Pflichten

Verzeichnis der Bearbeitungstätigkeiten (VVT): Pflicht oder freiwillig für Schweizer KMU?

ComplianceCore Redaktion·Veröffentlicht: 23. April 2026·9 Min. Lesezeit

Grundsätzlich ja — auch unter 250 Mitarbeitenden. Das Verzeichnis der Bearbeitungstätigkeiten (VVT) ist nach Art. 12 DSG für praktisch alle Schweizer Unternehmen Pflicht. Die gesetzliche Ausnahme für KMU unter 250 MA greift nur bei «geringem Risiko» — eine Schwelle, die kaum ein Unternehmen unterschreitet, das Lohndaten, Kundenkontakte, Krankmeldungen oder Cloud-Dienste verwendet. Ohne VVT lässt sich kein Auskunftsbegehren fristgerecht beantworten und keine Datenpanne korrekt melden.

Art. 12

DSG — gesetzliche Grundlage VVT

30 Min.

Für ein Basis-VVT mit dem richtigen Tool

Pflichtfelder pro Bearbeitungsprozess

Was verlangt Art. 12 DSG konkret?

Art. 12 des revidierten Datenschutzgesetzes (DSG) verpflichtet sowohl Verantwortliche als auch Auftragsbearbeiter zur Führung eines Verzeichnisses ihrer Bearbeitungstätigkeiten. Die Pflicht gilt grundsätzlich für alle — unabhängig von Unternehmensgrösse, Branche oder Rechtsform.

Das Gesetz kennt eine Ausnahme für Unternehmen mit weniger als 250 Mitarbeitenden (Art. 12 Abs. 5 DSG). Diese greift aber nur, wenn die Datenbearbeitung ein geringes Risiko für die Persönlichkeit der Betroffenen darstellt. Diese Bedingung ist entscheidend — und sie ist enger als sie klingt.

⚠️

Die 250-MA-Ausnahme ist die Ausnahme, nicht die Regel. Das Gesetz formuliert eine Vermutung zugunsten der Pflicht — nicht zugunsten der Ausnahme. Wer sich auf die Ausnahme berufen will, muss aktiv nachweisen können, dass sein Risiko gering ist. In der Praxis ist dieser Nachweis für die grosse Mehrheit der KMU nicht möglich.

Brauche ich ein VVT? — Entscheidungsbaum

?Bearbeitet Ihr Unternehmen Personendaten natürlicher Personen?

✗Nein → Kein VVT erforderlich (Ausnahmefall)

?Ja — Hat Ihr Unternehmen 250 oder mehr Mitarbeitende?

✓Ja → VVT-Pflicht, keine Ausnahme möglich

?Nein (<250 MA) — Bearbeiten Sie sensible Daten? (Gesundheit, AHV-Nr., Lohn, Strafregister)

✓Ja → VVT-Pflicht (hohes Risiko, Ausnahme greift nicht)

?Nein — Verwenden Sie CRM, Newsletter-Tools, Cloud-Dienste oder externe Lohnbuchhaltung?

✓Ja → VVT-Pflicht (Risiko nicht gering genug)

✗Nein → Ausnahme möglich — rechtliche Prüfung empfohlen

ℹ️

Praxis-Erkenntnis: Wir haben noch kein Schweizer KMU getroffen, das keine Lohndaten, kein CRM und keine Cloud-Dienste verwendet. Die 250-MA-Ausnahme ist theoretisch — praktisch trifft sie auf kaum ein aktives Unternehmen zu.

VVT-Pflicht nach Unternehmenstyp

Die folgende Tabelle zeigt für typische Schweizer KMU-Typen, ob das VVT Pflicht ist oder ob die Ausnahme theoretisch greift.

Unternehmenstyp	VVT-Pflicht?	Begründung
Treuhandbüro (5–30 MA)	Pflicht	AHV-Nummern, Lohndaten, Steuerdaten von Klienten = sensible und risikobehaftete Daten
Onlineshop (2–50 MA)	Pflicht	Kundendaten, Kaufhistorie, Zahlungsdaten, Newsletter, Marketing-Tracking
Arztpraxis / Dentist	Pflicht	Gesundheitsdaten = besonders schützenswerte Personendaten; automatisch hohes Risiko
Industrieunternehmen (50–200 MA)	Pflicht	HR-Daten, Lohnbuchhaltung, CRM mit Kundenkontakten, Cloud-ERP
SaaS-Startup (<10 MA)	Pflicht	Als Auftragsbearbeiter für Kundendaten: eigene VVT-Pflicht (Art. 12 Abs. 2 DSG)
Verband / Genossenschaft	Pflicht	Mitgliederdaten, Beitragsdaten, Veranstaltungen = systematische Bearbeitung
Einzelunternehmen ohne Angestellte, nur B2B-Rechnungen	Prüfen	Einziger Fall wo Ausnahme theoretisch greift — aber sobald ein Newsletter-Tool oder CRM im Einsatz: Pflicht

Was muss das VVT enthalten?

Art. 12 DSG in Verbindung mit DSV Art. 12 legt den Mindestinhalt fest. Für jeden einzelnen Bearbeitungsprozess (z.B. «Lohnbuchhaltung», «Kundenverwaltung CRM», «Newsletter-Versand») müssen folgende Felder dokumentiert sein:

#	Pflichtfeld	Erklärung und Beispiel
1	Identität des Verantwortlichen	Firmenname, Adresse, Ansprechperson Datenschutz. Bei Auftragsbearbeitung: auch Identität des Verantwortlichen.
2	Bearbeitungszweck	«Lohnabrechnung und Sozialversicherungsmeldungen», «Kundenkommunikation und Bestellabwicklung», «Direktmarketing via E-Mail».
3	Kategorien betroffener Personen	Mitarbeitende, Kunden, Lieferanten, Interessenten, Websitebesucher.
4	Kategorien bearbeiteter Personendaten	Kontaktdaten, Lohndaten, Gesundheitsdaten, Kaufhistorie, IP-Adressen, AHV-Nummern.
5	Empfänger (inkl. Auftragsbearbeiter)	AHV-Ausgleichskasse, Steueramt, CRM-Anbieter (Salesforce), Lohnbuchhaltung extern, IT-Dienstleister.
6	Aufbewahrungsdauer	Lohnakten: 10 Jahre (OR), Buchhaltung: 10 Jahre, Bewerbungsunterlagen: 6 Monate, Websitelogs: 30 Tage.
7	Datensicherheitsmassnahmen (allgemein)	Zugriffsberechtigungen, Verschlüsselung, Backup-Konzept, Passwortrichtlinien. Keine technischen Details nötig.
8	Auslandtransfer (wenn relevant)	Empfängerland (z.B. USA) + angewandte Garantien (z.B. EU-Standardvertragsklauseln, Swiss-U.S. Data Privacy Framework).

ℹ️

Tipp: Das VVT muss nicht für jede einzelne Person geführt werden — sondern pro Bearbeitungsprozess. Ein KMU mit 20 Mitarbeitenden hat typischerweise 8–15 Prozesse zu dokumentieren, nicht 20 einzelne Einträge.

Praxisbeispiel: VVT eines Treuhandbüros (15 MA)

Ein Treuhandbüro mit 15 Mitarbeitenden und 120 KMU-Klienten hat typischerweise folgende Bearbeitungsprozesse im VVT zu erfassen:

Prozess	Betroffene Personen / Daten	Kritische Empfänger / Transfers
Lohnbuchhaltung Klienten	Mitarbeitende der Klienten: AHV-Nr., Lohn, Bankdaten, Steuerwohnsitz	AHV-Kasse, Steuerbehörden, Swissdec (ggf. Ausland)
Jahresabschluss / Buchhaltung	Klienten (juristische + natürliche Personen): Finanzdaten, Lieferantenrechnungen	Revisoren, Steuerbehörden, Cloud-Buchhaltungssoftware (evtl. EU/US)
Steuererklärungen	Klienten (natürliche Personen): Einkommensdaten, Vermögen, Schulden	Kant. Steuerbehörden, ESTV
Eigenes HR (Büro intern)	Eigene Mitarbeitende: Lohn, Ferien, Krankmeldungen, Sozialversicherung	AHV-Kasse, Krankenkasse, PKT/BVG-Kasse
Klientenkommunikation / CRM	Klientenkontakte: Name, E-Mail, Telefon, Dossier-Verläufe	CRM-Tool (evtl. US-Cloud), E-Mail-Anbieter
GWPG-Compliance	Klienten: Ausweiskopien, Herkunft Vermögen, PEP-Prüfung	MROS (Meldestelle), ggf. Sanktionslisten-Screening-Tool

Dieses Beispiel zeigt: Ein Treuhandbüro verarbeitet nicht nur viele, sondern auch besonders sensible Personendaten — Gesundheitsdaten (Krankmeldungen), Steuerdaten und Finanzdaten. Die 250-MA-Ausnahme greift hier zu keinem Zeitpunkt.

VVT erstellen: Schritt-für-Schritt-Anleitung

Mit einem strukturierten Vorgehen ist ein Basis-VVT in 30–60 Minuten erstellt. Hier die fünf Schritte:

Bearbeitungsprozesse inventarisieren

ca. 15 Minuten

Gehen Sie alle Abteilungen durch: HR, Buchhaltung, Verkauf, IT, Marketing. Fragen Sie jeweils: «Welche Personendaten werden hier gesammelt, genutzt oder weitergegeben?» Typischerweise kommen 8–20 Prozesse zusammen.

Pflichtfelder je Prozess ausfüllen

ca. 30 Minuten (Basis)

Für jeden Prozess die 8 Pflichtfelder gemäss Art. 12 DSG dokumentieren. Beginnen Sie mit den drei grössten Prozessen — danach geht es schneller, weil viele Felder (Empfänger, Sicherheitsmassnahmen) sich wiederholen.

Auslandtransfers identifizieren

ca. 20 Minuten

Prüfen Sie für jeden eingesetzten Cloud-Dienst und jede externe Software, wo die Server stehen. Microsoft 365, Google Workspace, Salesforce, Mailchimp, Slack — alle übermitteln Daten in die USA. Dokumentieren Sie: Empfängerland + angewandte Garantie (z.B. EU-SCC, Swiss-U.S. DPF).

Auftragsbearbeitungsverträge (AVV) zuordnen

ca. 10 Minuten

Für jeden externen Dienstleister im VVT prüfen: Liegt ein AVV vor? Falls nein, ist das eine separate Lücke die geschlossen werden muss (Art. 9 DSG). Das VVT macht diese Lücken sichtbar — das ist einer seiner Hauptnutzen.

VVT aktuell halten

15 Min. pro Quartal

Das VVT ist kein einmaliges Projekt — es ist ein lebendes Dokument. Bei jedem neuen Tool, Prozess oder Dienstleister: VVT aktualisieren. Empfehlung: quartalsweise kurzes Review (15 Minuten). Bei strukturellen Änderungen sofort.

Das VVT ist mehr als ein Pflichtdokument

Das VVT wird oft als bürokratische Last wahrgenommen. Das ist ein Missverständnis. Es ist das Navigationssystem für alle anderen Datenschutzpflichten — ohne es lassen sich die folgenden Anforderungen nicht erfüllen:

Auskunftsbegehren (Art. 25 DSG):

Ohne VVT wissen Sie nicht, wo alle Daten einer Person gespeichert sind — und können die 30-Tage-Frist nicht einhalten.

Datenpanne melden (Art. 24 DSG):

Die EDÖB-Meldung verlangt Angaben zu betroffenen Datenkategorien und Personengruppen — direkt aus dem VVT.

Datenschutzerklärung (Art. 19 DSG):

Die DSE muss Empfänger und Auslandtransfers nennen — Informationen, die nur das VVT liefert.

AVV-Kontrolle (Art. 9 DSG):

Das VVT zeigt auf einen Blick, mit welchen Auftragsbearbeitern noch kein Vertrag besteht.

DSFA-Screening (Art. 22 DSG):

Aus dem VVT lässt sich ablesen, welche Prozesse eine Datenschutz-Folgenabschätzung erfordern könnten.

Häufige Fragen

Brauche ich als KMU mit weniger als 250 Mitarbeitenden ein VVT?+

Grundsätzlich ja. Die Ausnahme nach Art. 12 Abs. 5 DSG gilt nur bei geringem Risiko — eine Schwelle, die praktisch jedes KMU überschreitet, sobald es Lohndaten, Kundenkontakte, Krankmeldungen oder Newsletter-Tools verwendet.

Was muss ein VVT mindestens enthalten?+

Laut Art. 12 DSG und DSV Art. 12: Identität des Verantwortlichen, Bearbeitungszweck, Kategorien betroffener Personen, Kategorien bearbeiteter Daten, Empfänger, Aufbewahrungsdauer, allgemeine Sicherheitsmassnahmen. Bei Auslandtransfers zusätzlich: Empfängerland und angewandte Schutzgarantien.

In welchem Format muss das VVT geführt werden?+

Das Gesetz schreibt kein Format vor. Excel, Word, PDF oder eine Compliance-Software sind alle zulässig — solange das VVT schriftlich oder elektronisch vorliegt, vollständig ist und auf Verlangen des EDÖB vorgelegt werden kann. Entscheidend ist die Vollständigkeit, nicht das Medium.

Wer muss ein VVT führen — nur der Verantwortliche oder auch Auftragsbearbeiter?+

Beide. Art. 12 DSG verpflichtet sowohl den Verantwortlichen als auch den Auftragsbearbeiter. Für Auftragsbearbeiter gelten leicht vereinfachte Inhaltspflichten — sie müssen aber trotzdem ein eigenes VVT für die in fremdem Auftrag durchgeführten Bearbeitungen führen.

Was passiert, wenn ich kein VVT habe?+

Ohne VVT können Sie ein Auskunftsbegehren nicht fristgerecht beantworten, eine Datenpanne nicht vollständig an den EDÖB melden und keine strukturierte Datenschutzerklärung erstellen. Direkte Bussen für das fehlende VVT selbst sind im revDSG nicht vorgesehen — aber die Folgefehler (verspätete Auskunft, fehlerhafte DSE) sind strafbewehrt.

VVT in 30 Minuten erstellen

Der ComplianceCore VVT-Wizard führt Sie Schritt für Schritt durch alle Pflichtfelder nach Art. 12 DSG — mit vorausgefüllten Vorschlägen für typische KMU-Prozesse. Kein juristisches Vorwissen nötig.

VVT jetzt erstellen

Diese Inhalte dienen zu Informationszwecken und stellen keine Rechtsberatung dar.