A B C D I N P R S V W
Ve Vo
Verf Verz
logo_dokuit
Wissenswertes

Glossar

Verzeichnis der Verarbeitungstätigkeiten (VVT)

Das Verzeichnis der Verarbeitungstätigkeiten (VVT) ist die zentrale Dokumentationspflicht gemäß Art. 30 DSGVO (Datenschutz-Grundverordnung). Es beschreibt systematisch, welche personenbezogenen Daten zu welchen Zwecken, auf welcher Rechtsgrundlage, in welchen IT-Systemen und mit welchen Empfängern verarbeitet werden – einschließlich technischer und organisatorischer Maßnahmen.

Das VVT im Datenschutzmanagement

Das VVT ist das Fundament des Datenschutzmanagements. Ohne ein aktuelles VVT ist eine rechtskonforme Auskunft gegenüber Betroffenen oder Behörden kaum möglich. Mit dem Verarbeitungsverzeichnis nach der DSGVO werden folgende Ziele erreicht:

  • Übersicht über alle Datenverarbeitungsvorgänge im Unternehmen
  • Nachweis der Einhaltung von DSGVO-Anforderungen bei Datenschutzkontrollen
  • Dokumentation wichtiger Angaben wie Löschfristen und Empfänger von Daten

Die DSGVO gibt Mindestinhalte vor (Art. 30). In der Praxis werden diese häufig erweitert, um Anschluss an IT- und ISMS-Dokumentation herzustellen. Für jede Tätigkeit (jedes Verfahren) müssen folgende Punkte dokumentiert werden:

Zweck der Verarbeitung

Warum machen wir das? (z. B. „Gehaltsabrechnung“).

Kategorien betroffener Personen

Wessen Daten sind es? (z. B. „Mitarbeiter“).

Datenkategorien

Was speichern wir? (z. B. „Kontodaten, Adressen, Steuer-ID“).

Empfänger

Wer bekommt die Daten? (z. B. „Finanzamt, Bank, Cloud-Provider“).

Drittlandtransfers

Gehen Daten in Nicht-EU-Länder? (z. B. „Server in USA“).

Löschfristen

Wann werden die Daten gelöscht?

Technische und organisatorische Maßnahmen (TOMs)

Wie schützen wir die Daten? Hier verweist das VVT oft auf das IT-Sicherheitskonzept.

Das Verzeichnis muss schriftlich (auch elektronisch) geführt, aktuell gehalten und auf Anfrage der Aufsichtsbehörde vorgelegt werden. Ein fehlendes oder fehlerhaftes VVT kann zu hohen Bußgeldern führen.

Abgrenzung und Synonyme

Abgrenzung zur Verfahrensdokumentation (GoBD)

  • VVT (DSGVO): Fokus auf Personenbezug und Privatsphäre (Ziel: Schutz des Bürgers).
  • Verfahrensdokumentation (GoBD): Fokus auf Steuerrelevanz und Unveränderbarkeit (Ziel: Korrekte Besteuerung).
  • Schnittmenge: Viele Systeme (z. B. ERP) tauchen in beiden Verzeichnissen auf, werden aber aus unterschiedlichen Blickwinkeln beschrieben.

Abgrenzung zur Datenschutzerklärung

  • VVT: Internes Dokument für Behörden und Management.
  • Datenschutzerklärung: Externes Dokument (Website) zur Information der Öffentlichkeit.

Synonyme

  • Verfahrensverzeichnis (alter Begriff aus dem BDSG-alt, wird umgangssprachlich noch oft genutzt)
  • Verarbeitungsverzeichnis

Verwandte Begriffe

  • Technische und organisatorische Maßnahmen (TOMs)
  • Verfahrensdokumentation (GoBD)
  • Datenschutzrichtlinie
  • Auftragsverarbeitung (AV-Vertrag)

FAQ VVT

Ja. Verantwortliche (und in Teilen auch Auftragsverarbeiter) sind nach Art. 30 DSGVO verpflichtet, ein Verzeichnis ihrer Verarbeitungstätigkeiten zu führen – mit eng definierten Mindestangaben.

Die strategische Verantwortung liegt bei der Unternehmensleitung. Sie haftet für die Existenz und Richtigkeit des Verzeichnisses. In der Regel delegiert die Leitung die Koordination an den Datenschutzbeauftragten (DSB) oder interne Datenschutz-Koordinatoren. Der DSB berät und überwacht dabei primär, während die inhaltlichen Zuarbeiten aus den jeweiligen Fachabteilungen kommen müssen. Die Leiter der Fachabteilungen (z. B. HR, IT, Marketing) sind für die Meldung neuer Prozesse oder Änderungen an bestehenden Verarbeitungen verantwortlich.

Sehr viel. Das VVT verweist bei den Schutzmaßnahmen (TOMs) auf die IT. Wenn die IT-Dokumentation (Systemakten, Sicherheitskonzepte) aktuell ist, kann das VVT einfach darauf referenzieren, statt alles doppelt zu beschreiben.

Nach oben scrollen