VVT-Vorlage: Verzeichnis von Verarbeitungstätigkeiten
Das Verzeichnis von Verarbeitungstätigkeiten (VVT) ist nach Art. 30 DSGVO für die meisten Unternehmen Pflicht. Mit dieser kostenlosen Vorlage erfassen Sie alle Verarbeitungen strukturiert und prüfsicher, inklusive ausgefüllter Beispielzeilen als Orientierung.
Worum geht es?
Das VVT dokumentiert, welche personenbezogenen Daten Ihr Unternehmen zu welchem Zweck und auf welcher Rechtsgrundlage verarbeitet. Es ist eine der zentralen Nachweispflichten der DSGVO und in der Regel das erste Dokument, nach dem eine Aufsichtsbehörde fragt.
Verpflichtet sind grundsätzlich alle Unternehmen ab 250 Beschäftigten, darunter aber auch alle, die nicht nur gelegentlich verarbeiten, besondere Datenkategorien verarbeiten oder Daten mit Risiko für die Betroffenen verarbeiten, also praktisch jedes Unternehmen mit Personal und Kundendaten.
Diese Vorlage enthält alle nach Art. 30 Abs. 1 DSGVO geforderten Felder als Spalten, dazu vier ausgefüllte Beispielzeilen (Personalverwaltung, Bewerbermanagement, Newsletter, Videoüberwachung) und Leerzeilen zum direkten Weiterarbeiten in Excel oder Google Sheets.
Was die Vorlage enthält
Verarbeitungstätigkeit
Bezeichnung des Prozesses, z.B. Personalverwaltung oder Newsletter-Versand
Verantwortlicher & DSB
Name, Anschrift und Kontakt des Verantwortlichen sowie des Datenschutzbeauftragten
Zweck & Rechtsgrundlage
Wozu verarbeitet wird und auf welcher Grundlage (Art. 6 / Art. 9 DSGVO)
Betroffene & Datenkategorien
Welche Personengruppen und welche Arten von Daten betroffen sind
Empfänger
An wen die Daten weitergegeben werden (intern und extern)
Drittlandübermittlung & Garantien
Ob in Drittländer übermittelt wird und mit welchen Garantien (z.B. EU-Standardvertragsklauseln)
Löschfristen
Aufbewahrungsdauer bzw. Kriterien für die Löschung
TOM
Technische und organisatorische Maßnahmen zum Schutz der Daten
Auftragsverarbeitung & Status
Ob Auftragsverarbeiter beteiligt sind und wann der Eintrag zuletzt aktualisiert wurde
Die Vorlage eignet sich für den Einstieg ins VVT und für kleinere bis mittlere Unternehmen, die ihr Verzeichnis pragmatisch in Excel führen. Sie ersetzt keine Rechtsberatung, deckt aber alle gesetzlich geforderten Felder ab.
Häufige Fehler beim Ausfüllen
VVT existiert, ist aber veraltet
Das Verzeichnis wird einmal erstellt und nie gepflegt. Es muss bei neuen Verarbeitungen und Änderungen aktuell gehalten werden.
Rechtsgrundlage fehlt oder ist pauschal
Jede Verarbeitung braucht eine konkrete Rechtsgrundlage. „DSGVO“ allein genügt nicht, es muss der passende Artikel und Absatz benannt sein.
Löschfristen nicht definiert
Ohne konkrete Aufbewahrungsfristen lässt sich der Grundsatz der Speicherbegrenzung nicht nachweisen.
Auftragsverarbeiter nicht erfasst
Dienstleister mit Datenzugriff (Cloud, Tools, Steuerberater) gehören mit AVV-Bezug ins VVT.
Vorlage pflegen kostet Zeit. Es geht auch automatisch.
In CompliantDesk führen Sie das VVT nicht als statische Excel, sondern als lebendes Modul: Verarbeitungstätigkeiten sind mit Risiken, Richtlinien, Kontrollen und Auftragsverarbeitern verknüpft, Änderungen werden versioniert und der Status bleibt automatisch aktuell.
Häufig gestellte Fragen
Ist ein VVT für mein Unternehmen Pflicht?
Mit hoher Wahrscheinlichkeit ja. Die Ausnahme für Unternehmen unter 250 Beschäftigten greift kaum, weil fast jedes Unternehmen regelmäßig Personal- und Kundendaten verarbeitet. In der Praxis sollten Sie ein VVT führen.
In welchem Format sollte ich das VVT führen?
Es gibt keine Formvorgabe. Excel oder eine spezialisierte Software sind üblich. Wichtig ist, dass alle Pflichtangaben enthalten und aktuell sind.
Wie oft muss das VVT aktualisiert werden?
Laufend. Jede neue Verarbeitung und jede wesentliche Änderung gehört zeitnah ins Verzeichnis. Eine regelmäßige Überprüfung, etwa jährlich, ist empfehlenswert.
Ist die Vorlage rechtssicher?
Die Vorlage deckt alle nach Art. 30 DSGVO geforderten Felder ab und orientiert sich an der gängigen Praxis. Sie ersetzt jedoch keine individuelle Rechtsberatung.
Compliance ohne Excel-Chaos
CompliantDesk führt VVT, Risiken, Richtlinien und Nachweise in einem System, mit gemeinsamem Kern-Modell für ISO 27001, NIS2 und DSGVO. Sehen Sie es in einer kurzen Demo.