Pflichten

Verzeichnis der Bearbeitungstätigkeiten (VVT): Pflicht oder freiwillig für Schweizer KMU?

ComplianceCore Editorial··9 min read

Grundsätzlich ja — auch unter 250 Mitarbeitenden. Das Verzeichnis der Bearbeitungstätigkeiten (VVT) ist nach Art. 12 DSG für praktisch alle Schweizer Unternehmen Pflicht. Die gesetzliche Ausnahme für KMU unter 250 MA greift nur bei «geringem Risiko» — eine Schwelle, die kaum ein Unternehmen unterschreitet, das Lohndaten, Kundenkontakte, Krankmeldungen oder Cloud-Dienste verwendet. Ohne VVT lässt sich kein Auskunftsbegehren fristgerecht beantworten und keine Datenpanne korrekt melden.

Art. 12

DSG — gesetzliche Grundlage VVT

30 Min.

Für ein Basis-VVT mit dem richtigen Tool

8

Pflichtfelder pro Bearbeitungsprozess

Was verlangt Art. 12 DSG konkret?

Art. 12 des revidierten Datenschutzgesetzes (DSG) verpflichtet sowohl Verantwortliche als auch Auftragsbearbeiter zur Führung eines Verzeichnisses ihrer Bearbeitungstätigkeiten. Die Pflicht gilt grundsätzlich für alle — unabhängig von Unternehmensgrösse, Branche oder Rechtsform.

Das Gesetz kennt eine Ausnahme für Unternehmen mit weniger als 250 Mitarbeitenden (Art. 12 Abs. 5 DSG). Diese greift aber nur, wenn die Datenbearbeitung ein geringes Risiko für die Persönlichkeit der Betroffenen darstellt. Diese Bedingung ist entscheidend — und sie ist enger als sie klingt.

⚠️

Die 250-MA-Ausnahme ist die Ausnahme, nicht die Regel. Das Gesetz formuliert eine Vermutung zugunsten der Pflicht — nicht zugunsten der Ausnahme. Wer sich auf die Ausnahme berufen will, muss aktiv nachweisen können, dass sein Risiko gering ist. In der Praxis ist dieser Nachweis für die grosse Mehrheit der KMU nicht möglich.

Brauche ich ein VVT? — Entscheidungsbaum

?Bearbeitet Ihr Unternehmen Personendaten natürlicher Personen?
Nein → Kein VVT erforderlich (Ausnahmefall)
?Ja — Hat Ihr Unternehmen 250 oder mehr Mitarbeitende?
Ja → VVT-Pflicht, keine Ausnahme möglich
?Nein (<250 MA) — Bearbeiten Sie sensible Daten? (Gesundheit, AHV-Nr., Lohn, Strafregister)
Ja → VVT-Pflicht (hohes Risiko, Ausnahme greift nicht)
?Nein — Verwenden Sie CRM, Newsletter-Tools, Cloud-Dienste oder externe Lohnbuchhaltung?
Ja → VVT-Pflicht (Risiko nicht gering genug)
Nein → Ausnahme möglich — rechtliche Prüfung empfohlen
ℹ️

Praxis-Erkenntnis: Wir haben noch kein Schweizer KMU getroffen, das keine Lohndaten, kein CRM und keine Cloud-Dienste verwendet. Die 250-MA-Ausnahme ist theoretisch — praktisch trifft sie auf kaum ein aktives Unternehmen zu.

VVT-Pflicht nach Unternehmenstyp

Die folgende Tabelle zeigt für typische Schweizer KMU-Typen, ob das VVT Pflicht ist oder ob die Ausnahme theoretisch greift.

UnternehmenstypVVT-Pflicht?Begründung
Treuhandbüro (5–30 MA)PflichtAHV-Nummern, Lohndaten, Steuerdaten von Klienten = sensible und risikobehaftete Daten
Onlineshop (2–50 MA)PflichtKundendaten, Kaufhistorie, Zahlungsdaten, Newsletter, Marketing-Tracking
Arztpraxis / DentistPflichtGesundheitsdaten = besonders schützenswerte Personendaten; automatisch hohes Risiko
Industrieunternehmen (50–200 MA)PflichtHR-Daten, Lohnbuchhaltung, CRM mit Kundenkontakten, Cloud-ERP
SaaS-Startup (<10 MA)PflichtAls Auftragsbearbeiter für Kundendaten: eigene VVT-Pflicht (Art. 12 Abs. 2 DSG)
Verband / GenossenschaftPflichtMitgliederdaten, Beitragsdaten, Veranstaltungen = systematische Bearbeitung
Einzelunternehmen ohne Angestellte, nur B2B-RechnungenPrüfenEinziger Fall wo Ausnahme theoretisch greift — aber sobald ein Newsletter-Tool oder CRM im Einsatz: Pflicht

Was muss das VVT enthalten?

Art. 12 DSG in Verbindung mit DSV Art. 12 legt den Mindestinhalt fest. Für jeden einzelnen Bearbeitungsprozess (z.B. «Lohnbuchhaltung», «Kundenverwaltung CRM», «Newsletter-Versand») müssen folgende Felder dokumentiert sein:

#PflichtfeldErklärung und Beispiel
1Identität des VerantwortlichenFirmenname, Adresse, Ansprechperson Datenschutz. Bei Auftragsbearbeitung: auch Identität des Verantwortlichen.
2Bearbeitungszweck«Lohnabrechnung und Sozialversicherungsmeldungen», «Kundenkommunikation und Bestellabwicklung», «Direktmarketing via E-Mail».
3Kategorien betroffener PersonenMitarbeitende, Kunden, Lieferanten, Interessenten, Websitebesucher.
4Kategorien bearbeiteter PersonendatenKontaktdaten, Lohndaten, Gesundheitsdaten, Kaufhistorie, IP-Adressen, AHV-Nummern.
5Empfänger (inkl. Auftragsbearbeiter)AHV-Ausgleichskasse, Steueramt, CRM-Anbieter (Salesforce), Lohnbuchhaltung extern, IT-Dienstleister.
6AufbewahrungsdauerLohnakten: 10 Jahre (OR), Buchhaltung: 10 Jahre, Bewerbungsunterlagen: 6 Monate, Websitelogs: 30 Tage.
7Datensicherheitsmassnahmen (allgemein)Zugriffsberechtigungen, Verschlüsselung, Backup-Konzept, Passwortrichtlinien. Keine technischen Details nötig.
8Auslandtransfer (wenn relevant)Empfängerland (z.B. USA) + angewandte Garantien (z.B. EU-Standardvertragsklauseln, Swiss-U.S. Data Privacy Framework).
ℹ️

Tipp: Das VVT muss nicht für jede einzelne Person geführt werden — sondern pro Bearbeitungsprozess. Ein KMU mit 20 Mitarbeitenden hat typischerweise 8–15 Prozesse zu dokumentieren, nicht 20 einzelne Einträge.

Praxisbeispiel: VVT eines Treuhandbüros (15 MA)

Ein Treuhandbüro mit 15 Mitarbeitenden und 120 KMU-Klienten hat typischerweise folgende Bearbeitungsprozesse im VVT zu erfassen:

ProzessBetroffene Personen / DatenKritische Empfänger / Transfers
Lohnbuchhaltung KlientenMitarbeitende der Klienten: AHV-Nr., Lohn, Bankdaten, SteuerwohnsitzAHV-Kasse, Steuerbehörden, Swissdec (ggf. Ausland)
Jahresabschluss / BuchhaltungKlienten (juristische + natürliche Personen): Finanzdaten, LieferantenrechnungenRevisoren, Steuerbehörden, Cloud-Buchhaltungssoftware (evtl. EU/US)
SteuererklärungenKlienten (natürliche Personen): Einkommensdaten, Vermögen, SchuldenKant. Steuerbehörden, ESTV
Eigenes HR (Büro intern)Eigene Mitarbeitende: Lohn, Ferien, Krankmeldungen, SozialversicherungAHV-Kasse, Krankenkasse, PKT/BVG-Kasse
Klientenkommunikation / CRMKlientenkontakte: Name, E-Mail, Telefon, Dossier-VerläufeCRM-Tool (evtl. US-Cloud), E-Mail-Anbieter
GWPG-ComplianceKlienten: Ausweiskopien, Herkunft Vermögen, PEP-PrüfungMROS (Meldestelle), ggf. Sanktionslisten-Screening-Tool

Dieses Beispiel zeigt: Ein Treuhandbüro verarbeitet nicht nur viele, sondern auch besonders sensible Personendaten — Gesundheitsdaten (Krankmeldungen), Steuerdaten und Finanzdaten. Die 250-MA-Ausnahme greift hier zu keinem Zeitpunkt.

VVT erstellen: Schritt-für-Schritt-Anleitung

Mit einem strukturierten Vorgehen ist ein Basis-VVT in 30–60 Minuten erstellt. Hier die fünf Schritte:

1

Bearbeitungsprozesse inventarisieren

ca. 15 Minuten

Gehen Sie alle Abteilungen durch: HR, Buchhaltung, Verkauf, IT, Marketing. Fragen Sie jeweils: «Welche Personendaten werden hier gesammelt, genutzt oder weitergegeben?» Typischerweise kommen 8–20 Prozesse zusammen.

2

Pflichtfelder je Prozess ausfüllen

ca. 30 Minuten (Basis)

Für jeden Prozess die 8 Pflichtfelder gemäss Art. 12 DSG dokumentieren. Beginnen Sie mit den drei grössten Prozessen — danach geht es schneller, weil viele Felder (Empfänger, Sicherheitsmassnahmen) sich wiederholen.

3

Auslandtransfers identifizieren

ca. 20 Minuten

Prüfen Sie für jeden eingesetzten Cloud-Dienst und jede externe Software, wo die Server stehen. Microsoft 365, Google Workspace, Salesforce, Mailchimp, Slack — alle übermitteln Daten in die USA. Dokumentieren Sie: Empfängerland + angewandte Garantie (z.B. EU-SCC, Swiss-U.S. DPF).

4

Auftragsbearbeitungsverträge (AVV) zuordnen

ca. 10 Minuten

Für jeden externen Dienstleister im VVT prüfen: Liegt ein AVV vor? Falls nein, ist das eine separate Lücke die geschlossen werden muss (Art. 9 DSG). Das VVT macht diese Lücken sichtbar — das ist einer seiner Hauptnutzen.

5

VVT aktuell halten

15 Min. pro Quartal

Das VVT ist kein einmaliges Projekt — es ist ein lebendes Dokument. Bei jedem neuen Tool, Prozess oder Dienstleister: VVT aktualisieren. Empfehlung: quartalsweise kurzes Review (15 Minuten). Bei strukturellen Änderungen sofort.

Das VVT ist mehr als ein Pflichtdokument

Das VVT wird oft als bürokratische Last wahrgenommen. Das ist ein Missverständnis. Es ist das Navigationssystem für alle anderen Datenschutzpflichten — ohne es lassen sich die folgenden Anforderungen nicht erfüllen:

Auskunftsbegehren (Art. 25 DSG):

Ohne VVT wissen Sie nicht, wo alle Daten einer Person gespeichert sind — und können die 30-Tage-Frist nicht einhalten.

Datenpanne melden (Art. 24 DSG):

Die EDÖB-Meldung verlangt Angaben zu betroffenen Datenkategorien und Personengruppen — direkt aus dem VVT.

Datenschutzerklärung (Art. 19 DSG):

Die DSE muss Empfänger und Auslandtransfers nennen — Informationen, die nur das VVT liefert.

AVV-Kontrolle (Art. 9 DSG):

Das VVT zeigt auf einen Blick, mit welchen Auftragsbearbeitern noch kein Vertrag besteht.

DSFA-Screening (Art. 22 DSG):

Aus dem VVT lässt sich ablesen, welche Prozesse eine Datenschutz-Folgenabschätzung erfordern könnten.

Häufige Fragen

Brauche ich als KMU mit weniger als 250 Mitarbeitenden ein VVT?+
Grundsätzlich ja. Die Ausnahme nach Art. 12 Abs. 5 DSG gilt nur bei geringem Risiko — eine Schwelle, die praktisch jedes KMU überschreitet, sobald es Lohndaten, Kundenkontakte, Krankmeldungen oder Newsletter-Tools verwendet.
Was muss ein VVT mindestens enthalten?+
Laut Art. 12 DSG und DSV Art. 12: Identität des Verantwortlichen, Bearbeitungszweck, Kategorien betroffener Personen, Kategorien bearbeiteter Daten, Empfänger, Aufbewahrungsdauer, allgemeine Sicherheitsmassnahmen. Bei Auslandtransfers zusätzlich: Empfängerland und angewandte Schutzgarantien.
In welchem Format muss das VVT geführt werden?+
Das Gesetz schreibt kein Format vor. Excel, Word, PDF oder eine Compliance-Software sind alle zulässig — solange das VVT schriftlich oder elektronisch vorliegt, vollständig ist und auf Verlangen des EDÖB vorgelegt werden kann. Entscheidend ist die Vollständigkeit, nicht das Medium.
Wer muss ein VVT führen — nur der Verantwortliche oder auch Auftragsbearbeiter?+
Beide. Art. 12 DSG verpflichtet sowohl den Verantwortlichen als auch den Auftragsbearbeiter. Für Auftragsbearbeiter gelten leicht vereinfachte Inhaltspflichten — sie müssen aber trotzdem ein eigenes VVT für die in fremdem Auftrag durchgeführten Bearbeitungen führen.
Was passiert, wenn ich kein VVT habe?+
Ohne VVT können Sie ein Auskunftsbegehren nicht fristgerecht beantworten, eine Datenpanne nicht vollständig an den EDÖB melden und keine strukturierte Datenschutzerklärung erstellen. Direkte Bussen für das fehlende VVT selbst sind im revDSG nicht vorgesehen — aber die Folgefehler (verspätete Auskunft, fehlerhafte DSE) sind strafbewehrt.

VVT in 30 Minuten erstellen

Der ComplianceCore VVT-Wizard führt Sie Schritt für Schritt durch alle Pflichtfelder nach Art. 12 DSG — mit vorausgefüllten Vorschlägen für typische KMU-Prozesse. Kein juristisches Vorwissen nötig.

VVT jetzt erstellen

This content is for informational purposes only and does not constitute legal advice.

Related Articles

Grundlagen

Neues Datenschutzgesetz Schweiz (revDSG): Was KMU jetzt wissen müssen

Read article →
Grundlagen

revDSG vs. DSGVO: Die wichtigsten Unterschiede für Schweizer Unternehmen

Read article →
Risiko

Datenschutzverletzung melden: So funktioniert die Meldung an den EDÖB

Read article →