Verarbeitungsverzeichnis nach Art. 30 DSGVO

Verarbeitungsverzeichnis nach Art. 30 DSGVO

Fachmännische Betreuung für Unternehmen in ganz Deutschland.

Kostenlose Erstberatung anfragen · TÜV-zertifizierte Berater · 15+ Jahre Erfahrung · 500+ zufriedene Kunden

Das Verarbeitungsverzeichnis (auch Verzeichnis von Verarbeitungstätigkeiten oder VVT) ist eine der zentralen Pflichten nach der DSGVO. Art. 30 DSGVO verpflichtet jeden Verantwortlichen und Auftragsverarbeiter, ein solches Verzeichnis zu führen. Die DATUREX GmbH unterstützt Unternehmen in ganz Deutschland bei der Erstellung, Pflege und Prüfung ihres Verarbeitungsverzeichnisses.

Was ist ein Verarbeitungsverzeichnis?

Ein Verarbeitungsverzeichnis dokumentiert alle Verarbeitungstätigkeiten, bei denen personenbezogene Daten verarbeitet werden. Es dient als zentrales Instrument der Datenschutz-Dokumentation und ist die Grundlage für die Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO. Das Verarbeitungsverzeichnis muss schriftlich oder elektronisch geführt werden und auf Anfrage der Aufsichtsbehörde vorgelegt werden können.

Pflichtinhalte nach Art. 30 DSGVO

Das Verarbeitungsverzeichnis muss für jede Verarbeitungstätigkeit folgende Angaben enthalten:

• Name und Kontaktdaten des Verantwortlichen, seines Vertreters und des Datenschutzbeauftragten
• Zwecke der Verarbeitung – warum werden die Daten erhoben und verarbeitet?
• Kategorien betroffener Personen – Kunden, Mitarbeiter, Bewerber, Lieferanten
• Kategorien personenbezogener Daten – Kontaktdaten, Gesundheitsdaten, Bankdaten
• Empfänger der Daten – intern und extern, auch Auftragsverarbeiter
• Übermittlungen in Drittländer – einschließlich der Garantien nach Art. 46 DSGVO
• Löschfristen – vorgesehene Fristen für die Datenlöschung
• Technische und organisatorische Maßnahmen – Beschreibung der Sicherheitsmaßnahmen nach Art. 32 DSGVO

Wer muss ein Verarbeitungsverzeichnis führen?

Grundsätzlich ist jeder Verantwortliche und jeder Auftragsverarbeiter zur Führung eines Verarbeitungsverzeichnisses verpflichtet. Die Ausnahme für Unternehmen mit weniger als 250 Beschäftigten (Art. 30 Abs. 5 DSGVO) greift in der Praxis fast nie, da sie nur gilt, wenn die Verarbeitung kein Risiko birgt, nur gelegentlich erfolgt und keine besonderen Datenkategorien betrifft. Praktisch bedeutet das: Jedes Unternehmen, das Mitarbeiter- oder Kundendaten verarbeitet, benötigt ein Verarbeitungsverzeichnis.

Häufige Fehler beim Verarbeitungsverzeichnis

In unserer Beratungspraxis sehen wir regelmäßig folgende Fehler bei der Erstellung und Pflege des Verarbeitungsverzeichnisses:

• Unvollständige Erfassung: Nicht alle Verarbeitungstätigkeiten werden dokumentiert – häufig fehlen Bereiche wie Bewerbermanagement, Videoüberwachung oder Websiteanalyse.
• Veraltete Einträge: Das Verzeichnis wird einmal erstellt und dann nicht aktualisiert, obwohl sich Prozesse ändern.
• Fehlende Rechtsgrundlagen: Für jede Verarbeitung muss eine Rechtsgrundlage nach Art. 6 DSGVO angegeben werden.
• Unklare Löschfristen: Pauschale Angaben statt konkreter, nachvollziehbarer Löschkonzepte.
• Fehlende TOM-Zuordnung: Die technischen und organisatorischen Maßnahmen werden nicht den einzelnen Verarbeitungen zugeordnet.

Unsere Leistungen zum Verarbeitungsverzeichnis

Die DATUREX GmbH bietet Ihnen folgende Unterstützung:

• Ersterfassung: Systematische Aufnahme aller Verarbeitungstätigkeiten in Ihrem Unternehmen
• Prüfung bestehender Verzeichnisse: Analyse auf Vollständigkeit und DSGVO-Konformität
• Aktualisierung und Pflege: Regelmäßige Überprüfung und Anpassung des Verzeichnisses
• Vorlagen und Tools: Bereitstellung praxistauglicher Vorlagen für Ihr Verarbeitungsverzeichnis
• Schulung: Einweisung Ihrer Mitarbeiter in die eigenständige Pflege des Verzeichnisses

Verarbeitungsverzeichnis: Schritt-für-Schritt Anleitung

Die Erstellung eines Verarbeitungsverzeichnisses erfordert eine systematische Herangehensweise. Als erfahrene Datenschutzberater begleiten wir Sie bundesweit durch den gesamten Prozess:

Schritt 1: Bestandsaufnahme aller Verarbeitungstätigkeiten

Im ersten Schritt identifizieren wir gemeinsam alle Prozesse in Ihrem Unternehmen, bei denen personenbezogene Daten verarbeitet werden. Typische Verarbeitungstätigkeiten sind:

• Personalverwaltung und Gehaltsabrechnung
• Kundenverwaltung und CRM-Systeme
• E-Mail-Kommunikation und Newsletter-Versand
• Websiteanalyse und Tracking
• Videoüberwachung und Zutrittskontrolle
• Bewerbermanagement und Recruiting
• Lieferanten- und Dienstleisterverwaltung
• Buchhaltung und Rechnungsstellung

Schritt 2: Datenflussanalyse

Für jede identifizierte Verarbeitungstätigkeit analysieren wir den Datenfluss: Welche Daten werden erhoben, woher stammen sie, wer hat Zugriff, an wen werden sie weitergegeben und wann werden sie gelöscht? Diese Analyse bildet das Rückgrat Ihres Verarbeitungsverzeichnisses.

Schritt 3: Rechtsgrundlagen zuordnen

Jede Verarbeitungstätigkeit muss sich auf eine Rechtsgrundlage nach Art. 6 DSGVO stützen. Die häufigsten Rechtsgrundlagen in der Praxis sind:

• Art. 6 Abs. 1 lit. b DSGVO: Vertragserfüllung – gilt für Kundendaten im Rahmen von Verträgen
• Art. 6 Abs. 1 lit. c DSGVO: Rechtliche Verpflichtung – etwa steuerliche Aufbewahrungspflichten
• Art. 6 Abs. 1 lit. f DSGVO: Berechtigtes Interesse – z.B. für die Videoüberwachung
• § 26 BDSG: Beschäftigungsverhältnis – für Mitarbeiterdaten

Schritt 4: Technische und organisatorische Maßnahmen dokumentieren

Für jede Verarbeitungstätigkeit müssen die getroffenen Schutzmaßnahmen nach Art. 32 DSGVO dokumentiert werden. Dazu gehören Zugangskontrollen, Verschlüsselung, Backup-Konzepte und Berechtigungsstrukturen. Eine enge Verzahnung mit Ihrem TOM-Konzept ist hier entscheidend.

Schritt 5: Löschfristen festlegen

Das Verarbeitungsverzeichnis muss für jede Verarbeitung die vorgesehenen Löschfristen enthalten. Diese richten sich nach den jeweiligen gesetzlichen Aufbewahrungspflichten (z.B. 6 Jahre nach HGB, 10 Jahre nach AO) und dem Grundsatz der Datenminimierung.

Branchenspezifische Besonderheiten

Je nach Branche gibt es besondere Anforderungen an das Verarbeitungsverzeichnis:

Verarbeitungsverzeichnis im Gesundheitswesen

Arztpraxen und Kliniken verarbeiten besondere Kategorien personenbezogener Daten (Gesundheitsdaten nach Art. 9 DSGVO). Das Verarbeitungsverzeichnis muss hier besonders detailliert sein und die erhöhten Schutzanforderungen dokumentieren.

Verarbeitungsverzeichnis für E-Commerce

Online-Händler verarbeiten eine Vielzahl von Kundendaten: Bestelldaten, Zahlungsinformationen, Tracking-Daten, Newsletter-Abonnements. Zusätzlich sind Auftragsverarbeitungsverträge mit Zahlungsdienstleistern, Hosting-Anbietern und Marketing-Tools zu dokumentieren.

Verarbeitungsverzeichnis für Handwerksbetriebe

Auch Handwerksbetriebe benötigen ein Verarbeitungsverzeichnis. Die typischen Verarbeitungen umfassen Kundenkartei, Mitarbeiterdaten, Subunternehmerverwaltung und die Nutzung von Cloud-Diensten.

Kosten und Zeitaufwand

Die Erstellung eines Verarbeitungsverzeichnisses durch die DATUREX GmbH richtet sich nach der Größe und Komplexität Ihres Unternehmens:

• Kleine Unternehmen (bis 50 Mitarbeiter): Ersterfassung innerhalb von 2–4 Wochen
• Mittlere Unternehmen (50–250 Mitarbeiter): Ersterfassung innerhalb von 4–8 Wochen
• Große Unternehmen (250+ Mitarbeiter): Individuelle Projektplanung

Die laufende Pflege und Aktualisierung ist in unseren Betreuungspaketen als externer Datenschutzbeauftragter enthalten.

Typische Fehler vermeiden

In unserer langjährigen Beratungspraxis sehen wir immer wieder die gleichen Fehler:

• Copy-Paste-Vorlagen: Generische Vorlagen aus dem Internet erfüllen selten die individuellen Anforderungen
• Einmal erstellt, nie aktualisiert: Das Verzeichnis muss ein lebendiges Dokument sein
• Fehlende Abteilungen: Marketing, IT und Geschäftsführung werden oft vergessen
• Keine Verantwortlichkeiten: Es muss klar sein, wer für die Pflege zuständig ist

Häufig gestellte Fragen zum Verarbeitungsverzeichnis

Welche Strafe droht ohne Verarbeitungsverzeichnis?

Ein fehlendes oder unvollständiges Verarbeitungsverzeichnis kann als Verstoß gegen Art. 30 DSGVO mit einem Bußgeld von bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes geahndet werden. Aufsichtsbehörden fordern das Verzeichnis regelmäßig bei Prüfungen an.

Gibt es eine Vorlage für das Verarbeitungsverzeichnis?

Die Datenschutzkonferenz (DSK) stellt eine Muster-Vorlage bereit. In der Praxis reicht diese jedoch selten aus. Ein gutes Verarbeitungsverzeichnis muss individuell auf die Verarbeitungstätigkeiten Ihres Unternehmens zugeschnitten sein.

Wie oft muss das Verarbeitungsverzeichnis aktualisiert werden?

Es gibt keine feste Frist. Das Verzeichnis muss jedoch stets aktuell sein. Empfohlen wird eine regelmäßige Überprüfung mindestens einmal jährlich sowie bei jeder neuen oder geänderten Verarbeitungstätigkeit.

Muss das Verarbeitungsverzeichnis veröffentlicht werden?

Nein, das Verarbeitungsverzeichnis ist ein internes Dokument. Es muss jedoch auf Anfrage der zuständigen Aufsichtsbehörde vorgelegt werden können.

Verarbeitungsverzeichnis erstellen lassen

Lassen Sie Ihr Verarbeitungsverzeichnis professionell erstellen oder prüfen. Unsere erfahrenen Datenschutzberater erstellen ein vollständiges, DSGVO-konformes Verzeichnis für Ihr Unternehmen.

Jetzt kostenlose Erstberatung anfragen

Weitere Datenschutz-Leistungen

Neben dem Verarbeitungsverzeichnis bieten wir Ihnen weitere Datenschutz-Dienstleistungen:

• Externer Datenschutzbeauftragter – Bestellung nach Art. 37 DSGVO
• Datenschutz-Beratung – Individuelle DSGVO-Beratung
• Datenschutz-Audit – Systematische DSGVO-Prüfung
• DSGVO-Compliance – Vollständige Umsetzung

Weitere Leistungen der DATUREX GmbH

Neben Datenschutz bieten wir auch Informationssicherheit und IT-Lösungen:

• Externer Informationssicherheitsbeauftragter – ISB für Ihr Unternehmen
• ISMS-Beratung – ISO 27001 Managementsystem
• Lokale KI & LLMs – DSGVO-konforme KI-Lösungen