Verzeichnis der Verarbeitungstätigkeiten
Strukturierte Dokumentation aller Verarbeitungen personenbezogener Daten nach Art. 30 DSGVO — Rückgrat der Rechenschaftspflicht.
Das Verzeichnis der Verarbeitungstätigkeiten (VVT, englisch Record of Processing Activities — RoPA) ist die zentrale Dokumentationspflicht der DSGVO. Artikel 30 verpflichtet jeden Verantwortlichen und jeden Auftragsverarbeiter dazu, ein vollständiges Verzeichnis aller Verarbeitungstätigkeiten zu führen, die unter ihrer Verantwortung stattfinden. Das VVT ist damit das Bedrock der Rechenschaftspflicht aus Art. 5 Abs. 2 — ohne ein gepflegtes Verzeichnis lässt sich gegenüber der Aufsicht nicht nachweisen, dass die Verarbeitungen DSGVO-konform erfolgen.
Pflichtfelder für Verantwortliche
Artikel 30 Absatz 1 schreibt einen festen Katalog an Angaben vor, den das VVT eines Verantwortlichen abdecken muss. Dazu gehören Name und Kontaktdaten des Verantwortlichen und gegebenenfalls des Datenschutzbeauftragten, die Zwecke der Verarbeitung, eine Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten, die Kategorien von Empfängern, Übermittlungen in Drittländer einschließlich der dort eingesetzten Garantien, die vorgesehenen Löschfristen sowie eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen nach Art. 32. Jede einzelne Verarbeitungstätigkeit — vom Bewerbermanagement über das CRM bis zur Videoüberwachung am Empfang — bekommt einen eigenen Eintrag.
Pflichtfelder für Auftragsverarbeiter
Artikel 30 Absatz 2 definiert ein separates, schlankeres Verzeichnis für Auftragsverarbeiter. Erfasst werden Name und Kontaktdaten des Auftragsverarbeiters und jedes Verantwortlichen, in dessen Auftrag verarbeitet wird, die Kategorien der im Auftrag durchgeführten Verarbeitungen, etwaige Drittlandübermittlungen und die TOM nach Art. 32. Auftragsverarbeiter dokumentieren also nicht die Zwecke ihrer Kunden, sondern ihre eigenen technischen Verarbeitungsroutinen — eine Trennung, die in der Praxis häufig verschwimmt, wenn Konzerntöchter für Schwestergesellschaften tätig werden.
Kleinunternehmensausnahme
Artikel 30 Absatz 5 enthält eine viel zitierte, aber kaum greifende Ausnahme. Sie befreit Unternehmen mit weniger als 250 Beschäftigten von der VVT-Pflicht — allerdings nur, wenn alle vier Zusatzvoraussetzungen kumulativ erfüllt sind: die Verarbeitung birgt kein Risiko für Betroffene, sie erfolgt nur gelegentlich, sie umfasst keine besonderen Kategorien nach Art. 9 und keine Daten zu Verurteilungen nach Art. 10. In der Praxis verarbeitet praktisch jedes Unternehmen Mitarbeiterdaten dauerhaft und damit nicht gelegentlich. Die Aufsichtsbehörden — etwa der LfDI Baden-Württemberg — vertreten konsequent die Auffassung, dass die Ausnahme nur in seltenen Einzelfällen greift. Wer sich darauf beruft, sollte die Voraussetzungen sauber dokumentieren.
Formate und Werkzeuge
Rechtlich macht die DSGVO keine Vorgaben zum Format. In der Praxis haben sich drei Wege etabliert:
| Variante | Geeignet für | Vorteil |
|---|---|---|
| Excel- oder Word-Vorlagen | Kleine und mittlere Organisationen | Niedrige Einstiegshürde, frei verfügbar |
| Aufsichtsbehörden-Templates | KMU mit deutschem Fokus | Behördlich anerkannte Struktur (z. B. LfDI BW, BayLDA) |
| Spezialisierte Tools (OneTrust, Caralegal, DSMS) | Mittelstand und Konzerne | Versionierung, Workflow, Verzahnung mit DSFA und AVV |
Die Wahl folgt der Komplexität: bis zu zwei Dutzend Verarbeitungen lassen sich gut in einer Tabelle pflegen, jenseits davon zahlt sich ein Werkzeug aus, das Beziehungen zwischen Verarbeitungen, Systemen, Dienstleistern und Rechtsgrundlagen modelliert.
Aktualisierungsrhythmus
Ein VVT ist ein lebendes Dokument. Mindestens einmal jährlich sollte das Verzeichnis vollständig auf Aktualität geprüft werden, ergänzend bei jedem auslösenden Ereignis — neue Software, neuer Dienstleister, neue Verarbeitung, geänderte Zwecke, Wechsel des Speicherorts. Wer das VVT nur einmal aufsetzt und liegen lässt, dokumentiert nach wenigen Monaten eine Fiktion. In integrierten Datenschutz-Management-Systemen ist das VVT daher mit Change-Management und Beschaffung verknüpft.
Aufsichtspraxis
Das VVT ist in nahezu jeder Aufsichtsanfrage das erste Dokument, das eine Behörde anfordert — sei es nach einem Datenschutzvorfall, einer Beschwerde oder einer anlasslosen Prüfung. Ein vollständiges, aktuelles und nachvollziehbares Verzeichnis signalisiert eine funktionierende Datenschutzorganisation und nimmt Druck aus dem weiteren Verfahren. Ein lückenhaftes oder veraltetes VVT erzeugt umgekehrt sofort Folgefragen und kann ein eigenständiger Bußgeldtatbestand nach Art. 83 Abs. 4 lit. a sein.
Zusammenspiel mit DSFA und AVV
Das VVT bildet die Datenbasis für alle weiteren Datenschutzpflichten. Aus ihm leitet sich ab, welche Verarbeitungen einer DSFA bedürfen, welche Auftragsverarbeitungen einen AVV erfordern und wo Drittlandtransfers über Standardvertragsklauseln abzusichern sind. Wer VVT, DSFA und AVV getrennt führt, riskiert Inkonsistenzen; wer sie verzahnt — idealerweise im selben Werkzeug — gewinnt Übersicht und reduziert Pflegeaufwand erheblich. Ein konkretes Beispiel für einen VVT-Eintrag rund um Windows-Telemetrie und Plattform-Datenflüsse liefert Kapitel 8 unseres Leitfadens zur datenschutzkonformen Windows-11-Konfiguration.