Kostenlose DSGVO-VVT-Vorlage (2026) — Artikel-30-Verzeichnis, Excel
Published 14. Juli 2026
By Orbiq Team

Kostenlose DSGVO-VVT-Vorlage (2026) — Artikel-30-Verzeichnis, Excel

Vorlage für das Verzeichnis von Verarbeitungstätigkeiten: Blätter für Verantwortliche und Auftragsverarbeiter, Rechtsgrundlagen, Übermittlungen, Speicherfristen. Kostenlos als XLSX, PDF und Markdown, ohne E-Mail-Schranke.

DSGVO
VVT
Artikel 30
Vorlagen
Datenschutz

Vorlage herunterladen

Version 1.0 · Aktualisiert 14. Juli 2026 · Kostenlos, keine E-Mail erforderlich · Downloads auf Deutsch (Fallback: Englisch)

DSGVO-Verarbeitungsverzeichnis-Vorlage: Das kostenlose Artikel-30-Register

Das Verzeichnis von Verarbeitungstätigkeiten (VVT) ist das Register, zu dem DSGVO Artikel 30 fast jede Organisation verpflichtet: Verantwortliche dokumentieren nach Artikel 30 Abs. 1 für jede Verarbeitungstätigkeit die Zwecke, Datenkategorien, Empfänger, Übermittlungen, Speicherfristen und Sicherheitsmaßnahmen, und Auftragsverarbeiter dokumentieren nach Artikel 30 Abs. 2 die Kategorien der für jeden Verantwortlichen durchgeführten Verarbeitungen. Diese kostenlose Vorlage liefert beide Verzeichnisse in einer Dropdown-gestützten Excel-Datei — ausgerichtet auf EU-27 und EWR, mit Spalten für Rechtsgrundlagen und Übermittlungsinstrumente sowie zehn vorbefüllten Beispieltätigkeiten —, sodass Sie Zeilen ausfüllen, statt Tabellen zu entwerfen.

Das Verzeichnis ist üblicherweise das erste Dokument, das eine Aufsichtsbehörde anfordert: Die Leitlinien der irischen Datenschutzbehörde (DPC) erwarten ein Register, das vollständig, in sich geschlossen und für einen externen Prüfer ohne Erläuterung lesbar ist — und sie erwarten, dass Organisationen es auf Anfrage vorlegen können. Trotzdem bauen die meisten Teams ihres noch in der Woche aus einem leeren Blatt, in der eine Behörde oder ein Enterprise-Kunde fragt. Diese Vorlage — verfügbar als XLSX, als PDF-Feldleitfaden und als maschinenlesbare Markdown-Datei für KI-Agenten (die herunterladbaren Dateien sind auf Deutsch verfügbar) — nimmt Ihnen diesen Schritt ab. Sie ist der operative Begleiter unseres DSGVO-Compliance-Leitfadens, der das Rechenschaftsprinzip erklärt, dem dieses Register dient; diese Seite gibt Ihnen das Artefakt, das es nachweist.

Die wichtigsten Erkenntnisse

  • Artikel 30 gilt für Verantwortliche und Auftragsverarbeiter getrennt: Artikel 30 Abs. 1 regelt Ihre eigene Verarbeitung, Artikel 30 Abs. 2 das, was Sie für Kunden verarbeiten. Ein B2B-SaaS-Unternehmen braucht fast immer beide Verzeichnisse — diese Vorlage liefert beide.
  • Die Ausnahme für Unternehmen unter 250 Beschäftigten ist enger, als sie aussieht. Nach dem WP29-Positionspapier (April 2018) löst jeder einzelne von drei Faktoren — Risiko, nicht nur gelegentliche Verarbeitung oder besondere Datenkategorien — die Pflicht aus. Routinemäßige Gehaltsabrechnung, CRM und Support sind nie „gelegentlich".
  • Das Verzeichnis muss schriftlich, aktuell und auf Anfrage vorlegbar sein (Art. 30 Abs. 3–4). Die irische DPC wertet ein veraltetes oder lückenhaftes Register für sich genommen als Verstoß gegen die Rechenschaftspflicht.
  • VVT-Verstöße liegen im unteren Bußgeldrahmen — bis zu 10 Mio. Euro oder 2 % des weltweiten Jahresumsatzes nach Artikel 83 Abs. 4 — und werden regelmäßig als erschwerender Faktor neben Feststellungen zu Artikel 5 Abs. 2 zitiert.
  • Ein Register, drei Regulierer: Die UK-DSGVO behält Artikel 30 unverändert bei (ICO), und Norwegens Datatilsynet erwartet nach dem Personendatengesetz dasselbe protokoll over behandlingsaktiviteter — die Struktur der Vorlage bedient alle drei.

Was in der Vorlage steckt

Das XLSX enthält vier Blätter: Organisationsangaben (der Identitätsblock nach Artikel 30 Abs. 1 Buchst. a bzw. Abs. 2 Buchst. a — Verantwortlicher, gemeinsam Verantwortliche, Artikel-27-Vertreter, Datenschutzbeauftragter), das Verantwortlichen-Verzeichnis, Spalte für Spalte auf Artikel 30 Abs. 1 Buchst. b–g gemappt, das Auftragsverarbeiter-Verzeichnis nach Artikel 30 Abs. 2 Buchst. b–d und eine Anleitung samt Entscheidungshilfe zu Artikel 30 Abs. 5. Das PDF spiegelt den Feldleitfaden für Druck und Review-Meetings; die Markdown-Variante trägt vollständige Felddefinitionen mit Enums, sodass ein KI-Agent Ihr Verzeichnis aus Ihrem Systeminventar entwerfen kann.

Zehn typische Verarbeitungstätigkeiten sind als ausgearbeitete Beispiele vorbefüllt — ersetzen Sie sie durch Ihre eigenen:

RefTätigkeitRechtsgrundlageBesondere KategorienÜbermittlung außerhalb des EWRSpeicherfrist
C-01Personalverwaltung & GehaltsabrechnungVertrag — Art. 6 Abs. 1 Buchst. bNeinNeinBeschäftigung + gesetzliche Fristen
C-02Abwesenheits- & GesundheitsmanagementRechtliche Verpflichtung — Art. 6 Abs. 1 Buchst. cJa — Art. 9 Abs. 2 Buchst. bNeinBeschäftigung + gesetzliche Fristen
C-03BewerbermanagementBerechtigte Interessen — Art. 6 Abs. 1 Buchst. fNeinJa — USA (SCCs)6 Monate nach Verfahren
C-04CRM & KundenverwaltungBerechtigte Interessen — Art. 6 Abs. 1 Buchst. fNeinJa — USA (SCCs)Geschäftsbeziehung + 3 Jahre
C-06Website-AnalyseEinwilligung — Art. 6 Abs. 1 Buchst. aNeinNein14 Monate

Jede Zeile des Verantwortlichen-Verzeichnisses trägt zusätzlich die Spalten, auf die Behörden gezielt schauen: Kategorien betroffener Personen und personenbezogener Daten (Art. 30 Abs. 1 Buchst. c), Kategorien von Empfängern einschließlich Auftragsverarbeitern (Buchst. d), das Kapitel-V-Übermittlungsinstrument mit Verweis auf die Artikel-49-Garantien (Buchst. e), Löschfristen und -kriterien (Buchst. f), die Beschreibung der Sicherheitsmaßnahmen nach Artikel 32 Abs. 1 (Buchst. g) — plus DSFA-Status, Owner, Prüfdatum und einen Zeilenstatus, mit Dropdown-Validierungen, die die Werte konsistent halten.

So nutzen Sie die Vorlage

Schritt 1 — Den Identitätsblock ausfüllen. Das Blatt Organisationsangaben erfasst die Namen, Kontakte, Vertreter und den Datenschutzbeauftragten nach Artikel 30 Abs. 1 Buchst. a und Abs. 2 Buchst. a einmal zentral, damit nicht jede Registerzeile sie wiederholen muss.

Schritt 2 — Nach Zweck inventarisieren, nicht nach Tool. Die Registre-Leitlinien der CNIL liefern die sauberste Strukturregel: eine Zeile pro Verarbeitungstätigkeit, identifiziert über den Zweck. Ein einzelnes System kann mehrere Tätigkeiten beherbergen, und eine Tätigkeit kann sich über mehrere Systeme erstrecken — „Personalverwaltung & Gehaltsabrechnung", nicht „die HR-Plattform". Gruppieren Sie die Zeilen nach Geschäftsfunktion, wie es die irische DPC empfiehlt.

Schritt 3 — Jede Spalte des Verantwortlichen-Verzeichnisses ausfüllen, einschließlich der Rechtsgrundlage. Die Rechtsgrundlage steht nicht im Text von Artikel 30, aber jede Behördenvorlage enthält sie, und die AVV-Prüfung eines Enterprise-Kunden wird danach fragen. Kennzeichnen Sie besondere Datenkategorien nach Artikel 9 und dokumentieren Sie die herangezogene Bedingung nach Artikel 9 Abs. 2 — die Verarbeitung besonderer Kategorien ist zugleich einer der drei Faktoren, die die Ausnahme nach Artikel 30 Abs. 5 entfallen lassen.

Schritt 4 — Übermittlungen je Zeile erfassen. „Außerhalb des EWR" ist der maßgebliche Test. Benennen Sie das Drittland, wählen Sie das Kapitel-V-Instrument — Angemessenheitsbeschluss, Standardvertragsklauseln, verbindliche interne Datenschutzvorschriften — und verlinken Sie bei jeder Artikel-49-Ausnahme die dokumentierten Garantien, die Artikel 30 Abs. 1 Buchst. e ausdrücklich verlangt. Halten Sie dies konsistent mit der Subprozessorliste, die Ihre Kunden sehen; unser Leitfaden zum Subprozessor-Management nach DSGVO Artikel 28 behandelt dieses benachbarte Register.

Schritt 5 — Wenn Sie für Kunden verarbeiten, das Auftragsverarbeiter-Verzeichnis ausfüllen. Eine Zeile pro Verantwortlichem, mit Beschreibungen der durchgeführten Verarbeitung auf Kategorienebene — Hosting, Backup, Support-Zugriff — statt Detailtiefe auf Datensatzebene. Referenzieren Sie den Auftragsverarbeitungsvertrag nach Artikel 28 Abs. 3, unter dem jede Zeile läuft.

Schritt 6 — Das Verzeichnis am Leben halten. Benennen Sie einen Owner, setzen Sie Prüftermine und markieren Sie überholte Zeilen als „Obsolet — aufbewahrt", statt sie zu löschen — so zeigt das Register seine eigene Historie. Ein VVT, das zum Go-live korrekt war und danach nie wieder angefasst wurde, scheitert an der Erwartung des „lebenden Dokuments", die inzwischen jede Aufsichtsbehörde anlegt.

Rechtsgrundlage

Das Register ist auf Verordnung (EU) 2016/679, Artikel 30 gemappt: das Verzeichnis des Verantwortlichen nach Artikel 30 Abs. 1 Buchst. a–g, das des Auftragsverarbeiters nach Artikel 30 Abs. 2 Buchst. a–d, das Schriftformerfordernis in Artikel 30 Abs. 3 und der Zugriff der Aufsichtsbehörde in Artikel 30 Abs. 4. Die Ausnahme nach Artikel 30 Abs. 5 wird so angewandt, wie sie das WP29-Positionspapier vom April 2018 auslegt, das der EDSA übernommen hat: Die drei Ausschlussfaktoren sind Alternativen, und „gelegentlich" heißt außerhalb des regulären Geschäftsbetriebs.

Ein Blick nach vorn: Das Digital-Omnibus-Paket der Kommission von 2025 schlägt vor, Artikel 30 Abs. 5 so zu ändern, dass Organisationen mit weniger als 750 Beschäftigten ausgenommen sind, außer bei Verarbeitung, die voraussichtlich ein hohes Risiko birgt; die gemeinsame Stellungnahme 01/2025 von EDSA und EDSB begrüßte die gezielte Vereinfachung und bat zugleich um Klarstellungen zum Schwellenwert. Stand Mitte 2026 bleibt dies ein Vorschlag im ordentlichen Gesetzgebungsverfahren — der aktuelle Artikel 30 gilt unverändert, und ein Verzeichnis bleibt so oder so das praktische Rückgrat der Rechenschaftspflicht. Die Strukturkonventionen folgen den VVT-Leitlinien der irischen DPC (April 2023) — in sich geschlossen, granular, nach Geschäftsfunktion, behördenlesbar — und den Registre-Leitlinien der CNIL zur zweckbasierten Inventarisierung. Das VVT speist außerdem Ihre Nachweise zu den Sicherheitsmaßnahmen nach Artikel 32: Spalte (g) ist die Kurzfassung der TOMs, deren Nachweis jene Seite zeigt.

Über die EU-27 hinaus: UK und Norwegen

In UK behält die UK-DSGVO Artikel 30 unverändert bei, und die Dokumentations-Leitlinien der ICO stellen kostenlose Vorlagen für Verantwortliche und Auftragsverarbeiter bereit. Die ICO-Datei ist auf UK zugeschnitten und primär für Verantwortliche gedacht; diese Vorlage ergänzt das Auftragsverarbeiter-Verzeichnis, die EWR-Übermittlungslogik und die ausgearbeiteten Beispiele in einer Arbeitsmappe — für einen UK-Einsatz behandeln Sie „außerhalb von UK" als Übermittlungstest und die ICO als Ihre Aufsichtsbehörde. In Norwegen gilt die DSGVO über das EWR-Abkommen und das Personendatengesetz (personopplysningsloven), und Datatilsynet prüft das protokoll over behandlingsaktiviteter in Untersuchungen — die Telenor-Entscheidung stellte klar, dass Organisationen oberhalb der Schwellen des Artikels 30 Abs. 5 das vollständige Verzeichnis führen müssen. Für EU-Verantwortliche sind Übermittlungen nach Norwegen EWR-intern, keine Drittlandübermittlungen.

Vom Register zum lebenden Nachweis

Ein Tabellen-VVT beweist, dass Sie Ihre Verarbeitung dokumentiert haben; aktuell halten kann es die Dokumentation nicht. Neue Dienstleister kommen hinzu, Aufbewahrungseinstellungen driften, ein Subprozessor wechselt die Region — und das Register hört leise auf, die Realität abzubilden. Genau diese Inkonsistenz findet eine Aufsichtsbehörde oder die AVV-Prüfung eines Enterprise-Kunden zuerst. Orbiqs Trust-Center-Plattform hält die käuferseitige Seite dieser Nachweise — AVV, TOMs, Subprozessorliste, Zertifikate — aktuell und zugriffskontrolliert an einem Ort, sodass die Arbeit, die Ihr VVT dokumentiert, zugleich den nächsten Security-Review eines Kunden beantwortet; Trust Center für Rechtsteams zeigt, wie Datenschutzjuristen diesen Workflow betreiben. Und wenn ein Kunde verlangt, dass Sie Nachweise senden statt zeigen, kombinieren Sie das Register mit unserer DSGVO-Vorlage für Subprozessor-Änderungsmitteilungen.


Quellen & Referenzen

  1. Verordnung (EU) 2016/679 (DSGVO) — Volltext — Artikel 30 Abs. 1–5, Artikel 83 Abs. 4.
  2. WP29 — Positionspapier zu den Ausnahmen nach Artikel 30 Abs. 5 — April 2018, vom EDSA übernommen; die Lesarten „alternative Faktoren" und „gelegentlich".
  3. Irische DPC — „Records of Processing Activities under Article 30 GDPR" (April 2023) — Leitlinien zu Vollständigkeit und Struktur, veröffentlicht auf der Website der irischen Datenschutzbehörde (die automatisierte Link-Checker blockiert und daher hier ohne Hyperlink zitiert wird).
  4. CNIL — Record of processing activities (GDPR toolkit) — zweckbasierte Registre-Strukturierung.
  5. ICO — Documentation guidance and templates — UK-DSGVO-Artikel-30-Vorlagen für Verantwortliche und Auftragsverarbeiter.
  6. Datatilsynet — Entscheidung zur DSB-Rolle bei Telenor ASA — Erwartungen an die Artikel-30-Verzeichnisführung in Norwegen.
  7. EDSA-EDSB Joint Opinion 01/2025 — Vereinfachung der Verzeichnispflicht — Juli 2025; der anhängige Unter-750-Vorschlag.

Weiterführende Lektüre

Vorlage herunterladen

Version 1.0 · Aktualisiert 14. Juli 2026 · Kostenlos, keine E-Mail erforderlich · Downloads auf Deutsch (Fallback: Englisch)

Häufig gestellte Fragen

Was ist ein Verzeichnis von Verarbeitungstätigkeiten nach DSGVO Artikel 30?

Das Verzeichnis von Verarbeitungstätigkeiten (VVT) ist das verpflichtende DSGVO-Register, das jede Verarbeitungstätigkeit einer Organisation dokumentiert. Verantwortliche erfassen nach Artikel 30 Abs. 1 die Zwecke, die Kategorien betroffener Personen und personenbezogener Daten, die Empfänger, Drittlandübermittlungen, Löschfristen und Sicherheitsmaßnahmen; Auftragsverarbeiter erfassen nach Artikel 30 Abs. 2 die Kategorien der für jeden Verantwortlichen durchgeführten Verarbeitungen. Das Verzeichnis muss schriftlich geführt werden, auch elektronisch, und der Aufsichtsbehörde auf Anfrage vorgelegt werden.

Wer ist von der Pflicht zum Verzeichnis befreit?

In der Praxis kaum jemand. Artikel 30 Abs. 5 nimmt Organisationen mit weniger als 250 Beschäftigten nur dann aus, wenn die Verarbeitung voraussichtlich kein Risiko für die betroffenen Personen birgt, nur gelegentlich erfolgt und keine besonderen Datenkategorien oder strafrechtlichen Daten umfasst. Das WP29-Positionspapier vom April 2018 liest diese Bedingungen als Alternativen — jede einzelne löst die Pflicht bereits aus — und 'gelegentlich' bedeutet außerhalb des regulären Geschäftsbetriebs. Gehaltsabrechnung, CRM, Support und Marketing sind regulärer Geschäftsbetrieb, weshalb nahezu jedes operativ tätige Unternehmen seine Routinetätigkeiten dokumentieren muss.

Was muss das Verzeichnis eines Verantwortlichen enthalten?

Artikel 30 Abs. 1 verlangt: Name und Kontaktdaten des Verantwortlichen (plus gemeinsam Verantwortliche, Vertreter und Datenschutzbeauftragter, soweit vorhanden); die Zwecke der Verarbeitung; Kategorien betroffener Personen und personenbezogener Daten; Kategorien von Empfängern, auch in Drittländern; Drittlandübermittlungen mit Benennung des Landes und, bei Übermittlungen nach der Artikel-49-Ausnahme, dokumentierte Garantien; wenn möglich die vorgesehenen Löschfristen; und wenn möglich eine allgemeine Beschreibung der Sicherheitsmaßnahmen nach Artikel 32 Abs. 1.

Brauchen Auftragsverarbeiter ein eigenes Verzeichnis?

Ja. Artikel 30 Abs. 2 verpflichtet jeden Auftragsverarbeiter, ein Verzeichnis aller Kategorien von Verarbeitungen zu führen, die er im Auftrag jedes Verantwortlichen durchführt — mit Identität und Kontaktdaten des Auftragsverarbeiters und jedes Verantwortlichen, den durchgeführten Verarbeitungskategorien, Drittlandübermittlungen und einer allgemeinen Beschreibung der Sicherheitsmaßnahmen. Ein B2B-SaaS-Unternehmen ist typischerweise beides: Verantwortlicher für die eigenen HR-, Vertriebs- und Marketingdaten und Auftragsverarbeiter für die Kundendaten auf seiner Plattform. Diese Vorlage liefert beide Verzeichnisse in einer Datei.

Muss die Rechtsgrundlage ins Verzeichnis?

Nach dem Wortlaut von Artikel 30 nicht — aber jede Vorlage einer EU-Aufsichtsbehörde enthält sie, und Behörden werten ein Verzeichnis ohne Rechtsgrundlagen als unvollständige Rechenschaftsdokumentation. Diese Vorlage führt in jeder Zeile des Verantwortlichen-Verzeichnisses eine Dropdown-gestützte Spalte für die Rechtsgrundlage nach Artikel 6 Abs. 1, plus Felder für die Bedingung nach Artikel 9 Abs. 2 bei besonderen Datenkategorien.

Wird die VVT-Pflicht für Unternehmen unter 750 Beschäftigten gelockert?

Noch nicht. Der Digital-Omnibus-Vereinfachungsvorschlag der Europäischen Kommission von 2025 würde Artikel 30 Abs. 5 so ändern, dass Organisationen mit weniger als 750 Beschäftigten ausgenommen sind, sofern die Verarbeitung nicht voraussichtlich ein hohes Risiko birgt; die gemeinsame Stellungnahme 01/2025 von EDSA und EDSB hat die gezielte Änderung grundsätzlich begrüßt. Aber Stand Mitte 2026 bleibt es ein Vorschlag im ordentlichen Gesetzgebungsverfahren — Artikel 30 gilt heute unverändert, und auch nach dem Vorschlag bräuchte Hochrisiko-Verarbeitung weiterhin ein Verzeichnis.

Was unterscheidet diese Vorlage von der kostenlosen VVT-Vorlage der ICO?

Die Excel-Vorlage der ICO ist auf UK zugeschnitten und primär für Verantwortliche gedacht. Diese Vorlage ist auf die EU-27 und den EWR ausgerichtet, mit Hinweisen zu UK und Norwegen, liefert Verantwortlichen- und Auftragsverarbeiter-Verzeichnis in einer Arbeitsmappe, ergänzt EWR-Übermittlungsspalten mit Dropdowns für die Kapitel-V-Übermittlungsinstrumente, enthält zehn typische Verarbeitungstätigkeiten als ausgearbeitete Beispiele und bringt eine maschinenlesbare Markdown-Variante mit, damit ein KI-Agent Ihr Verzeichnis entwerfen kann.