---
name: "DSGVO-Vorlage für das Verzeichnis von Verarbeitungstätigkeiten (VVT)"
version: "1.0"
updated: "2026-07-14"
source: "https://www.orbiqhq.com/templates/gdpr-ropa-template"
license: "Kostenlose Nutzung; Namensnennung willkommen"
legal_basis:
  - "https://eur-lex.europa.eu/eli/reg/2016/679/oj"
---

# DSGVO-Vorlage für das Verzeichnis von Verarbeitungstätigkeiten (VVT)

Das verpflichtende Verzeichnis nach Artikel 30 DSGVO in maschinenlesbarer Form:
ein Verzeichnis für die Rolle als Verantwortlicher, abgebildet auf
Artikel 30(1)(a)–(g), und ein Verzeichnis für die Rolle als Auftragsverarbeiter,
abgebildet auf Artikel 30(2)(a)–(d) — ausgerichtet auf die EU-27 und den EWR, mit
Feldern für Rechtsgrundlage, besondere Kategorien und EWR-Übermittlungen. Ein
KI-Agent oder ein Mensch kann allein anhand dieser Datei ein vollständiges VVT
aufbauen: (1) den Identitätsblock der Organisation ausfüllen,
(2) Verarbeitungstätigkeiten nach Zweck erfassen, (3) je Tätigkeit eine Zeile als
Verantwortlicher ausfüllen, (4) je betreutem Verantwortlichen eine Zeile als
Auftragsverarbeiter ausfüllen, (5) Zeilen in Überprüfung halten und überholte
Zeilen als obsolet kennzeichnen, statt sie zu löschen.

## 1. Regeln zum Anwendungsbereich

- Das Verzeichnis ist **schriftlich zu führen, was auch in einem elektronischen
  Format erfolgen kann** (Art. 30(3)), und der **Aufsichtsbehörde auf Anfrage zur
  Verfügung zu stellen** (Art. 30(4)).
- **Ausnahme für unter 250 Beschäftigte (Art. 30(5)), gelesen nach dem
  Positionspapier der Artikel-29-Datenschutzgruppe vom April 2018:** Eine
  Organisation mit weniger als 250 Beschäftigten muss jede Tätigkeit dennoch
  erfassen, auf die **auch nur eines** der folgenden Merkmale zutrifft:
  (i) sie birgt voraussichtlich ein Risiko für die betroffenen Personen,
  (ii) sie erfolgt nicht nur gelegentlich (d. h. sie gehört zum regulären
  Geschäftsbetrieb — Gehaltsabrechnung, CRM, Support und Marketing zählen
  sämtlich dazu), (iii) sie umfasst besondere Kategorien nach Art. 9 oder
  strafrechtliche Daten nach Art. 10. In der Praxis führt nahezu jedes operativ
  tätige Unternehmen ein VVT für seine Routinetätigkeiten.
- **Anstehende Änderung (noch nicht geltendes Recht):** Der Digital-Omnibus-
  Vorschlag der Kommission von 2025 würde die Schwelle des Art. 30(5) auf 750
  Beschäftigte anheben, ausgenommen risikoreiche Verarbeitungen (Gemeinsame
  Stellungnahme EDSA-EDSB 01/2025). Stand 07/2026 befindet er sich weiterhin im
  ordentlichen Gesetzgebungsverfahren — wenden Sie den geltenden Art. 30 an.
- Vereinigtes Königreich: Die UK-GDPR übernimmt Artikel 30 unverändert
  (Aufsichtsbehörde: ICO; Übermittlungskriterium: außerhalb des Vereinigten
  Königreichs). Norwegen: Die DSGVO gilt über das Personopplysningsloven; die
  Datatilsynet erwartet dieselbe protokoll over behandlingsaktiviteter.

## 2. Identitätsblock der Organisation (Art. 30(1)(a) / 30(2)(a))

```yaml
controller:
  name: ""            # Name der Rechtseinheit
  contact: ""         # Anschrift, E-Mail, Telefon
  joint_controllers: []   # Name + Kontakt, soweit einschlägig
  representative_art27: "" # soweit einschlägig
  dpo: ""             # Name + Kontakt, soweit einschlägig
processor:             # ausfüllen, wenn Sie auch für Kunden verarbeiten
  name: ""
  contact: ""
  representative: ""
  dpo: ""
record_owner: ""       # Rolle, die das Verzeichnis aktuell hält
last_full_review: ""   # ISO-Datum
```

## 3. Felddefinitionen und Enums

Felder des Verzeichnisses als Verantwortlicher (eine Zeile je Verarbeitungstätigkeit):

| Feld | Anker in Art. 30 | Typ / Enum |
|---|---|---|
| `ref` | — | Zeichenkette, z. B. `C-01` |
| `business_function` | — (Strukturierungsleitlinien der irischen DPC) | Zeichenkette |
| `activity` | — | Zeichenkette, für einen externen Prüfer aus sich heraus verständlich |
| `purposes` | 30(1)(b) | Zeichenkette |
| `lawful_basis` | Art. 6(1) (gute Praxis; in jeder Vorlage der Aufsichtsbehörden enthalten) | `consent-6-1-a` \| `contract-6-1-b` \| `legal-obligation-6-1-c` \| `vital-interests-6-1-d` \| `public-task-6-1-e` \| `legitimate-interests-6-1-f` |
| `special_category` | Art. 9 / Art. 10 | `no` \| `art9` \| `art10` \| `both` |
| `special_category_condition` | Art. 9(2)(a)–(j) | Zeichenkette, z. B. `art9-2-b-employment-law` |
| `data_subjects` | 30(1)(c) | Zeichenkette (Kategorien) |
| `personal_data` | 30(1)(c) | Zeichenkette (Kategorien) |
| `recipients` | 30(1)(d) | Zeichenkette (Kategorien, inkl. Auftragsverarbeiter und Empfänger in Drittländern) |
| `transfer_outside_eea` | 30(1)(e) | `yes` \| `no` |
| `third_country` | 30(1)(e) | Zeichenkette (Land oder internationale Organisation) |
| `transfer_tool` | Kapitel V | `adequacy-art45` \| `sccs-art46-2-c` \| `bcrs-art47` \| `other-art46` \| `art49-derogation-documented` \| `not-applicable` |
| `art49_safeguards_ref` | 30(1)(e) | Zeichenkette (Link/Referenz; ERFORDERLICH, wenn `transfer_tool = art49-derogation-documented`) |
| `retention` | 30(1)(f) | Zeichenkette (Frist oder Kriterien; ein leeres Feld wird als Lücke gelesen) |
| `security_measures` | 30(1)(g) → Art. 32(1) | Zeichenkette (allgemeine Beschreibung der TOM) |
| `dpia_status` | Art. 35 | `not-required` \| `screening` \| `in-progress` \| `completed` |
| `owner` | — | Zeichenkette (Rolle) |
| `last_reviewed` | — | ISO-Datum |
| `row_status` | — | `active` \| `under-review` \| `obsolete-retained` |

Felder des Verzeichnisses als Auftragsverarbeiter (eine Zeile je Verantwortlichem, für den Sie verarbeiten):

| Feld | Anker in Art. 30 | Typ / Enum |
|---|---|---|
| `ref` | — | Zeichenkette, z. B. `P-01` |
| `controller_name` | 30(2)(a) | Zeichenkette |
| `controller_contact` | 30(2)(a) | Zeichenkette |
| `representative` | 30(2)(a) | Zeichenkette, soweit einschlägig |
| `processing_categories` | 30(2)(b) | Zeichenkette (auf Kategorieebene: Hosting, Backup, Supportzugriff, Reporting) |
| `subprocessors` | — (Konsistenz mit der Mitteilungsliste nach Art. 28(2)) | Zeichenkette (Name + Standort) |
| `transfer_outside_eea` | 30(2)(c) | `yes` \| `no` |
| `third_country` | 30(2)(c) | Zeichenkette |
| `transfer_tool` | Kapitel V | dasselbe Enum wie im Verzeichnis als Verantwortlicher |
| `art49_safeguards_ref` | 30(2)(c) | Zeichenkette |
| `security_measures` | 30(2)(d) → Art. 32(1) | Zeichenkette |
| `dpa_reference` | Art. 28(3) | Zeichenkette (Vertragsversion + Unterzeichnungsdatum) |
| `owner` / `last_reviewed` / `row_status` | — | wie im Verzeichnis als Verantwortlicher |

Regeln zur Vollständigkeit:

- In jeder Zeile als Verantwortlicher müssen `purposes`, `lawful_basis`,
  `data_subjects`, `personal_data`, `recipients` und `retention` befüllt sein.
- `special_category != no` erfordert `special_category_condition`.
- `transfer_outside_eea = yes` erfordert `third_country` und `transfer_tool`.
- `transfer_tool = art49-derogation-documented` erfordert `art49_safeguards_ref`.
- Zeilen werden nie gelöscht: Setzen Sie `row_status = obsolete-retained`, damit
  das Verzeichnis seine eigene Historie zeigt (Praxis der irischen DPC).

## 4. Beispielzeilen als Verantwortlicher

| ref | business_function | activity | purposes | lawful_basis | special_category | data_subjects | personal_data | recipients | transfer_outside_eea | transfer_tool | retention |
|---|---|---|---|---|---|---|---|---|---|---|---|
| C-01 | Personal | Personalverwaltung & Gehaltsabrechnung | Vertragsverwaltung; Gehaltszahlung; gesetzliche Meldepflichten | contract-6-1-b | no | Beschäftigte; ehemalige Beschäftigte | Identifikationsdaten; Bankverbindung; Gehaltsdaten | Lohnabrechnungsdienstleister; Finanzamt | no | not-applicable | Beschäftigungsdauer + gesetzliche Aufbewahrungsfristen |
| C-02 | Personal | Abwesenheits- & Gesundheitsmanagement | Krankmeldungen; Betriebsarzt; Entgeltfortzahlung im Krankheitsfall | legal-obligation-6-1-c | art9 (art9-2-b-employment-law) | Beschäftigte | Abwesenheitszeiten; Bescheinigungen zur Arbeitsfähigkeit | Betriebsärztlicher Dienst | no | not-applicable | Beschäftigungsdauer + gesetzliche Aufbewahrungsfristen |
| C-03 | Recruiting | Bewerbermanagement | Bewertung von Bewerbungen; Terminierung von Gesprächen | legitimate-interests-6-1-f | no | Bewerbende | Lebenslaufdaten; Gesprächsnotizen | Anbieter des Bewerbermanagementsystems; externe Personalvermittler | yes (Vereinigte Staaten) | sccs-art46-2-c | 6 Monate nach Abschluss des Verfahrens, sofern keine Einwilligung zum Talentpool |
| C-04 | Vertrieb & Marketing | CRM & Kundenmanagement | Interessenten-/Kundendaten; Pipeline; Verträge | legitimate-interests-6-1-f | no | Interessenten; Kundenkontakte | Geschäftliche Kontaktdaten; Kommunikationshistorie | CRM-Anbieter; Anbieter für elektronische Signaturen | yes (Vereinigte Staaten) | sccs-art46-2-c | Geschäftsbeziehung + 3 Jahre |
| C-05 | Vertrieb & Marketing | E-Mail-Newsletter | Marketingkommunikation | consent-6-1-a | no | Abonnenten | E-Mail; Einstellungen; Interaktionsdaten | E-Mail-Versanddienstleister | no | not-applicable | Bis zum Widerruf der Einwilligung |
| C-06 | Vertrieb & Marketing | Website-Analyse | Nutzungsmessung | consent-6-1-a | no | Website-Besucher | Pseudonyme Kennungen; Nutzungsdaten | Analyse-Anbieter | no | not-applicable | 14 Monate |
| C-07 | Kundenbetrieb | Support & Ticketing | Bearbeitung von Supportanfragen | contract-6-1-b | no | Kundenkontakte; Endnutzer | Ticketinhalt; Kontaktdaten | Helpdesk-Anbieter | no | not-applicable | 3 Jahre nach Schließung |
| C-08 | Finanzen | Rechnungsstellung & Debitorenbuchhaltung | Rechnungen; Zahlungen; Buchführung | legal-obligation-6-1-c | no | Kundenkontakte; Lieferanten | Rechnungsdaten; Zahlungsdaten | Buchhaltungsanbieter; Bank; Finanzamt | no | not-applicable | Gesetzliche Aufbewahrung für Buchführungsunterlagen (6–10 Jahre) |
| C-09 | IT & Sicherheit | Zugriffsprotokollierung & Überwachung | Erkennung von Sicherheitsvorfällen | legitimate-interests-6-1-f | no | Beschäftigte; Systemnutzer | Benutzerkennungen; IP-Adressen; Ereignisse | SIEM-Anbieter; IR-Retainer | no | not-applicable | 12 Monate rollierend |
| C-10 | Einkauf | Lieferanten- & Subprozessorenmanagement | Lieferantenprüfung; Vertragsmanagement | legitimate-interests-6-1-f | no | Lieferantenkontakte | Geschäftliche Kontaktdaten | Plattform für Lieferantenmanagement | no | not-applicable | Geschäftsbeziehung + 3 Jahre |

## 5. Beispielzeile als Auftragsverarbeiter

| ref | controller_name | processing_categories | subprocessors | transfer_outside_eea | security_measures | dpa_reference |
|---|---|---|---|---|---|---|
| P-01 | Acme GmbH (Kunde) | Hosting und Betrieb der SaaS-Plattform; Backup und Notfallwiederherstellung; Supportzugriff auf Anfrage | Cloud-Infrastrukturanbieter (EU-Region); E-Mail-Versand (EU) | no | ISO 27001-ISMS; AES-256 im Ruhezustand; TLS 1.2+; MFA; Mandantentrennung; Zugriffsprotokollierung | AVV v3.2, unterzeichnet am 15.01.2026 |

---

Formate: XLSX (Arbeitsverzeichnis, Dropdown-gesteuert) + PDF (Feldleitfaden)
unter https://www.orbiqhq.com/templates/gdpr-ropa-template. Diese Vorlage ist
eine Hilfestellung, keine Rechtsberatung.
