VVT erstellen: Verzeichnis Verarbeitungstätigkeiten (Art. 30)
Verzeichnis von Verarbeitungstätigkeiten erstellen: Pflichtangaben nach Art. 30 DSGVO, Muster-Struktur mit Spalten, fertige Beispiel-Einträge und Anleitung für Hamburger KMU.
Inhalt in Kürze
- Das Verzeichnis von Verarbeitungstätigkeiten (VVT) ist nach Art. 30 DSGVO Pflicht — die 250-Mitarbeiter-Ausnahme greift bei normalen KMU praktisch nie, weil sie drei Bedingungen gleichzeitig verlangt.
- Sieben Pflichtangaben muss jeder Eintrag enthalten: Verantwortlicher, Zwecke, Kategorien (Betroffene/Daten/Empfänger), Drittlandtransfers, Löschfristen und ein TOMs-Verweis.
- Die Muster-Struktur ist eine Tabelle mit einer Zeile pro Verarbeitungstätigkeit — Personalverwaltung, Lohnabrechnung, Bewerbermanagement, Newsletter, Website-Tracking, CRM.
- Bei einer Prüfung ist das VVT das Erste, was der HmbBfDI anfordert — wer es nicht vorlegt, liefert der Behörde sofort einen Anknüpfungspunkt für ein Bußgeld.
Stand: Mai 2026 · Autor: Nils Oehmichen · Lesezeit: 9 Minuten
Sie wollen ein Verzeichnis von Verarbeitungstätigkeiten erstellen und finden im Netz nur juristische Mustertexte ohne klare Anleitung? Genau da setzt dieser Artikel an. Wir zeigen Ihnen die Pflichtangaben nach Art. 30 DSGVO, eine fertige Spalten-Struktur zum Abschreiben und sechs typische Verarbeitungstätigkeiten als Beispiel-Einträge — inklusive Rechtsgrundlage und Löschfrist. Plus: warum die viel zitierte „250-Mitarbeiter-Ausnahme” für Ihr Hamburger KMU mit hoher Wahrscheinlichkeit nicht gilt.
Wenn der Hamburgische Beauftragte für Datenschutz (HmbBfDI, Ludwig-Erhard-Straße 22) bei Ihnen eine Prüfung einleitet, fordert er fast immer als Erstes das VVT an. Es ist die zentrale Landkarte Ihrer Datenverarbeitung — und für die Behörde der schnellste Weg, Lücken aufzudecken. Ein sauberes Verzeichnis signalisiert: „Hier arbeitet jemand strukturiert." Ein fehlendes Verzeichnis ist eine offene Flanke.
Was ist ein VVT — und wer muss es führen?
Das Verzeichnis von Verarbeitungstätigkeiten (oft VVT oder Verarbeitungsverzeichnis, englisch ROPA) ist eine strukturierte Übersicht aller Verfahren, mit denen Sie personenbezogene Daten verarbeiten. Jede Verarbeitungstätigkeit — von der Gehaltsabrechnung über den Newsletter bis zum CRM — bekommt einen eigenen Eintrag mit festen Pflichtangaben.
Die Rechtsgrundlage ist Art. 30 DSGVO. Verpflichtet sind grundsätzlich jeder Verantwortliche und jeder Auftragsverarbeiter. Und hier kommt der Punkt, an dem die meisten Geschäftsführer aufatmen — zu früh.
Die 250-Mitarbeiter-Ausnahme — der große Irrtum
Art. 30 Abs. 5 DSGVO enthält eine scheinbare Erleichterung für kleine Unternehmen: Wer weniger als 250 Mitarbeiter beschäftigt, muss kein Verzeichnis führen. Klingt gut. Ist aber an drei Bedingungen geknüpft, die alle gleichzeitig erfüllt sein müssen, damit die Ausnahme greift:
- Keine regelmäßige Verarbeitung. Die Verarbeitung darf nicht nur gelegentlich erfolgen.
- Kein Risiko für die Rechte Betroffener. Die Verarbeitung darf kein Risiko bergen.
- Keine besonderen Datenkategorien. Keine Art.-9-Daten (Gesundheit, Religion etc.) und keine Daten zu Straftaten (Art. 10).
Sobald eine dieser Bedingungen kippt, gilt die Ausnahme nicht mehr. Und sie kippt fast immer. Sie führen eine Gehaltsbuchhaltung? Das ist regelmäßige Verarbeitung. Sie haben einen Newsletter oder eine Kundendatenbank? Regelmäßig. Sie speichern Krankmeldungen Ihrer Mitarbeiter? Das sind Gesundheitsdaten nach Art. 9.
Das deckt sich mit dem, was wir bei Hamburger Mandanten sehen. Wir haben Mandanten mit drei, vier, fünf Mitarbeitern — die arbeiten für große Auftraggeber mit strengen Datenschutz-Anforderungen. Ohne VVT geht da gar nichts, weder bei einer Behördenprüfung noch beim Lieferanten-Audit eines Großkunden. Mehr dazu lesen Sie in unserem Beitrag zur DSB-Pflicht für Hamburger KMU.
Die Pflichtangaben nach Art. 30 Abs. 1 (= Ihre Spalten)
Für Verantwortliche legt Art. 30 Abs. 1 DSGVO sieben Pflichtangaben fest. Genau diese Angaben werden zu den Spalten Ihrer VVT-Tabelle. Das ist Ihr Muster:
| Spalte (Pflichtangabe) | Was hineingehört |
|---|---|
| Verantwortlicher / DSB | Name, Anschrift, Kontaktdaten des Verantwortlichen, ggf. des Datenschutzbeauftragten |
| Zweck der Verarbeitung | Wofür verarbeiten Sie die Daten? (z. B. „Lohn- und Gehaltsabrechnung”) |
| Rechtsgrundlage | Art. 6 (bzw. Art. 9) DSGVO + ggf. nationale Norm (z. B. § 26 BDSG) |
| Kategorien Betroffener | Wessen Daten? (Mitarbeiter, Kunden, Interessenten, Bewerber) |
| Kategorien der Daten | Welche Daten? (Name, Bankverbindung, Gesundheitsdaten) |
| Kategorien Empfänger | Wer bekommt die Daten? (Steuerberater, Krankenkasse, Cloud-Anbieter) |
| Drittlandtransfer | Werden Daten außerhalb der EU verarbeitet? Mit welcher Garantie (SCC, Angemessenheitsbeschluss)? |
| Löschfrist | Wann werden die Daten gelöscht? (z. B. „6 Jahre nach § 41 EStG”) |
| TOMs (Verweis) | Allgemeine Beschreibung der technischen und organisatorischen Maßnahmen |
Die Rechtsgrundlage ist streng genommen keine eigene Art.-30-Pflichtangabe, gehört aber in jedes brauchbare VVT — sie ist die Verbindung zur Rechenschaftspflicht (Art. 5 Abs. 2) und das Erste, wonach eine Behörde fragt. Die Datenschutzkonferenz (DSK) und die Aufsichtsbehörden empfehlen sie in ihren Mustern ausdrücklich.
Art. 30 verlangt „schriftlich" — und das schließt elektronisch ausdrücklich ein. Eine saubere Excel-Tabelle reicht formal aus. Entscheidend ist nicht das Werkzeug, sondern dass Sie es bei einer Prüfung vollständig und aktuell vorlegen können. Die Schwäche von Excel zeigt sich erst beim Pflegen: Versionierung, Löschfristen-Erinnerungen und der Abgleich mit AVVs fallen unter den Tisch.
Beispiel-Einträge: Sechs typische Verarbeitungstätigkeiten
Theorie ist gut, abschreiben ist besser. Hier sind sechs Verarbeitungstätigkeiten, die praktisch jedes Hamburger KMU hat — jeweils mit Zweck, Rechtsgrundlage und Löschfrist. Die Löschfristen haben wir gegen die geltenden handels- und steuerrechtlichen Vorgaben geprüft.
| Verarbeitungstätigkeit | Zweck | Rechtsgrundlage | Löschfrist |
|---|---|---|---|
| Personalverwaltung | Verwaltung des Arbeitsverhältnisses | § 26 BDSG, Art. 6 Abs. 1 b | Stammdaten i. d. R. 3 Jahre nach Austritt; steuerrelevante Unterlagen länger |
| Lohn-/Gehaltsabrechnung | Entgeltabrechnung, Meldung an Finanzamt/SV | § 26 BDSG, Art. 6 Abs. 1 c | Lohnsteuerunterlagen 6 Jahre (§ 41 EStG) |
| Bewerbermanagement | Auswahl von Bewerbern | § 26 BDSG, Art. 6 Abs. 1 b | 6 Monate nach Absage (AGG-/ArbGG-Fristen) |
| Newsletter-Versand | Direktwerbung an Interessenten | Art. 6 Abs. 1 a (Einwilligung) | Bis Widerruf / Abmeldung |
| Website-Tracking | Reichweitenmessung, Analyse | Art. 6 Abs. 1 a (Einwilligung), § 25 TDDDG | Gemäß Cookie-Laufzeit / Tool-Einstellung |
| Kundenverwaltung (CRM) | Vertragsabwicklung, Kundenpflege | Art. 6 Abs. 1 b | Handels-/steuerrechtlich, danach Löschung |
Zwei Einträge verdienen einen genaueren Blick, weil sie am häufigsten falsch gemacht werden.
Lohnabrechnung & Buchhaltung: Achtung, neue Frist seit 2025
Buchungsbelege — also Rechnungen, Lohnkonten, Kostenbelege — mussten lange zehn Jahre aufbewahrt werden. Seit dem 01.01.2025 sind es nur noch acht Jahre (§ 147 Abs. 1 AO, geändert durch das Wachstumschancengesetz). Handelsbücher, Jahresabschlüsse und Inventare bleiben bei zehn Jahren (§ 257 HGB), Lohnsteuerunterlagen bei sechs Jahren (§ 41 EStG). Diese Änderung übersehen viele VVTs, die noch aus 2018 stammen.
„Wir löschen Personaldaten nach 10 Jahren" steht in vielen alten VVTs. Das ist seit 2025 für Buchungsbelege überholt (8 Jahre) und für Bewerberdaten von Anfang an falsch (6 Monate). Pauschale Löschfristen sind ein Klassiker bei Behördenprüfungen — die Aufsicht erkennt sofort, dass hier nicht differenziert wurde.
Bewerbermanagement: Die 6-Monats-Falle
Daten abgelehnter Bewerber sind ein Dauerbrenner. Sie müssen spätestens sechs Monate nach der Absage gelöscht werden. Die Frist leitet sich aus den Klagefristen des Allgemeinen Gleichbehandlungsgesetzes (§ 15 Abs. 4 AGG) und des Arbeitsgerichtsgesetzes ab — danach drohen keine Klagen mehr, also entfällt der Aufbewahrungsgrund. Wer länger speichern will (Talent-Pool), braucht eine ausdrückliche Einwilligung des Bewerbers. Mehr dazu in unserem Beitrag zu Bewerberdaten und Löschung.
Schritt für Schritt: VVT erstellen in 6 Etappen
Sie haben jetzt Struktur und Beispiele. So bringen Sie das in Ihrem Betrieb auf den Weg — pragmatisch, ohne sechs Monate Projektplanung.
- Prozesse erheben. Gehen Sie Abteilung für Abteilung durch: Was passiert mit Personaldaten? Mit Kundendaten? Mit Interessenten? Fragen Sie die Fachbereiche — die wissen, welche Tools sie nutzen. Ergebnis: eine Liste aller Verarbeitungstätigkeiten.
- Datenflüsse mappen. Pro Tätigkeit: Welche Daten, welche Personen, welche Systeme, welche externen Empfänger? Hier fallen die ersten Auftragsverarbeiter auf (Steuerberater, Cloud, Newsletter-Tool).
- Rechtsgrundlagen zuordnen. Jede Tätigkeit braucht eine Rechtsgrundlage nach Art. 6 (bzw. Art. 9). Vertrag, gesetzliche Pflicht, berechtigtes Interesse oder Einwilligung — eines muss greifen, sonst ist die Verarbeitung unzulässig.
- Löschfristen festlegen. Für jede Datenkategorie die konkrete Frist eintragen — nicht pauschal. Hier verzahnt sich das VVT mit Ihrem Löschkonzept.
- Auftragsverarbeiter ergänzen. Jeder externe Empfänger, der in Ihrem Auftrag Daten verarbeitet, braucht einen AVV. Tragen Sie die Empfänger ein und prüfen Sie die Verträge — siehe AVV prüfen.
- Pflegen und aktualisieren. Das VVT ist ein lebendes Dokument. Neues Tool, neue Tätigkeit, neuer Dienstleister — sofort eintragen. Einmal jährlich komplett durchgehen.
Das VVT ist kein Selbstzweck. Es ist die Grundlage für fast alles andere im Datenschutz: Datenschutzerklärung, Löschkonzept, TOMs, AVV-Übersicht, Datenpannen-Bewertung. Wer das VVT sauber baut, hat 60 Prozent der Datenschutz-Dokumentation erledigt. Wer es schludrig baut, baut alles andere auf Sand.
Das VVT ist die Drehscheibe Ihrer Dokumentation
Ein VVT steht nie allein. Es ist verzahnt mit den anderen Pflicht-Dokumenten — und genau hier entsteht in der Praxis die meiste Doppelarbeit:
- AVV-Verträge. Jeder Empfänger im VVT, der in Ihrem Auftrag verarbeitet, braucht einen Auftragsverarbeitungsvertrag. Das VVT ist Ihre Checkliste, welche Verträge fehlen.
- TOMs. Art. 30 verlangt einen Verweis auf Ihre technischen und organisatorischen Maßnahmen. Sind keine TOMs dokumentiert, ist der VVT-Eintrag unvollständig.
- Löschkonzept. Die Löschfristen im VVT müssen mit Ihrem Löschkonzept übereinstimmen. Zwei Wahrheiten = ein Befund bei der Prüfung.
- ISMS-Asset-Register. Wer parallel ein ISMS aufbaut, pflegt Systeme oft doppelt. Wie Sie das vermeiden, zeigen wir in der VVT/ISMS-Bridge.
Aus der Praxis
Viele Unternehmer denken: Ich bin doch zu klein für das ganze Thema Datenschutz. Wir haben Mandanten mit drei, vier, fünf Mitarbeitern — die arbeiten für große Kunden mit enormen Ansprüchen an den Datenschutz. Und sobald Sie Gehälter abrechnen oder eine Krankmeldung ablegen, ist die 250-Mitarbeiter-Ausnahme ohnehin Geschichte. Das Verzeichnis ist kein Bürokratie-Monster — es ist die Landkarte, die Sie sowieso brauchen, um zu wissen, wo Ihre Daten überhaupt liegen.
Nils OehmichenExterner Datenschutzbeauftragter bei frag.hugo
Excel oder Software? Der ehrliche Vergleich
Für den Start reicht eine Tabelle. Ab etwa 15 bis 20 Verarbeitungstätigkeiten — und die hat schon ein 10-Mann-Betrieb schnell — wird das Pflegen in Excel mühsam:
| Kriterium | Excel/Word | Datenschutz-Software |
|---|---|---|
| Erstkosten | 0 € | Lizenzkosten |
| Pflichtangaben-Vorlagen | manuell | vorausgefüllt |
| Löschfristen-Erinnerung | keine | automatisch |
| Versionierung / Audit-Trail | manuell | integriert |
| Verknüpfung AVV/TOMs | keine | automatisch |
| Vorlagen für Standardverfahren | keine | 400+ in Hugo DSB |
| Behörden-Export | manuell | Knopfdruck |
Wir bauen die Plattform Hugo DSB unter anderem deshalb, weil Excel-VVTs bei Mandanten regelmäßig veraltet, lückenhaft oder doppelt geführt sind. In Hugo DSB greifen Sie auf über 400 vorausgefüllte VVT-Vorlagen für Standardverfahren zu, Löschfristen werden überwacht und AVVs direkt verknüpft. Das ist kein Muss — aber es spart die Pflege-Arbeit, an der die meisten VVTs scheitern.
Fazit / Ihr nächster Schritt
Ein VVT zu erstellen ist keine Raketenwissenschaft: sieben Pflichtangaben, eine Tabelle, eine Zeile pro Verarbeitungstätigkeit. Die Stolpersteine liegen woanders — bei der falsch eingeschätzten 250-Mitarbeiter-Ausnahme, bei pauschalen Löschfristen und beim Vergessen der Aktualisierung. Wer hier sauber arbeitet, hat bei einer HmbBfDI-Prüfung den entscheidenden ersten Eindruck auf seiner Seite.
Sie wollen das nicht allein stemmen? Wir übernehmen für über 43 Hamburger Mandate genau diese Arbeit — vom ersten Prozess-Workshop bis zum gepflegten, prüfungssicheren Verzeichnis. Mehr zu unserem Angebot finden Sie auf der Startseite und der Datenschutz-Übersicht.
VVT in 7 Werktagen prüfungssicher — statt Excel-Chaos
Wir erstellen Ihr Verzeichnis von Verarbeitungstätigkeiten mit über 400 Vorlagen, verknüpfen AVVs und Löschfristen automatisch und halten es aktuell. Tarife ab 79 € netto/Monat. Im kostenlosen 15-Minuten-Erstgespräch klären wir Ihren konkreten Bedarf.
Kostenloses Erstgespräch buchen →Häufige Fragen (FAQ)
Muss ein Unternehmen mit weniger als 250 Mitarbeitern ein VVT führen?
In den allermeisten Fällen ja. Die 250-Mitarbeiter-Ausnahme in Art. 30 Abs. 5 DSGVO greift nur, wenn ALLE drei Bedingungen erfüllt sind: keine regelmäßige Verarbeitung, kein Risiko für Betroffene und keine besonderen Datenkategorien (Art. 9/10). Sobald Sie Gehälter abrechnen, einen Newsletter führen oder Gesundheitsdaten verarbeiten, ist die Ausnahme weg. Praktisch muss damit fast jedes KMU ein VVT führen.
Welche Pflichtangaben muss ein VVT nach Art. 30 DSGVO enthalten?
Für Verantwortliche nach Art. 30 Abs. 1: Name und Kontaktdaten des Verantwortlichen (und ggf. des Datenschutzbeauftragten), die Zwecke der Verarbeitung, die Kategorien betroffener Personen und Datenkategorien, die Empfänger, etwaige Drittlandtransfers mit Garantien, die vorgesehenen Löschfristen und eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen (TOMs).
In welcher Form muss ich das VVT führen?
Das VVT muss schriftlich geführt werden — schriftlich schließt elektronisch ausdrücklich ein. Eine Excel-Tabelle, ein Word-Dokument oder eine Datenschutz-Software erfüllen die Form. Wichtig ist, dass Sie es auf Anforderung der Aufsichtsbehörde wie dem HmbBfDI vorlegen können.
Wie lange muss ich Personaldaten und Buchungsbelege aufbewahren?
Buchungsbelege wie Rechnungen müssen seit dem 01.01.2025 acht Jahre aufbewahrt werden (§ 147 AO, vorher 10 Jahre). Handelsbücher und Jahresabschlüsse 10 Jahre (§ 257 HGB), Lohnsteuerunterlagen sechs Jahre (§ 41 EStG). Erst nach Ablauf dieser handels- und steuerrechtlichen Fristen dürfen die Daten gelöscht werden — vorher sperren Sie sie.
Wie lange darf ich Bewerberdaten speichern?
Daten abgelehnter Bewerber sollten spätestens sechs Monate nach der Absage gelöscht werden. Die Frist leitet sich aus den Klagefristen des AGG (§ 15 Abs. 4) und ArbGG ab. Wollen Sie Unterlagen länger für einen Talent-Pool behalten, brauchen Sie eine ausdrückliche Einwilligung.
Was passiert, wenn die Aufsichtsbehörde ein fehlendes VVT feststellt?
Ein fehlendes oder unvollständiges VVT ist ein eigenständiger Verstoß nach Art. 30 DSGVO und kann nach Art. 83 Abs. 4 mit bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes geahndet werden. In der Praxis ist das VVT das Erste, was der HmbBfDI bei einer Prüfung anfordert — wer es nicht vorlegt, gibt der Behörde sofort einen Ansatzpunkt.
Recherche-Stand: verifiziert am 18. Mai 2026 über Art. 30 DSGVO (dsgvo-gesetz.de), das DSK-Kurzpapier Nr. 1 und Muster der Datenschutzkonferenz, den Bitkom-Leitfaden zum Verarbeitungsverzeichnis, die DSGVO-Hinweise des BfDI sowie die Aufbewahrungsfristen nach § 147 AO (IHK, seit 01.01.2025) und § 257 HGB.
Datenschutz-Audit: Checkliste & Ablauf für KMU (Selbstcheck)
Datenschutz-Audit Checkliste für KMU: alle Prüfbereiche von VVT über TOMs bis Datenpanne, der Ablauf eines Audits und eine Ampel-Bewertung zur Standortbestimmung in Hamburg.
Cookie-Banner rechtssicher gestalten 2026 (§ 25 TDDDG)
Cookie-Banner rechtssicher nach § 25 TDDDG: Wann Consent Pflicht ist, warum der Ablehnen-Button gleichwertig sein muss und welche Fehler abgemahnt werden.