Javascript is required
logo-dastralogo-dastra
Marine Boquien
Marine Boquien
November 26, 2025

Die Erstellung eines Verarbeitungsverzeichnisses ist unerlässlich, um die Einhaltung der DSGVO und der Datenschutzvorschriften zu gewährleisten.

Was ist das Verarbeitungsverzeichnis? Das Verarbeitungsverzeichnis, vorgesehen in Artikel 30 der DSGVO, ist ein zentrales Element der Compliance-Dokumentation. Dieses Kerndokument muss alle Verarbeitungstätigkeiten mit personenbezogenen Daten innerhalb Ihrer Organisation vollständig erfassen. Es ermöglicht die präzise Identifizierung von:

  • den beteiligten Akteuren: Vertreter, Auftragsverarbeiter, Verantwortlicher, weitere Verantwortliche, Gemeinsam Verantwortliche, etc.
  • den Kategorien der verarbeiteten Daten, einschließlich besonderer Datenkategorien.
  • den Zwecken der Verarbeitung: Nutzung, Zugriff und mögliche Weitergabe an Dritte.
  • den Empfängerkategorien und gegebenenfalls den Datenübermittlungen an eine internationale Organisation oder außerhalb der Europäischen Union.
  • den Aufbewahrungsfristen der Daten.
  • den eingerichteten Sicherheitsmaßnahmen zum Schutz der Daten.

Über die gesetzliche Vorgabe des Artikels 30 hinaus ist das Verarbeitungsverzeichnis ein tatsächlich steuerndes Instrument und ein Nachweis Ihrer DSGVO-Compliance. Es hilft Ihnen, Ihre Verarbeitungstätigkeiten zu dokumentieren und deren Notwendigkeit zu prüfen: Brauche ich diese Daten wirklich für diese Verarbeitung? Ist es gerechtfertigt, diese Daten so lange aufzubewahren? Sind die Sicherheitsmaßnahmen ausreichend? Die Erstellung und regelmäßige Aktualisierung des Verarbeitungsverzeichnisses bieten eine einmalige Gelegenheit, die Risiken im Zusammenhang mit Ihren Verarbeitungstätigkeiten zu bewerten und zu priorisieren. Dieser Prozess ermöglicht die Erarbeitung eines konkreten Maßnahmenplans zur Sicherstellung der Rechtskonformität Ihrer Praktiken.

Wer ist von der Erstellung eines Verarbeitungsverzeichnisses betroffen?

Die Pflicht zur Führung eines Verarbeitungsverzeichnisses gilt für alle Stellen, öffentlich wie privat, sobald sie Verarbeitungen personenbezogener Daten durchführen. Ausnahme: Unternehmen mit weniger als 250 Beschäftigten profitieren von einer Erleichterung. Sie müssen jedoch dokumentieren:

  • regelmäßige oder wiederkehrende Verarbeitungen (Lohn- und Gehaltsabrechnung, Kunden, Interessenten, Lieferanten).
  • Verarbeitungen, die ein potenzielles Risiko für die Rechte und Freiheiten natürlicher Personen darstellen.
  • Verarbeitungen besonderer Datenkategorien (Gesundheit, Straftaten, etc.).

In welcher Form muss das Verarbeitungsverzeichnis vorliegen? Das Verarbeitungsverzeichnis muss in schriftlicher Form vorliegen, auf Papier oder elektronischem Datenträger.

Wer muss das Verarbeitungsverzeichnis führen?

Das Verarbeitungsverzeichnis ist vom Verantwortlichen oder gegebenenfalls von seinen Auftragsverarbeitern zu führen. Es verschafft ihnen eine Gesamtübersicht über alle innerhalb der Organisation durchgeführten Verarbeitungstätigkeiten mit personenbezogenen Daten. Eine innerhalb der Organisation benannte Person kann explizit mit der Führung und regelmäßigen Aktualisierung des Verarbeitungsverzeichnisses betraut werden. Wurde ein Datenschutzbeauftragter (DSB / DPO) intern oder extern benannt, kann auch dieser die Verantwortung übernehmen. Das Verarbeitungsverzeichnis wird so zu einem zentralen Werkzeug für den DSB, das die Erfüllung seiner Aufgaben — Überwachung der DSGVO-Einhaltung, Information und Beratung des Verantwortlichen oder des Auftragsverarbeiters — erleichtert.

Wie oft ist das Verarbeitungsverzeichnis zu aktualisieren?

Das Verarbeitungsverzeichnis ist regelmäßig zu aktualisieren, um funktionale und technische Entwicklungen der Verarbeitungstätigkeiten mit personenbezogenen Daten widerzuspiegeln. Konkret muss jede Änderung bezüglich einer im Verarbeitungsverzeichnis eingetragenen Verarbeitung — z. B. die Hinzufügung eines neuen erhobenen Datentyps, die Verlängerung der Aufbewahrungsfrist, das Auftreten eines neuen Empfängers oder jede andere Änderung der Verarbeitungsbedingungen — unverzüglich vermerkt werden.

Erstellen des Verarbeitungsverzeichnisses: die Schritte Die wichtigsten Schritte zur Erstellung eines Verarbeitungsverzeichnisses sind:

  1. Benennung einer verantwortlichen Person für die Erstellung des Verarbeitungsverzeichnisses.
  2. Erstellung eines Organigramms der Organisation.
  3. Festlegung einer Verfahrensanweisung zur Erstellung des Verarbeitungsverzeichnisses.
  4. Durchführung von Interviews mit den Fachbereichen.
  5. Identifizierung der Verarbeitungstätigkeiten.
  6. Identifizierung der Stakeholder.
  7. Festlegung der Zwecke jeder Verarbeitung.
  8. Ermittlung der verarbeiteten Daten (einschließlich besonderer Datenkategorien).
  9. Bestimmung der Betroffenenkategorien.
  10. Bestimmung der Empfängerkategorien und ggf. der Datenübermittlungen an eine internationale Organisation.
  11. Erfassung der eingesetzten Sicherheitsmaßnahmen.
  12. Feststellung, ob eine Datenschutz-Folgenabschätzung (DSFA) erforderlich ist.

Alle erfassten Verarbeitungen müssen in einem klaren und strukturierten Verarbeitungsverzeichnis dokumentiert werden, das den Namen und die Kontaktdaten des Verantwortlichen und gegebenenfalls des Datenschutzbeauftragten (DSB) enthält.

Was muss das Verarbeitungsverzeichnis enthalten?

Das Verarbeitungsverzeichnis muss mehrere wesentliche Informationen enthalten, um Transparenz und Rechtskonformität sicherzustellen:

  • Den Namen und die Kontaktdaten des Verantwortlichen sowie gegebenenfalls die des Vertreters, wenn das Unternehmen nicht in der Europäischen Union niedergelassen ist.
  • Die Identität des Datenschutzbeauftragten (DSB), sofern vorhanden.
  • Die Leiter der operativen Bereiche, die an den Verarbeitungen personenbezogener Daten innerhalb des Unternehmens beteiligt sind.
  • Die Liste der Auftragsverarbeiter (AV), die an den Verarbeitungen beteiligt sind.

Für jede erfasste Verarbeitung muss der Verantwortliche einen Eintrag im Verarbeitungsverzeichnis anlegen, der Folgendes umfasst:

  • Die Kategorien der erhobenen und verarbeiteten Daten, wie Name, Vorname, Geburtsdatum, Gehalt etc., einschließlich besonderer Datenkategorien.
  • Den/die Verarbeitungszweck(e).
  • Die Rechtsgrundlage der Verarbeitung, die deren Rechtmäßigkeit begründet.
  • Den Datenspeicherort und gegebenenfalls die Länder, in die Daten übermittelt werden, einschließlich an internationale Organisationen.
  • Die Empfänger der Daten, einschließlich solcher in Drittländern, wie Personalabteilung, IT-Abteilung, Geschäftsführung, Dienstleister oder Partner.
  • Die Speicherdauer für jede Datenkategorie.
  • Die umgesetzten Sicherheitsmaßnahmen, um das Risiko eines unbefugten Zugriffs auf die Daten zu begrenzen.

Was ist die Rechtsgrundlage der Verarbeitung?

Eine Verarbeitung personenbezogener Daten ist nur rechtmäßig, wenn eine der folgenden Bedingungen erfüllt ist:

  1. Die betroffene Person hat in die Verarbeitung ihrer Daten für einen oder mehrere festgelegte Zwecke eingewilligt.
    • Die Einwilligung muss eine freiwillige, spezifische, informierte und unmissverständliche Willensbekundung sein, abgegeben durch eine Erklärung oder eine eindeutige bestätigende Handlung.
  2. Die Verarbeitung ist für die Erfüllung eines Vertrags erforderlich.
  3. Die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung des Verantwortlichen erforderlich.
  4. Die Verarbeitung ist zum Schutz der lebenswichtigen Interessen der betroffenen Person oder einer anderen natürlichen Person erforderlich.
  5. Die Verarbeitung ist für die Wahrnehmung einer Aufgabe im öffentlichen Interesse erforderlich.
  6. Die Verarbeitung ist zur Wahrung berechtigter Interessen des Verantwortlichen oder Dritter erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person überwiegen.

Welche Vorteile hat die Führung des Verarbeitungsverzeichnisses für das Unternehmen?

Die Führung eines Verarbeitungsverzeichnisses bringt dem Unternehmen mehrere zentrale Vorteile:

  • Datenminimierung: Nur die Informationen erheben, die relevant, angemessen und auf das für die Zwecke der Verarbeitung Notwendige beschränkt sind.
  • Risikomanagement für sensible Daten: Erkennung von Verarbeitungen sensibler Daten und Prüfung, ob deren Verarbeitung rechtmäßig und gesichert ist.
  • Zugriffskontrolle: Sicherstellung, dass nur befugte Personen Zugriff auf die Daten haben, die sie benötigen.
  • Lieferantenmanagement: Erfassung und Aktualisierung der Vertraulichkeitsklauseln der beteiligten Auftragsverarbeiter (AV).
  • Umsetzung geeigneter Sicherheitsmaßnahmen: Technische und organisatorische Maßnahmen zum Schutz der Daten und zum Nachweis der Konformität der eingeführten Verarbeitungen.

So ermöglicht das Verarbeitungsverzeichnis dem Unternehmen, seine Compliance zu dokumentieren, Prozesse abzusichern und sich bei Kontrollen oder Audits zu schützen.

An wen ist das Verarbeitungsverzeichnis zu übermitteln?

Das Verarbeitungsverzeichnis ist ein internes Dokument und liegt in der Verantwortung des Verantwortlichen. Es muss jedoch der zuständigen Aufsichtsbehörde auf Anfrage zur Verfügung gestellt werden können. Die Aufsichtsbehörde kann es im Rahmen ihrer Kontroll- und Prüfaufgaben nutzen, um zu überprüfen, ob die Sicherheitsmaßnahmen, Datenübermittlungen und sämtliche Verarbeitungstätigkeiten die Anforderungen der DSGVO erfüllen. Suchen Sie ein Tool zur Erstellung Ihres Verarbeitungsverzeichnisses? Probieren Sie Dastra aus!

Subscribe to our newsletter

We'll send you occasional emails to keep you informed about our latest news and updates to our solution

* You can unsubscribe at any time using the link provided in each newsletter.