Verzeichnis der Verarbeitungstätigkeiten (VVT): DSGVO-Leitfaden

Wenn es ein Dokument gibt, das im Zentrum der DSGVO-Compliance steht, dann ist es das Verzeichnis der Verarbeitungstätigkeiten. Ihr VVT ist das verbindliche Verzeichnis darüber, welche personenbezogenen Daten Ihre Organisation verarbeitet, warum Sie sie verarbeiten, mit wem sie geteilt werden und wie lange Sie sie aufbewahren.

Artikel 30 macht dieses Verzeichnis für die meisten Organisationen verpflichtend — und die Ausnahme für Unternehmen mit weniger als 250 Mitarbeitern ist weit enger, als die meisten denken. Wenn Ihre Verarbeitung nicht „gelegentlich” ist, besondere Datenkategorien umfasst oder ein Risiko für die Rechte betroffener Personen darstellen könnte, benötigen Sie ein VVT unabhängig von der Unternehmensgröße. Für jedes SaaS-Unternehmen, das Kundendaten als Teil seines Kerngeschäfts verarbeitet, gilt die Ausnahme faktisch nicht.

Noch wichtiger: Ihr VVT ist nicht nur ein Compliance-Dokument. Es ist das Fundament, auf dem alles andere aufbaut — Ihre Datenschutzhinweise, Ihre Auftragsverarbeitungsverträge, Ihre Datenschutz-Folgenabschätzungen und Ihre Fähigkeit, auf Betroffenenanfragen zu reagieren. Wenn Sie Ihr VVT richtig erstellen, wird der Rest Ihres Compliance-Programms deutlich einfacher.

Was ist ein VVT?

Ein Verzeichnis der Verarbeitungstätigkeiten (auch als ROPA — Record of Processing Activities — bekannt) ist ein strukturiertes Verzeichnis, das jede Kategorie der Verarbeitung personenbezogener Daten in Ihrer Organisation dokumentiert. Betrachten Sie es als operative Landkarte personenbezogener Daten, die durch Ihr Unternehmen fließen.

Die DSGVO unterscheidet zwischen zwei Arten von VVTs:

VVT des Verantwortlichen (Artikel 30(1)) — Erforderlich, wenn Sie die Zwecke und Mittel der Verarbeitung bestimmen. Dies umfasst Ihre eigenen Geschäftsdaten: Kundendatensätze, Mitarbeiterdaten, Marketing-Kontakte, Website-Besucherdaten und so weiter.

VVT des Auftragsverarbeiters (Artikel 30(2)) — Erforderlich, wenn Sie Daten im Auftrag einer anderen Organisation verarbeiten. Für SaaS-Unternehmen umfasst dies die Daten, die Ihre Kunden über Ihre Plattform speichern und verarbeiten.

Die meisten SaaS-Unternehmen benötigen beides: ein VVT als Verantwortlicher für ihre eigene Datenverarbeitung und ein VVT als Auftragsverarbeiter für Daten, die sie im Auftrag von Kunden verarbeiten.

Was muss ein VVT enthalten?

VVT des Verantwortlichen — Artikel 30(1)

Für jede Verarbeitungstätigkeit, bei der Sie als Verantwortlicher handeln, muss Ihr VVT Folgendes enthalten:

1. Ihre Identität und Kontaktdaten — Der Name und die Kontaktdaten des Verantwortlichen. Wenn Sie einen Datenschutzbeauftragten haben, geben Sie auch dessen Details an. Wenn Sie Daten gemeinsam mit einem anderen Verantwortlichen verarbeiten, geben Sie dessen Details an.

2. Zwecke der Verarbeitung — Warum Sie diese Daten verarbeiten. Seien Sie konkret: „zur Erbringung des vertraglich vereinbarten Dienstes” ist besser als „Geschäftsbetrieb”, aber „zur Verarbeitung von Kundenzahlungen über Stripe” ist noch besser.

3. Kategorien betroffener Personen — Auf wen sich die Daten beziehen: Kunden, Interessenten, Mitarbeiter, Website-Besucher, Bewerber, Endnutzer Ihrer Plattform.

4. Kategorien personenbezogener Daten — Welche Arten von Daten Sie für jede Kategorie betroffener Personen verarbeiten: Namen, E-Mail-Adressen, IP-Adressen, Zahlungsdetails, Nutzungsprotokolle, Support-Ticket-Inhalte.

5. Kategorien von Empfängern — Wer die Daten erhält: interne Teams, Drittanbieter-Auftragsverarbeiter, Partnerorganisationen, Behörden. Geben Sie nach Möglichkeit spezifische Anbieter an.

6. Internationale Übermittlungen — Wenn Daten in ein Land außerhalb des EWR übermittelt werden, dokumentieren Sie, in welche Länder und welche Schutzmaßnahmen vorhanden sind (Angemessenheitsbeschluss, Standardvertragsklauseln, Data Privacy Framework). Siehe unseren Leitfaden zu internationalen Datenübermittlungen für das vollständige Bild.

7. Aufbewahrungsfristen — Wie lange Sie jede Datenkategorie aufbewahren. Wenn Sie keinen genauen Zeitraum angeben können, dokumentieren Sie die Kriterien, die Sie zur Bestimmung der Aufbewahrung verwenden. Unser Leitfaden zur Datenaufbewahrung enthält eine Vorlage für SaaS-Unternehmen.

8. Sicherheitsmaßnahmen — Eine allgemeine Beschreibung der technischen und organisatorischen Sicherheitsmaßnahmen: Verschlüsselung, Zugriffskontrollen, Backup-Verfahren, Mitarbeiterschulungen.

VVT des Auftragsverarbeiters — Artikel 30(2)

Für jede Verarbeitungstätigkeit, bei der Sie als Auftragsverarbeiter handeln, muss Ihr VVT Folgendes enthalten:

1. Ihre Identität und Kontaktdaten — Als Auftragsverarbeiter, plus die Details des Verantwortlichen.
2. Kategorien der Verarbeitung — Welche Arten von Verarbeitung Sie für jeden Verantwortlichen durchführen (Speicherung, Analyse, Übermittlung usw.).
3. Internationale Übermittlungen — Dieselben Anforderungen wie beim VVT des Verantwortlichen.
4. Sicherheitsmaßnahmen — Dieselben Anforderungen wie beim VVT des Verantwortlichen.

Das VVT des Auftragsverarbeiters ist schlanker als die Version des Verantwortlichen, da der Verantwortliche die primäre Verantwortung für die Dokumentation von Zwecken, Rechtsgrundlagen und Aufbewahrungsfristen behält.

Wie Sie Ihr VVT aufbauen

Schritt 1: Alle Verarbeitungstätigkeiten inventarisieren

Beginnen Sie damit, jede Tätigkeit in Ihrer Organisation aufzulisten, die personenbezogene Daten betrifft. Beschränken Sie sich nicht auf das Offensichtliche — schauen Sie in die Ecken:

• Kernproduktbetrieb: Benutzerregistrierung, Authentifizierung, Profilverwaltung, Feature-Nutzungsverfolgung, In-App-Messaging, Dateispeicherung.
• Vertrieb und Marketing: Lead-Erfassungsformulare, E-Mail-Marketing, CRM-Datensätze, Veranstaltungsregistrierungen, Demo-Anfragen.
• Customer Success: Support-Tickets, Kundenzufriedenheitsumfragen, Account-Management-Notizen, Onboarding-Aufzeichnungen.
• Finanzen: Rechnungsstellung, Zahlungsabwicklung, Ausgabenverwaltung, Steuerunterlagen.
• HR: Mitarbeiterdatensätze, Rekrutierung, Gehaltsabrechnung, Leistungsbeurteilungen, Schulungsaufzeichnungen.
• IT und Sicherheit: Zugriffsprotokolle, Gerätemanagement, Sicherheitsvorfälle, IT-Support-Tickets.
• Website und Analysen: Cookie-Daten, Besucheranalysen, A/B-Tests, Heatmaps.

Schritt 2: Datenflüsse kartieren

Verfolgen Sie für jede Verarbeitungstätigkeit, woher die Daten kommen, wohin sie gehen und wer sie unterwegs berührt.

Zu beantwortende Fragen:

• Woher stammen diese Daten? (Direkt von der betroffenen Person, aus einem anderen System, von einem Dritten)
• Wo werden sie gespeichert? (Ihre Datenbank, ein Drittanbieter-SaaS-Tool, beides)
• Wer hat intern Zugriff? (Welche Teams, welche Rollen)
• Werden sie mit externen Parteien geteilt? (Anbieter, Partner, Behörden)
• Verlassen sie den EWR? (US-Hosting, globales CDN, Offshore-Support)

Schritt 3: Die Rechtsgrundlage für jede Tätigkeit dokumentieren

Erfassen Sie für jede Verarbeitungstätigkeit in Ihrem VVT als Verantwortlicher, welche der sechs Rechtsgrundlagen gilt. Dies ist ein kritischer Schritt, den viele Organisationen überstürzen.

Gängige Rechtsgrundlagen für SaaS-Unternehmen:

• Vertragserfüllung — Verarbeitung, die zur Erbringung Ihres Dienstes erforderlich ist (z. B. Speicherung von Benutzerkontodaten)
• Berechtigtes Interesse — Verarbeitung, die Ihren Geschäftsinteressen dient, ohne die Rechte der betroffenen Person zu überwiegen (z. B. Produktanalysen, Betrugsprävention)
• Einwilligung — Verarbeitung, für die Sie ein ausdrückliches Opt-in erhalten haben (z. B. Marketing-E-Mails, nicht-essentielle Cookies)
• Rechtliche Verpflichtung — Gesetzlich vorgeschriebene Verarbeitung (z. B. Aufbewahrung von Finanzunterlagen, Steuermeldungen)

Schritt 4: Aufbewahrungsfristen erfassen

Dokumentieren Sie für jede Datenkategorie, wie lange Sie sie aufbewahren und warum. Aufbewahrungsfristen sollten auf konkreten Begründungen basieren:

• Vertragslaufzeit plus eine angemessene Nachfrist
• Gesetzliche Anforderungen (Steuerunterlagen 7–10 Jahre, je nach Rechtsordnung)
• Berechtigtes Geschäftsinteresse mit definiertem Zeitlimit
• Bis zum Widerruf der Einwilligung (bei einwilligungsbasierter Verarbeitung)

Vermeiden Sie vage Einträge wie „solange wie nötig.” Aufsichtsbehörden erwarten spezifische Zeiträume oder klar definierte Kriterien.

Schritt 5: Internationale Übermittlungen identifizieren

Kennzeichnen Sie jede Verarbeitungstätigkeit, bei der Daten den EWR verlassen. Dokumentieren Sie für jede Übermittlung:

• Das Zielland
• Den Übermittlungsmechanismus (Angemessenheitsbeschluss, SVK, DPF, verbindliche interne Datenschutzvorschriften)
• Den spezifischen Anbieter oder die beteiligte Einheit

Schritt 6: Aktuell halten

Ein VVT, das die Realität des letzten Jahres widerspiegelt, ist nicht konform. Legen Sie einen Überprüfungsrhythmus fest:

• Vierteljährliche Überprüfungen: Prüfen Sie, ob bestehende Einträge noch korrekt sind. Haben sich Anbieter geändert? Wurden neue Features eingeführt?
• Anlassbezogene Aktualisierungen: Neuer Anbieter eingebunden? VVT aktualisieren. Neues Feature, das personenbezogene Daten verarbeitet? VVT aktualisieren. Organisatorische Umstrukturierung? VVT aktualisieren.
• Jährliches umfassendes Audit: Gehen Sie das gesamte Verzeichnis mit Stakeholdern aus jeder Abteilung durch.

VVT in der Praxis: SaaS-Beispiele

Hier sind konkrete Beispiele für Verarbeitungstätigkeiten, die ein typisches SaaS-Unternehmen dokumentieren könnte:

Benutzerkontoverwaltung

• Betroffene Personen: Plattform-Endnutzer
• Datenkategorien: Name, E-Mail-Adresse, gehashtes Passwort, Profileinstellungen, Avatar
• Zweck: Bereitstellung und Verwaltung des Benutzerzugangs zur Plattform
• Rechtsgrundlage: Vertragserfüllung
• Empfänger: Anwendungsdatenbank (AWS EU), Authentifizierungsdienst
• Aufbewahrung: Dauer des Kontos plus 30 Tage nach Löschantrag
• Übermittlungen: Keine (EU-gehostete Infrastruktur)

Produktanalysen

• Betroffene Personen: Plattform-Endnutzer
• Datenkategorien: Benutzer-ID (pseudonymisiert), Feature-Nutzungsereignisse, Sitzungsdauer, Browser/Betriebssystem
• Zweck: Verständnis der Produktnutzung und Verbesserung der Plattform
• Rechtsgrundlage: Berechtigtes Interesse (Produktverbesserung)
• Empfänger: Analyseplattform (z. B. Amplitude, Mixpanel)
• Aufbewahrung: 24 Monate ab Erhebung
• Übermittlungen: USA (EU-US Data Privacy Framework)

E-Mail-Marketing

• Betroffene Personen: Newsletter-Abonnenten, Testnutzer, Kunden
• Datenkategorien: Name, E-Mail-Adresse, Abonnementpräferenzen, Engagement-Daten
• Zweck: Versand von Produkt-Updates, Bildungsinhalten und Marketingkommunikation
• Rechtsgrundlage: Einwilligung (für Marketing), berechtigtes Interesse (für Produkt-Updates an Bestandskunden)
• Empfänger: E-Mail-Marketing-Plattform (z. B. Customer.io, Mailchimp)
• Aufbewahrung: Bis zum Widerruf der Einwilligung oder 12 Monate nach letztem Engagement
• Übermittlungen: USA (EU-US Data Privacy Framework)

Kundensupport

• Betroffene Personen: Kunden und Endnutzer, die Support-Anfragen einreichen
• Datenkategorien: Name, E-Mail-Adresse, Ticket-Inhalt, Anhänge, Chat-Protokolle
• Zweck: Lösung von Support-Anfragen und Aufrechterhaltung der Servicequalität
• Rechtsgrundlage: Vertragserfüllung, berechtigtes Interesse (Serviceverbesserung)
• Empfänger: Support-Plattform (z. B. Zendesk, Intercom), internes Support-Team
• Aufbewahrung: Dauer der Kundenbeziehung plus 12 Monate
• Übermittlungen: USA (Standardvertragsklauseln)

Zahlungsabwicklung

• Betroffene Personen: Rechnungskontakte in Kundenorganisationen
• Datenkategorien: Name, E-Mail-Adresse, Rechnungsadresse, Zahlungsmethode (Kartendaten werden vom Zahlungsdienstleister verarbeitet)
• Zweck: Verarbeitung von Abonnementzahlungen und Rechnungsverwaltung
• Rechtsgrundlage: Vertragserfüllung, rechtliche Verpflichtung (Finanzunterlagen)
• Empfänger: Zahlungsdienstleister (z. B. Stripe), Buchhaltungssoftware
• Aufbewahrung: Dauer des Abonnements plus 7 Jahre (gesetzliche Aufbewahrungspflicht für Finanzunterlagen)
• Übermittlungen: USA (EU-US Data Privacy Framework für Stripe)

Das Tabellenproblem

Die meisten SaaS-Teams beginnen ihr VVT in einer Tabelle. Es ist die naheliegende erste Wahl — flexibel, vertraut und kostenlos. Aber Tabellen werden zur Belastung, wenn Ihr Compliance-Programm reift:

Versionskontroll-Chaos. Wenn mehrere Personen die Tabelle bearbeiten können — welche Version ist maßgeblich? Wann wurde die letzte Änderung vorgenommen und von wem? Wenn jemand versehentlich eine Zeile löscht, gibt es ein Backup?

Kein Änderungsverlauf. Aufsichtsbehörden können fragen, wann ein bestimmter Eintrag hinzugefügt oder geändert wurde. Tabellen führen keine granularen Audit-Trails auf Zellenebene.

Veraltete Daten. Ohne automatische Erinnerungen verschieben sich VVT-Überprüfungen. Die Tabelle weicht allmählich von der Realität ab — neue Anbieter werden übersehen, veraltete Prozesse verbleiben, Aufbewahrungsfristen werden nicht überprüft.

Keine relationale Struktur. Ihr VVT ist mit allem verbunden: Anbietern, AVVs, Datenschutzhinweisen, Datenflüssen, Rechtsgrundlagenbewertungen. In einer Tabelle existieren diese Verbindungen nur im Gedächtnis Ihres Teams. In einem zweckgebundenen System sind sie explizit und navigierbar.

Auditbereitschaft. Wenn eine Aufsichtsbehörde Ihr VVT anfordert, ist eine Tabelle mit inkonsistenter Formatierung, fehlenden Feldern und ohne klaren Verantwortlichen kein guter Eindruck. Es signalisiert Ad-hoc-Compliance statt eines ausgereiften Programms.

Wie GRCTrail Ihr VVT verwaltet

GRCTrail ersetzt die Tabelle durch ein strukturiertes, vernetztes VVT, das aktuell bleibt:

Automatisch aus Ihrem Datenmapping generiert. Verbinden Sie Ihre Systeme und GRCTrail füllt Ihr VVT aus Ihren tatsächlichen Verarbeitungstätigkeiten. Keine manuelle Dateneingabe für die Ersteinrichtung.

Verknüpft mit Ihren AVVs und dem Anbieterverzeichnis. Jede Verarbeitungstätigkeit ist mit dem relevanten Auftragsverarbeitungsvertrag und Anbieterdatensatz verknüpft. Wenn sich die Unterauftragsverarbeiter eines Anbieters ändern, ist die Verbindung in Ihrem VVT sichtbar.

Immer auditbereit. Jede Änderung wird mit Zeitstempel und Zuordnung versehen. Exportieren Sie Ihr VVT jederzeit in Formaten, die für Einreichungen bei Aufsichtsbehörden geeignet sind.

Überprüfungserinnerungen. Automatische Aufforderungen für vierteljährliche Überprüfungen und anlassbezogene Aktualisierungen stellen sicher, dass Ihr VVT nie veraltet.

Generieren Sie Ihr VVT automatisch →

Verwandte Leitfäden

• DSGVO-Compliance-Checkliste — Das vollständige Compliance-Framework
• Auftragsverarbeitungsverträge (AVV) — Verwaltung Ihrer Anbieterverträge
• Datenaufbewahrungsrichtlinien — Festlegung und Dokumentation von Aufbewahrungsfristen
• Die sechs Rechtsgrundlagen — Die richtige Rechtsgrundlage für jede Tätigkeit wählen

Starten Sie mit GRCTrail →