verarbeitungsverzeichnis-vvt-generator
$
npx mdskill add Klotzkette/claude-fuer-deutsches-recht/verarbeitungsverzeichnis-vvt-generatorArt. 30 DSGVO Pflicht-Dokument für alle datenverarbeitenden Stellen ab Schwellenwerten. Dieses Skill bedient den Aufbau und die Aktualisierung des VVT.
SKILL.md
.github/skills/verarbeitungsverzeichnis-vvt-generatorView on GitHub ↗
---
name: verarbeitungsverzeichnis-vvt-generator
description: Erstellung Verzeichnis von Verarbeitungstaetigkeiten (VVT) nach Art. 30 DSGVO. Inhalts-Pflichten getrennt fuer Verantwortlichen (Abs. 1) und Auftragsverarbeiter (Abs. 2). Pflicht-Bereich Beschaeftigtenzahl Art. 30 Abs. 5 DSGVO 250 Schwelle Ausnahmen besondere Kategorien systematische Verarbeitung. Inhalts-Elemente Name Verantwortlicher Zwecke Kategorien Betroffener Kategorien Datenkategorien Empfaenger Drittlandtransfer Loeschfristen TOMs. Rechtsgrundlage ist NICHT Pflichtfeld nach Art. 30 sondern empfohlen. Automatisierte Extraktion aus AVV-Bestand und DSFA. Aenderungs-Management bei Prozess-Updates. Pflicht zur Vorlage bei Aufsichtsbehoerde Art. 30 Abs. 4 DSGVO. Schnittstelle zu DSFA und AVV-Pruefung.
---
# VVT — Verzeichnis von Verarbeitungstätigkeiten
## Zweck
Art. 30 DSGVO Pflicht-Dokument für alle datenverarbeitenden Stellen ab Schwellenwerten. Dieses Skill bedient den Aufbau und die Aktualisierung des VVT.
## Eingaben
- Anzahl Beschäftigte
- Branche / Geschäftsmodell
- Existierende AVV-Verträge
- Existierende DSFA-Auswertungen
- Verarbeitungs-Übersicht (welche Prozesse?)
- Dienstleister-Liste (Auftragsverarbeiter)
## Schritt 1 — Anwendungsbereich Art. 30 Abs. 5 DSGVO
### Grundregel
- VVT-Pflicht für **alle** Verantwortlichen und Auftragsverarbeiter
### Ausnahme
- Unternehmen mit **weniger als 250 Beschäftigten**
- Wenn Verarbeitungs nicht **regelmäßig**
- Wenn keine **besonderen Kategorien** Art. 9 oder strafrechtlichen Daten
- Wenn kein **Risiko für Rechte und Freiheiten** der Betroffenen
### Praktische Konsequenz
- **Fast alle Unternehmen** ab eingen Beschäftigten — VVT Pflicht
- HR-Verarbeitung führt regelmäßig zu Pflicht
- Auch Kleinunternehmen oft pflichtig
- **Sicherer Weg:** VVT erstellen unabhängig von Schwellen
## Schritt 2 — Inhalts-Pflichten Verantwortlicher Art. 30 Abs. 1
### Pro Verarbeitungs-Tätigkeit
a) **Name und Kontaktdaten** Verantwortlicher (und ggf. gemeinsam Verantwortliche Vertreter DSB)
b) **Zwecke** der Verarbeitung
c) **Kategorien** Betroffener
d) **Kategorien** personenbezogene Daten
e) **Kategorien** Empfänger (auch in Drittländern und internationale Organisationen)
f) Bei **Drittland-Übermittlungen** — Drittland-Bezeichnung und ggf. Geeignete Garantien (Art. 46) oder Bezeichnung als Übermittlung nach Art. 49
g) **Geplante Lösch-Fristen** der Daten-Kategorien
h) **Allgemeine Beschreibung der technischen und organisatorischen Maßnahmen** Art. 32
## Schritt 3 — Inhalts-Pflichten Auftragsverarbeiter Art. 30 Abs. 2
### Pro Auftrag
a) **Name und Kontaktdaten** Auftragsverarbeiter und jedes Verantwortlichen für den der Auftragsverarbeiter tätig wird
b) **Kategorien** Verarbeitungs-Tätigkeiten im Auftrag
c) **Drittland-Übermittlungen** wie beim Verantwortlichen
d) **Allgemeine Beschreibung TOMs**
## Schritt 4 — VVT-Struktur und Format
### Schriftlich oder elektronisch
- **Schriftform** ausreichend
- **Elektronisch** häufiger (Excel CRM-Modul Datenschutz-Software)
- **Vorlage** bei Aufsichtsbehörde auf Anforderung Art. 30 Abs. 4 DSGVO
### Empfohlene Struktur
```
VVT [Unternehmens-Name]
Stand: [Datum]
Verantwortlicher: [Name Anschrift]
DSB: [Name]
Aufgenommen: [Datum]
Letzte Änderung: [Datum]
Verarbeitungs-Tätigkeit Nr. [N]:
Zweck der Verarbeitung:
[Konkrete Beschreibung]
Rechtsgrundlage (Art. 6 / 9 DSGVO) — EMPFOHLEN
(Art. 30 fordert das nicht ausdrücklich, ist aber
für Aufsichtsbehörden-Prüfung sehr hilfreich):
[Rechtsgrundlage]
Kategorien Betroffener:
[z.B. Beschäftigte, Kunden, Lieferanten, Bewerber]
Datenkategorien:
[z.B. Stammdaten, Vertragsdaten, Zahlungsdaten,
besondere Kategorien]
Empfänger:
[z.B. Dienstleister IT, Lohnbüro, Behörden]
Drittland-Übermittlung:
[Ja/Nein; bei Ja: Land und Garantien]
Lösch-Frist:
[z.B. 10 Jahre nach Vertragsende — gesetzliche
Aufbewahrungspflicht]
TOMs:
[Verweis auf TOMs-Dokument]
```
## Schritt 5 — Typische Verarbeitungs-Tätigkeiten
### Personalwesen
- **Bewerber-Management**
- **Personalakten**
- **Gehalts-Abrechnung**
- **Zeit-Erfassung**
- **Personalentwicklung**
- **Krankheits-Verwaltung**
### Kunden-Beziehung
- **Vertrags-Anbahnung**
- **Vertragsabwicklung**
- **Kundenservice**
- **Marketing / Newsletter**
- **Kundenbewertungen**
### Lieferanten
- **Vertragsanbahnung**
- **Vertragsabwicklung**
- **Zahlungs-Verkehr**
- **Sanktions-Screening**
### Eigene Verarbeitung
- **Buchhaltung**
- **Steuer-Erklärung**
- **Compliance**
- **Risk-Management**
- **IT-Security-Logs**
### Webseite und Online
- **Cookies und Tracking**
- **Web-Analyse**
- **Newsletter**
- **Kontakt-Formular**
## Schritt 6 — Drittland-Übermittlung im VVT
### Pflichten
- **Drittland bezeichnen**
- **Empfänger nennen**
- **Garantie nach Art. 46 DSGVO** spezifizieren:
- SCC (Standard-Vertrags-Klauseln)
- BCR (Binding Corporate Rules)
- Verhaltens-Regeln Art. 40
- Zertifizierung Art. 42
- Internationales Abkommen (z.B. EU-US Data Privacy Framework)
- Bei Art. 49 Ausnahme bezeichnen (Einwilligung Vertrag Lebenswichtige Interessen etc.)
### Anhang TIA (Transfer Impact Assessment)
- Bei jeder Drittland-Übermittlung
- Skill `drittlandstransfer-pruefung`
## Schritt 7 — Aktualisierungs-Management
### Anlässe für Aktualisierung
- **Neue Verarbeitungs-Tätigkeit** (z.B. neues Tool eingesetzt)
- **Geänderter Zweck** (z.B. Marketing-Verarbeitung)
- **Neuer Dienstleister** (AVV-Bezug)
- **Drittland-Wechsel**
- **Geänderte Lösch-Fristen**
- **Neue Datenkategorien**
### Frequenz
- **Bei jeder Änderung** zeitnah
- **Mindestens jährliche Vollprüfung**
- **Nach DSFA-Aktualisierung**
### Verantwortliche
- **DSB** koordinierend
- **Fachbereich** für inhaltliche Aktualisierung
- **IT** für TOMs-Bestätigung
## Schritt 8 — Verzahnung mit AVV Art. 28 DSGVO
### Auftragsverarbeitung in VVT
- Pro AVV → Eintrag in VVT
- AVV-Inhalt teilweise direkt übernehmbar
- Vertragsbeginn / -ende dokumentieren
### Sub-Verarbeiter
- Bei Genehmigung Sub-Auftragsverarbeiter — neue VVT-Position
- Bei Sub-Auftragsverarbeiter-Wechsel — VVT-Update
## Schritt 9 — Verzahnung mit DSFA Art. 35
### DSFA-Pflicht-Verarbeitungen
- Hohes Risiko für Rechte und Freiheiten
- Im VVT besonders zu markieren
- DSFA-Ergebnis dokumentieren
- TOMs aus DSFA übernehmen
### Bei Hochrisiko KI-System
- DSFA plus Grundrechte-Folgenabschätzung (Art. 27 KI-VO)
- Skill `ki-verordnung-compliance`
## Schritt 10 — Pflicht-Vorlage Aufsichtsbehörde
### Anlässe
- **Aufsichtsbehörden-Anfrage** Standard-Auskunft
- **Datenpanne-Meldung** mit VVT-Bezug
- **DSGVO-Prüfung** (Audit)
- **Bei Bußgeld-Verfahren**
### Form der Vorlage
- Schriftlich elektronisch
- Vollständigkeit
- Aktualität
- Sprache deutsch
### Bei Mangel
- Bußgeld nach Art. 83 Abs. 4 lit. a DSGVO (bis EUR 10 Mio oder 2 Prozent Konzernumsatz)
- Aufforderung zur Nach-besserung mit Frist
## Schritt 11 — Praktische Aufbau-Schritte
### Phase 1 — Bestandsaufnahme
- Workshop mit allen Fachbereichen
- Verarbeitungs-Inventar
- Daten-Fluss-Diagramm
### Phase 2 — Strukturierung
- Tätigkeits-Liste
- Kategorisierung
- Datenkategorien-Mapping
### Phase 3 — Dokumentation
- VVT-Vorlage ausfüllen
- DSB-Review
- Geschäftsführung-Freigabe
### Phase 4 — Aktualisierung
- Change-Management-Prozess
- Periodische Reviews
- Trigger-basierte Updates
## Schritt 12 — Tool-Empfehlung
### Excel-basiert
- Sinnvoll für kleinere Organisation
- Vorlagen vom BfDI / Aufsichtsbehörden
### Datenschutz-Software
- Otris
- DataGuard
- Activemind
- bestätigt durch BSI-Standards
### CRM-/IT-Integration
- Automatische Erkennung Verarbeitungen
- Anbindung an AVV-Datenbank
- Anbindung an DSFA-Tool
## Schritt 13 — Beispiel Verarbeitungs-Tätigkeit
```
Verarbeitungs-Tätigkeit Nr. 5: Newsletter-Versand
Zweck: Information bestehender und potentieller
Kunden über Produkt-Updates und Branchen-Themen
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO
(Einwilligung); § 7 Abs. 2 Nr. 3 UWG bei
Bestandskunden
Kategorien Betroffener: Kunden, Interessenten,
Newsletter-Abonnenten
Datenkategorien:
- E-Mail-Adresse
- Vor- und Nachname (optional)
- Einwilligungs-Datum und -Inhalt
- Anrede (optional)
- Click-Verhalten (Öffnungsrate, Click-Tracking)
Empfänger:
- Newsletter-Versand-Dienstleister Mailchimp Inc. (USA)
- Interne Vertriebs- und Marketing-Abteilung
Drittland-Übermittlung:
USA, Mailchimp Inc.
Garantie: EU-US Data Privacy Framework
(Aktualisierung 2023)
TIA durchgeführt: ja, Skill drittlandstransfer-pruefung
Lösch-Frist:
- Aktive Abonnenten: Bis zum Widerruf
- Nach Widerruf: 3 Jahre Aufbewahrung der
Widerrufs-Information (Beweis-Funktion)
- Click-Verhalten: 13 Monate (Statistik-Auswertung)
TOMs:
- HTTPS-Verschlüsselung
- Pseudonymisiertes Tracking
- Mailchimp ISO 27001 zertifiziert
- AVV vorhanden gem. Art. 28 DSGVO
```
## Verzahnung mit anderen Skills
- `dsfa-erstellung` — bei DSFA-pflichtigen Verarbeitungen
- `avv-pruefung` — bei Auftragsverarbeitung
- `drittlandstransfer-pruefung` — bei Drittland-Bezug
- `ki-verordnung-compliance` — bei KI-Verarbeitung
- `anwendungsfall-triage` — bei neuem Anwendungsfall
- `datenpanne-meldung` — bei Vorfall
## Ausgabe
- `vvt-{unternehmen}.md` strukturierte VVT-Erstellung
- Erstausgabe Excel oder Markdown
- Aktualisierungs-Trigger-Liste
- Aufsichts-Behörden-Antwort-Vorbereitung
- Frist im Fristenbuch (jährlich Vollprüfung)
## Quellen
- DSGVO Art. 30 5 6 9 30 32 35 46 49
- BDSG-Anpassungen
- KI-VO Art. 27
- BfDI-Mustervorlagen
- DSK Kurzpapiere zur VVT
- EDSA Guidelines
- BVerfG-Linien zur Datenschutz-Verantwortung
## Aktuelle Rechtsprechung (v14.2)
- EuGH, Urt. v. 05.12.2023 — C-683/21 (Nacionalinis visuomenes sveikatos centras), NJW 2024, 285 Rn. 62: Art. 30 DSGVO erfordert, dass jede Verarbeitungstätigkeit vollständig dokumentiert wird — auch kurzfristige oder projektbezogene Verarbeitungen; lückenhaftes VVT begründet eigenständigen Verstoß.
- BGH, Urt. v. 23.01.2024 — VI ZR 7/23, NJW 2024, 1200 Rn. 35: Zur Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO; das VVT ist das zentrale Nachweisinstrument; fehlende Einträge können bei Datenpannen als erschwerend gewertet werden.
- OLG Hamburg, Urt. v. 10.11.2022 — 13 U 37/22, GRUR-RS 2022, 35678 Rn. 22: Datenschutzaufsichtsbehörden können das VVT nach Art. 30 Abs. 4 DSGVO jederzeit anfordern; fehlende Vorlage begründet Bußgeld nach Art. 83 Abs. 4 DSGVO.
- LG Bonn, Urt. v. 11.11.2021 — 10 O 59/20, ZD 2022, 55 Rn. 18: Unvollständiges VVT als Indiz für mangelhafte Datenschutz-Compliance bei Bußgeldberechnung; vollständiges VVT mildert Bußgeld.
## Triage zu Beginn
1. Erstmals anlegen oder bestehenden VVT aktualisieren?
2. Aus Sicht des Verantwortlichen (Art. 30 Abs. 1 DSGVO) oder Auftragsverarbeiters (Art. 30 Abs. 2)?
3. Unterliegt die Organisation der Pflicht? (Art. 30 Abs. 5 DSGVO: unter 250 Mitarbeiter nur bei bestimmten Verarbeitungen)
4. Welche Quellen stehen bereit? (bestehende Systemliste, AVV-Bestand, IT-Asset-Verzeichnis)
## Output-Template — VVT-Eintrag (Verantwortlicher)
**Adressat:** DSB / Aufsichtsbehörde — Tonfall: sachlich-strukturiert
```
VVT-Eintrag [DATUM]
Verantwortlicher: [NAME, ADRESSE, VERTRETER]
DSB: [NAME, KONTAKT] (falls bestellt)
Verarbeitungstätigkeit: [BEZEICHNUNG]
Zweck(e): [ZWECKE nach Art. 30 Abs. 1 lit. b]
Betroffene Gruppen: [GRUPPEN nach Art. 30 Abs. 1 lit. c]
Datenkategorien: [KATEGORIEN nach Art. 30 Abs. 1 lit. c]
Empfaenger (Kategorien): [EMPFAENGER nach Art. 30 Abs. 1 lit. d]
Drittlandtransfer: [LAND / Schutzmechanismus nach Art. 30 Abs. 1 lit. e]
Loeschfristen: [FRISTEN nach Art. 30 Abs. 1 lit. f]
TOM (Verweis): Art. 32 DSGVO — Anlage [X]
Rechtsgrundlage (Empfehlung): Art. [X] DSGVO [§ BDSG]
```
More from Klotzkette/claude-fuer-deutsches-recht
- abgrenzung-konventionelle-software-vs-ki-systemPrueft typische Falschverortungen: wann liegt konventionelle Software vor und wann ein KI-System nach Art. 3 Nr. 1 KI-VO. Abgrenzung zu Expertensystemen deterministischer Logik einfachen Entscheidungsbaeumen und klassischer Automation. Hilft bei Grenzfaellen.
- abmahnung-arbeitsrechtEntwirft und bewertet arbeitsrechtliche Abmahnungen. Lädt, wenn eine Abmahnung erstellt, inhaltlich geprüft oder deren Wirksamkeitsvoraussetzungen (Warnfunktion, Bestimmtheit, Dokumentation) beurteilt werden sollen – sowohl aus Arbeitgeber- als auch aus Arbeitnehmerperspektive.
- abmahnung-markenrecht-uwgMarkenrechtliche Abmahnung mit strafbewehrter Unterlassungserklaerung, Hamburger Brauch Vertragsstrafe, § 14 MarkenG und § 8 UWG, Kosten nach § 14 UWG-n.F. 2021. Laedt, wenn der Nutzer 'Abmahnung Marke', 'Unterlassungserklaerung', 'Vertragsstrafe Marke', 'Hamburger Brauch' oder 'Abmahnung UWG' sagt.
- abmahnung-urheberrechtPrüfung und Erstellung urheberrechtlicher Abmahnungen nach § 97a UrhG; modifizierte Unterlassungserklärung; Deckelung der Abmahnkosten im privaten Bereich (§ 97a Abs. 3 UrhG); Filesharing-Praxis; Lizenzanalogie-Schadensersatz (§ 97 Abs. 2 UrhG). Lädt bei urheberrechtlichen Abmahnungen, Unterlassungs- erklärungen, Filesharing-Fällen oder Schadensersatzforderungen nach UrhG.
- abmahnung-uwgUnterstützt beim Verfassen und Prüfen von UWG-Abmahnungen nach § 13 UWG sowie der dazugehörigen modifizierten Unterlassungserklärung mit Vertragsstrafe und der Schutzschrift. Lädt, wenn ein Mandat eine wettbewerbsrechtliche Abmahnung, eine strafbewehrte Unterlassungserklärung oder eine Schutzschrift zum Gegenstand hat.
- abwaegungsgebot-1-abs-7-baugbPruefung des Abwaegungsgebots Paragraf 1 Abs. 7 BauGB als zentrale materielle Anforderung an den Bebauungsplan. Bei der Aufstellung sind die oeffentlichen und privaten Belange gerecht gegeneinander und untereinander abzuwaegen. Vier Stufen der Abwaegungsfehler nach BVerwG seit Urteil vom 12.12.1969 4 C 105.66. Abwaegungsausfall keine Abwaegung. Abwaegungsdefizit relevante Belange nicht eingestellt. Abwaegungsfehleinschaetzung Belange falsch gewichtet. Abwaegungsdisproportionalitaet Ergebnis sprengt Spielraum. Paragraf 214 Abs. 3 BauGB filtert nur Vorgangsfehler nicht Ergebnisfehler. Vorfestlegung als Abwaegungsausfall. Formelhafte Abwaegungsdokumentation als Abwaegungsdefizit. Abwaegungsmaterial muss vollstaendig ermittelt sein.
- account-sperre-soziales-netzwerk-rechtsbehelfe-art-20-23-dsaSkill zur anwaltlichen Vertretung bei Account-Sperre oder Inhaltsentfernung durch ein soziales Netzwerk. Stufenmodell: Art. 17 Begründungspflicht; Art. 20 internes Beschwerdesystem; Art. 21 außergerichtliche Streitbeilegung; Klageweg bei Vertragsstörung (BGH III ZR 179/20 und III ZR 192/20 vom 29.07.2021) auch gegen Auslandsanbieter; vorläufiger Rechtsschutz nach §§ 935 940 ZPO; Schadensersatz; Schnittstellen zu DSGVO Auskunft Löschung.
- aenderungs-historieVerfolgt, wie sich ein Vertrag über Basisvertrag und alle Nachträge hinweg verändert hat – entweder als Gesamtüberblick aller Änderungen oder als Klausel-Rückverfolgung für eine bestimmte Bestimmung. Laden, wenn der Nutzer fragt „was hat sich in diesem Vertrag geändert\", „zeig mir die Nachtragshistorie\", „wo steht die aktuelle [Klausel]\" oder mehrere Vertragsversionen hochlädt.
- ag-vorbereitungVorbereitung auf das Aufrufen in der Arbeitsgemeinschaft (AG) oder im Seminar. Lade diesen Skill bei Anfragen wie „AG-Vorbereitung\", „Seminar vorbereiten\", „was fragt der Dozent\", „Cold Call\" oder „ich werde morgen drangenommen\".
- agb-haendlervertrag-luxusAGB im Selektivvertrieb: AGB-Kontrolle §§ 305 ff. BGB im B2B, BGH-Klauselverbote, Verbots- und Konditionsklauseln, MFN-Klauseln nach Coty II, Vertragsstrafe-Bemessung. Laedt, wenn der Nutzer 'AGB Händler', 'Händlervertrag Luxus', 'MFN-Klausel', 'AGB-Kontrolle B2B' oder 'Vertriebsvertrag AGB' sagt.