Datenschutzrecht · VVT-Audit

Verzeichnis von Verarbeitungstätigkeiten prüfen lassen, bevor Nachweisdruck zum Problem wird

Das Verzeichnis von Verarbeitungstätigkeiten (VVT) wird selten in Ruhe überarbeitet. Meist wird es erst dann wichtig, wenn ein Enterprise-Kunde belastbare Datenschutz-Nachweise verlangt, eine Aufsichtsbehörde Unterlagen sehen will, ein Investor Due Diligence stellt oder intern auffällt, dass neue Tools, Dienstleister und internationale Datenflüsse im Dokument gar nicht sauber auftauchen.

ITMR unterstützt Unternehmen dabei, ein bestehendes VVT nach Art. 30 DSGVO gegen die tatsächliche Verarbeitungslage zu prüfen, Lücken präzise zu schließen und das Dokument so aufzubauen, dass es im Audit, im Kundenscreening, gegenüber Datenschutzbeauftragten und im behördlichen Kontakt tragfähig bleibt.

So einfach funktioniert es

1. Auslöser und Dokumentationsstand erfassen

Wir ordnen ein, warum Ihr VVT gerade relevant wird und welche Prozesse, Gesellschaften, Tools, Dienstleister und Länderbezüge sofort auf den Tisch müssen.

2. VVT gegen die tatsächliche Verarbeitung prüfen

Wir prüfen Pflichtangaben, Rollen, Rechtsgrundlagen, Empfänger, Speicherlogik, TOM-Verweise, Drittlandtransfers sowie die Anbindung an AVV, DSFA und interne Prozesse.

3. Nachschärfen und prüffähig aufsetzen

Sie erhalten eine klare Linie für Korrektur, Priorisierung, Nachweisführung und den nächsten sinnvollen Schritt gegenüber Kunde, Investor, DSB oder Aufsichtsbehörde.

VVT-Situation jetzt einordnen.

Ihre Kontaktdaten

Ihre Nachricht

Dateien anhängen

Laden Sie relevante Dokumente hoch (optional)

Beschreiben Sie kurz, ob es um Auditdruck, eine Behördenanfrage, Due Diligence, neue Systeme, unklare Auftragsverarbeitung oder die Nachschärfung eines bestehenden VVT geht.

Typischer Anlass

Das Verzeichnis ist vorhanden, aber nach Toolwechseln, Wachstum, neuen Dienstleistern, internationalen Transfers oder KI-Einsatz nicht mehr verlässlich genug.

Worauf es jetzt ankommt

Ein VVT muss nicht nur formal vorhanden sein. Es muss mit Ihrer tatsächlichen Verarbeitung, Ihrer Rollenverteilung und Ihrer übrigen Datenschutzdokumentation zusammenpassen.

VVT-Spezialfall statt Datenschutz-Hub

Grundsatzfragen zum Datenschutzrecht beantwortet unsere Hauptseite Datenschutzrecht. Diese Seite behandelt den engeren Spezialfall, dass ein bestehendes Verzeichnis von Verarbeitungstätigkeiten unter Audit-, Nachweis- oder Aktualisierungsdruck belastbar geprüft und nachgeschärft werden muss.

Wann Unternehmen mit dem VVT nicht mehr warten sollten

Behörde und Prüfung Das Dokument soll jetzt vorgelegt werden

Sobald eine Aufsichtsbehörde Unterlagen anfordert oder der interne Datenschutzbeauftragte eine saubere Vorlage verlangt, fällt sofort auf, ob Verarbeitungen aktuell, auffindbar und in sich konsistent dokumentiert sind. Dann kostet Improvisation Zeit und Glaubwürdigkeit.

Enterprise und Due Diligence Dritte wollen belastbare Nachweise sehen

Im Enterprise-Sales, in Konzernstrukturen, bei Investoren oder in Transaktionen reicht ein pauschales „haben wir“ regelmäßig nicht. Erwartet wird eine nachvollziehbare Dokumentationslinie zu Rollen, Dienstleistern, Transfers, Löschfristen und Verantwortlichkeiten.

Wachstum und Tool-Landschaft Die Realität hat das VVT überholt

CRM-Wechsel, HR-Software, Cloud-Dienste, Tracking, Ticketsysteme, Support-Tools, Kollaborationsplattformen oder KI-Funktionen verändern die Verarbeitungspraxis schneller, als viele Verzeichnisse nachgezogen werden. Genau dort entstehen typische Lücken.

Rollen- und Kettenfragen Verantwortlicher, gemeinsamer Verantwortlicher oder Auftragsverarbeiter?

Fehler im VVT beginnen oft schon bei der falschen Einordnung der Rolle. Wer die Rollenfrage nicht sauber löst, dokumentiert Empfänger, AVV-Bedarf, Weisungslogik, Transfers und Verantwortlichkeiten regelmäßig ebenfalls falsch.

Was wir bei einer VVT-Prüfung konkret auf Belastbarkeit prüfen

Pflichtangaben Sind Zweck, Datenkategorien, Empfänger und Speicherlogik tragfähig beschrieben?

Ein formell ausgefülltes Feld hilft wenig, wenn die Beschreibung zu grob, veraltet oder für Dritte nicht mehr nachvollziehbar ist. Entscheidend ist, ob das Dokument die Verarbeitung präzise genug abbildet, ohne operativ unbrauchbar zu werden.

Rollen Passt die Einordnung der Beteiligten zur echten Zusammenarbeit?

Wir prüfen, ob Verantwortliche, Auftragsverarbeiter, gemeinsame Verantwortliche und konzerninterne Stellen sauber eingeordnet sind und ob die Dokumentation zu den tatsächlichen Datenflüssen und Verträgen passt.

Transfers Werden Dienstleister, Subprozessoren und Drittlandbezüge sauber mitgedacht?

Gerade bei Cloud- und US-Bezügen zeigen sich häufig Brüche zwischen VVT, AVV, SCC, TIA und realer Tool-Nutzung. Ein belastbares VVT darf diese Schnittstellen nicht ausblenden.

Technische und organisatorische Maßnahmen Ist der Verweis auf TOMs sinnvoll und belastbar gelöst?

Das VVT muss keine Sicherheitsdokumentation doppeln. Es muss aber sauber erkennen lassen, wo die TOM-Beschreibung tragfähig angebunden ist und ob Verweise tatsächlich zur gelebten Schutzarchitektur passen.

Dokumentationsanschlüsse Stimmt das Zusammenspiel mit AVV, DSFA, Löschkonzept und Auskunftsprozess?

Ein VVT wird in der Praxis dann wertvoll, wenn es nicht isoliert steht. Wir prüfen die Anschlussfähigkeit an DSFA, Vertrag zur Auftragsverarbeitung, Löschlogik, Betroffenenrechte und behördliche Reaktionswege.

Pflegefähigkeit Kann das Dokument nach dem Projekt intern weitergeführt werden?

Ein VVT ist nur so gut wie sein Aktualisierungsprozess. Deshalb geht es auch um Zuständigkeiten, Auslöser für Updates, Freigaben und eine Dokumentationsform, die intern handhabbar bleibt.

Typische VVT-Fehler, die im Ernstfall sofort sichtbar werden

  • Das Verzeichnis listet nur Standardprozesse, während Tracking, Support-Tools, Bewerbungsstrecken, KI-Nutzung, CRM-Automationen oder Auslandszugriffe faktisch fehlen.
  • Verantwortlichkeiten und Auftragsverarbeitung sind übernommen, aber nicht auf die reale Tool- und Vertragsstruktur abgestimmt.
  • Löschfristen stehen abstrakt im Dokument, ohne dass klar ist, ob sie operativ überhaupt umgesetzt oder an andere Regelwerke angebunden sind.
  • Drittlandtransfers tauchen nicht oder nur pauschal auf, obwohl Dienstleister, Subunternehmer oder Remote-Zugriffe sie faktisch mitprägen.
  • Das VVT wurde einmal erstellt, aber nie mit AVV, DSFA, Datenschutzhinweisen, Berechtigungskonzepten und Auskunftsprozessen abgeglichen.
  • Das Unternehmen kann das Dokument zwar vorzeigen, aber nicht erklären, warum genau diese Fassung die aktuelle Verarbeitungslage abbildet.

Woran sich ein belastbares VVT in der Praxis erkennen lässt

Für die Organisation Es schafft Übersicht statt Scheinsicherheit

Ein gutes VVT hilft nicht nur der Behörde. Es macht intern sichtbar, welche Prozesse laufen, welche Dienstleister beteiligt sind, an welchen Stellen Speicherfristen, Löschroutinen und Berechtigungen anschließen und wo Datenschutzpflichten operativ verankert sind.

Für Audits und Verfahren Es ist nicht bloß vorhanden, sondern erklärbar

Belastbar ist ein VVT dann, wenn das Unternehmen seine Einordnung dazu auch vertreten kann: Warum diese Rolle, warum diese Empfänger, warum diese Fristen, warum dieser Transfermechanismus, warum dieser Verweis auf TOMs und warum genau diese Verarbeitung hier so beschrieben ist.

Das eigentliche Ziel

Die stärkste VVT-Beratung produziert kein langes Papier um seiner selbst willen. Sie reduziert Reibung in Audits, stärkt die Abstimmung zwischen Recht, Datenschutz, IT und Fachbereichen und macht aus einer formalen Pflicht einen belastbaren Nachweis der tatsächlichen Organisation.

Wann diese Spezialseite passt und wann ein anderer Einstieg näher liegt

Datenschutz-Audit Wenn nicht nur das VVT, sondern das gesamte Datenschutz-Set-up auf Belastbarkeit geprüft werden soll. Datenschutz-Set-up Wenn Zuständigkeiten, Governance und Dokumentation im Unternehmen insgesamt neu geordnet werden müssen. Vertrag zur Auftragsverarbeitung Wenn die Hauptfrage in der Rollenklärung und der vertraglichen Absicherung von Dienstleistern liegt. Datenschutz-Folgenabschätzung Wenn eine risikoreiche Verarbeitung im Vordergrund steht und nicht nur die Dokumentation nach Art. 30 DSGVO. Hilfe bei Datenschutz-Aufsichtsbehörde Wenn bereits ein Schreiben, eine Frist oder eine konkrete behördliche Reaktion auf dem Tisch liegt. Datenschutz-Auskunft Wenn das Unternehmen vor allem auf Betroffenenanfragen sauber und fristgerecht reagieren muss. Externer Datenschutzbeauftragter Wenn das VVT nicht nur einmalig nachgeschärft, sondern laufend überwacht und aktualisiert werden soll. Privacy Litigation Wenn das Thema bereits in Bußgeldnähe, Anspruchsabwehr oder gerichtliche Auseinandersetzung übergeht.

Warum ITMR für VVT-Prüfung und Dokumentationsdruck passt

Jean Paul P. Bohne, LL.M., MM
Partner · Fachanwalt für IT-Recht · CIPP/E · CIPM · Datenschutzauditor [TÜV]

Besonders stark, wenn VVT-Fragen mit Datenschutzorganisation, IT-Compliance, internationalen Datenflüssen und dokumentationsnahen Digitalprojekten zusammenlaufen.

Andreas Buchholz
Partner · Fachanwalt für IT-Recht · Externer Datenschutzbeauftragter · Datenschutzbeauftragter [TÜV]

Besonders relevant, wenn operative Unternehmenspraxis, interne Abläufe, Fristendruck und verfahrensnahe Abstimmung sauber zusammengeführt werden müssen.

Dominik Skornia, LL.B.
Rechtsanwalt · Schwerpunkt Datenschutzrecht und IT-Recht · Externer Datenschutzbeauftragter

Nahe an dokumentationsbezogener Datenschutzpraxis, Auskunfts- und Behördennähe sowie an der Frage, ob das vorhandene VVT die reale Verarbeitung noch trägt.

Häufige Fragen vor einer VVT-Anfrage

Reicht ein DSK-Muster oder eine Software-Vorlage nicht aus?

Für einen ersten Aufbau kann ein Muster sinnvoll sein. Beratungsbedarf entsteht dort, wo Muster nicht mehr sauber zur realen Organisation passen: bei mehreren Gesellschaften, komplexen Dienstleisterketten, internationalen Transfers, besonderen Daten, KI-Nutzung, Tracking, Konzernstrukturen oder Auditdruck.

Wir haben weniger als 250 Mitarbeitende. Brauchen wir trotzdem ein VVT?

Sehr häufig ja. Die Ausnahme nach Art. 30 Abs. 5 DSGVO greift in der Praxis deutlich seltener, als viele annehmen. Schon regelmäßige Datenverarbeitung, besondere Kategorien von Daten oder ein relevantes Risiko für Betroffene können die Pflicht tragen.

Muss unser Auftragsverarbeiter ebenfalls ein Verzeichnis führen?

Ja, Auftragsverarbeiter haben nach Art. 30 Abs. 2 DSGVO eine eigene Dokumentationspflicht. In der Praxis ist deshalb wichtig, dass Verantwortlicher, AVV und VVT logisch zusammenpassen und Informationen entlang der Kette beschaffbar sind.

Wann lohnt sich eine anwaltliche Prüfung statt einer bloßen Aktualisierung im Haus?

Wenn Rollen unklar sind, ein Audit oder eine Behördenanfrage ansteht, mehrere Dokumente auseinanderlaufen, internationale Datenflüsse mitbetroffen sind oder das Unternehmen die eigene Einordnung später belastbar vertreten können muss.

Kann man ein VVT erst dann aufräumen, wenn die Behörde danach fragt?

Das ist regelmäßig die teuerste Variante. Unter Zeitdruck werden Lücken, fehlende Abstimmungen und operative Widersprüche sichtbar, die sich mit etwas Vorlauf deutlich geordneter und glaubwürdiger beheben lassen.

Ist das VVT nur eine Formalie oder hat es operative Wirkung?

Ein gutes VVT ist ein Steuerungsdokument. Es hilft bei Auskunft, Löschlogik, Dienstleistersteuerung, Risikoanalyse, DSFA-Prüfung, Due Diligence und der internen Abstimmung zwischen Recht, Datenschutz, IT und Fachbereichen.

Wenn Ihr VVT gerade geprüft werden soll, sollte die Einordnung nicht aufgeschoben werden

Je früher sichtbar wird, welche Verarbeitungen, Rollen, Transfers und Dokumentationsanschlüsse im VVT fehlen oder unscharf sind, desto sauberer lässt sich die Lage gegenüber Kunden, Investoren, Datenschutzbeauftragten und Aufsichtsbehörden steuern. Genau dafür ist diese Spezialseite da: nicht für Datenschutz allgemein, sondern für den engen Fall, dass ein vorhandenes Verzeichnis von Verarbeitungstätigkeiten jetzt belastbar gemacht werden muss.

Unsere Expertise

  • Schlagkräftige agile Anwaltsboutique
  • Experten im Medien-, IT-, KI-, Daten-, Urheberrecht und mehr
  • Erfahrene Berater und Prozessanwälte
  • Deutschlandweite Vertretung

Warum ITMR Rechtsanwälte?

  • Schnelle Reaktionszeiten
  • Fokus auf das Business unserer Mandanten
  • Transparente Kostenstruktur
  • Verpflichtet auf Mandantenerfolg