Eine Webagentur mit acht Mitarbeitenden bekommt Post von der Datenschutzbehörde. Der Prüfer fragt nach dem Verzeichnis von Verarbeitungstätigkeiten – dem VVT. Das Dokument existiert nicht. Was folgt, ist kein Bußgeld-Automatismus, aber ein erheblicher Aufwand: Nachweise zusammensuchen, Prozesse rekonstruieren, Fristen einhalten. Wer sein Verzeichnis von Verarbeitungstätigkeiten (VVT) – umgangssprachlich teils als Verpflichtungsverzeichnis bezeichnet – als Vorlage strukturiert aufgebaut hat, beantwortet dieselbe Anfrage in einer Stunde. Dieser Artikel zeigt, wie Agenturen ihr Verarbeitungsverzeichnis praxistauglich erstellen – mit einer klaren Vorlage, konkreten Beispielen und einem Blick auf die häufigsten Lücken.
VVT DSGVO Pflicht: Wer muss ein Verarbeitungsverzeichnis führen?
Das Verzeichnis von Verarbeitungstätigkeiten (VVT) ist kein freiwilliges Qualitätsmerkmal, sondern eine gesetzliche Dokumentationspflicht nach der DSGVO. Die Pflicht gilt für Verantwortliche und – das ist für Agenturen besonders relevant – auch für Auftragsverarbeiter, also Dienstleister, die personenbezogene Daten im Auftrag ihrer Kunden verarbeiten.
Eine Webagentur nimmt in der Praxis häufig beide Rollen ein: Als Verantwortliche verarbeitet sie eigene Mitarbeiterdaten, Bewerbungsunterlagen, Newsletter-Abonnenten und Buchhaltungsdaten. Als Auftragsverarbeiterin betreibt sie Websites, Shops oder Kampagnen-Landingpages für Mandanten und verarbeitet dabei personenbezogene Daten in deren Auftrag – etwa Kontaktformular-Einsendungen, Analyse-Daten oder Nutzerprofile.
Für beide Rollen ist ein separates VVT zu führen. Das klingt nach doppeltem Aufwand, ist aber logisch: Die Pflichtfelder unterscheiden sich je nach Rolle. Als Verantwortliche muss die Agentur unter anderem Zwecke, Rechtsgrundlagen und Löschfristen dokumentieren. Als Auftragsverarbeiterin sind primär die Kategorien der verarbeiteten Daten und die eingesetzten Unterauftragsverarbeiter relevant.
Eine Ausnahmeregelung für kleine Unternehmen unter 250 Mitarbeitenden existiert zwar dem Wortlaut nach (Art. 30 Abs. 5 DSGVO), greift in der Praxis für Agenturen jedoch fast nie: Sie gilt nur, wenn die Verarbeitung nicht nur gelegentlich erfolgt, kein Risiko für Betroffene birgt und keine besonderen Datenkategorien umfasst. Agenturen, die täglich mit Kundendaten, CRM oder Analyse-Tools arbeiten, erfüllen das Kriterium der „nur gelegentlichen" Verarbeitung praktisch nie – das ist die schärfste Waffe der Aufsichtsbehörden in diesem Punkt. Der Aufwand für ein VVT ist überschaubar, das Risiko ohne Dokumentation schwerer kalkulierbar.
Verarbeitungsverzeichnis Agentur erstellen: Die zwei Perspektiven
Bevor eine Agentur mit dem Ausfüllen beginnt, lohnt eine saubere Trennung: Welche Verarbeitungen führt die Agentur für sich selbst durch, und welche im Auftrag von Mandanten?
Eigene Verarbeitungen der Agentur (Rolle: Verantwortliche) umfassen typischerweise: Personalverwaltung und Lohnbuchhaltung, E-Mail-Kommunikation, CRM und Akquise-Datenbanken, die eigene Agentur-Website mit Kontaktformular und Analytics, Buchhaltungssoftware sowie interne Projektmanagement-Tools. Für jede dieser Tätigkeiten braucht das VVT einen eigenen Eintrag.
Verarbeitungen im Kundenauftrag (Rolle: Auftragsverarbeiterin) sind alle Tätigkeiten, bei denen die Agentur auf Weisung des Kunden personenbezogene Daten verarbeitet: Betrieb und Pflege von Kunden-Websites, Hosting-Management, E-Mail-Marketing-Kampagnen, Wartung von Shop-Systemen oder das Einrichten von Tracking-Lösungen. Hier dokumentiert die Agentur, welche Datenkategorien sie berührt und welche Unterauftragsverarbeiter (z. B. Hosting-Anbieter, CDN-Dienste) sie einsetzt.
In der Praxis vermischen Agenturen diese beiden Bereiche häufig – oder sie führen nur einen der beiden Teile. Beides erzeugt Lücken, die bei einer Behördenanfrage sofort sichtbar werden. Eine klare Ordnerstruktur – „VVT Eigenbetrieb" und „VVT Auftragsverarbeitung" – hilft, die Übersicht zu behalten.
Verzeichnis von Verarbeitungstätigkeiten Vorlage: Pflichtfelder im Überblick
Eine taugliche Vorlage für das Verarbeitungsverzeichnis muss alle gesetzlich geforderten Felder abdecken. Die folgende Tabelle zeigt, welche Angaben je nach Rolle verpflichtend sind:
| Pflichtfeld | Verantwortliche (Agentur für sich) | Auftragsverarbeiterin (für Kunden) |
|---|---|---|
| Name und Kontaktdaten der verantwortlichen Stelle | ✓ | ✓ |
| Zweck der Verarbeitung | ✓ | – |
| Kategorien betroffener Personen und Datenkategorien | ✓ | ✓ |
| Kategorien von Empfängern (inkl. Drittländer) | ✓ | ✓ |
| Rechtsgrundlage der Verarbeitung | ✓ | – |
| Geplante Löschfristen | ✓ (soweit möglich) | – |
| Technisch-organisatorische Maßnahmen (TOMs) | ✓ (soweit möglich) | ✓ |
| Name und Kontaktdaten der Verantwortlichen (Auftraggeber) | – | ✓ |
| Kategorien von Unterauftragsverarbeitern | – | ✓ |
Eine Vorlage, die diese Felder als Spalten einer Tabellenkalkulation abbildet, reicht für die meisten Agenturen vollständig aus. Wichtig ist nicht das Format, sondern die Vollständigkeit und die regelmäßige Aktualisierung. Ein VVT, das seit zwei Jahren nicht angefasst wurde, ist im Zweifel schlechter als keines – weil es eine falsche Sicherheit suggeriert.
Verarbeitungsverzeichnis Muster kostenlos download: Was taugt, was nicht?
Im Netz kursieren zahlreiche kostenlose Muster für das Verarbeitungsverzeichnis – von Datenschutzbehörden, Verbänden und Kanzleien. Grundsätzlich ist ein behördliches Muster ein solider Ausgangspunkt, weil es die gesetzlichen Mindestfelder abdeckt. Die Grenzen dieser Vorlagen liegen aber im Detail.
Erstens sind generische Muster nicht auf die Doppelrolle von Agenturen ausgerichtet. Sie trennen selten sauber zwischen eigener Verantwortlichkeit und Auftragsverarbeitung. Wer ein solches Muster unverändert übernimmt, dokumentiert oft nur einen Teil seiner Verarbeitungen.
Zweitens fehlen in Standardvorlagen agenturspezifische Verarbeitungstätigkeiten: der Einsatz von Staging-Systemen mit Echtdaten, die Nutzung von Figma oder ähnlichen Kollaborationstools mit Kundendaten, das Anlegen von Test-Accounts in Kunden-CMS oder die Verarbeitung von Bewerbungsunterlagen über ein ATS. Diese Tätigkeiten tauchen in Behördenmustern nicht auf, müssen aber dokumentiert werden.
Drittens sind Muster statisch. Ein VVT ist ein lebendes Dokument: Jedes neue Tool, jeder neue Kunde, jede Änderung in der Datenverarbeitung erfordert eine Aktualisierung. Wer eine heruntergeladene Vorlage einmal ausfüllt und dann ablegt, hat die Pflicht formal erfüllt – aber nicht den Geist der Norm.
Empfehlenswert ist daher ein hybrider Ansatz: ein behördliches Muster als strukturelle Basis, ergänzt um agenturspezifische Zeilen und einen festen Prozess zur Pflege – etwa eine quartalsweise Überprüfung, wer neue Tools eingeführt oder Kundenprojekte gestartet hat.
Welche Verarbeitungstätigkeiten gehören ins VVT einer Webagentur?
Um das Verarbeitungsverzeichnis agenturspezifisch auszufüllen, hilft ein Blick auf die häufigsten Verarbeitungstätigkeiten. Die folgende Liste ist nicht abschließend, aber repräsentativ für Agenturen mit 3–30 Mitarbeitenden:
- Personalverwaltung: Verarbeitung von Mitarbeiterstammdaten, Gehaltsabrechnungen, Krankmeldungen. Rechtsgrundlage: Vertragserfüllung und gesetzliche Pflichten. Empfänger: Steuerberater, Sozialversicherungsträger.
- Akquise und CRM: Speicherung von Kontaktdaten potenzieller Kunden, Gesprächsnotizen, Angebote. Rechtsgrundlage: je nach konkreter Ausgestaltung berechtigtes Interesse oder Einwilligung – Einzelfallprüfung empfohlen.
- Eigene Agentur-Website: Kontaktformular, Newsletter-Anmeldung, Web-Analytics. Für Analytics gilt im Regelfall Einwilligungspflicht; ob in Einzelfällen (z. B. anonymisierte serverseitige Messung ohne Drittübermittlung) auch berechtigte Interessen in Betracht kommen, ist strittig und bedarf einer Einzelfallprüfung.
- Betrieb von Kunden-Websites (Auftragsverarbeitung): Hosting, CMS-Pflege, Formular-Datenverarbeitung. Grundlage ist der Auftragsverarbeitungsvertrag (AVV) mit dem Kunden. Unterauftragsverarbeiter wie Hoster oder CDN-Anbieter müssen dokumentiert werden.
- E-Mail-Marketing für Kunden: Versand von Newslettern über Tools wie Mailchimp oder Brevo. Die Agentur ist Auftragsverarbeiterin; der Mandant ist Verantwortlicher. Der eingesetzte E-Mail-Dienst ist Unterauftragsverarbeiter – allerdings nur dann, wenn die Agentur den Vertrag mit dem Anbieter im eigenen Namen hält. Nutzt sie stattdessen den bestehenden Account des Kunden, ist der Dienst direkter Auftragsverarbeiter des Kunden, nicht der Agentur. Diese Unterscheidung ist für die Haftungsfrage entscheidend.
- Bewerbungsmanagement: Eingehende Bewerbungen per E-Mail oder über ein ATS. Löschfristen nach Abschluss des Verfahrens dokumentieren.
- Projektmanagement-Tools: Wenn Kunden-Briefings, Nutzerdaten aus Interviews oder Personas in Tools wie Notion, Asana oder Jira gespeichert werden, ist das eine dokumentationspflichtige Verarbeitung.
Für jede dieser Tätigkeiten legt die Agentur einen eigenen Eintrag im VVT an. Ein Eintrag pro Tätigkeit ist die Faustregel – nicht ein Eintrag pro Tool und nicht ein Sammeleintrag für alle Kundenprojekte.
Unterauftragsverarbeiter im VVT: Was Agenturen dokumentieren müssen
Eine der häufigsten Lücken in Agentur-VVTs betrifft die Unterauftragsverarbeiter. Wenn eine Agentur als Auftragsverarbeiterin tätig ist und dabei ihrerseits externe Dienste einsetzt, werden diese Dienste zu Unterauftragsverarbeitern. Sie sollten im VVT genannt werden – und der Einsatz sollte vertraglich mit dem Kunden abgesichert sein.
Konkret bedeutet das: Wenn eine Agentur die Website eines Kunden auf einem externen Server hostet, ist der Hoster Unterauftragsverarbeiter. Wenn sie ein CDN wie Cloudflare einsetzt, ist Cloudflare Unterauftragsverarbeiter. Wenn sie Fehler-Monitoring über ein Tool wie Sentry betreibt – und Sentry dabei potenziell Nutzerdaten des Kunden verarbeitet –, ist auch das zu dokumentieren.
Dieser Punkt hat praktische Konsequenzen: Der Auftragsverarbeitungsvertrag (AVV) zwischen Agentur und Kunde sollte die Berechtigung zur Einschaltung von Unterauftragsverarbeitern enthalten, entweder pauschal oder mit Zustimmungsvorbehalt. Fehlt diese Regelung, ist der Einsatz von Unterauftragsverarbeitern ein Verstoß gegen Art. 28 Abs. 2 DSGVO und damit rechtswidrig. Mehr zu den vertraglichen Grundlagen findet sich im Artikel zur AVV-Vorlage für Webagenturen.
Im VVT selbst genügt die Nennung der Kategorie und des Namens des Unterauftragsverarbeiters sowie des Landes, in dem die Verarbeitung stattfindet. Bei Diensten mit Sitz außerhalb des EWR ist zusätzlich die Grundlage für die Drittlandübermittlung zu dokumentieren. Für US-Dienste, die unter dem EU-US Data Privacy Framework (DPF) zertifiziert sind (z. B. Mailchimp, Cloudflare), greift der Angemessenheitsbeschluss der EU-Kommission als primäre Grundlage; für nicht zertifizierte US-Anbieter oder Dienste in anderen Drittländern kommen Standardvertragsklauseln in Betracht.
Wie oft muss das Verarbeitungsverzeichnis aktualisiert werden?
Das beste VVT nützt wenig, wenn es veraltet ist. Agenturen, die das Verarbeitungsverzeichnis einmal erstellen und dann nicht mehr anfassen, riskieren, bei einer Behördenanfrage ein Dokument vorzulegen, das die tatsächliche Verarbeitungsrealität nicht mehr abbildet. Das ist im Zweifel schlechter als ein lückenhaftes, aber aktuelles Verzeichnis.
Bewährt hat sich ein schlanker Pflege-Prozess mit zwei Ankerpunkten:
- Anlassbezogene Aktualisierung: Jedes Mal, wenn die Agentur ein neues Tool einführt, einen neuen Kunden onboardet, einen Dienst abschaltet oder einen Prozess ändert, wird das VVT sofort angepasst. Das erfordert eine klare interne Zuständigkeit – typischerweise die Geschäftsführung oder eine benannte Datenschutz-Ansprechperson.
- Quartalsweise Überprüfung: Einmal pro Quartal geht die zuständige Person das VVT durch und prüft, ob alle Einträge noch aktuell sind. Das dauert bei einem gepflegten Verzeichnis selten mehr als 30 Minuten.
Für Agenturen, die mehrere Mandanten betreuen, empfiehlt sich eine Struktur, die zwischen dem eigenen VVT und dem mandantenspezifischen VVT (als Auftragsverarbeiterin) trennt. Letzteres kann als Vorlage angelegt und für jeden Kunden individualisiert werden – mit den spezifischen Unterauftragsverarbeitern, Datenkategorien und TOMs des jeweiligen Projekts.
Wer diese Struktur einmal sauber aufgesetzt hat, kann neue Mandanten innerhalb weniger Minuten dokumentieren. Der initiale Aufwand zahlt sich spätestens beim ersten Audit oder der ersten Behördenanfrage aus.
Datenschutz-Dokumentation für Agenturen zentral verwalten
Das VVT ist ein Baustein in der Datenschutz-Dokumentation einer Agentur – neben AVV, Datenschutzerklärungen für Kundenprojekte und dem Nachweis rechtskonformer Einwilligungsprozesse auf betreuten Websites. Die Theorie ist logisch; die Praxis bei 20 oder 50 Kundenprojekten ist ein administrativer Aufwand: Wer will schon händisch prüfen, ob ein Entwickler letzte Woche ein neues Tracking-Skript auf einer Kundenseite eingebunden hat – und damit einen neuen Unterauftragsverarbeiter geschaffen hat, der ins VVT gehört? Genau an dieser Schnittstelle zwischen technischer Realität und Dokumentationspflicht setzt Complianty an.
Complianty bietet Agenturen ein Multi-Mandant-Dashboard, das Datenschutz-Dokumentation und technische Compliance-Prüfung zusammenführt: Pre- und Post-Consent-Scans zeigen, welche Drittdienste auf Kundenseiten aktiv sind – und liefern damit genau die Informationen, die für ein vollständiges VVT als Auftragsverarbeiterin benötigt werden. Kein manuelles Recherchieren, welcher Unterauftragsverarbeiter auf welcher Seite läuft.
Wenn Sie Ihre Datenschutz-Dokumentation für mehrere Mandanten strukturiert aufbauen möchten, ist das DSGVO-Tool für Datenschutzbeauftragte und Agenturen ein sinnvoller Ausgangspunkt.
