Ratgeber / Verzeichnis von Verarbeitungstätigkeiten

Verzeichnis von Verarbeitungstätigkeiten nach Art. 30 DSGVO

Das Verzeichnis von Verarbeitungstätigkeiten (VVT) ist die zentrale Dokumentationspflicht der DSGVO. Hier findest du, welche Angaben es beim Verantwortlichen und beim Auftragsverarbeiter enthalten muss, in welcher Form es zu führen ist und warum die vielzitierte 250-Mitarbeiter-Ausnahme kaum greift — jede Aussage mit Fundstelle.

Was ist das Verzeichnis von Verarbeitungstätigkeiten?

Das Verzeichnis von Verarbeitungstätigkeiten — oft mit VVT abgekürzt und teils „Verarbeitungsverzeichnis" genannt — ist eine schriftliche Übersicht aller Vorgänge, mit denen eine Stelle personenbezogene Daten verarbeitet. Es ist das Nachweisinstrument, mit dem der Verantwortliche seine Rechenschaftspflicht aus Art. 5 Abs. 2 DSGVO gegenüber der Aufsichtsbehörde belegt. Die Pflicht trifft nach Art. 30 DSGVO sowohl den Verantwortlichen (Abs. 1) als auch den Auftragsverarbeiter im Sinne des Art. 4 Nr. 8 DSGVO (Abs. 2) — jeweils mit unterschiedlichem Inhalt.

Merksatz: Das Verzeichnis nach Art. 30 DSGVO ist kein Antrag und keine Meldung an eine Behörde, sondern eine intern zu führende Dokumentation. Sie wird nach Art. 30 Abs. 4 erst dann vorgelegt, wenn die Aufsichtsbehörde sie anfordert.

Verzeichnis des Verantwortlichen (Art. 30 Abs. 1 lit. a–g)

Führt eine Stelle als Verantwortlicher Verarbeitungen durch, muss das Verzeichnis nach Art. 30 Abs. 1 DSGVO die folgenden sieben Angaben enthalten:

  • a) Verantwortliche Stelle: Name und Kontaktdaten des Verantwortlichen und gegebenenfalls des gemeinsam mit ihm Verantwortlichen, des Vertreters sowie eines etwaigen Datenschutzbeauftragten.
  • b) Zwecke: die Zwecke der Verarbeitung.
  • c) Betroffene und Daten: eine Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten.
  • d) Empfänger: die Kategorien von Empfängern, gegenüber denen die Daten offengelegt worden sind oder noch offengelegt werden — auch Empfänger in Drittländern oder internationalen Organisationen.
  • e) Drittlandübermittlung: gegebenenfalls Übermittlungen in ein Drittland oder an eine internationale Organisation samt der Dokumentation geeigneter Garantien.
  • f) Löschfristen: wenn möglich die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien.
  • g) Sicherheitsmaßnahmen: wenn möglich eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen nach Art. 32 Abs. 1.

Die einschränkende Formulierung „wenn möglich" bezieht sich nach dem Wortlaut ausdrücklich nur auf die Buchstaben f und g; die übrigen Angaben sind stets zu machen.

Verzeichnis des Auftragsverarbeiters (Art. 30 Abs. 2 lit. a–d)

Auch der Auftragsverarbeiter führt ein Verzeichnis — allerdings mit reduziertem, auf seine Rolle zugeschnittenem Inhalt. Nach Art. 30 Abs. 2 DSGVO enthält es:

  • a) Name und Kontaktdaten aller Auftragsverarbeiter und jedes Verantwortlichen, in dessen Auftrag er tätig ist, sowie gegebenenfalls des Vertreters und des Datenschutzbeauftragten.
  • b) die Kategorien von Verarbeitungen, die im Auftrag jedes Verantwortlichen durchgeführt werden.
  • c) gegebenenfalls Übermittlungen in ein Drittland oder an eine internationale Organisation samt Dokumentation geeigneter Garantien.
  • d) wenn möglich eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen nach Art. 32 Abs. 1.

Der Auftragsverarbeiter dokumentiert also nicht die Verarbeitungszwecke — die legt der Verantwortliche fest —, sondern die Kategorien der für ihn erbrachten Verarbeitungen. Was für das Verhältnis der beiden Rollen im Detail gilt, erklärt der Artikel zur Auftragsverarbeitung nach Art. 28 DSGVO.

Form und Vorlage bei der Aufsichtsbehörde (Abs. 3 und 4)

Das Verzeichnis ist nach Art. 30 Abs. 3 DSGVO schriftlich zu führen, was auch in einem elektronischen Format erfolgen kann. Nach Art. 30 Abs. 4 stellen Verantwortliche und Auftragsverarbeiter das Verzeichnis der Aufsichtsbehörde auf Anfrage zur Verfügung. Es muss also nicht proaktiv eingereicht, wohl aber jederzeit bereitgehalten werden.

Kein „Melderegister": Das Verzeichnis wird nicht bei einer Behörde angemeldet. Es ist eine interne Dokumentation, die erst auf konkrete Anforderung der Aufsichtsbehörde vorzulegen ist (Art. 30 Abs. 4).

Die 250-Mitarbeiter-Ausnahme — und warum sie kaum greift (Abs. 5)

Art. 30 Abs. 5 DSGVO nimmt Unternehmen oder Einrichtungen mit weniger als 250 Mitarbeitern von der Verzeichnispflicht aus. Diese Ausnahme entfällt jedoch, sobald einer der folgenden drei Fälle vorliegt:

  • die Verarbeitung birgt ein Risiko für die Rechte und Freiheiten der betroffenen Personen (der Wortlaut verlangt ausdrücklich nur „ein Risiko", nicht ein „hohes Risiko"),
  • die Verarbeitung erfolgt nicht nur gelegentlich, oder
  • es werden besondere Datenkategorien nach Art. 9 Abs. 1 oder Daten über strafrechtliche Verurteilungen und Straftaten nach Art. 10 verarbeitet.

Weil bereits eine nicht nur gelegentliche Verarbeitung genügt und die routinemäßige Verwaltung von Kunden-, Beschäftigten- oder Lieferantendaten regelmäßig genau das ist, läuft die Ausnahme für die meisten Unternehmen faktisch leer. Sie ist damit deutlich enger, als die griffige Zahl „250" vermuten lässt.

7 Angaben
Verantwortlicher (Art. 30 Abs. 1 a–g)
4 Angaben
Auftragsverarbeiter (Art. 30 Abs. 2 a–d)
< 250
Mitarbeiter für die Ausnahme (Abs. 5)

Bußgeldrahmen bei Verstößen (Art. 83 Abs. 4)

Ein fehlendes, unvollständiges oder nicht aktuelles Verzeichnis ist bußgeldbewehrt. Verstöße gegen die Pflichten aus Art. 30 fallen unter Art. 83 Abs. 4 lit. a DSGVO, der ausdrücklich die Artikel 25 bis 39 erfasst — und damit auch Art. 30. Der Bußgeldrahmen beträgt bis zu 10 Millionen Euro oder — im Fall eines Unternehmens — bis zu 2 Prozent des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs, je nachdem, welcher der Beträge höher ist. Die Grundzüge der Verarbeitung wiederholen die DSGVO-Grundlagen; wie ein aktuelles Verzeichnis bei einer Panne hilft, zeigt der Artikel zur Meldepflicht bei Datenpannen.

Häufige Fragen

Muss ein kleines Unternehmen wirklich ein Verzeichnis führen?

In aller Regel ja. Zwar nimmt Art. 30 Abs. 5 DSGVO Stellen mit weniger als 250 Mitarbeitern aus, doch die Ausnahme entfällt bereits, wenn die Verarbeitung nicht nur gelegentlich erfolgt, ein Risiko für die Betroffenen birgt oder besondere Datenkategorien nach Art. 9 Abs. 1 bzw. Art. 10 umfasst. Da die laufende Verarbeitung von Beschäftigten- und Kundendaten nicht nur gelegentlich ist, greift die Ausnahme praktisch selten.

Muss ich das Verzeichnis bei der Aufsichtsbehörde einreichen?

Nein, nicht von sich aus. Nach Art. 30 Abs. 4 DSGVO ist das Verzeichnis der Aufsichtsbehörde nur auf Anfrage zur Verfügung zu stellen. Es genügt, es intern — schriftlich, auch elektronisch (Abs. 3) — aktuell zu führen und bei einer Anforderung vorlegen zu können.

Dokumentationspflichten sicher beherrschen

Übe Art. 30 DSGVO und alle weiteren Themengebiete mit Prüfungssimulation — Vorbereitung auf die Zertifizierung zum Datenschutzbeauftragten (TÜV / DEKRA).

Kostenlos registrieren