Verzeichnis von verarbeitungstätigkeiten – ein Muster
Gemäß Art. 30 DSGVO muss jede Organisation, unabhängig von der Bestellpflicht eines Datenschutzbeauftragten, ein sogenannte Verzeichnis von Verarbeitungstätigkeiten führen. Dabei gibt das Gesetz den Mindestinhalt vor. Ziel ist es, eine Übersicht über die in der Organisation vorhandenen Prozesse zu erhalten, bei denen personenbezogene Daten verarbeitet werden. Hierbei unterscheidet das Gesetz zwischen dem Verzeichnis von Verarbeitungstätigkeiten für Verantwortliche und für Auftragsverarbeiter. Beide Verzeichnisse unterscheiden sich hinsichtlich der zu tätigenden Pflichtangaben. Hierzu haben wir ein Muster erstellt, welches Sie nachfolgend finden und verwenden können, um dieser Verpflichtung nachzukommen.
Muster – Verzeichnis von Verarbeitungstätigkeiten (VVT) für Verantwortliche
nach Art. 30 Abs. 1 DSGVO
| Organisation/Einheit | [Name der Organisation / Abteilung] |
| Version | v[0.1] |
| Stand (Datum) | 16.02.2026 |
| Letzte Aktualisierung durch | [Name / Rolle] |
Dieses Dokument ist eine ausfüllbare Vorlage. Bitte passen Sie Inhalt, Begriffe und Granularität an Ihre Organisation und Prozesse an.
1. Vorblatt / Stammdaten (einmal pro Organisation)
| Verantwortlicher (Name/Firma) | […] |
| Anschrift | […] |
| Kontakt (E-Mail/Telefon) | […] |
| Ggf. gemeinsam Verantwortliche | [Nein / Ja: …] |
| Ggf. Vertreter i.S.d. Art. 27 DSGVO | [Nicht anwendbar / …] |
| Datenschutzbeauftragte:r (Kontakt) | [Nicht benannt / Name, E-Mail, Telefon] |
| Geltungsbereich (Einheiten/Länder) | […] |
2. Einzelblatt – Verarbeitungstätigkeit (pro Prozess ausfüllen)
Hinweis: Den folgenden Abschnitt „Einzelblatt“ bitte pro Verarbeitungstätigkeit (bzw. pro Auftraggeber) kopieren und ausfüllen.
2.1 Identifikation
| Verarbeitungstätigkeit Nr./Name | [z.B. VT-001 – Bewerbermanagement] |
| Fachbereich / Prozessverantwortliche:r | […] |
| Beteiligte Stellen (intern) | […] |
| IT-Systeme/Anwendungen | […] |
2.2 Zweck, Rechtsgrundlagen, Betroffene/Daten
| Zwecke der Verarbeitung | […] |
| Rechtsgrundlage(n) Art. 6 DSGVO | [z.B. Art. 6 Abs. 1 lit. b / c / f DSGVO] |
| Besondere Kategorien Art. 9 DSGVO? | ☐ Nein ☐ Ja: [Kategorien] | Rechtsgrundlage Art. 9 Abs. 2: […] |
| Daten zu Straftaten Art. 10 DSGVO? | ☐ Nein ☐ Ja: [Beschreibung/Rechtsgrundlage] |
| Kategorien betroffener Personen | [z.B. Bewerber, Mitarbeiter, Kunden, Lieferanten, Nutzer] |
| Kategorien personenbezogener Daten | [z.B. Stammdaten, Kontaktdaten, Vertragsdaten, Zahlungsdaten, Kommunikationsdaten] |
| Datenquellen (optional) | [Betroffene Person / Dritte / interne Systeme] |
2.3 Empfänger, Weitergaben, Drittlandtransfers
| Kategorien von Empfängern (intern) | […] |
| Kategorien von Empfängern (extern) | […] |
| Auftragsverarbeiter (falls vorhanden) | [Name/Funktion; Vertrag/Datum] |
| Unterauftragsverarbeiter (falls bekannt) | […] |
| Drittland-/IO-Übermittlungen | ☐ Nein ☐ Ja: [Länder/IO, Datenkategorien, Empfänger] |
| Transfermechanismus / geeignete Garantien | [z.B. Angemessenheitsbeschluss / SCC / BCR / Art. 49-Ausnahme] |
2.4 Speicherfristen, Löschung, Sicherheit
| Vorgesehene Löschfristen / Aufbewahrungsdauer | [z.B. 6 Monate nach Abschluss Bewerbungsverfahren; handels-/steuerrechtliche Fristen etc.] |
| Kriterien für die Festlegung (falls keine fixe Frist) | […] |
| Lösch-/Archivierungsprozess (optional) | […] |
Allgemeine Beschreibung der technischen und organisatorischen Maßnahmen (TOMs) nach Art. 32 Abs. 1 DSGVO:
- Zugriffskontrolle (Rollen-/Rechtekonzept, Authentifizierung, Berechtigungs-Reviews) – [Beschreibung/Verweis]
- Zutritts-/Zugangssicherheit (physische Sicherheit, Geräteschutz, Netzwerksicherheit) – [Beschreibung/Verweis]
- Weitergabekontrolle (Verschlüsselung, sichere Übertragung, Empfängermanagement) – [Beschreibung/Verweis]
- Eingabekontrolle / Protokollierung – [Beschreibung/Verweis]
- Auftragskontrolle (AV-Verträge, Subdienstleister-Management) – [Beschreibung/Verweis]
- Verfügbarkeitskontrolle (Backups, Wiederherstellung, Notfallkonzept) – [Beschreibung/Verweis]
- Trennungsgebot / Mandantentrennung (falls einschlägig) – [Beschreibung/Verweis]
- Schulungen & Awareness, Incident-Response-Prozess – [Beschreibung/Verweis]
2.5 Risikobewertung / DSFA / Sonstiges (optional)
| Profiling / automatisierte Entscheidungen | ☐ Nein ☐ Ja: [Beschreibung/Logik/Folgen] |
| DSFA (Art. 35 DSGVO) erforderlich? | ☐ Nein ☐ Ja: [Datum/Referenz/Ergebnis] |
| Verknüpfte Dokumente | [z.B. AV-Vertrag, TOM-Anlage, SCC, Löschkonzept, Richtlinien] |
| Anmerkungen | […] |
Unterschrift/Bestätigung (optional): ____________________________ Datum: _______________
Muster – Verzeichnis von Verarbeitungstätigkeiten (VVT) – für Auftragsverarbeiter
nach Art. 30 Abs. 2 DSGVO
|
Organisation/Einheit |
[Name der Organisation / Abteilung] |
|
Version |
v[0.1] |
|
Stand (Datum) |
16.02.2026 |
|
Letzte Aktualisierung durch |
[Name / Rolle] |
Dieses Dokument ist eine ausfüllbare Vorlage. Bitte führen Sie das Verzeichnis schriftlich (auch elektronisch) und halten Sie es auf Anfrage der Aufsichtsbehörde bereit.
1. Vorblatt / Stammdaten (einmal pro Organisation)
|
Auftragsverarbeiter (Name/Firma) |
[…] |
|
Anschrift |
[…] |
|
Kontakt (E-Mail/Telefon) |
[…] |
|
Ggf. Vertreter i.S.d. Art. 27 DSGVO |
[Nicht anwendbar / …] |
|
Datenschutzbeauftragte:r (Kontakt) |
[Nicht benannt / Name, E-Mail, Telefon] |
|
Geltungsbereich (Einheiten/Länder) |
[…] |
2. Einzelblatt – Verarbeitung im Auftrag (je Auftraggeber und Leistung)
Hinweis: Den folgenden Abschnitt „Einzelblatt“ bitte pro Verarbeitungstätigkeit (bzw. pro Auftraggeber) kopieren und ausfüllen.
2.1 Auftraggeber / Vertrag / Leistung
|
Auftraggeber (Verantwortlicher) – Name/Firma |
[…] |
|
Kontakt/Anschrift Auftraggeber |
[…] |
|
Vertrag/AVV Referenz / Datum (optional) |
[…] |
|
Beschreibung der Leistung(en) |
[z.B. Hosting, Support, Newsletter-Versand, Lohnabrechnung] |
|
Verarbeitungstätigkeit Nr./Name (intern) |
[z.B. AV-012 – Hosting Kundenportal] |
2.2 Kategorien von Verarbeitungen, Betroffene und Daten (praktisch empfohlen)
|
Kategorien von Verarbeitungen im Auftrag |
[z.B. Speichern, Bereitstellen, Übermitteln, Löschen, Supportzugriffe] |
|
Kategorien betroffener Personen |
[z.B. Kunden, Mitarbeiter des Auftraggebers, Endnutzer] |
|
Datenkategorien |
[z.B. Stammdaten, Kontaktdaten, Nutzungs-/Logdaten, Inhaltsdaten] |
|
Besondere Kategorien Art. 9 DSGVO? |
☐ Nein ☐ Ja: [Kategorien; Hinweise zur Verarbeitung] |
|
Daten zu Straftaten Art. 10 DSGVO? |
☐ Nein ☐ Ja: [Beschreibung] |
2.3 Empfänger/Unterauftragsverarbeiter, Drittlandtransfers
|
Empfänger / Offenlegungen (falls einschlägig) |
[z.B. Unterauftragsverarbeiter, Behörden auf Weisung] |
|
Unterauftragsverarbeiter (Subprozessoren) |
[Name, Leistung, Land, Vertrag/Datum] |
|
Drittland-/IO-Übermittlungen |
☐ Nein ☐ Ja: [Länder/IO, Datenkategorien, Empfänger] |
|
Geeignete Garantien / Transfermechanismus |
[z.B. Angemessenheitsbeschluss / SCC / BCR / Art. 49-Ausnahme] |
2.4 Sicherheit (TOMs) – allgemeine Beschreibung
- Allgemeine Beschreibung der technischen und organisatorischen Maßnahmen (TOMs) nach Art. 32 Abs. 1 DSGVO:
- Zugriffskontrolle (Rollen-/Rechtekonzept, Authentifizierung, Berechtigungs-Reviews) – [Beschreibung/Verweis]
- Zutritts-/Zugangssicherheit (physische Sicherheit, Geräteschutz, Netzwerksicherheit) – [Beschreibung/Verweis]
- Weitergabekontrolle (Verschlüsselung, sichere Übertragung, Empfängermanagement) – [Beschreibung/Verweis]
- Eingabekontrolle / Protokollierung – [Beschreibung/Verweis]
- Auftragskontrolle (AV-Verträge, Subdienstleister-Management) – [Beschreibung/Verweis]
- Verfügbarkeitskontrolle (Backups, Wiederherstellung, Notfallkonzept) – [Beschreibung/Verweis]
- Trennungsgebot / Mandantentrennung (falls einschlägig) – [Beschreibung/Verweis]
- Schulungen & Awareness, Incident-Response-Prozess – [Beschreibung/Verweis]
2.5 Aufbewahrung/Löschung & Sonstiges (optional)
|
Löschung/Rückgabe nach Vertragsende |
[Prozess/Beschreibung] |
|
Aufbewahrungs-/Archivierungsregeln (falls einschlägig) |
[…] |
|
Incident-Management / Meldung an Auftraggeber |
[Prozess/Fristen/Ansprechpartner] |
|
Anmerkungen |
[…] |
Unterschrift/Bestätigung (optional): ____________________________ Datum: _______________
Unser Leistungsspektrum.