Was ist das Verzeichnis von Verarbeitungstätigkeiten?
Das Verzeichnis von Verarbeitungstätigkeiten (VVT) ist das zentrale Dokumentationsinstrument der DSGVO. Es listet alle Prozesse in Ihrem Unternehmen auf, bei denen personenbezogene Daten verarbeitet werden — von der Kundenverwaltung über die Buchhaltung bis zur Personalakte.
Nach Art. 30 DSGVO sind grundsätzlich alle Unternehmen zur Führung eines VVT verpflichtet. Die frühere Ausnahme für kleine Unternehmen unter 250 Mitarbeitenden gilt nur noch in sehr engen Ausnahmefällen.
Was gehört ins VVT?
Für jede Verarbeitungstätigkeit müssen folgende Angaben dokumentiert werden:
- Name und Kontaktdaten des Verantwortlichen
- Zweck der Verarbeitung (z. B. Kundenbetreuung, Buchhaltung)
- Kategorien betroffener Personen (z. B. Kunden, Mitarbeitende)
- Kategorien personenbezogener Daten (z. B. Name, E-Mail, Bankdaten)
- Empfänger der Daten (intern und extern, inkl. Auftragsverarbeiter)
- Drittlandübermittlungen (z. B. US-Cloud-Dienste)
- Löschfristen für jede Datenkategorie
- Technische und organisatorische Maßnahmen (TOM)
Warum ist ein vollständiges VVT wichtig?
Das VVT ist nicht nur Pflichtdokument — es ist auch das wichtigste Nachweisinstrument gegenüber der Aufsichtsbehörde. Bei einer behördlichen Prüfung ist es das Erste, was angefordert wird.
Ein lückenhaftes oder veraltetes VVT gilt als Datenschutzverstoß und kann Bußgelder von bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes auslösen.
Unser Vorgehen
- Workshop — Gemeinsame Erfassung aller Verarbeitungen (ca. 2–4 Stunden)
- Erstellung — Wir erstellen das vollständige VVT nach gesetzlichem Muster
- Abstimmung — Überprüfung und Freigabe durch Sie
- Übergabe — Als editierbares Dokument und PDF
- Pflege — Auf Wunsch aktualisieren wir das VVT laufend