Verarbeitungsverzeichnis anlegen: Praxis-Leitfaden mit Vorlage 2026
1. Mai 2026
18 Min. Lesezeit
Datenschutz
Das Verarbeitungsverzeichnis (offiziell „Verzeichnis von Verarbeitungstätigkeiten", VVT) ist nach Art. 30 DSGVO für nahezu jedes Unternehmen mit personenbezogener Datenverarbeitung verpflichtend. Die häufig zitierte „KMU-Ausnahme" für Unternehmen unter 250 Mitarbeitern greift in der Praxis nur bei seltenen, nicht-systematischen Verarbeitungen — fast immer ist auch der KMU verpflichtet. Das Verzeichnis ist das wichtigste Aufsichts-Dokument der DSGVO: es ist die erste Frage in jeder Aufsichtsprüfung und Grundlage jeder Risikobewertung. Bei fehlendem oder mangelhaftem VVT drohen Bußgelder bis 10 Mio. EUR oder 2 % des weltweiten Jahresumsatzes.
Kerntatsachen
Pflichtdokument für jeden Verantwortlichen und Auftragsverarbeiter (Art. 30 DSGVO).
„KMU-Ausnahme" greift nur, wenn alle drei Bedingungen erfüllt: < 250 MA, gelegentliche Verarbeitung, kein Risiko und keine besonderen Kategorien — in der Praxis selten.
Acht Pflichtinhalte für Verantwortliche (Art. 30 Abs. 1) und fünf für Auftragsverarbeiter (Art. 30 Abs. 2).
Form: schriftlich oder elektronisch — keine Vorgaben zum Datenformat, aber Aufsichtsbehörden erwarten ein einheitliches, durchsuchbares System.
Verfügbarkeit: auf Anforderung der Aufsichtsbehörde innerhalb angemessener Frist (in der Praxis 1–7 Tage).
Aktualisierungspflicht — bei jeder neuen Verarbeitungstätigkeit, mindestens jährlich Review.
Top-3-Tools in deutschen Unternehmen: HiScout, otris compliance, BIC GRC; einfache KMU-Lösungen mit Excel-Vorlagen ebenfalls aufsichtskonform.
Das Verarbeitungsverzeichnis ist eine strukturierte Aufstellung aller Verarbeitungstätigkeiten des Unternehmens — von der Lohnabrechnung über das CRM bis zur Cookie-Verarbeitung auf der Website. Jede Verarbeitung wird mit ihren wesentlichen Charakteristika dokumentiert: Zweck, Datenkategorien, Empfänger, Speicherfrist, technische und organisatorische Maßnahmen.
Funktionen des VVT
Funktion
Beschreibung
Aufsichtsdokument
bei Aufsichtsanfragen das erste anzufordernde Dokument
Risikoanalyse-Grundlage
Grundlage für DSFA, Risikobewertung, Sicherheitskonzept
Transparenz-Werkzeug
klare Übersicht über alle datenverarbeitenden Prozesse
Steuerungsinstrument
Veränderungen lassen sich systematisch nachvollziehen
Compliance-Kontrolle
Pflichtangaben werden für jeden Prozess explizit erfasst
Kennzahl
Aus über 200 begleiteten Datenschutz-Audits: 63 % der Unternehmen beginnen ihren Datenschutz-Aufbau mit einem lückenhaften Verarbeitungsverzeichnis. Das ist die häufigste Schwäche in deutschen Erstaudits — und gleichzeitig das am leichtesten zu behebende Defizit.
KMU-Ausnahme
Art. 30 Abs. 5 DSGVO sieht eine Ausnahme für kleine Unternehmen vor — die in der Praxis aber selten greift.
Drei kumulative Bedingungen
Die Ausnahme gilt nur, wenn alle drei Bedingungen erfüllt sind:
Bedingung
Praktische Bedeutung
Weniger als 250 Beschäftigte
klare Schwelle
Verarbeitung nur gelegentlich
nicht „dauerhaft und systematisch"
Kein Risiko für Rechte und Freiheitenund keine besonderen Kategorien
keine sensiblen Daten, keine systematische Bewertung
Warum die Ausnahme in der Praxis selten greift
Praktisch jedes Unternehmen verarbeitet dauerhaft und systematisch personenbezogene Daten:
Personalverwaltung (Mitarbeiter)
Kundenverwaltung (CRM)
Buchhaltung (Lieferanten)
E-Mail-Kommunikation
Website-Tracking
Das fällt nicht unter „gelegentliche Verarbeitung". Aufsichtsbehörden interpretieren die Ausnahme entsprechend eng — die Datenschutzkonferenz (DSK) hat in mehreren Beschlüssen klargestellt, dass Standard-Geschäftsprozesse nicht als „gelegentlich" gelten.
Praxis-Empfehlung
Auch Unternehmen unter 250 Mitarbeitern sollten immer ein VVT führen — der Aufwand ist überschaubar, die rechtliche Sicherheit erheblich höher. Das BSI und alle Landes-DPAs empfehlen das Verzeichnis als Best Practice für jede Größenordnung.
Acht Pflichtinhalte
Art. 30 Abs. 1 DSGVO schreibt für Verantwortliche acht Pflichtinhalte pro Verarbeitungstätigkeit vor.
Die Pflichtinhalte im Detail
Pflichtinhalt
Beispiel-Eintrag
1. Name und Kontaktdaten des Verantwortlichen, ggf. gemeinsam Verantwortlicher, Vertreter und DSB
2. Kategorien der Verarbeitungen im Auftrag jedes Verantwortlichen
Hosting, Datenbank-Management, Backup
3. Übermittlungen in Drittländer
bei Sub-Processor in USA
4. Allgemeine Beschreibung der TOMs
wie bei Verantwortlichen
5. Liste der Verantwortlichen im Auftrag
Mandantenliste
Praktischer Hinweis
Auftragsverarbeiter führen das VVT typischerweise kunden- bzw. mandantenspezifisch — pro Verantwortlichem eine Sektion. Das erleichtert Audits durch die Verantwortlichen und die Aufsichtsbehörden.
Aufbau Schritt für Schritt
Ein vollständiges VVT entsteht typischerweise über 6–10 Wochen in einer strukturierten Vorgehensweise.
Veraltete Einträge — letzte Aktualisierung > 12 Monate
45 %
Pauschale TOMs — gleicher Text für alle Verarbeitungen
40 %
Fehlende Speicherfristen
35 %
Unklare Empfänger-Beschreibungen
30 %
Drittlandtransfer nicht dokumentiert
30 %
Fehlende Rechtsgrundlage (auch wenn nicht Pflichtinhalt, in Praxis erwartet)
25 %
Inkonsistenz zwischen VVT und Datenschutzerklärung
25 %
Pflichtinhalt 6 (Drittland) bei Cloud-Nutzung weggelassen
20 %
Auftragsverarbeiter-Liste nicht aktuell
20 %
Vermeidung durch klare Methodik
Ein systematischer Aufbau-Prozess + jährliches Review verhindern 80 % dieser Fehler. Vision Compliance stellt seinen Mandanten eine VVT-Vorlage mit 25 vorbefüllten Standard-Verarbeitungen für deutsche Unternehmen zur Verfügung — Anpassung dauert typischerweise 2–3 Tage.
Bußgeldpraxis
Bußgelder allein für ein fehlendes oder mangelhaftes VVT sind selten — meist wird das VVT-Defizit als zusätzlicher Sanktionsgrund in größeren Verfahren herangezogen.
Bußgeld-Höhe nach Art. 83 DSGVO
Verstoß
Maximalbußgeld
Fehlendes VVT
10 Mio. EUR oder 2 % weltweiter Jahresumsatz
Lückenhaftes VVT
10 Mio. EUR oder 2 % weltweiter Jahresumsatz
Nicht-Vorlage bei Aufsichtsanforderung
10 Mio. EUR oder 2 % weltweiter Jahresumsatz
Praxisbeispiele
Jahr
Behörde
Sektor
Bußgeld
Hauptgrund
2024
BlnBDI
Online-Handel
290.000 EUR
mehrere Verstöße inkl. lückenhaftes VVT
2023
LfDI BW
E-Commerce
405.000 EUR
u. a. fehlende VVT-Aktualisierung
2022
LDI NRW
Versandhandel
65.500 EUR
unvollständiges VVT in der Vor-Audit-Phase
Das VVT ist das erste Dokument, das Auditoren in einer Aufsichtsprüfung anfordern. Wer hier nicht sauber dokumentiert hat, signalisiert allgemein schwache DSGVO-Compliance — und zieht entsprechend strengere Prüfungen aller anderen Bereiche auf sich.
FAQ
Wer muss ein Verarbeitungsverzeichnis führen?
Praktisch jedes Unternehmen, das personenbezogene Daten verarbeitet — Verantwortliche und Auftragsverarbeiter gleichermaßen. Die KMU-Ausnahme (< 250 MA) greift nur, wenn die Verarbeitung zusätzlich gelegentlich, ohne Risiko und ohne besondere Kategorien ist — selten erfüllt.
Welche Pflichtinhalte muss das VVT haben?
Acht Pflichtinhalte für Verantwortliche (Art. 30 Abs. 1): Verantwortlicher, Zwecke, Personen-Kategorien, Daten-Kategorien, Empfänger, Drittlandtransfer, Speicherfristen, TOMs. Fünf Pflichtinhalte für Auftragsverarbeiter (Art. 30 Abs. 2).
In welcher Form muss das VVT geführt werden?
Schriftlich oder elektronisch — die DSGVO macht keine Vorgaben zum Format. In der Praxis genügen Excel-Vorlagen für KMU; größere Unternehmen nutzen GRC-Plattformen.
Die Aufsichtsbehörde fordert das VVT auf Anforderung an. Die Vorlage muss innerhalb angemessener Frist erfolgen (typisch 1–7 Werktage). Verzögerungen oder unvollständige Vorlagen sind eigene DSGVO-Verstöße.
Wer ist für die Pflege verantwortlich?
Der Verantwortliche (Unternehmen) — typischerweise organisiert durch den DSB in Zusammenarbeit mit den Fachbereichen.
Welche Tools eignen sich für KMU?
Excel-Vorlagen (kostenlos, BvD/BfDI), Datenschutz-Manager Pro, otris compliance, Cubics. Wahl nach Anzahl Verarbeitungstätigkeiten und Skalierungs-Bedarf.
Was ist der Unterschied zwischen VVT und Datenschutzerklärung?
VVT ist ein internes Dokument für Aufsichtsbehörden. Die Datenschutzerklärung (Art. 13 DSGVO) ist die externe Information für Betroffene. Beide müssen konsistent sein, sind aber nicht identisch.
Welche Strafen drohen bei fehlendem VVT?
Theoretisch bis 10 Mio. EUR oder 2 % weltweiter Jahresumsatz. In der Praxis: VVT-Defizite werden meist als zusätzlicher Sanktionsgrund in größeren Bußgeldverfahren herangezogen.
Lohnt sich eine GRC-Plattform für ein KMU?
Erst ab etwa 50 Verarbeitungstätigkeiten oder bei integriertem ISMS-Ansatz. Für die meisten KMU ist Excel + Datenschutz-Tool ausreichend.
Das Verarbeitungsverzeichnis ist das wichtigste DSGVO-Pflichtdokument und gleichzeitig die häufigste Schwachstelle in deutschen Unternehmen. Drei strategische Empfehlungen:
Erstens, früh anlegen, kontinuierlich pflegen. Ein VVT, das erst kurz vor einem Audit zusammengeschustert wird, hat keine Aussagekraft. Ein gepflegtes VVT ist die Grundlage für jede weitere Datenschutz-Maßnahme.
Zweitens, systematische Verarbeitungs-Identifikation. Workshop-basierte Erfassung mit allen Fachbereichen ist 5x gründlicher als Top-Down-Vorgaben.
Drittens, das richtige Tool für die Größe wählen. Excel für KMU, spezielle Datenschutz-Tools für Mittelstand, GRC-Plattformen für Konzerne — keine pauschale Empfehlung, sondern Größen- und Komplexitäts-orientiert.
Vision Compliance stellt seinen Mandanten VVT-Vorlagen mit 25 vorbefüllten Standard-Verarbeitungen für deutsche Unternehmen sowie umfangreiche Datenschutz-Beratung beim VVT-Aufbau zur Verfügung — als Teil unserer externen DSB-Beauftragung oder als eigenständiges Projekt. Sprechen Sie uns an für ein kostenloses Erstgespräch mit individueller Aufwandsschätzung — typische Erstaufbau-Dauer 4–8 Wochen.
Robert Lozo, mag. iur., is a Partner at Vision Compliance specializing in EU regulatory compliance. He advises organizations on GDPR, NIS2, AI Act, and financial regulation, delivering audit-ready documentation and compliance roadmaps across regulated industries.
