Verzeichnis von Verarbeitungstätigkeiten erstellen — VVT Hamburg

Inhalt in Kürze

• Das Verzeichnis von Verarbeitungstätigkeiten (VVT) ist nach Art. 30 DSGVO Pflicht für faktisch jedes Unternehmen. Die Ausnahme für Unternehmen unter 250 Mitarbeitenden greift fast nie.
• Das VVT ist das erste Dokument, das der HmbBfDI bei einer Prüfung anfordert. 60–70 % der deutschen KMU haben kein vollständiges VVT.
• Pflichtinhalte: Zweck, Rechtsgrundlage, Datenkategorien, Empfänger, Drittlandtransfers, Löschfristen und technische/organisatorische Maßnahmen.
• frag.hugo erstellt Ihr VVT persönlich und hält es über die Plattform aktuell — individuell statt Vorlage, mit automatischen Erinnerungen.

Das Verarbeitungsverzeichnis – Dokumentationspflicht für jedes Unternehmen

Das Verzeichnis von Verarbeitungstätigkeiten (VVT) — früher als Verfahrensverzeichnis unter dem BDSG bekannt — ist nach Art. 30 DSGVO die zentrale Dokumentation aller Verarbeitungen personenbezogener Daten in Ihrem Unternehmen. Seit dem Inkrafttreten der DSGVO (EU-Datenschutzgrundverordnung) im Mai 2018 ist das Führen eines Verzeichnisses aller Verarbeitungstätigkeiten nicht nur eine gesetzliche Pflicht, sondern die Grundlage Ihrer gesamten DSGVO Compliance und Ihres Datenschutzmanagements (DSMS). Die Dokumentationspflicht und die Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO verlangen, dass Sie jederzeit nachweisen können, welche personenbezogenen Daten Sie zu welchem Zweck verarbeiten.

Ohne VVT können Sie weder Betroffenenanfragen korrekt beantworten noch bei einer Prüfung durch den HmbBfDI bestehen. Dennoch fehlt das Verarbeitungsverzeichnis bei geschätzt 60–70 % der deutschen KMU. Das liegt oft nicht an mangelndem Willen, sondern an Unsicherheit: Was muss drin stehen? Wie detailliert muss es sein? Und wie hält man es aktuell?

Was Art. 30 DSGVO verlangt

Art. 30 Abs. 1 DSGVO listet die Pflichtinhalte eines VVT auf. Für jede Verarbeitungstätigkeit müssen Sie dokumentieren:

1. Angaben zum Verantwortlichen

Name und Kontaktdaten Ihres Unternehmens, Ihres Datenschutzbeauftragten und ggf. eines gemeinsam Verantwortlichen.

2. Zweck der Verarbeitung

Warum verarbeiten Sie diese Daten? Zum Beispiel: Vertragserfüllung, Lohnabrechnung, Marketing, Website-Analyse. Der Zweck muss konkret und nachvollziehbar sein – „Geschäftsbetrieb” reicht nicht aus.

3. Kategorien betroffener Personen

Wessen Daten verarbeiten Sie? Typische Kategorien: Kunden, Mitarbeitende, Bewerber, Lieferanten, Website-Besucher, Newsletter-Empfänger.

4. Kategorien personenbezogener Daten

Welche Daten verarbeiten Sie? Zum Beispiel: Kontaktdaten, Bankdaten, Gesundheitsdaten, Beschäftigungsdaten, Nutzungsdaten. Besondere Kategorien nach Art. 9 DSGVO (Gesundheit, Religion, Gewerkschaftszugehörigkeit) müssen gesondert gekennzeichnet werden.

5. Empfänger der Daten

An wen werden die Daten weitergegeben? Das umfasst interne Empfänger (Abteilungen), externe Empfänger (Auftragsverarbeiter, Behörden, Geschäftspartner) und Empfänger in Drittländern.

6. Übermittlungen in Drittländer

Werden Daten in Länder außerhalb der EU/des EWR übermittelt? Wenn ja: Auf welcher Rechtsgrundlage? (Angemessenheitsbeschluss, Standardvertragsklauseln, Binding Corporate Rules). Gerade bei Cloud-Diensten (Microsoft 365, Google Workspace, Salesforce) ist dieser Punkt relevant.

7. Löschfristen

Wann werden die Daten gelöscht? Dokumentieren Sie die vorgesehenen Löschfristen für jede Datenkategorie – unter Berücksichtigung gesetzlicher Aufbewahrungspflichten (z. B. 6 Jahre für Geschäftskorrespondenz, 10 Jahre für steuerrelevante Unterlagen).

8. Technische und organisatorische Maßnahmen

Eine allgemeine Beschreibung der Sicherheitsmaßnahmen: Zugangskontrollen, Verschlüsselung, Backup-Konzept, Schulungen etc.

Typische Verarbeitungstätigkeiten in Hamburger Unternehmen

Viele Unternehmen unterschätzen die Zahl ihrer Verarbeitungstätigkeiten. Hier eine nicht abschließende Liste typischer Verarbeitungen:

• Kundenverwaltung (CRM-System)
• Lohn- und Gehaltsabrechnung
• Bewerbermanagement
• E-Mail-Kommunikation
• Website-Betrieb (Hosting, Analytics, Kontaktformulare)
• Newsletter-Versand
• Videoüberwachung (sofern vorhanden)
• Zeiterfassung
• Reisekostenabrechnung
• Lieferanten- und Partnerverwaltung
• Betriebliches Eingliederungsmanagement (BEM)
• Fuhrparkverwaltung
• Social-Media-Auftritte
• Cloud-Dienste (Microsoft 365, Google Workspace)

In einem typischen KMU in Hamburg ergeben sich daraus 15–30 einzelne Verarbeitungstätigkeiten, die dokumentiert werden müssen.

Verarbeitungsverzeichnis und Datenschutz — die häufigsten Fehler beim VVT

Fehler 1: Generische Vorlagen unverändert übernehmen

Eine Vorlage ist ein Startpunkt, kein fertiges VVT. Wenn Ihre Verarbeitungstätigkeiten exakt denen der Vorlage entsprechen, haben Sie die Vorlage nicht angepasst – und das fällt bei einer Prüfung sofort auf.

Fehler 2: VVT einmal erstellt und nie aktualisiert

Ein VVT von 2018, das seitdem nicht aktualisiert wurde, ist praktisch wertlos. Neue Tools, neue Prozesse, neue Mitarbeitende – Ihr Unternehmen hat sich verändert, aber Ihr VVT nicht. Der HmbBfDI erwartet ein aktuelles Dokument.

Fehler 3: Nicht alle Verarbeitungen erfasst

Häufig fehlen im VVT: Website-Tracking, Social-Media-Auftritte, Cloud-Dienste, Bewerbermanagement, Videoüberwachung oder die Nutzung von KI-Tools. Jede Verarbeitung personenbezogener Daten muss erfasst werden – auch die, die nicht offensichtlich sind.

Fehler 4: Löschfristen fehlen oder sind unrealistisch

Viele VVT enthalten keine oder nur pauschale Löschfristen. „Nach Wegfall des Zwecks” ist zu unbestimmt. Definieren Sie konkrete Fristen – z. B. „Bewerbungsunterlagen: 6 Monate nach Absage” oder „Kundenstammdaten: 3 Jahre nach letztem Geschäftsvorfall, vorbehaltlich steuerrechtlicher Aufbewahrungsfristen”.

Fehler 5: Auftragsverarbeiter nicht gelistet

Jeder Dienstleister, der in Ihrem Auftrag personenbezogene Daten verarbeitet, muss als Empfänger im VVT stehen – einschließlich Cloud-Anbieter, E-Mail-Marketing-Tools, Hosting-Provider und Lohnbuchhaltung.

VVT mit Vorlage oder individuellem Ansatz?

Vorlagen-VVT

Vorteile: Schneller Start, Grundstruktur vorhanden, kostengünstig. Nachteile: Nicht individuell, Risiko der Unvollständigkeit, wirkt bei Prüfungen unprofessionell.

Individuelles VVT

Vorteile: Exakt auf Ihr Unternehmen zugeschnitten, belastbar bei Prüfungen, enthält alle tatsächlichen Verarbeitungen. Nachteile: Höherer Erstellungsaufwand, erfordert Fachkompetenz.

Die beste Lösung: Nutzen Sie eine professionelle Plattform mit persönlicher Beratung. So erhalten Sie ein strukturiertes, individuelles VVT, das Sie effizient pflegen können.

Wie Hugo DSB Ihr VVT automatisiert

Hugo DSB bietet eine digitale Plattform zur Erstellung und Pflege Ihres Verarbeitungsverzeichnisses. Nils, Ihr persönlicher Datenschutzberater, führt Sie durch den Prozess:

• Strukturierte Erfassung: Geführter Prozess für jede Verarbeitungstätigkeit
• Branchenspezifische Vorschläge: Typische Verarbeitungen für Ihre Branche vorab ausgefüllt
• Automatische Erinnerungen: Benachrichtigung bei fälligen Überprüfungen
• Verknüpfung mit AVVs: Auftragsverarbeiter werden automatisch referenziert
• Export-Funktion: VVT jederzeit als PDF exportierbar – z. B. für den HmbBfDI

Buchen Sie ein kostenloses Erstgespräch und erstellen Sie Ihr VVT mit professioneller Unterstützung – rechtssicher, effizient und immer aktuell.

Welche Beispiele gibt es für Verarbeitungstätigkeiten?

Viele Unternehmen fragen sich, was genau als „Verarbeitungstätigkeit” im Sinne des Art. 30 DSGVO gilt. Hier eine Orientierung mit typischen Beispielen und ihren Pflichtangaben:

Verarbeitungstätigkeit	Zweck	Rechtsgrundlage	Löschfrist
Lohnabrechnung	Vertragspflicht Arbeitgeber	§ 26 Abs. 1 BDSG	10 Jahre (AO)
Bewerbermanagement	Stellenbesetzung	§ 26 Abs. 1 BDSG	6 Monate nach Absage
Newsletter-Versand	Direktmarketing	Art. 6 Abs. 1 lit. a DSGVO	Nach Widerruf
Videoüberwachung	Hausrecht/Diebstahlschutz	Art. 6 Abs. 1 lit. f DSGVO	72 Stunden
Website-Analytics	Reichweitenmessung	Art. 6 Abs. 1 lit. a DSGVO	Nach Consent-Widerruf
CRM-System	Kundenbetreuung	Art. 6 Abs. 1 lit. b/f DSGVO	3 Jahre nach letztem Kontakt

Jede dieser Verarbeitungen muss im VVT einzeln dokumentiert werden — mit allen Pflichtangaben nach Art. 30 Abs. 1 DSGVO. Als Ihr externer Datenschutzbeauftragter identifizieren wir systematisch alle Verarbeitungstätigkeiten und erstellen ein VVT, das der Aufsichtsbehörde standhält.

Wer muss das Verarbeitungsverzeichnis führen?

Die Frage „Wer muss das Verarbeitungsverzeichnis führen?” lässt sich eindeutig beantworten: Grundsätzlich jedes Unternehmen, das personenbezogene Daten verarbeitet — und das trifft faktisch auf jede Organisation zu. Art. 30 Abs. 5 DSGVO enthält zwar eine Ausnahme für Unternehmen mit weniger als 250 Beschäftigten, diese greift jedoch nur, wenn die Verarbeitung nicht regelmäßig erfolgt, keine besonderen Datenkategorien betroffen sind und kein Risiko für die Rechte und Freiheiten der betroffenen Personen besteht. Da praktisch jedes Unternehmen regelmäßig Kunden- und Mitarbeiterdaten verarbeitet, ist die Pflicht zum Führen eines VVT nahezu universell.

Was ist ein Verarbeitungsverzeichnis und wozu brauche ich das?

Ein Verarbeitungsverzeichnis — auch Verzeichnis von Verarbeitungstätigkeiten (VVT) genannt — ist eine systematische Dokumentation aller Vorgänge, bei denen personenbezogene Daten in Ihrem Unternehmen verarbeitet werden. Es beantwortet die zentralen Fragen: Welche Daten erheben Sie? Zu welchem Zweck? Auf welcher Rechtsgrundlage? An wen geben Sie die Daten weiter? Und wann löschen Sie sie? Das VVT ist nicht nur eine gesetzliche Pflicht nach Art. 30 DSGVO, sondern auch Ihr wichtigstes Instrument für die Datenschutz-Organisation. Ohne VVT können Sie weder Auskunftsanfragen von Betroffenen korrekt beantworten noch bei einer Prüfung durch die Aufsichtsbehörde bestehen. Es bildet die Grundlage für Ihre Datenschutzerklärung, Ihr Löschkonzept und Ihre Auftragsverarbeitungsverträge.

Wann brauche ich einen externen Datenschutzbeauftragten?

Ob Sie einen externen Datenschutzbeauftragten benötigen, hängt von mehreren Faktoren ab. Nach § 38 BDSG ist die Benennung eines Datenschutzbeauftragten Pflicht, sobald mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Unabhängig von der Mitarbeiterzahl besteht die Pflicht, wenn Ihr Unternehmen besondere Kategorien personenbezogener Daten in großem Umfang verarbeitet oder eine systematische Überwachung von Personen vornimmt. Ein externer Datenschutzbeauftragter bietet dabei entscheidende Vorteile gegenüber einem internen DSB: keine Interessenkonflikte, kein besonderer Kündigungsschutz, stets aktuelles Fachwissen und planbare Kosten ab 149 €/Monat.

VVT, DSGVO Compliance und Datenschutzbeauftragter — Zusammenhang mit anderen Dokumenten

Das VVT steht nicht isoliert — es ist datenschutzrechtlich das Fundament, auf dem weitere Datenschutzdokumente aufbauen. Die Zuständigkeit für die Erstellung und Pflege liegt beim Verantwortlichen, also in der Regel bei der Geschäftsführung. Ihr externer Datenschutzbeauftragter unterstützt Sie dabei operativ und stellt sicher, dass das VVT den datenschutzrechtlichen Anforderungen genügt. Im Datenschutzrecht ist das VVT das zentrale Instrument, um die Nachweispflichten nach der DSGVO zu erfüllen:

• Auftragsverarbeitungsverträge: Jeder Auftragsverarbeiter im VVT muss einen AVV vorweisen — das gilt für alle Auftragsverarbeitungen, vom Cloud-Hosting bis zur externen Lohnbuchhaltung
• Datenschutzerklärungen: Die Informationspflichten nach Art. 13 DSGVO leiten sich direkt aus dem VVT ab
• Löschkonzept: Die Löschfristen im VVT bilden die Grundlage für Ihr Löschkonzept nach Art. 17 DSGVO
• Datenschutz-Folgenabschätzung (DSFA): Verarbeitungen mit hohem Risiko im VVT — etwa die Verarbeitung besonderer Datenkategorien wie Gesundheitsdaten oder personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten — lösen die Pflicht zur DSFA aus
• DSGVO-Audit: Das VVT ist der Ausgangspunkt jeder Compliance-Prüfung und das wichtigste Dokument bei datenschutzrechtlichen Themen

Bei einer Datenpanne oder einem Datenleck ist ein aktuelles VVT unverzichtbar: Es zeigt der zuständigen Aufsichtsbehörde, dass Sie Ihre Datensicherheit im Griff haben und die Einhaltung der DSGVO ernst nehmen. Auch Kanzleien und Rechtsanwälte benötigen für die datenschutzrechtliche Beratung ihrer Mandanten ein vollständiges VVT als Grundlage.

Nutzen Sie den Hugo Check, um Ihre Website-Compliance als ersten Schritt zu prüfen — kostenlos in 60 Sekunden.

Besondere Verarbeitungen im VVT: Sensible Daten und Drittlandtransfers

Bestimmte Verarbeitungstätigkeiten erfordern besondere Aufmerksamkeit im Verarbeitungsverzeichnis. Dazu gehören der Versand von Newslettern und Direktmarketing-Maßnahmen, bei denen die Rechtsgrundlage (Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO) und die Widerrufsmöglichkeit genau dokumentiert werden müssen. Ebenso muss jede Datenübermittlung an Empfänger außerhalb der EU — etwa an Cloud-Dienstleister in einem Drittland — im VVT erfasst werden, einschließlich der genutzten Garantien (Standardvertragsklauseln, Angemessenheitsbeschluss).

Werden sensible Daten wie Gesundheitsdaten verarbeitet, muss das VVT die beschreibung der Kategorien betroffener Personen und der Datenkategorien besonders sorgfältig dokumentieren. Unternehmen, die einen Vertreter in der EU benötigen (Art. 27 DSGVO), müssen auch diesen im VVT benennen. Die aktuellen Datenschutzgesetze — von der EU-Datenschutzgrundverordnung über das BDSG bis hin zu branchenspezifischen Regelungen — stellen hohe Anforderungen an die Dokumentation, und ein Bußgeld für ein unvollständiges VVT kann bis zu 10 Millionen Euro betragen.