VVT-Musterbefüllungen
VVT-Musterbefüllungen für typische Solo-Branchen¶
Das Hauptkapitel hat erklärt, was ein Verzeichnis von Verarbeitungstätigkeiten (VVT) ist, warum es Pflicht ist und wie man es aufbaut. Dieser Anhang liefert konkrete Musterbefüllungen für fünf typische Berufsbilder von Selbständigen: freie Texterin/Texter, Unternehmensberater/in, Fotograf/in, Webdesigner/in und Heilpraktiker/in.
Alle Muster sind Ausgangspunkte – keine fertigen Dokumente. Prüfe jeden Eintrag auf deine konkrete Situation: Welche Dienste nutzt du tatsächlich? Welche Auftragsverarbeiter hast du? Welche Rechtsgrundlage passt wirklich? Ergänze, was fehlt, und streiche, was nicht zutrifft.
Für alle Muster gilt: Die technischen und organisatorischen Maßnahmen (TOMs) werden als Verweis auf ein separates TOM-Dokument behandelt – was dort stehen sollte, ergibt sich aus den Maßnahmen in den Teilen 2 und 6 dieses Guides.
Muster 1: Freie/r Texter/in / Copywriter/in¶
Verantwortliche/r: [Name, Adresse, E-Mail]
Stand: [Datum]
Verarbeitungstätigkeit 1: Kundenverwaltung und Auftragsabwicklung
| Pflichtangabe | Inhalt |
|---|---|
| Zweck | Anbahnung, Durchführung und Abwicklung von Aufträgen; Kommunikation mit Kunden |
| Rechtsgrundlage | Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung und vorvertragliche Maßnahmen) |
| Betroffene Personen | Kunden (natürliche Personen); Ansprechpartner bei Unternehmen |
| Datenkategorien | Name, Firmenname, Adresse, E-Mail, Telefon, Projektinhalte, ggf. Bankverbindung |
| Empfänger | Steuerberater/in; Buchhaltungssoftware (Anbieter: ____); ggf. Zahlungsdienstleister |
| Drittland | Ggf. ja, wenn Buchhaltungssoftware auf US-Servern: Grundlage EU-US Data Privacy Framework oder Standardvertragsklauseln – beim Anbieter prüfen |
| Speicherdauer | Vertragsdaten: 10 Jahre (§ 257 HGB, § 147 AO); Kommunikation: 3 Jahre nach Vertragsende (Verjährungsfrist) |
| TOMs | Siehe TOM-Dokument |
Verarbeitungstätigkeit 2: Rechnungsstellung und Buchhaltung
| Pflichtangabe | Inhalt |
|---|---|
| Zweck | Erstellung und Versand von Rechnungen; steuerrechtliche Dokumentation |
| Rechtsgrundlage | Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtung: §§ 14, 14a UStG, § 257 HGB, § 147 AO) |
| Betroffene Personen | Kunden (natürliche Personen); Ansprechpartner bei Unternehmen |
| Datenkategorien | Name, Adresse, ggf. USt-ID, Leistungsbeschreibung, Betrag, Bankverbindung |
| Empfänger | Steuerberater/in; Finanzamt; Buchhaltungssoftware (Anbieter: ____) |
| Drittland | Wie Verarbeitungstätigkeit 1 |
| Speicherdauer | 10 Jahre (handels- und steuerrechtliche Aufbewahrungspflicht) |
| TOMs | Siehe TOM-Dokument |
Verarbeitungstätigkeit 3: E-Mail-Kommunikation
| Pflichtangabe | Inhalt |
|---|---|
| Zweck | Geschäftliche Kommunikation mit Kunden, Interessenten und Dienstleistern |
| Rechtsgrundlage | Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) / Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse: Geschäftskommunikation) |
| Betroffene Personen | Kunden, Interessenten, Lieferanten, Kooperationspartner |
| Datenkategorien | Name, E-Mail-Adresse, Kommunikationsinhalte |
| Empfänger | E-Mail-Anbieter (Anbieter: ____) als Auftragsverarbeiter |
| Drittland | Abhängig vom E-Mail-Anbieter – bei US-Anbietern (Google Workspace, Microsoft 365): Grundlage EU-US DPF |
| Speicherdauer | Geschäftliche Korrespondenz: 6 Jahre (§ 257 HGB); rein private Anfragen ohne Vertragsschluss: nach 3 Monaten löschen |
| TOMs | Siehe TOM-Dokument |
Verarbeitungstätigkeit 4: Website und Kontaktformular
| Pflichtangabe | Inhalt |
|---|---|
| Zweck | Informationsbereitstellung; Bearbeitung von Kontaktanfragen |
| Rechtsgrundlage | Kontaktformular: Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche Maßnahmen) / Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse: Beantwortung von Anfragen). Webhosting/technisch notwendige Daten: Art. 6 Abs. 1 lit. f DSGVO |
| Betroffene Personen | Websitebesucher; Personen, die das Kontaktformular nutzen |
| Datenkategorien | IP-Adressen (Serverlog); Name, E-Mail, Nachrichteninhalt (Kontaktformular) |
| Empfänger | Webhoster (Anbieter: ____) als Auftragsverarbeiter; ggf. Formular-Plugin-Anbieter |
| Drittland | Abhängig vom Webhoster – deutsche/europäische Hoster bevorzugen |
| Speicherdauer | Serverlogs: max. 7 Tage; Kontaktanfragen: bis Bearbeitung abgeschlossen, danach wie E-Mail-Kommunikation |
| TOMs | Siehe TOM-Dokument |
Muster 2: Unternehmensberater/in / Coach¶
Verantwortliche/r: [Name, Adresse, E-Mail]
Stand: [Datum]
Hinweis für Coaches: Je nach Beratungsfeld können besondere Datenkategorien nach Art. 9 DSGVO berührt werden – etwa wenn Gesundheitsthemen, psychische Belastungen oder ähnliche sensible Inhalte Teil der Beratung sind. In diesem Fall gelten erhöhte Anforderungen und ggf. zusätzliche Rechtsgrundlagen nach Art. 9 Abs. 2 DSGVO.
Verarbeitungstätigkeit 1: Kundenverwaltung, Auftragsabwicklung und Beratungsdokumentation
| Pflichtangabe | Inhalt |
|---|---|
| Zweck | Anbahnung und Durchführung von Beratungsaufträgen; Dokumentation von Beratungsleistungen; Nachverfolgung von Maßnahmen |
| Rechtsgrundlage | Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) |
| Betroffene Personen | Kunden (natürliche Personen, Einzelunternehmer); Ansprechpartner und Mitarbeiter bei Unternehmenskunden |
| Datenkategorien | Name, Position, Firmenname, Adresse, E-Mail, Telefon; Beratungsinhalte, Protokolle, Arbeitsergebnisse; ggf. wirtschaftliche Situation des Unternehmens |
| Empfänger | Steuerberater/in; Projektmanagement-Tool (Anbieter: _, AVV vorhanden: ja/nein); Cloud-Speicher (Anbieter: _, AVV vorhanden: ja/nein) |
| Drittland | Ggf. ja – beim jeweiligen Anbieter prüfen |
| Speicherdauer | Vertragsdaten und Arbeitsergebnisse: 10 Jahre; Beratungsnotizen ohne Vertragsrelevanz: 3 Jahre nach Auftragsende |
| TOMs | Siehe TOM-Dokument |
Verarbeitungstätigkeit 2: Videokonferenzen
| Pflichtangabe | Inhalt |
|---|---|
| Zweck | Durchführung von Beratungsgesprächen und Meetings per Videokonferenz |
| Rechtsgrundlage | Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) |
| Betroffene Personen | Kunden, Teilnehmer an Meetings |
| Datenkategorien | Name, E-Mail (bei Einladung); Bild und Ton während des Gesprächs; ggf. Chat-Inhalte; bei Aufzeichnung: vollständige Aufzeichnungsdaten |
| Empfänger | Videokonferenz-Anbieter (Anbieter: ____) als Auftragsverarbeiter |
| Drittland | Abhängig vom Anbieter. Zoom: US-Server möglich, Grundlage EU-US DPF. Microsoft Teams: EU-Rechenzentren verfügbar. Empfehlung: europäische Server wählen und in den Einstellungen aktivieren |
| Speicherdauer | Keine Aufzeichnung ohne ausdrückliche Einwilligung; falls aufgezeichnet: Einwilligung dokumentieren, Aufzeichnung nach Zweckerfüllung löschen |
| TOMs | Siehe TOM-Dokument |
Verarbeitungstätigkeit 3: Newsletter / E-Mail-Marketing
| Pflichtangabe | Inhalt |
|---|---|
| Zweck | Versand von Newslettern und Marketingmitteilungen an Interessenten und ehemalige Kunden |
| Rechtsgrundlage | Art. 6 Abs. 1 lit. a DSGVO (Einwilligung); bei ehemaligen Kunden für eigene ähnliche Produkte/Dienstleistungen: ggf. § 7 Abs. 3 UWG (Ausnahme für Bestandskunden) |
| Betroffene Personen | Newsletter-Abonnenten |
| Datenkategorien | Name (optional), E-Mail-Adresse; Öffnungs- und Klickdaten (falls Tracking aktiv) |
| Empfänger | E-Mail-Marketing-Dienst (Anbieter: ____, z. B. Brevo, Mailchimp, CleverReach) als Auftragsverarbeiter |
| Drittland | Abhängig vom Anbieter – Mailchimp: US-Anbieter, EU-US DPF; Brevo: EU-Anbieter. AVV vorhanden: ja/nein |
| Speicherdauer | Bis Widerruf der Einwilligung; nach Abmeldung: unverzüglich löschen, Einwilligungsnachweis separat 3 Jahre aufbewahren |
| TOMs | Siehe TOM-Dokument |
Muster 3: Fotograf/in¶
Verantwortliche/r: [Name, Adresse, E-Mail]
Stand: [Datum]
Besonderheit Fotografie: Fotografien natürlicher Personen sind personenbezogene Daten. Für die Anfertigung, Speicherung und Veröffentlichung von Personenfotografien gelten neben der DSGVO auch das Recht am eigenen Bild (§§ 22, 23 KUG). Einwilligungen für Veröffentlichungen sollten schriftlich und spezifisch eingeholt werden.
Verarbeitungstätigkeit 1: Kundenverwaltung und Auftragsabwicklung
Wie Muster 1, Verarbeitungstätigkeit 1 – ggf. ergänzen um: Hochzeitsdaten, Terminkoordinaten, Veranstaltungsorte.
Verarbeitungstätigkeit 2: Aufnahme, Speicherung und Bearbeitung von Personenfotografien
| Pflichtangabe | Inhalt |
|---|---|
| Zweck | Erbringung der beauftragten Fotografie-Dienstleistung; Speicherung der Rohdaten und bearbeiteten Bilder zur Auftragsabwicklung und ggf. als Portfolio |
| Rechtsgrundlage | Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) für auftragsgemäße Verwendung; Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) für Portfolio-Nutzung und Veröffentlichung |
| Betroffene Personen | Auftraggeber; fotografierte Personen (können von Auftraggeber abweichen, z. B. bei Hochzeiten auch Gäste) |
| Datenkategorien | Fotografien und Videomaterial; ggf. Namen der abgebildeten Personen; biometrische Daten bei automatischer Gesichtserkennung (Art. 9 DSGVO – besondere Vorsicht) |
| Empfänger | Cloud-Speicher für Bildübermittlung an Kunden (Anbieter: _); Bildbearbeitungs-Software (lokal oder Cloud-basiert: _); bei Hochzeitsfotografie: ggf. weitere Dienstleister (Videograf) |
| Drittland | Abhängig vom Cloud-Anbieter – CloudAnker, PhotoShelter, Pixieset prüfen |
| Speicherdauer | Rohdaten: nach Übergabe an Kunden und Ablauf der Reklamationsfrist löschen (empfohlen: 1 Jahr); Bearbeitete Endversionen: wie mit Kunden vereinbart; Portfolio-Bilder: nur mit ausdrücklicher, jederzeit widerrufbarer Einwilligung |
| TOMs | Siehe TOM-Dokument |
Verarbeitungstätigkeit 3: Veröffentlichung von Personenfotografien (Website, Social Media)
| Pflichtangabe | Inhalt |
|---|---|
| Zweck | Marketing; Darstellung eigener Leistungen; Portfolio |
| Rechtsgrundlage | Art. 6 Abs. 1 lit. a DSGVO (Einwilligung); ergänzend § 22 KUG |
| Betroffene Personen | Abgebildete Personen |
| Datenkategorien | Fotografien; Name (falls in Bildunterschrift oder Metadaten) |
| Empfänger | Website-Hoster; Social-Media-Plattformen (Instagram, Facebook – jeweils eigenverantwortliche Verarbeiter) |
| Drittland | Social-Media-Plattformen: US-Anbieter, EU-US DPF |
| Speicherdauer | Bis Widerruf der Einwilligung; nach Widerruf: unverzüglich entfernen |
| TOMs | Siehe TOM-Dokument |
Muster 4: Webdesigner/in / Web-Entwickler/in¶
Verantwortliche/r: [Name, Adresse, E-Mail]
Stand: [Datum]
Besonderheit: Webdesigner entwickeln Systeme, die selbst personenbezogene Daten verarbeiten. Als Auftragnehmer bist du in der Regel Auftragsverarbeiter für deinen Kunden – nicht selbst Verantwortlicher für dessen Nutzerdaten. Dennoch: Während der Entwicklung und beim Testen mit echten Kundendaten können Verantwortlichkeiten entstehen. Außerdem hast du als Unternehmen selbst Verarbeitungstätigkeiten.
Verarbeitungstätigkeit 1: Kundenverwaltung, Projektabwicklung
Wie Muster 1, Verarbeitungstätigkeit 1 – ggf. ergänzen um: Zugangsdaten zu Kundensystemen (CMS, Hosting-Accounts), die im Rahmen des Projekts übergeben werden. Diese gehören in den Passwort-Manager und sind nicht im VVT zu erfassen – wohl aber die Tatsache, dass du Zugang zu Kundensystemen hast.
Verarbeitungstätigkeit 2: Zugang zu Kundensystemen während der Entwicklung
| Pflichtangabe | Inhalt |
|---|---|
| Zweck | Entwicklung, Pflege und Wartung von Websites und Web-Applikationen für Kunden |
| Rechtsgrundlage | Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung); ggf. Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO mit dem Kunden |
| Betroffene Personen | Endnutzer der Kundensysteme (Nutzer der Website des Kunden) – Verantwortung liegt beim Kunden |
| Datenkategorien | Im Rahmen der Entwicklung: ggf. Testdaten, Staging-Daten; Zugangsdaten zu Kundensystemen |
| Empfänger | Hosting-Anbieter des Kunden; ggf. eigene Entwicklungsumgebung (lokal oder Cloud) |
| Drittland | Abhängig von eingesetzten Entwicklungstools – prüfen, ob z. B. GitHub Copilot, Figma oder ähnliche US-Dienste Kundendaten verarbeiten |
| Speicherdauer | Zugangsdaten: nach Projektende an Kunden übergeben und aus eigenen Systemen löschen; Testdaten: nach Projektabschluss löschen, keine echten Produktionsdaten im Testsystem verwenden |
| TOMs | Siehe TOM-Dokument |
Hinweis AVV: Wenn du als Webdesigner im Auftrag eines Kunden dessen Nutzerdaten verarbeitest – z. B. durch Zugang zum CMS, zur Datenbank oder zu Analytics-Daten –, bist du Auftragsverarbeiter nach Art. 28 DSGVO. Du benötigst mit deinem Kunden einen Auftragsverarbeitungsvertrag (AVV). Dieser schützt auch dich: Er regelt, was du mit den Daten tun darfst und was nicht.
Muster 5: Heilpraktiker/in¶
Verantwortliche/r: [Name, Adresse, E-Mail]
Stand: [Datum]
Wichtiger Hinweis: Heilpraktiker verarbeiten Gesundheitsdaten – das sind besondere Kategorien personenbezogener Daten nach Art. 9 DSGVO. Für diese gelten erhöhte Anforderungen: Die Verarbeitung ist grundsätzlich verboten, es sei denn, einer der Ausnahmetatbestände des Art. 9 Abs. 2 DSGVO greift. Für Heilpraktiker ist das regelmäßig Art. 9 Abs. 2 lit. h DSGVO (Verarbeitung für Zwecke der Gesundheitsversorgung). Zusätzlich gilt das Berufsrecht – Verschwiegenheitspflicht, Schweigepflichtentbindung.
Dieses Muster ist bewusst knapp gehalten und ersetzt keine rechtliche Beratung. Für Heilpraktiker empfiehlt sich eine Prüfung durch einen auf Heilberufe spezialisierten Anwalt oder Datenschutzberater.
Verarbeitungstätigkeit 1: Patientenverwaltung und Behandlungsdokumentation
| Pflichtangabe | Inhalt |
|---|---|
| Zweck | Dokumentation von Anamnese, Diagnose und Behandlungen; Erinnerungshilfe für Folgetermine; gesetzliche Dokumentationspflicht |
| Rechtsgrundlage | Art. 9 Abs. 2 lit. h DSGVO i.V.m. Art. 6 Abs. 1 lit. c DSGVO (Gesundheitsversorgung und rechtliche Verpflichtung) |
| Betroffene Personen | Patienten |
| Datenkategorien | Name, Adresse, Geburtsdatum, Kontaktdaten; Anamnese, Beschwerden, Diagnosen (Gesundheitsdaten nach Art. 9 DSGVO); Behandlungsnotizen; Abrechnungsdaten |
| Empfänger | Praxisverwaltungssoftware (Anbieter: ____, AVV vorhanden: ja/nein); ggf. Labore, Fachärzte (mit Schweigepflichtentbindung); Steuerberater/in (nur Abrechnungsdaten, anonymisiert wenn möglich) |
| Drittland | Nein – Praxisverwaltungssoftware sollte auf deutschen/europäischen Servern laufen. US-Anbieter für Gesundheitsdaten sind datenschutzrechtlich hochproblematisch. |
| Speicherdauer | Behandlungsdokumentation: mind. 10 Jahre nach Abschluss der Behandlung (§ 630f BGB analog, Berufsrecht); Abrechnungsunterlagen: 10 Jahre (§ 147 AO) |
| TOMs | Siehe TOM-Dokument – besonderer Hinweis: Verschlüsselung der Patientenakte ist bei Gesundheitsdaten zwingend, nicht optional |
Verarbeitungstätigkeit 2: Terminverwaltung und Terminbuchung
| Pflichtangabe | Inhalt |
|---|---|
| Zweck | Verwaltung und Koordination von Patiententerminen |
| Rechtsgrundlage | Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung); Art. 9 Abs. 2 lit. h DSGVO, wenn Terminbuchungssystem Gesundheitsdaten enthält (z. B. Behandlungsart) |
| Betroffene Personen | Patienten |
| Datenkategorien | Name, Kontaktdaten, Terminzeit; ggf. Behandlungsgrund (dann: Gesundheitsdaten) |
| Empfänger | Online-Terminbuchungssystem (Anbieter: ____) – bei Gesundheitsdaten: AVV zwingend, Anbieter muss angemessenes Datenschutzniveau bieten |
| Drittland | Kritisch bei Online-Buchungssystemen prüfen – US-Anbieter (Calendly, Acuity Scheduling) für Gesundheitsdaten nicht empfohlen; deutsche Alternativen bevorzugen (z. B. Doctolib mit AVV, appointmed) |
| Speicherdauer | Reine Terminhistorie ohne Behandlungsbezug: 1 Jahr nach Termin; mit Behandlungsbezug: wie Behandlungsdokumentation |
| TOMs | Siehe TOM-Dokument |
Hinweise zur Anpassung¶
Was du immer ergänzen musst: - Konkrete Anbieter aller eingesetzten Dienste (Software, Cloud, E-Mail, Videokonferenz) - Ob ein AVV mit diesen Anbietern besteht – und wenn nicht, ob einer benötigt wird - Konkrete Drittland-Situation: Welche Garantie gilt? (EU-US DPF, Standardvertragsklauseln, etc.) - Deine spezifischen Löschfristen und ob du sie technisch umsetzt
Was du im Zweifelsfall rechtlich prüfen lassen solltest: - Rechtsgrundlage für ungewöhnliche Verarbeitungstätigkeiten - Verarbeitung besonderer Datenkategorien (Art. 9 DSGVO): Gesundheit, Religion, politische Überzeugungen - Drittlandübermittlungen in Länder ohne Angemessenheitsbeschluss - Fragen zur Schweigepflicht und ihrer Wechselwirkung mit der DSGVO (Berufsgeheimnisträger)
Jährliche Pflege: Das VVT ist kein einmaliges Dokument. Jeder neue Dienst, jeder Anbieterwechsel, jede neue Verarbeitungstätigkeit muss eingetragen werden. Eine jährliche Überprüfung ist Pflicht – ein kurzer Kalendertermin reicht dafür.