Javascript is required
logo-dastralogo-dastra
Marine Boquien
Marine Boquien
26. November 2025

Erstellung eines Verzeichnisses von Verarbeitungstätigkeiten ist unerlässlich, um die Einhaltung der DSGVO und der Datenschutzvorschriften zu gewährleisten.

Was ist das Verzeichnis von Verarbeitungstätigkeiten?

Das Verzeichnis, vorgesehen in Artikel 30 der DSGVO, ist ein zentrales Element der Dokumentation zur Compliance.

Dieses Erhebungs- und Analyse­dokument muss alle Verarbeitungstätigkeiten mit personenbezogenen Daten innerhalb Ihrer Organisation getreu abbilden. Es ermöglicht die präzise Identifizierung von:

  • den beteiligten Akteuren: Vertreter, Auftragsverarbeiter, Verantwortlicher, weitere Verantwortliche, gemeinsame Verantwortliche, etc.
  • den Kategorien der verarbeiteten Daten, einschließlich besonderer Kategorien personenbezogener Daten.
  • den Zwecken der Verarbeitung: Nutzung, Zugriff und mögliche Weitergabe an Dritte.
  • den Empfängerkategorien und, gegebenenfalls, den Datenübermittlungen an eine internationale Organisation oder außerhalb der Europäischen Union.
  • der Aufbewahrungsfristen der Daten.
  • der eingerichteten Sicherheitsmaßnahmen zum Schutz der Daten.

Über die gesetzliche Vorgabe des Artikels 30 hinaus ist das Verzeichnis von Verarbeitungstätigkeiten ein tatsächlich steuerndes Instrument und ein Nachweis Ihrer DSGVO-Compliance. Es hilft Ihnen, Ihre Verarbeitungstätigkeiten zu dokumentieren und deren Notwendigkeit zu prüfen:

Brauche ich diese Daten wirklich für diese Verarbeitung?

Ist es gerechtfertigt, diese Daten so lange aufzubewahren?

Sind die Sicherheitsmaßnahmen ausreichend?

Die Erstellung und die regelmäßige Aktualisierung des Verzeichnisses bieten eine einmalige Gelegenheit, die Risiken im Zusammenhang mit Ihren Verarbeitungstätigkeiten zu bewerten und zu priorisieren. Dieser Prozess ermöglicht die Erarbeitung eines konkreten Maßnahmenplans zur Sicherstellung der Rechtskonformität Ihrer Praktiken.

Wer ist von der Erstellung eines Verzeichnisses betroffen?

Die Pflicht zur Führung eines Verzeichnisses der Verarbeitungstätigkeiten gilt für alle Stellen, öffentlich wie privat, sobald sie Verarbeitungen personenbezogener Daten durchführen.

Ausnahme: Unternehmen mit weniger als 250 Beschäftigten profitieren von einer Erleichterung. Sie müssen jedoch dokumentieren:

  • regelmäßige oder wiederkehrende Verarbeitungen (Lohn- und Gehaltsabrechnung, Kunden, Interessenten, Lieferanten).
  • Verarbeitungen, die ein potenzielles Risiko für die Rechte und Freiheiten natürlicher Personen darstellen.
  • Verarbeitungen besonderer Kategorien personenbezogener Daten (Gesundheit, Straftaten, etc.).

In welcher Form muss das Verzeichnis vorliegen?

Das Verzeichnis muss in schriftlicher Form vorliegen, auf Papier oder elektronischem Datenträger.

Wer muss das Verzeichnis führen?

Das Verzeichnis von Verarbeitungstätigkeiten ist vom Verantwortlichen oder gegebenenfalls von seinen Auftragsverarbeitern zu führen. Es verschafft ihnen eine Gesamtübersicht über alle innerhalb der Organisation durchgeführten Verarbeitungstätigkeiten personenbezogener Daten.

Eine innerhalb der Organisation benannte Person kann explizit mit der Führung und regelmäßigen Aktualisierung des Verzeichnisses betraut werden. Wurde ein Datenschutzbeauftragter (DSB / DPO) intern oder extern benannt, kann auch dieser die Verantwortung übernehmen.

Das Verzeichnis wird so zu einem zentralen Werkzeug für den DSB, das die Erfüllung seiner Aufgaben der Überwachung der DSGVO-Einhaltung, der Information und der Beratung des Verantwortlichen oder des Auftragsverarbeiters erleichtert.

Wie oft ist das Verzeichnis zu aktualisieren?

Das Verzeichnis von Verarbeitungstätigkeiten ist regelmäßig zu aktualisieren, um funktionale und technische Entwicklungen der Verarbeitungstätigkeiten personenbezogener Daten widerzuspiegeln.

Konkret muss jede Änderung bezüglich einer im Verzeichnis eingetragenen Verarbeitung — z. B. die Hinzufügung eines neuen erhobenen Datentyps, die Verlängerung der Aufbewahrungsfrist, das Auftreten eines neuen Empfängers oder jede andere Änderung der Verarbeitungsbedingungen — unverzüglich im Verzeichnis vermerkt werden.

Erstellen des Verzeichnisses: die Schritte

Die wichtigsten Schritte zur Erstellung eines Verzeichnisses von Verarbeitungstätigkeiten sind:

  1. Benennung einer verantwortlichen Person für die Erstellung des Verzeichnisses.
  2. Erstellung eines Organigramms der Organisation.
  3. Festlegung einer Verfahrensanweisung zur Erstellung des Verzeichnisses.
  4. Durchführung von Interviews mit den Fachbereichen.
  5. Identifizierung der Verarbeitungstätigkeiten.
  6. Identifizierung der Stakeholder.
  7. Festlegung der Zwecke jeder Verarbeitung.
  8. Ermittlung der verarbeiteten Daten (einschließlich besonderer Kategorien personenbezogener Daten).
  9. Bestimmung der betroffenen Personenkategorien.
  10. Bestimmung der Empfängerkategorien und ggf. der Datenübermittlungen an eine internationale Organisation.
  11. Erfassung der eingesetzten Sicherheitsmaßnahmen.
  12. Feststellung, ob eine Datenschutz-Folgenabschätzung (DSFA / PIA) erforderlich ist.

Alle diese eingeführten Verarbeitungen müssen in einem klaren und strukturierten Verzeichnis dokumentiert werden, das den Namen und die Kontaktdaten des Verantwortlichen und gegebenenfalls des Datenschutzbeauftragten (DSB) angibt.

Was muss das Verzeichnis der Verarbeitungstätigkeiten enthalten?

Das Verzeichnis muss mehrere wesentliche Informationen enthalten, um Transparenz und Rechtskonformität sicherzustellen:

  • Den Namen und die Kontaktdaten des Verantwortlichen, sowie gegebenenfalls die des Vertreters, wenn das Unternehmen nicht in der Europäischen Union niedergelassen ist.
  • Die Identität des Datenschutzbeauftragten (DSB), sofern vorhanden.
  • Die Leiter der operativen Dienste, die an den Verarbeitungen personenbezogener Daten innerhalb des Unternehmens beteiligt sind.
  • Die Liste der Auftragsverarbeiter (AV), die an den Verarbeitungen teilnehmen.

Für jede erfasste Tätigkeit oder Verarbeitung muss der Verantwortliche eine Akte im Verzeichnis anlegen, die Folgendes umfasst:

  • Die Kategorien der erhobenen und verarbeiteten Daten, wie Name, Vorname, Geburtsdatum, Gehalt etc., einschließlich besonderer Kategorien personenbezogener Daten.
  • Den/die Zwecke der Datenverarbeitung.
  • Die Rechtsgrundlage der Verarbeitung, die deren Rechtmäßigkeit begründet.
  • Den Ort der Datenhaltung und gegebenenfalls die Länder, in die Daten übermittelt werden, einschließlich an internationale Organisationen.
  • Die Empfänger der Daten, einschließlich solcher in Drittstaaten, wie Personalabteilung, IT-Abteilung, Geschäftsführung, Dienstleister oder Partner.
  • Die Aufbewahrungsdauer für jede Datenkategorie.
  • Die umgesetzten Sicherheitsmaßnahmen, um das Risiko unbefugten Zugriffs auf die Daten zu begrenzen.

Was ist die Rechtsgrundlage der Verarbeitung?

Eine Verarbeitung personenbezogener Daten ist nur rechtmäßig, wenn eine der folgenden Bedingungen erfüllt ist:

  1. Die betroffene Person hat in die Verarbeitung ihrer Daten für einen oder mehrere festgelegte Zwecke eingewilligt.
  • Die Einwilligung muss eine freiwillige, spezifische, informierte und unmissverständliche Willensbekundung sein, abgegeben durch eine Erklärung oder eine eindeutige bestätigende Handlung.
  1. Die Verarbeitung ist für die Erfüllung eines Vertrags erforderlich.
  2. Die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung des Verantwortlichen erforderlich.
  3. Die Verarbeitung ist zum Schutz der lebenswichtigen Interessen der betroffenen Person oder einer anderen natürlichen Person erforderlich.
  4. Die Verarbeitung ist für die Wahrnehmung einer Aufgabe im öffentlichen Interesse erforderlich.
  5. Die Verarbeitung ist zur Wahrung berechtigter Interessen des Verantwortlichen oder Dritter erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person überwiegen.

Welche Vorteile hat die Führung des Verzeichnisses für das Unternehmen?

Die Führung eines Verzeichnisses von Verarbeitungstätigkeiten bringt dem Unternehmen mehrere zentrale Vorteile:

  • Datenminimierung: Nur die Informationen erheben, die relevant, angemessen und auf das für die Zwecke der Verarbeitung Notwendige beschränkt sind.
  • Risiko­management für sensible Daten: Erkennung von Verarbeitungen sensibler Daten und Prüfung, ob deren Verarbeitung rechtmäßig und gesichert ist.
  • Zugriffskontrolle: Sicherstellung, dass nur befugte Personen Zugriff auf die Daten haben, die sie benötigen.
  • Lieferantenmanagement: Erfassung und Aktualisierung der Vertraulichkeitsklauseln der beteiligten Auftragsverarbeiter (AV).
  • Umsetzung geeigneter Sicherheitsmaßnahmen: Organisatorische und technische Maßnahmen zum Schutz der Daten und zum Nachweis der Konformität der eingeführten Verarbeitungen.

So ermöglicht das Verzeichnis dem Unternehmen, seine Compliance zu dokumentieren, Prozesse abzusichern und sich bei Kontrollen oder Audits zu schützen.

An wen ist das Verzeichnis der Verarbeitungstätigkeiten zu übermitteln?

Das Verzeichnis von Verarbeitungstätigkeiten ist ein internes Dokument und liegt in der Verantwortung des Verantwortlichen.

Es muss jedoch der CNIL auf Anfrage zur Verfügung gestellt werden können.

Die CNIL kann es im Rahmen ihrer Aufgaben zur Kontrolle und Prüfung von Datenverarbeitungen nutzen, um zu überprüfen, ob die Sicherheitsmaßnahmen, Datenübermittlungen und sämtliche Verarbeitungstätigkeiten die durch die DSGVO auferlegten Verpflichtungen einhalten.

Suchen Sie ein Tool zur Erstellung Ihres Verzeichnisses von Verarbeitungstätigkeiten? Probieren Sie Dastra aus!

Abonnieren Sie unseren Newsletter

Wir senden Ihnen gelegentlich E‑Mails, um Sie über Neuigkeiten und Weiterentwicklungen unserer Lösung auf dem Laufenden zu halten

* Sie können sich jederzeit von unserem Newsletter abmelden