Ihr Dienstleister bittet um einen Nachweis Ihrer DSGVO-Compliance. Oder ein Kunde fragt nach Ihrem Verarbeitungsverzeichnis, bevor er den Vertrag unterschreibt. Sie wissen: Da war doch mal eine Excel-Tabelle, 2018 angelegt, seitdem nie angefasst.
Das ist kein Einzelfall. Laut einer Bitkom-Erhebung hat rund die Hälfte der deutschen Unternehmen kein aktuelles Verarbeitungsverzeichnis. Nicht aus Boshaftigkeit, sondern weil der Einstieg abschreckt. Zu viel Bürokratie, zu viele Unklarheiten, zu wenig Zeit.
Dabei lässt sich ein Verarbeitungsverzeichnis erstellen, ohne den Geschäftsbetrieb lahmzulegen. Dieser Artikel zeigt Ihnen, wie Sie als KMU in fünf Tagen ein solides VVT aufbauen -- pragmatisch, vollständig und behördengerecht.
Drei Gründe, warum Sie das Thema nicht weiter aufschieben sollten:
1. Die Aufsichtsbehörden prüfen aktiver. Die HmbBfDI hat 2025 über 1.000 Hamburger Websites anlasslos geprüft und in 185 Fällen Verstöße festgestellt. Die Behörde weitet ihre Kontrollen aus -- und das Verarbeitungsverzeichnis ist das erste Dokument, das angefordert wird.
2. Die EU-Vereinfachung kommt -- aber noch nicht. Die EU-Kommission diskutiert, die VVT-Pflicht auf Unternehmen ab 750 oder sogar 1.000 Mitarbeitenden anzuheben. Die Trilog-Verhandlungen laufen voraussichtlich bis Mitte 2026. Bis dahin gilt: Die aktuelle Rechtslage zählt. Wer jetzt auf Entlastung wartet und die Dokumentation schleifen lässt, verstößt gegen geltendes Recht.
3. Kunden und Geschäftspartner verlangen es. Gerade wenn Sie als Zulieferer oder Dienstleister für größere Unternehmen arbeiten, wird das VVT zum Wettbewerbsfaktor. Kein Verzeichnis bedeutet kein Vertrauen -- und oft kein Vertrag.
Statt alle Prozesse auf einmal zu erfassen, starten Sie mit den fünf Verarbeitungstätigkeiten, die in praktisch jedem KMU vorkommen. So haben Sie innerhalb eines Tages ein erstes, vorzeigbares Verzeichnis.
| Nr. | Verarbeitungstätigkeit | Typische Rechtsgrundlage | Löschfrist |
|---|---|---|---|
| 1 | Lohn- und Gehaltsabrechnung | Art. 6 Abs. 1 lit. b + § 26 BDSG | 10 Jahre nach Austritt |
| 2 | Bewerbermanagement | Art. 6 Abs. 1 lit. b DSGVO | 6 Monate nach Absage |
| 3 | Kundenverwaltung / CRM | Art. 6 Abs. 1 lit. b DSGVO | 3 Jahre nach letztem Kontakt |
| 4 | Buchhaltung / Rechnungen | Art. 6 Abs. 1 lit. c DSGVO | 10 Jahre (steuerrechtlich) |
| 5 | Website (Kontaktformular, Cookies) | Art. 6 Abs. 1 lit. a / f DSGVO | Je nach Zweck, meist 12 Monate |
Diese fünf Einträge decken bei den meisten KMU bereits 60 bis 70 Prozent aller personenbezogenen Datenverarbeitungen ab.
Beginnen Sie mit der Lohnabrechnung. Dort sind die Pflichtangaben am klarsten, und Sie haben sofort ein Muster, das Sie für die anderen Verarbeitungen übernehmen können. Die Pflichtangaben nach Art. 30 DSGVO finden Sie hier im Wortlaut.
Wir erleben es bei unseren Mandanten immer wieder: Das Verarbeitungsverzeichnis bringt Dinge ans Licht, die vorher niemand auf dem Schirm hatte. Eine Marketing-Agentur in Eimsbüttel nutzte seit drei Jahren ein US-amerikanisches Umfrage-Tool ohne AVV. Ein Handwerksbetrieb in Harburg hatte Bewerbungsunterlagen aus 2019 noch auf dem Server. Ein IT-Dienstleister in der HafenCity wusste nicht, dass sein Hosting-Anbieter Daten in Singapur spiegelt.
Das VVT ist nicht nur ein Pflichtdokument. Es ist ein Werkzeug, das Ihnen zeigt, wo Ihr Datenschutz wirklich steht.
Es kam wirklich häufig vor, dass es dann ein Aha-Erlebnis war. Die Geschäftsleitung sagte: Das war mir so gar nicht bewusst. Ich dachte, Datenschutz ist dafür da, um mich zu ärgern.
Nils OehmichenDatenschutzberater bei frag.hugo
Fehler 1: Alles auf einmal machen wollen. Das Verarbeitungsverzeichnis muss nicht in einer Woche perfekt sein. Starten Sie mit den wichtigsten Verarbeitungen und ergänzen Sie schrittweise. Ein lebendes Dokument mit 10 soliden Einträgen schlägt ein perfektionistisches Projekt, das nie fertig wird.
Fehler 2: Rechtsgrundlagen raten. Viele KMU tragen überall "Einwilligung" ein -- obwohl für die Lohnabrechnung "Vertragserfüllung" und für die Buchhaltung "rechtliche Verpflichtung" korrekt wäre. Falsche Rechtsgrundlagen sind kein Kavaliersdelikt. Im Zweifel: Fragen Sie Ihren Datenschutzbeauftragten.
Fehler 3: Das VVT in der Schublade vergessen. Ein Verarbeitungsverzeichnis von 2018 hilft Ihnen bei einer Prüfung 2026 nicht weiter. Neue Software, geänderte Prozesse, gewechselte Dienstleister -- all das muss dokumentiert werden. Mindestens einmal pro Jahr, besser einmal pro Quartal.
Mehr zu typischen Dokumentationslücken lesen Sie in unserem Artikel zu DSGVO-Dokumentationspflichten.
Das VVT dokumentiert, welche Daten Sie verarbeiten und wie lange Sie sie aufbewahren. Das Löschkonzept stellt sicher, dass Sie die Fristen auch einhalten. Beide Dokumente gehören zusammen. Wer ein VVT ohne Löschkonzept hat, dokumentiert zwar die Regeln -- hält sie aber nicht ein.
Der HmbBfDI veröffentlicht am 25. März 2026 seinen neuen Tätigkeitsbericht Datenschutz. Erfahrungsgemäß folgen nach Veröffentlichung verstärkte Prüfungen -- besonders bei Unternehmen, die auf Beschwerden hin erstmals kontrolliert werden. Ein aktuelles VVT ist dann Ihre beste Verteidigung.
Sie müssen das Verarbeitungsverzeichnis nicht allein erstellen. Prüfen Sie mit unserem kostenlosen DSGVO-Website-Check, wo Ihr Unternehmen steht. Der Check zeigt in wenigen Minuten, ob Ihre Website DSGVO-konform ist -- und gibt Ihnen einen ersten Anhaltspunkt, welche Verarbeitungen Sie dokumentieren sollten.
Verarbeitungsverzeichnis erstellen lassen?
Wir bauen Ihr VVT auf, prüfen Ihre Dienstleister-Verträge und halten das Verzeichnis laufend aktuell. Pragmatisch, vollständig, ohne Ihren Alltag zu stören.
Kostenloses Erstgespräch buchen →Ja. Die Ausnahme nach Art. 30 Abs. 5 DSGVO greift nur bei nicht regelmäßiger Verarbeitung. Sobald Sie Mitarbeitende beschäftigen, Kunden verwalten oder eine Website betreiben, verarbeiten Sie regelmäßig personenbezogene Daten. Auch die DSK bestätigt: Die Pflicht gilt für nahezu jedes Unternehmen.
Ein durchschnittliches KMU mit 20 bis 100 Mitarbeitenden kommt auf 10 bis 25 Verarbeitungstätigkeiten. Die häufigsten: Lohnabrechnung, Bewerbermanagement, Kundenverwaltung, E-Mail-Kommunikation und Website-Betrieb.
Die DSGVO verlangt ein schriftliches Format, das elektronisch sein darf. Excel, Word oder eine spezialisierte Software -- alles ist zulässig. Entscheidend ist, dass Sie es der Aufsichtsbehörde auf Anfrage vorlegen können.
Die EU diskutiert, die VVT-Pflicht erst ab 750 oder 1.000 Mitarbeitenden greifen zu lassen. Bis zum Abschluss der Trilog-Verhandlungen (voraussichtlich erstes Halbjahr 2026) gilt die aktuelle Rechtslage. Wer jetzt auf Erleichterung wartet, riskiert ein Bußgeld.
Art. 83 Abs. 4 DSGVO erlaubt Bußgelder bis 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes. In der Praxis liegen Bußgelder für KMU bei 5.000 bis 25.000 Euro. Dazu kommen Folgekosten, weil ein fehlendes VVT bei einer Prüfung weitere Mängel offenlegt.
Der HmbBfDI prüft bei Hamburger Unternehmen regelmäßig das Verarbeitungsverzeichnis nach Art. 30 DSGVO – und verhängt bei Fehlen oder groben Mängeln Bußgelder. Besonders KMU unterschätzen diese Pflicht. Als Verarbeitungsverzeichnis-Beratung in Hamburg erstellen wir ein vollständiges Verzeichnis für Ihr Unternehmen.
Inhaltsverzeichnis
Verarbeitungsverzeichnis nach DSGVO Art. 30 erstellen: Schritt-für-Schritt-Anleitung mit Vorlage und Beispielen für Hamburger KMU.
WeiterlesenDatenschutzaudit durchführen: Kompletter Ablauf in 6 Schritten, typische Kosten und detaillierte Prüf-Checkliste für Hamburger KMU.
WeiterlesenDatenschutzbeauftragter bestellen: Der komplette Ablauf in 5 Schritten für Hamburger Unternehmen – von der Pflichtprüfung bis zur Behördenmeldung.
WeiterlesenÜber den Autor
Datenschutzberater & Geschäftsführer
Nils ist TÜV-zertifizierter Datenschutzbeauftragter und seit über 13 Jahren in der Datenschutzberatung für mittelständische Unternehmen. Als Geschäftsführer der frag.hugo Informationssicherheit GmbH und der datuno GmbH berät er KMU zu DSGVO, NIS2 und EU AI Act. Zusätzlich leitet er die BVMID-Geschäftsstelle Hamburg Süd/Ost.
Vereinbaren Sie ein unverbindliches Erstgespräch mit unseren Experten. Wir beraten Sie persönlich zu Datenschutz, NIS2 und IT-Sicherheit.
