Sie haben Post von der Datenschutzbehörde. Eine Beschwerde ist eingegangen, ein ehemaliger Mitarbeiter hat sich gemeldet. Die Behörde bittet um Übersendung Ihres Verzeichnisses von Verarbeitungstätigkeiten.
Und jetzt? Viele Geschäftsführer kleiner und mittlerer Unternehmen kennen diese Situation – oder fürchten sie. Denn ein Verarbeitungsverzeichnis nach Art. 30 DSGVO existiert in vielen KMU schlicht nicht. Oder es liegt irgendwo als veraltete Excel-Tabelle, die seit 2018 niemand mehr angefasst hat.
Dabei ist das Verarbeitungsverzeichnis kein bürokratisches Monster. Es ist ein strukturiertes Dokument, das beschreibt, welche personenbezogenen Daten Ihr Unternehmen verarbeitet, warum und wie. Dieser Artikel zeigt Ihnen Schritt für Schritt, wie Sie ein Verarbeitungsverzeichnis erstellen – praxisnah, vollständig und ohne juristisches Studium.
Das Verarbeitungsverzeichnis (offiziell: Verzeichnis von Verarbeitungstätigkeiten, kurz VVT) dokumentiert alle Prozesse in Ihrem Unternehmen, bei denen personenbezogene Daten verarbeitet werden. Art. 30 DSGVO legt fest, welche Angaben das Verzeichnis enthalten muss.
Ein Verarbeitungsverzeichnis ist kein einzelnes Formular, sondern eine Sammlung von Einträgen. Jeder Eintrag beschreibt eine Verarbeitungstätigkeit – zum Beispiel die Lohnabrechnung, das Bewerbermanagement oder den Newsletter-Versand.
Das Verzeichnis dient zwei Zwecken:
Art. 30 Abs. 5 DSGVO befreit Unternehmen mit weniger als 250 Mitarbeitenden nur dann von der Pflicht, wenn die Verarbeitung nicht regelmäßig erfolgt. Sobald Sie Mitarbeitende beschäftigen, Kunden verwalten oder eine Website betreiben, verarbeiten Sie regelmäßig personenbezogene Daten. Die Ausnahme greift also praktisch nie. Auch die Datenschutzkonferenz (DSK) und der BfDI stellen klar: Die Pflicht gilt für nahezu jedes Unternehmen.
Art. 30 Abs. 1 DSGVO definiert die Mindestangaben für jeden Eintrag. Hier ein Beispiel-Eintrag für eine typische Verarbeitungstätigkeit:
| Feld | Beispiel: Lohn- und Gehaltsabrechnung |
|---|---|
| Verarbeitungstätigkeit | Lohn- und Gehaltsabrechnung |
| Verantwortlicher | Muster GmbH, Musterstraße 1, 20095 Hamburg |
| Zweck der Verarbeitung | Berechnung und Auszahlung von Gehältern, Abführung von Sozialabgaben und Steuern |
| Rechtsgrundlage | Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung), § 26 BDSG |
| Kategorien betroffener Personen | Mitarbeitende, Aushilfen, Werkstudenten |
| Kategorien personenbezogener Daten | Name, Adresse, Steuer-ID, Sozialversicherungsnummer, Bankverbindung, Gehaltsdaten |
| Empfänger | Finanzamt, Krankenkassen, Berufsgenossenschaft, externer Lohndienstleister (mit AVV) |
| Drittlandtransfer | Nein |
| Löschfrist | 10 Jahre nach Ende des Beschäftigungsverhältnisses (steuer- und handelsrechtliche Aufbewahrungspflichten) |
| Technische und organisatorische Maßnahmen | Zugriffsbeschränkung auf HR und Geschäftsführung, verschlüsselte Übertragung, passwortgeschützte Dateien |
Dieses Schema wiederholen Sie für jede Verarbeitungstätigkeit in Ihrem Unternehmen.
Viele Geschäftsführer unterschätzen, wie viele Verarbeitungstätigkeiten in ihrem Unternehmen stattfinden. Diese Liste hilft Ihnen, keine zu vergessen:
Wer ein Datenschutzkonzept erstellt, wird feststellen: Das Verarbeitungsverzeichnis ist der Dreh- und Angelpunkt. Ohne VVT fehlt die Grundlage für alle weiteren Datenschutzmaßnahmen.
1. Verarbeitungsverzeichnis nie erstellt Der häufigste Fehler. Viele KMU verlassen sich darauf, dass sie „zu klein” sind. Wie oben beschrieben, greift die Ausnahme praktisch nie.
2. Einmal erstellt, nie aktualisiert Ein Verarbeitungsverzeichnis von 2018, das neue CRM-Systeme, Cloud-Migrationen und geänderte Prozesse nicht abbildet, ist wertlos.
3. Rechtsgrundlagen fehlen oder sind falsch „Einwilligung” wird als Standard-Rechtsgrundlage eingetragen – obwohl in vielen Fällen „Vertragserfüllung” (Art. 6 Abs. 1 lit. b) oder „berechtigtes Interesse” (Art. 6 Abs. 1 lit. f) korrekt wäre.
4. Löschfristen nicht definiert Art. 30 Abs. 1 lit. f DSGVO verlangt „die vorgesehenen Fristen für die Löschung”. Ein VVT ohne Löschfristen ist unvollständig.
5. Auftragsverarbeiter vergessen Cloud-Dienste, SaaS-Tools, externe IT-Dienstleister – viele Unternehmen listen ihre Auftragsverarbeiter nicht auf und haben keine AVVs abgeschlossen.
Ein mittelständischer Handwerksbetrieb mit 35 Mitarbeitenden kam zu uns mit der Aussage: „Wir verarbeiten doch gar keine Daten.” Nach der Bestandsaufnahme hatten wir 14 Verarbeitungstätigkeiten dokumentiert – von der Lohnabrechnung über das Kundenverwaltungssystem bis zur Dashcam in den Firmenfahrzeugen.
Der Aufwand für die Erstellung des Verarbeitungsverzeichnisses: etwa drei Tage, verteilt auf zwei Wochen. Die Aktualisierung seitdem: einmal pro Quartal je eine Stunde. Das ist machbar – auch ohne eigene Rechtsabteilung.
Prüfen Sie mit unserem DSGVO-Check, wie es um Ihren Datenschutz steht. Der Check zeigt Ihnen in wenigen Minuten, wo Handlungsbedarf besteht.
Für jeden ist Datenschutz wichtig. Und für uns ist es wichtig, eine pragmatische Lösung zu finden, wie Unternehmen ihren Datenschutz umsetzen – ohne dabei den Geschäftsbetrieb einzustellen.
Nils OehmichenDatenschutzberater bei frag.hugo
Sie brauchen keine teure Software. Eine strukturierte Excel-Tabelle reicht für den Anfang. Die Datenschutzkonferenz (DSK) stellt ein offizielles Muster-Verarbeitungsverzeichnis bereit. Auch der BfDI bietet Hinweise und Vorlagen an.
Wichtig: Die Vorlage muss alle Pflichtangaben nach Art. 30 DSGVO abdecken. Achten Sie darauf, dass Ihre Vorlage Felder für Rechtsgrundlage, Löschfristen und TOMs enthält – das fehlt in vielen kostenlosen Mustern.
Wer einen externen Datenschutzbeauftragten bestellt, bekommt das Verarbeitungsverzeichnis in der Regel als Teil des Erst-Audits erstellt und laufend aktualisiert.
Ein fehlendes oder unvollständiges Verarbeitungsverzeichnis ist ein Verstoß gegen Art. 30 DSGVO. Die Aufsichtsbehörde kann Bußgelder von bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes verhängen (Art. 83 Abs. 4 lit. a DSGVO). In der Praxis liegen die Bußgelder für KMU bei 5.000 bis 25.000 Euro.
Schwerer wiegt oft der Dominoeffekt: Fehlt das VVT, fehlen meist auch AVVs, Löschkonzepte und dokumentierte TOMs. Die Behörde prüft dann intensiver – und findet weitere Verstöße. Lesen Sie dazu unseren Artikel über DSGVO-Bußgelder und wie Sie diese vermeiden.
Auch bei der DSGVO-Checkliste 2026 ist das Verarbeitungsverzeichnis der erste Prüfpunkt.
Das Verarbeitungsverzeichnis ist kein Papiertiger. Es ist das Fundament Ihrer DSGVO-Compliance. Ohne VVT können Sie weder Auskunftsanfragen beantworten noch Löschpflichten einhalten noch bei einer Behördenprüfung bestehen.
Die gute Nachricht: Der Aufwand ist überschaubar. Mit einer klaren Vorlage, der richtigen Struktur und einem systematischen Vorgehen erstellen Sie Ihr Verarbeitungsverzeichnis in wenigen Tagen.
Verarbeitungsverzeichnis erstellen lassen?
Wir erstellen Ihr Verarbeitungsverzeichnis – vollständig, rechtssicher und ohne Ihren Alltag zu stören.
Kostenloses Erstgespräch buchen →Ob Reederei in der HafenCity, Werbeagentur in Eimsbüttel oder Handwerksbetrieb in Harburg — das Verarbeitungsverzeichnis ist für jedes Hamburger Unternehmen Pflicht. Die HmbBfDI fragt bei Prüfungen als Erstes nach dem VVT. Das ist sozusagen die Eintrittskarte: Fehlt es, signalisiert das der Behörde, dass auch beim Rest vieles im Argen liegt. Wir erstellen Ihr Verarbeitungsverzeichnis als Teil unserer DSGVO-Beratung in Hamburg — pragmatisch, vollständig und so, dass Sie es selbst pflegen können.
Muss jedes Unternehmen ein Verarbeitungsverzeichnis führen? Ja. Die Ausnahme nach Art. 30 Abs. 5 DSGVO für Unternehmen unter 250 Mitarbeitenden gilt nur, wenn die Verarbeitung nicht regelmäßig erfolgt. Sobald Sie Mitarbeitende haben, Kunden verwalten oder eine Website betreiben, greift die Ausnahme nicht.
In welchem Format muss das Verarbeitungsverzeichnis vorliegen? Die DSGVO verlangt ein schriftliches Format, das auch elektronisch sein darf. Eine Excel-Tabelle, ein Word-Dokument oder eine spezialisierte Software – alles ist zulässig. Wichtig ist, dass Sie es der Behörde auf Anfrage vorlegen können.
Wie oft muss ich das Verarbeitungsverzeichnis aktualisieren? Es gibt keine gesetzliche Frist. In der Praxis empfiehlt sich eine Prüfung mindestens einmal jährlich sowie bei jeder Änderung von Prozessen, Systemen oder Dienstleistern.
Was kostet es, ein Verarbeitungsverzeichnis erstellen zu lassen? Bei einem externen Datenschutzbeauftragten ist das VVT in der Regel im Erst-Audit enthalten. Als Einzelleistung rechnen Sie mit 1.500 bis 4.000 Euro, abhängig von der Unternehmensgröße und der Anzahl der Verarbeitungstätigkeiten.
Reicht das Muster des BfDI für mein Unternehmen? Das BfDI-Muster deckt die Pflichtangaben ab und ist ein guter Startpunkt. Für die tatsächliche Umsetzung müssen Sie es aber mit Ihren konkreten Verarbeitungstätigkeiten, Rechtsgrundlagen und Löschfristen befüllen. Die Vorlage allein reicht nicht – der Inhalt zählt.
Inhaltsverzeichnis
Verarbeitungsverzeichnis erstellen als KMU: Praxisanleitung mit den 5 häufigsten Verarbeitungen, Priorisierung und Hamburg-Tipps. DSGVO Art. 30 pragmatisch umsetzen.
WeiterlesenDSGVO Dokumentationspflichten: Welche Dokumente Ihr Unternehmen braucht – komplette Übersicht mit Praxis-Checkliste für Hamburger KMU.
WeiterlesenDatenschutzaudit durchführen: Kompletter Ablauf in 6 Schritten, typische Kosten und detaillierte Prüf-Checkliste für Hamburger KMU.
WeiterlesenÜber den Autor
Mitgründer & IT-Unternehmer
Jens ist seit Dezember 2004 IT-Unternehmer und Geschäftsführer der hagel IT-Services GmbH in Hamburg (35+ Mitarbeitende). Mitgründer der frag.hugo Informationssicherheit GmbH und der SYNAPSE KI-Agentur. Mehrfach als „Deutschlands beste IT-Dienstleister" (statista / brand eins) ausgezeichnet.
Vereinbaren Sie ein unverbindliches Erstgespräch mit unseren Experten. Wir beraten Sie persönlich zu Datenschutz, NIS2 und IT-Sicherheit.
