich zur VVT-Pflege?
Für kleine und mittelständische Unternehmen reicht in der Regel eine strukturierte Excel-Vorlage. Ab etwa 30 bis 40 Verarbeitungen lohnt sich der Wechsel zu spezialisierter Software (z. B. DataAgenda, OneTrust, ISiCO). Wichtiger als das Tool ist die saubere Pflege durch eine benannte Person.
Vom Verarbeitungsverzeichnis zur echten Datenschutz-Standortbestimmung
Ein gepflegtes Verarbeitungsverzeichnis ist die Basis – aber es beantwortet nicht die eigentlich wichtige Frage: Wo steht mein Unternehmen im Datenschutz wirklich, und wo sind die kritischen Lücken?
Genau dafür ist unsere geförderte Phase-A+B-Bestandsaufnahme gedacht. In einem strukturierten Vorgehen prüfen unsere Berater von THE COMPLIÄNCE den Ist-Zustand inklusive Verarbeitungsverzeichnis, Datenschutzerklärung, AV-Verträge, technischer und organisatorischer Maßnahmen – und liefern einen priorisierten Maßnahmenkatalog mit klaren nächsten Schritten.
Wichtig zu wissen: Bis zum 31. Dezember 2026 ist diese Beratung über das BAFA-Programm „Förderung von Unternehmensberatungen für KMU" mit 1.750 € pro Beratung förderfähig. Der Antrag muss vor Beratungsbeginn gestellt sein – realistischerweise spätestens im Oktober 2026, damit Beratung und Beratungsbericht vor Jahresende abgeschlossen werden können.
In den vergangenen Jahren hat yourIT 500 bis 600 dieser geförderten Projekte begleitet. Der Ablauf ist eingespielt – von der Antragstellung über die Beratung bis zum Verwendungsnachweis.
Fazit
Das Verarbeitungsverzeichnis ist nicht das spannendste Datenschutzthema – aber es ist das, das im Ernstfall zuerst auf den Tisch kommt. Wer es pragmatisch pflegt und als lebendes Dokument führt, hat einen großen Teil der Datenschutz-Compliance bereits gelöst – und nimmt der Aufsichtsbehörde den ersten Angriffspunkt.
Wenn Sie unsicher sind, ob Ihr VVT eine Prüfung übersteht: Wir schauen es uns im Rahmen einer Bestandsaufnahme gerne an. Sprechen Sie uns an – noch bis Ende 2026 BAFA-gefördert.
