Compliance-Lexikon · DSGVO
Verarbeitungsverzeichnis
auch: VVT, Records of Processing Activities (RoPA)
Das Verarbeitungsverzeichnis (VVT) ist das nach Art. 30 DSGVO vorgeschriebene zentrale Dokument, das alle Verarbeitungstaetigkeiten einer Organisation mit Zwecken, Rechtsgrundlagen, Datenkategorien, Empfaengern und Loeschfristen erfasst - das wichtigste Nachweisdokument gegenueber Aufsichtsbehoerden und Grundlage fuer alle anderen DSGVO-Prozesse.
Warum das Verarbeitungsverzeichnis das Fundament der DSGVO-Compliance ist
Das VVT ist mehr als ein Pflichtdokument - es ist die Landkarte aller Datenverarbeitungen einer Organisation. Ohne vollstaendiges VVT lassen sich weder Betroffenenanfragen vollstaendig beantworten noch Datenpannen korrekt bewerten noch Auftragsverarbeiter systematisch identifizieren. Bei jeder Datenschutzpruefung ist das VVT das erste angeforderte Dokument.
Wo das Verarbeitungsverzeichnis gefordert wird
| Framework | Referenz | Anforderung |
|---|---|---|
| DSGVO | Art. 30 Abs. 1 | Verzeichnis von Verarbeitungstaetigkeiten des Verantwortlichen mit vollstaendigem Pflichtinhalt. |
| DSGVO | Art. 30 Abs. 2 | Verzeichnis von Verarbeitungstaetigkeiten des Auftragsverarbeiters mit eigenem Pflichtinhalt. |
| DSGVO | Art. 30 Abs. 5 | Ausnahme fuer Unternehmen unter 250 Mitarbeitern, die jedoch bei regelmaessiger oder risikoreicher Verarbeitung entfaellt. |
| DSGVO | Art. 58 Abs. 1e | Auskunftsrecht der Aufsichtsbehoerde: VVT muss auf Anforderung vorgelegt werden. |
| ISO 27001:2022 | A.5.9 | Asset-Inventar als technisches Pendant zum datenschutzrechtlichen Verarbeitungsverzeichnis. |
Haeufige Fehler
- VVT unvollstaendig - einzelne Abteilungen oder neue Tools nicht erfasst
- Veraltet - keine regelmaessige Aktualisierung bei neuen Verarbeitungen
- Pflichtangaben luckenhaft (insbesondere Loeschfristen und TOMs)
- Ausnahme fuer kleine Unternehmen falsch angewandt trotz risikoreicher Verarbeitung
Pflichtinhalte nach Art. 30
Fuer jede Verarbeitungstaetigkeit muss das VVT enthalten: Name und Kontaktdaten des Verantwortlichen (und ggf. DSB), Zwecke der Verarbeitung, Kategorien betroffener Personen und personenbezogener Daten, Kategorien von Empfaengern, Informationen zu Drittlandsuebermittlungen, vorgesehene Loeschfristen sowie eine allgemeine Beschreibung der technisch-organisatorischen Massnahmen. Ein gepflegtes VVT ist gleichzeitig Ausgangspunkt fuer DSFA-Pruefungen und Loeschkonzept.
Naechster Schritt
Compliance-Stresstest starten
Kostenloser Stresstest zur DSGVO-Bereitschaft.