Verarbeitungsverzeichnis nach Art. 30 DSGVO erstellen: Schritt-für-Schritt-Leitfaden

Artikel 30 DSGVO verpflichtet jeden Verantwortlichen und jeden Auftragsverarbeiter mit in der Regel mehr als 250 Beschäftigten, in vielen Fällen jedoch auch darunter, zur Führung eines Verzeichnisses von Verarbeitungstätigkeiten. Die Aufsichtsbehörden in Bund und Ländern fordern dieses Verzeichnis routinemäßig an, bevor sie überhaupt in inhaltliche Prüfungen einsteigen. Ohne ein gepflegtes VVT lässt sich die Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO praktisch nicht erfüllen, und bei einer Datenpanne nach Art. 33 DSGVO fehlt die Grundlage, um die Aufsicht innerhalb der 72-Stunden-Frist sauber zu unterrichten. Die Datenschutzkonferenz weist in mehreren Kurzpapieren darauf hin, dass ein unvollständiges Verzeichnis nicht nur ein Formverstoß ist, sondern in der Regel auf strukturelle Defizite in der gesamten Datenschutzorganisation hindeutet.

Dieser Leitfaden beschreibt, welche Pflichtfelder das Verzeichnis nach Art. 30 Abs. 1 und Abs. 2 DSGVO enthalten muss, wie ein Datenschutzbeauftragter es methodisch aufbaut und welche typischen Fehler bei Audits sofort auffallen. Er richtet sich an Geschäftsführungen, interne Datenschutzbeauftragte und externe Berater, die ein VVT nicht nur einmalig anlegen, sondern als lebendiges Dokument im Tagesbetrieb halten wollen. Die genannten Vorlagen orientieren sich an den Mustern der Datenschutzkonferenz (DSK) und sind in der Compliance-Plattform und Officer-as-a-Service von CIVAC abrufbar. Wer das Verzeichnis als Steuerungsinstrument begreift und nicht als Pflichtdokument, gewinnt zusätzlich einen klaren Überblick über alle datengetriebenen Prozesse und kann Risiken früher adressieren.

Die Pflicht trifft jeden Verantwortlichen im Sinne von Art. 4 Nr. 7 DSGVO und jeden Auftragsverarbeiter im Sinne von Art. 4 Nr. 8 DSGVO. Die in Art. 30 Abs. 5 DSGVO genannte Ausnahme für Unternehmen mit weniger als 250 Beschäftigten greift nur, wenn die Verarbeitung nicht risikobehaftet ist, nicht regelmäßig erfolgt und keine besonderen Kategorien personenbezogener Daten nach Art. 9 oder Art. 10 DSGVO betroffen sind. In der Aufsichtspraxis bedeutet das: Sobald ein Unternehmen Personalakten führt, Kundendaten verarbeitet, Newsletter versendet oder Bewerbungen entgegennimmt, fällt die Ausnahme regelmäßig weg. Die Datenschutzkonferenz hat in ihrem Kurzpapier Nr. 1 klargestellt, dass die Schwelle als Ausnahme von der Regel zu lesen ist und nicht als faktische Freistellung kleiner und mittlerer Unternehmen.

Für Konzernstrukturen ist zu beachten, dass jede rechtlich selbstständige Einheit ein eigenes VVT führen muss. Ein zentrales Konzern-VVT genügt nicht, kann aber als Sammelmappe organisiert werden, in der jede Tochtergesellschaft ein eigenes Register beisteuert. Auftragsverarbeiter wie IT-Dienstleister, Lohnabrechner oder Cloud-Anbieter haben nach Art. 30 Abs. 2 DSGVO ein eigenständiges Verzeichnis aller Verarbeitungen zu führen, die sie im Auftrag ihrer Kunden ausführen. Wer hier unsicher ist, ob die eigene Tätigkeit als Verarbeitung im Auftrag oder als gemeinsame Verantwortlichkeit nach Art. 26 DSGVO einzuordnen ist, sollte die Rollenklärung über den externen Datenschutzbeauftragten vornehmen lassen, bevor das Verzeichnis aufgebaut wird. Sonst wird die Architektur des VVT bereits an der Wurzel falsch. Auch öffentliche Stellen, Vereine mit Mitgliederverwaltung und Berufsverbände unterliegen der Pflicht. Eine reine Verweisung auf einen Verband oder einen Dachverein entbindet die Einzeleinrichtung nicht. Wer einen Standort in einem anderen EU-Mitgliedstaat unterhält, sollte zudem prüfen, ob die dortigen Aufsichtsbehörden eigene Formvorgaben anwenden, die in das Konzern-VVT zu integrieren sind.

Art. 30 Abs. 1 DSGVO listet die Mindestangaben präzise auf. Erstens der Name und die Kontaktdaten des Verantwortlichen, gegebenenfalls des gemeinsam Verantwortlichen, des Vertreters und des Datenschutzbeauftragten. Zweitens die Zwecke der Verarbeitung. Drittens eine Beschreibung der Kategorien betroffener Personen, also etwa Beschäftigte, Bewerber, Kunden, Lieferanten oder Webseitenbesucher. Viertens eine Beschreibung der Kategorien personenbezogener Daten wie Stammdaten, Kommunikationsdaten, Vertragsdaten, Gesundheitsdaten nach Art. 9 DSGVO oder Daten zu strafrechtlichen Verurteilungen nach Art. 10 DSGVO.

Fünftens die Kategorien von Empfängern, gegenüber denen die Daten offengelegt worden sind oder noch werden, einschließlich Empfänger in Drittländern. Sechstens etwaige Übermittlungen in Drittländer oder an internationale Organisationen mit Angabe des Garantieinstruments nach Kapitel V DSGVO, also etwa Angemessenheitsbeschluss, Standardvertragsklauseln oder Binding Corporate Rules. Siebtens die vorgesehenen Löschfristen für die einzelnen Datenkategorien. Achtens eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen nach Art. 32 DSGVO. Hinzu kommen in der Praxis als Pflicht zur Rechenschaft nach Art. 5 Abs. 2 DSGVO regelmäßig die Rechtsgrundlage je Zweck, ein Verweis auf die Datenschutz-Folgenabschätzung nach Art. 35 DSGVO, der Verantwortliche im Fachbereich sowie das Datum der letzten Überprüfung. Wer diese vier Zusatzfelder weglässt, erfüllt zwar die formalen Mindestangaben, scheitert aber an der Rechenschaftspflicht. In CIVAC-Workspace-Vorlagen sind diese Felder als getrennte Felder angelegt, damit Filter-, Such- und Berichtsfunktionen darauf zugreifen können. Das ist insbesondere bei Auskunftsanfragen nach Art. 15 DSGVO entscheidend, weil sich die einer Person zugeordneten Verarbeitungen direkt herausziehen lassen, ohne in Freitextfeldern recherchieren zu müssen. Eine zusätzliche Spalte für Hinweise auf interne Richtlinien, etwa Lösch- oder Berechtigungskonzept, erhöht die Verwertbarkeit zusätzlich.

Schritt eins ist die Bestandsaufnahme der Geschäftsprozesse. Sinnvoll ist die Gliederung nach Fachbereichen wie Personal, Vertrieb, Marketing, IT, Finanzen, Einkauf und Geschäftsleitung. Schritt zwei: Pro Fachbereich werden die wiederkehrenden Verarbeitungen identifiziert, etwa Bewerbermanagement, Lohnabrechnung, Zeiterfassung, CRM-Pflege, Newsletter-Versand oder Videoüberwachung. Schritt drei: Für jede Verarbeitung wird der Zweck präzise formuliert. Vage Formulierungen wie „interne Zwecke“ oder „Geschäftsbetrieb“ akzeptieren die Aufsichtsbehörden nicht. Eine gute Formulierung lautet beispielsweise „Abwicklung von Bewerbungsverfahren inkl. Eignungsdiagnostik bis zur Einstellungs- oder Absageentscheidung“.

Schritt vier ist die Festlegung der Rechtsgrundlage nach Art. 6 DSGVO und gegebenenfalls Art. 9 Abs. 2 DSGVO. Schritt fünf ist die saubere Beschreibung der Datenkategorien und Betroffenenkategorien. Schritt sechs umfasst die Empfänger inklusive Auftragsverarbeitern, Drittlandtransfers und konzerninternen Übermittlungen. Schritt sieben ist die Festlegung der Löschfristen unter Berücksichtigung handels- und steuerrechtlicher Aufbewahrungspflichten aus § 257 HGB und § 147 AO. Schritt acht ist die Beschreibung der TOM nach Art. 32 DSGVO mit Verweis auf das ISMS und die ISO/IEC 27001:2022 Controls. Schritt neun ist die Freigabe durch den Datenschutzbeauftragten und die Ablage in einem versionierten System. CIVAC stellt dafür im Workspace eine Vorlage mit 16 strukturierten Feldern bereit, die nicht nur die Pflichtangaben abdeckt, sondern auch die Verknüpfung zu Datenschutz-Folgenabschätzungen, Auftragsverarbeitungsverträgen und Löschkonzepten herstellt. So wird das VVT zur Steuerungszentrale, nicht zur Pflichtablage. Im Idealfall wird der Aufbau in zwei Sprints organisiert. Der erste Sprint deckt Personal, IT und Finanzen ab, der zweite Sprint die kundenorientierten Prozesse in Vertrieb, Marketing und Service. So liegen nach gut vier Wochen verwertbare Ergebnisse vor, ohne dass die Fachbereiche überlastet werden.

In Prüfungen der Landesdatenschutzbehörden tauchen vier Muster regelmäßig auf. Erstens fehlende oder verallgemeinerte Löschfristen. Ein VVT, in dem überall „nach gesetzlicher Aufbewahrungspflicht“ steht, ist unbrauchbar, weil die Aufsicht prüft, ob die konkrete Frist mit der Datenkategorie übereinstimmt. Zweitens unklare Auftragsverarbeitungsverhältnisse. Wenn im VVT ein Cloud-Anbieter als Empfänger genannt wird, aber kein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO vorliegt, ist das ein eigenständiger Verstoß. Drittens fehlende Drittlandsangaben. Sobald ein Hyperscaler eingesetzt wird, der Daten in den USA verarbeitet, müssen das Garantieinstrument, der Anbieter und der Umfang dokumentiert sein. Häufig fehlt zudem die Angabe, welche konkreten Standardvertragsklauseln-Module zum Einsatz kommen und ob ein Transfer Impact Assessment erstellt wurde.

Viertens veraltete Stände. Ein VVT, das seit 2019 nicht aktualisiert wurde, signalisiert der Aufsicht, dass die Rechenschaftspflicht nicht ernst genommen wird. Die Lösung ist ein fester Überprüfungsturnus, in der Regel jährlich, sowie ein anlassbezogener Update-Pfad bei neuen Tools, Prozessen oder Dienstleistern. In der CIVAC-Plattform laufen diese Updates über den Berichtsweg des Datenschutzbeauftragten an die Geschäftsleitung. Andere führen Compliance wie einen Aktenschrank. Wir führen sie wie Software. Jeder Eintrag ist versioniert, jede Änderung dokumentiert, jede Freigabe nachvollziehbar. Der Prüfer ruft an, der Nachweis liegt bereit. Wer das VVT als lebendiges Dokument führt, hat im Auditfall einen entscheidenden Vorsprung gegenüber Unternehmen, die ihre Listen nur einmal jährlich für die Auditvorbereitung aufpolieren. Ein weiteres Muster, das in Bußgeldverfahren regelmäßig auftaucht, ist die fehlende Verzahnung mit dem Löschkonzept. Wer Löschfristen im VVT angibt, aber kein operatives Löschen nachweisen kann, verfehlt die Rechenschaft genauso wie ein Unternehmen ohne Verzeichnis.

Auftragsverarbeiter unterliegen einer eigenen Dokumentationspflicht. Sie müssen ein Verzeichnis aller Kategorien von im Auftrag eines Verantwortlichen durchgeführten Tätigkeiten führen. Pflichtangaben sind der Name und die Kontaktdaten des Auftragsverarbeiters, der Vertreter, der Datenschutzbeauftragte sowie der Auftraggeber, die Kategorien der Verarbeitungen, gegebenenfalls Übermittlungen in Drittländer mit Garantieinstrument und eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen. Die Anforderungen sind formal niedriger als bei Verantwortlichen, in der Praxis aber genauso anspruchsvoll, weil Kundenaudits ein detailliertes Bild verlangen.

In der Praxis empfiehlt sich ein zweistufiger Aufbau. Stufe eins ist das interne Verzeichnis, das alle Auftraggeber, Verträge und Verarbeitungskategorien aufnimmt. Stufe zwei ist ein pro Auftraggeber generierter Auszug, der bei Audits, Kundenanfragen oder Aufsichtsprüfungen schnell ausgegeben werden kann. Wer Auftragsverarbeiter ist, sollte zusätzlich sicherstellen, dass jede Subdienstleisterkette nach Art. 28 Abs. 4 DSGVO sauber abgebildet ist. Fehlt ein Subdienstleister im Verzeichnis, fällt das spätestens beim ersten Kundenaudit auf und löst regelmäßig Vertragsstrafen oder Kündigungen aus. Die CIVAC-Plattform unterstützt Auftragsverarbeiter mit einer separaten Vorlage nach Art. 30 Abs. 2 DSGVO, die direkt mit dem Subdienstleisterregister und der Genehmigungslogik nach Art. 28 Abs. 2 DSGVO verknüpft ist. Damit wird die Vertragslandschaft nicht nur dokumentiert, sondern operativ steuerbar. Wer sich hier auf eine Excel-Tabelle verlässt, riskiert bei der nächsten ISO/IEC 27001:2022 ISMS-Prüfung oder bei einer TISAX-Bewertung einen Hauptbefund. Besonders kritisch ist die Lage bei IT-Dienstleistern, die für Kunden aus regulierten Branchen wie Banken, Versicherungen oder Energie tätig sind. Diese Kunden geben ihre eigenen Anforderungen aus DORA, VAIT oder BAIT weiter, und der Auftragsverarbeiter muss nachweisen, dass die eigene Dokumentation diese Anforderungen abbildet.

Das VVT ist nicht isoliert zu betrachten. Es bildet die Eingangsbasis für die Schwellwertprüfung nach Art. 35 DSGVO, die entscheidet, ob eine Datenschutz-Folgenabschätzung erforderlich ist. Verarbeitungen wie systematische Bewertung, umfangreiche Verarbeitung besonderer Kategorien oder systematische Überwachung öffentlich zugänglicher Bereiche lösen die DSFA-Pflicht aus. Die DSK veröffentlicht eine Positivliste, die als Orientierung dient. Ohne ein vollständiges VVT lässt sich die Schwellwertprüfung nicht belastbar führen, und ohne dokumentierte Schwellwertprüfung ist die Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO nicht erfüllt. Aufsichtsbehörden prüfen zunehmend gezielt, ob die DSFA-Schwellwertprüfung als eigenständiger Schritt dokumentiert ist und nicht in einer Sammelaussage untergeht.

Genauso eng ist die Verknüpfung mit den technischen und organisatorischen Maßnahmen nach Art. 32 DSGVO. Wer ein ISMS nach ISO/IEC 27001:2022 betreibt, kann die 93 Controls direkt mit den TOM-Feldern im VVT verknüpfen. Damit entsteht eine durchgängige Nachweiskette von der Verarbeitungstätigkeit über die Risikobewertung bis zum konkreten Schutzmaßnahmenset. CIVAC bildet diese Kette im Workspace ab, so dass ein Wechsel einer TOM, etwa der Einführung einer neuen Verschlüsselungslösung, automatisch alle betroffenen VVT-Einträge zur Überprüfung markiert. Das ist der Unterschied zwischen einer statischen Liste und einer lebendigen Compliance-Architektur. Frist läuft ab Kenntnis, und die Kenntnis liegt im VVT. In Branchen mit besonders sensiblen Daten, etwa Gesundheitswesen, Bildung oder Personalvermittlung, sollte zusätzlich eine Verknüpfung mit dem Verzeichnis besonderer Kategorien nach Art. 9 DSGVO bestehen, damit Schutzmaßnahmen und Berechtigungskonzepte präzise zugeordnet werden. Die Plattform unterstützt diese Kategorisierung über Tags, die in Auswertungen und Reports übernommen werden. So lassen sich auf Knopfdruck Listen aller Verarbeitungen mit Gesundheitsdaten, mit Drittlandbezug oder mit besonders schutzwürdigen Betroffenenkreisen erzeugen, was sowohl interne Reviews als auch externe Prüfungen erheblich beschleunigt.

Im Ernstfall einer Datenpanne läuft die Frist von 72 Stunden ab Kenntnis. In dieser Zeit ist die Aufsichtsbehörde nach Art. 33 DSGVO zu unterrichten. Die Meldung verlangt eine Beschreibung der Art der Verletzung, der betroffenen Datenkategorien, der voraussichtlichen Folgen und der ergriffenen Maßnahmen. Wer in dieser Stresssituation erst beginnt, die betroffenen Verarbeitungen zu identifizieren, verliert wertvolle Stunden. Häufig steht die Geschäftsleitung dann vor der Frage, ob eine Meldung überhaupt erforderlich ist, und ohne saubere Datenbasis aus dem Verzeichnis lässt sich diese Entscheidung kaum tragfähig treffen.

Ein gut geführtes VVT ermöglicht es, innerhalb von Minuten zu rekonstruieren, welche Datenkategorien betroffen sind, welche Empfänger eingebunden waren, welche TOM gegriffen haben sollten und welche Betroffenen zu informieren sind. Die CIVAC-Plattform verbindet das VVT mit dem 24/72-Meldepfad, wie er aus NIS-2 bekannt ist, und erstellt aus den hinterlegten Verarbeitungsdaten einen Meldeentwurf für die Aufsicht. Bestellurkunde, unterschrieben, abgelegt, belegbar, das gilt auch für den Datenschutzbeauftragten, der den Meldeprozess steuert. Eine enge Verzahnung mit dem Informationssicherheitsbeauftragten stellt sicher, dass technische Befunde und datenschutzrechtliche Meldungen nicht aneinander vorbeilaufen. Wer Datenschutz und Informationssicherheit getrennt führt, riskiert widersprüchliche Aussagen gegenüber der Aufsicht und damit Folgefragen, die das Verfahren in die Länge ziehen. Sinnvoll ist die Festlegung einer einzigen Meldezentrale, die beide Pfade konsolidiert. Im Workspace ist diese Logik als Eskalationsbaum hinterlegt, der die zuständigen Personen mit Stellvertretung und Eskalationszeiten ausweist und so verhindert, dass eine Meldung an einem Wochenende oder im Urlaub liegen bleibt. Ergänzend lassen sich Übungen einplanen, in denen ein fiktiver Vorfall durchgespielt wird, damit die Meldekette unter Realbedingungen geprüft ist und die Geschäftsleitung weiß, welche Entscheidungen innerhalb der ersten Stunden zu treffen sind.

Ein VVT ist nur dann belastbar, wenn es im Tagesgeschäft mitläuft. Die Verantwortung liegt beim Fachbereich, der die Verarbeitung betreibt, die fachliche Prüfung beim Datenschutzbeauftragten, die finale Freigabe bei der Geschäftsleitung als Verantwortliche im Sinne der DSGVO. Bewährt hat sich ein dreistufiger Workflow: Fachbereich meldet Änderung, DSB prüft und kommentiert, Geschäftsleitung gibt frei. Jede Stufe ist mit Zeitstempel und Verantwortlichem zu dokumentieren. So entsteht eine lückenlose Historie, die bei jeder Aufsichtsprüfung als Nachweis der Rechenschaftspflicht dient. Die Aufsicht erkennt einen sauberen Workflow regelmäßig daran, dass Freigaben durchgängig in chronologischer Reihenfolge dokumentiert sind und Anpassungen an Tools oder Prozessen zeitnah, also innerhalb weniger Wochen, im Verzeichnis abgebildet werden.

Mindestens jährlich sollte ein internes Audit des gesamten VVT durchgeführt werden. Dabei werden Stichproben genommen, die Aktualität der Löschfristen geprüft, die Konsistenz mit dem Auftragsverarbeiterregister abgeglichen und die TOM-Beschreibungen mit dem ISMS-Stand abgeglichen. Audit-fest, dokumentiert, § 30-fest. Im CIVAC-Workspace läuft dieser Audit-Turnus als Vorlage, die 37 einsatzbereite Audit-Vorlagen umfasst und für das VVT eine eigene Checkliste mit 24 Prüfpunkten bereitstellt. Lizenzieren Sie den Workspace für Ihre internen Beauftragten oder lassen Sie unsere Beauftragten bestellen. Beide Modelle führen zum gleichen Nachweis. Der Unterschied liegt darin, ob die Pflege durch interne Ressourcen oder durch CIVAC-Beauftragte mit SLA von zwei Werktagen erfolgt. Empfehlenswert ist zusätzlich ein Quartals-Review mit den Fachbereichsleitungen, in dem nur die in den letzten drei Monaten neu angelegten Verarbeitungen besprochen werden. So entsteht keine Audit-Welle einmal im Jahr, sondern ein gleichmäßiger Rhythmus, der den Aufwand verteilt.

Ein Verarbeitungsverzeichnis aufzubauen ist keine einmalige Aktion, sondern die Einrichtung eines dauerhaften Steuerungsinstruments. Wer heute startet, sollte sich nicht an einer Excel-Vorlage aus dem Internet orientieren, sondern an einer Architektur, die VVT, DSFA, TOM, Auftragsverarbeitungsverträge und Datenpannen-Meldepfad zusammenführt. CIVAC stellt diese Architektur als Compliance-Plattform und Officer-as-a-Service bereit. Die Plattform umfasst 25 Beauftragten-Rollen, alle live, mit einer Bestellurkunde-Logik, einer Berichtslinie an die Geschäftsleitung und einer EU-Datenresidenz, die für regulierte Branchen relevant ist. Die Vorlagen sind so geschnitten, dass sie für mittelständische Unternehmen mit 50 Beschäftigten ebenso passen wie für Konzerne mit mehreren Tausend.

Der Einstieg erfolgt in zwei Werktagen statt der klassischen zwei bis sechs Wochen. Die Rollenübersicht zeigt, welche Beauftragten parallel bestellt werden können, etwa der Datenschutzbeauftragte, der Informationssicherheitsbeauftragte und der Compliance-Beauftragte. Lizenzieren Sie den Workspace für Ihre internen Beauftragten oder lassen Sie unsere Beauftragten bestellen. Wer prüfen möchte, ob das eigene VVT den aktuellen Anforderungen der Aufsicht standhält, kann eine VVT-Diagnose anfragen. Dabei wird der Bestand gegen die zwölf Pflichtfelder und die vier Rechenschafts-Zusatzfelder geprüft, Lücken werden benannt, ein Sanierungspfad mit Aufwandsschätzung wird vorgelegt. Aus dem Lesen einen Auftrag machen: info@civac.de oder über das Kontaktformular auf civac.de. Die Rückmeldung erfolgt innerhalb von zwei Werktagen, inklusive Bestellurkunden-Entwurf, sofern der Bedarf an einem externen Datenschutzbeauftragten besteht. Auf Wunsch unterstützt CIVAC zusätzlich bei der Einführung des Workspace mit einem moderierten Workshop, in dem die ersten drei Fachbereiche gemeinsam mit dem Datenschutzbeauftragten ihre Verzeichnisse aufbauen und freigeben. Damit verlagert sich der Aufwand von der Geschäftsleitung in den methodischen Rahmen der Plattform, und das Verzeichnis ist nach Abschluss des Workshops nicht nur dokumentiert, sondern auch operativ verstanden.