Art. 30 DSGVO
Verarbeitungsverzeichnis (VVT) nach Art. 30 DSGVO
Das Verzeichnis von Verarbeitungstätigkeiten ist das Herzstück jeder Datenschutzdokumentation und in der Praxis das Erste, was eine Aufsichtsbehörde sehen will. Art. 30 DSGVO schreibt klare Pflichtinhalte vor – getrennt für Verantwortliche und Auftragsverarbeiter. MGMSYS hält das VVT lebendig, statt es einmal jährlich in Excel zu reanimieren.
Unverbindlich testen – keine Verpflichtung, keine automatische Vertragsbindung.
Pflichtinhalte
Was nach Art. 30 Abs. 1 ins VVT gehört
Der Verantwortliche muss für jede Verarbeitungstätigkeit einen festen Katalog an Angaben führen. Fehlt einer davon, ist das VVT unvollständig – ein typischer Beanstandungspunkt bei Prüfungen.
Verantwortlicher & DSB
Name und Kontaktdaten des Verantwortlichen, ggf. Vertreters und des Datenschutzbeauftragten.
Zwecke der Verarbeitung
Wofür die Daten verarbeitet werden – konkret, nicht pauschal „Geschäftsbetrieb“.
Kategorien betroffener Personen & Daten
Welche Personengruppen und welche Datenarten betroffen sind.
Empfängerkategorien
An wen die Daten offengelegt werden, einschließlich Empfänger in Drittländern.
Drittlandübermittlung
Übermittlungen in Drittländer samt Rechtsgrundlage und geeigneter Garantien.
Löschfristen & TOM
Vorgesehene Löschfristen je Kategorie und allgemeine Beschreibung der technisch-organisatorischen Maßnahmen.
Zwei Rollen
Verantwortlicher vs. Auftragsverarbeiter
Art. 30 kennt zwei Verzeichnisse mit unterschiedlichem Inhalt. Wer als Dienstleister fremde Daten verarbeitet, führt nach Abs. 2 ein eigenes Verzeichnis – mit anderem Fokus.
| Angabe | Verantwortlicher (Abs. 1) | Auftragsverarbeiter (Abs. 2) |
|---|---|---|
| Zwecke der Verarbeitung | Pflicht | Nicht erforderlich |
| Kategorien der Verarbeitungen | — | Pflicht (je Auftraggeber) |
| Kontaktdaten der Auftraggeber | — | Pflicht (Verantwortlicher, für den verarbeitet wird) |
| Betroffenen- und Datenkategorien | Pflicht | Nicht erforderlich |
| Empfängerkategorien | Pflicht | Nicht erforderlich |
| Drittlandübermittlung & Garantien | Pflicht | Pflicht |
| Löschfristen | Pflicht (sofern möglich) | Nicht erforderlich |
| Allgemeine TOM-Beschreibung | Pflicht (sofern möglich) | Pflicht (sofern möglich) |
MGMSYS unterscheidet beide Rollen und führt für Organisationen, die beides sind, getrennte Verzeichnisse mit den jeweils richtigen Pflichtfeldern.
Lebendig halten
Wie MGMSYS das VVT aktuell und rechenschaftsfähig hält
Ein VVT ist nur dann wertvoll, wenn es den tatsächlichen Stand abbildet. Die Rechenschaftspflicht aus Art. 5 Abs. 2 verlangt, dass dieser Stand belegbar ist – nicht nur behauptet.
Strukturierte Erfassung
Jede Verarbeitung wird über geführte Felder erfasst – keine vergessenen Pflichtangaben, keine uneinheitlichen Formulierungen über mehrere Tabellenblätter.
Verknüpfung statt Insellösung
Jede Verarbeitung ist mit TOM, Löschregeln, AV-Verträgen und Drittlandbewertung verknüpft – Änderungen wirken konsistent, nicht nur an einer Stelle.
Review und Nachweis
Wiedervorlagen erzwingen regelmäßige Aktualität; Versionierung und Protokoll belegen jede Änderung. Der VVT-Export ist auf Knopfdruck vorzeigbar.
Das VVT ist ein Baustein im gesamten Datenschutz-Managementsystem – den vollständigen Überblick aller DSGVO-Pflichten finden Sie auf der DSGVO-Überblicksseite.
Häufige Fragen
- Gilt die Pflicht zum Verarbeitungsverzeichnis auch für kleine Unternehmen?
Die Ausnahme nach Art. 30 Abs. 5 für Unternehmen unter 250 Beschäftigten greift in der Praxis fast nie, weil sie entfällt, sobald Verarbeitungen ein Risiko bergen, nicht nur gelegentlich erfolgen oder besondere Datenkategorien betreffen. Personalverwaltung allein erfüllt diese Kriterien meist – ein VVT ist faktisch der Regelfall.
- Wie oft muss das VVT aktualisiert werden?
Das VVT muss jederzeit den tatsächlichen Stand abbilden. Es wird nicht nach Kalender, sondern bei jeder Änderung einer Verarbeitung aktualisiert – neue Prozesse, neue Dienstleister, geänderte Zwecke. MGMSYS erinnert mit Wiedervorlagen an die Pflege.
- Muss das VVT der Aufsichtsbehörde vorgelegt werden?
Ja. Nach Art. 30 Abs. 4 ist das Verzeichnis der Aufsichtsbehörde auf Anfrage zur Verfügung zu stellen – in der Praxis eines der ersten angeforderten Dokumente. Der VVT-Export aus MGMSYS ist dafür jederzeit bereit.
- Reicht eine Excel-Tabelle für das VVT?
Formal ist die Form frei, aber Excel veraltet schnell, kennt keine Verknüpfung zu TOM und Löschfristen und liefert keinen Änderungsnachweis. Genau diese Lücken füllt eine VVT-Software für die Rechenschaftspflicht.
Ein VVT, das immer dem echten Stand entspricht
Pflichtinhalte nach Art. 30, getrennt für Verantwortliche und Auftragsverarbeiter, verknüpft mit TOM und Löschfristen und auf Knopfdruck vorzeigbar. Der Testzugang ist unverbindlich – keine automatische Vertragsbindung.