Unternehmensführung

Verarbeitungsverzeichnis: So erstellst du dein Verarbeitungsverzeichnis DSGVO-konform

Das Verzeichnis von Verarbeitungstätigkeiten (kurz: Verarbeitungsverzeichnis) ist DAS zentrale Dokument für den Bereich Datenschutz. Es ist sozusagen das Datenschutzhandbuch im Unternehmen. Deshalb kommt ihm eine besondere Bedeutung zu. Welche Unternehmen ein Verarbeitungsverzeichnis laut DSGVO benötigen, wie es aufgebaut sein sollte und was es enthalten muss, erfährst du hier.

Zuletzt aktualisiert am 13.05.2026
Von Michael Rohrlich
© Contrastwerkstatt - stock.adobe.com

Was ist ein Verarbeitungsverzeichnis und wozu dient es?

Gemäß Art. 30 DSGVO muss jedes Unternehmen, das personenbezogene Mitarbeiterdaten verarbeitet, ein Verzeichnis von Verarbeitungstätigkeiten (VVT) zu Archivierungszwecken erstellen. Dieses soll vor allem Transparenz, Zweckbindung und Richtigkeit der Datenverarbeitung sicherstellen. Das Verarbeitungsverzeichnis ist als Beweismittel für Unternehmen anzusehen, sollte es sich einmal gegen Anschuldigungen rechtfertigen müssen.

Info

So gut wie jedes Unternehmen muss ein Verarbeitungsverzeichnis führen

Zwar existieren offiziell Ausnahmen, wann Firmen von einer solchen Dokumentationspflicht entbunden sind, aber diese greifen eigentlich so gut wie nie.

Denn selbst wenn du Namen und Telefonnummern deiner Kunden hin und wieder für einen Auftrag notierst, gilt das meistens schon als Grundlage dafür, dass du ein Verarbeitungsverzeichnis anfertigen musst.

Hierbei spielt es keine Rolle, ob dein Unternehmen weniger als 250 Mitarbeiter umfasst.

Die Form des Verarbeitungsverzeichnisses

Für das Verarbeitungsverzeichnis gibt es keine genauen Formvorschriften. Die Ausgestaltung der Dokumentation bleibt jedem Unternehmen selbst überlassen. Entscheidend ist, dass darin alle Pflichtangaben enthalten sind, die die Datenschutzgrundverordnung verlangt. Welche dies sind, erfährst du unter dem Punkt „Inhalt“.

Wie detailliert der Inhalt des Verarbeitungsverzeichnisses sein muss, wird ebenfalls nicht im Gesetz genannt. Das Verzeichnis muss jedoch aus sich heraus verständlich sein. Der Datenschutzaufsichtsbehörde – und nur ihr – muss Einblick gewährt werden. Diese muss anhand des Verarbeitungsverzeichnisses idealerweise ohne Rückfragen erkennen können, ob das betreffende Unternehmen rechtskonform aufgestellt ist. Ansonsten droht eine DSGVO-Abmahnung durch die Datenschutzaufsicht.

Ob das Verzeichnis der Datenverarbeitungsprozesse nun aber in Papierform abgelegt ist oder es sich in Word- bzw. Excel-Dateien in einem speziellen Ordner auf der Festplatte befindet, ist nicht vorgegeben. Allerdings dürfte es aus praktischen Gesichtspunkten vorteilhaft sein, wenn das Verarbeitungsverzeichnisin elektronischer Form geführt wird. Zudem kann vor allem bei größeren Unternehmen eine spezielle Datenschutzmanagement-Software bzw. ein Informationssicherheitsmanagement-System hilfreich sein.

Der Aufbau des Verarbeitungsverzeichnisses

Wie sieht nun der grundsätzliche Aufbau des Verarbeitungsverzeichnisses aus? Grob lässt sich dieser in drei Bereiche unterteilen:

  • Als Erstes sollte das Verarbeitungsverzeichnis mit einer Art Deckblatt beginnen, auf dem du die Daten der verantwortlichen Stelle, also deines Unternehmens, sowie eines eventuell vorhandenen Datenschutzbeauftragten aufführst. Hier musst du jeweils Name, Anschrift und Kontaktdaten nennen.
  • Der Mittelteil des Verarbeitungsverzeichnisses besteht aus den Beschreibungen der einzelnen Verarbeitungstätigkeiten, die es in deinem Unternehmen gibt. Es geht im Kern also um die Analyse der eigenen Geschäftsprozesse sowie deren Beschreibung gemäß den Vorgaben aus der DSGVO (Art. 30). Alle einzelnen Beschreibungen der Verarbeitungstätigkeiten bilden gemeinsam den zweiten Teil.
  • Im letzten Teil führst du die technischen und organisatorischen Maßnahmen (kurz: TOM) auf, die für alle Verarbeitungstätigkeiten gelten. Dort finden sich beispielsweise Angaben zu Maßnahmen der IT-Sicherheit, um Datenschutzrisiken zu minimieren, der Gebäudesicherheit, aber ggf. auch Arbeitsanweisungen - wie etwa eine Clean-Desk-Policy - oder eventuelle Betriebsvereinbarungen etc.

Alle drei Bereiche zusammen bilden das Verarbeitungsverzeichnis.

Tipp

Muster Verarbeitungsverzeichnis

Nutze unser kostenloses Muster, um ganz einfach dein eigenes Verarbeitungsverzeichnis zu erstellen – rechtssicher nach den Vorgaben der DSGVO.

Muster Verarbeitungsverzeichnis downloaden

Inhalt und Umsetzung des Verarbeitungsverzeichnisses

Eine Schwierigkeit liegt häufig darin, dass die Verantwortlichen nicht wissen, was überhaupt als Prozess bzw. Verarbeitungstätigkeit hinsichtlich des Verarbeitungsverzeichnisses gilt und wie fein aufgegliedert die Datenverarbeitungsvorgänge dort aufgeführt werden müssen.

Eine verlockende Herangehensweise könnte daraus bestehen, sich an eingesetzter Software zu orientieren. Hierbei könnte man beispielsweise davon ausgehen, dass es sich bei der Verwendung von „Outlook“ um einen Prozess in Form eines Bereichs handelt, bei dem verschiedene personenbezogene Daten verarbeitet werden. Allerdings ist von dieser Einteilung abzuraten, da gerade bei Outlook und ähnlichen Programmen unterschiedliche Daten- und Verarbeitungsformen eingebunden sind (z.B. E-Mails, Termine, Kontakte, Aufgaben etc.). Somit ist dieser Ansatz mit Blick auf die Datenschutzverordnung nicht empfehlenswert.

Gehe stattdessenvon den einzelnen Bereichen – wie eben E-Mails, Termine, Kontakte usw. – aus und lege fest, dass dies einzelne Prozesse, bzw. Verarbeitungstätigkeiten sind. Outlook ist hierbei nur das „Werkzeug“, das du für diese Vorgänge einsetzt. Und dieses Werkzeug tauschst du vielleicht irgendwann einmal aus; aber der Vorgang an sich bleibt gleich.

Für die konkrete Umsetzung des Verarbeitungsverzeichnisses (nach Erstellung des Deckblatts) kannst du als Sofortmaßnahme z.B. eine Excel-Tabelle anlegen. Die erste Spalte im Excel-Dokument befüllst du untereinander mit den Abteilungen, die in deinem Unternehmen existieren; also beispielweise mit „Geschäftsführung“, „Marketing“, „IT“, „Buchhaltung“, „Personalabteilung“ etc.

Damit hast du zumindest schon einmal ganz grob eine Unterteilung in verschiedene Prozesse durchgeführt, die du später dann „nur“ noch mit den Pflichtangaben aus Art. 30 DSGVO versehen musst. Zu diesen Angaben gehören:

  • Zweck der Verarbeitungstätigkeit (also z.B. Kundenbetreuung, Personalverwaltung oder Werbezwecke)
  • Kategorien der betroffenen Personen (beispielsweise Kunden, Mitarbeiter, Lieferanten etc.),
  • Kategorien der von der Datenverarbeitung betroffenen Daten (wie etwa Name, Adressdaten, Kontaktdaten, Vertragsdaten usw.)
  • evtl. auch die Kategorien von besonders sensiblen Daten im Sinne von Art. 9 DSGVO (also z.B. Gesundheitsdaten)
  • Kategorien von Empfängern der Daten (z.B. Bank, Finanzamt, Krankenkasse o.ä.),
  • eine evtl. geplante Übermittlung der Daten in Drittländer außerhalb der EU
  • einschlägige Lösch- bzw. Aufbewahrungsfristen (z.B. 10 Jahre gem. Steuerrecht, 6 Monate für Daten abgelehnter Bewerber, 2 Jahre bei bestehenden Gewährleistungspflichten usw.).

Mit einer solchen Tabelle verfügst du bereits über ein in Grundzügen vorhandenes Verarbeitungsverzeichnis, auf das du nun aufbauen kannst. Natürlich ist es sinnvoll und aus juristischer Sicht auch ratsam, die Prozesse noch feiner und spezifischer aufzuschlüsseln.
Welche unterschiedlichen Informationen du pro Person angeben solltest, erfährst du hier in unserem kostenlosen Muster Verarbeitungsverzeichnis zum Herunterladen. Wie ein Verfahrensverzeichnis gemäß DSGVO zum Beispiel ausgefüllt aussehen kann, siehst du auch auf der Website des Bayerischen Landesamt für Datenschutz (LDA Bayern). Dort findest du spezielle Vorlagen von Verarbeitungsverzeichnissen für Handwerksbetriebe, Einzelhändler oder für Vereine.