Skip to main content

Soforthilfe vom Anwalt: Jetzt Kontakt aufnehmen

DSGVO – Verzeichnis der Verarbeitungstätigkeiten

Die DSGVO verlangt von vielen Verantwortlichen, ein Verzeichnis der Verarbeitungstätigkeiten zu führen. Doch welche Angaben müssen Sie darin mit aufnehmen? Und wie detailliert muss die Darstellung Ihrer Geschäftsprozesse sein?

Benötigen Sie ein Verzeichnis der Verarbeitungstätigkeiten?

Als Verantwortlicher sollten Sie prüfen, ob Sie dazu verpflichtet sind, ein sog. „Verzeichnis der Verarbeitungstätigkeiten“ zu führen (Verarbeitungsverzeichnis Art. 30 Abs. 1 DSGVO). Grundsätzlich sind jeder Verantwortliche und neuerdings auch jeder Auftragsverarbeiter (sog. Kategorieverzeichnis nach Art. 30 Abs. 2 DSGVO) verpflichtet, ein solches Verzeichnis zu führen und auf Verlangen der Aufsichtsbehörde zu Verfügung zu stellen. Die Aufsichtsbehörde soll dadurch in die Lage versetzt werden, die Einhaltung der Vorschriften der DSGVO zu kontrollieren. Nach Art. 30 Abs. 5 DSGVO sind sowohl Verantwortliche als auch Auftragsverarbeiter von der Pflicht zur Führung eines Verzeichnisses der Vearbeitungstätigkeiten ausgenommen, wenn sie weniger als 250 Mitarbeiter beschäftigen. Zu beachten ist jedoch, dass Art. 30 Abs. 5 DSGVO von dieser Ausnahme drei Rückausnahmen vorsieht, sodass letztlich auch kleinere Unternehmen zum Führen eines Verarbeitungsverzeichnisses verpflichtet sind, wenn:

  • die von ihnen vorgenommene Verarbeitung ein Risiko für die Rechte und Freiheiten der betroffenen Personen birgt – wenn ein Verantwortlicher also nach Art. 35 Abs. 1 DSGVO verpflichtet ist, eine Datenschutz-Folgeabschätzung durchzuführen, muss er meist auch ein Verzeichnis der Verarbeitungstätigkeiten führen.
  • die Verarbeitung nicht nur gelegentlich erfolgt – hiervon sind z.B. alle Unternehmen betroffen, die regelmäßig Kundendaten speichern
  • eine Verarbeitung besonderer Datenkategorien gemäß Artikel 9 Absatz 1 (z.B. Religions- oder Gesundheitsdaten) bzw. die Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten im Sinne des Artikels 10 erfolgt.

Letztlich werden viele Unternehmen aufgrund dieser Voraussetzungen zum Führen eines solchen Verzeichnisses verpflichtet sein. Ein solches Verzeichnis ist im Hinblick auf die gesamte datenschutzkonforme Umstellung sehr sinnvoll. Denn so können Sie sich einen Überblick über alle Prozesse in Ihrem Unternehmen verschaffen und besser planen, was noch zu tun ist. Schließlich genügen Sie mit einem solchen Verzeichnis bereits einem Teil Ihrer Rechenschaftspflicht (s.u.).

WBS Eingang
Verarbeitungsverzeichnis erstellen Symbolbild

Welche Prozesse gehören in ein Verzeichnis der Verarbeitungstätigkeiten?

Bei dem Verzeichnis der Verarbeitungstätigkeiten handelt es sich um eine Dokumentation und Übersicht aller Verfahren, bei denen personenbezogene Daten verarbeitet werden, ähnlich dem bisherigen Verfahrensverzeichnis des BDSG a.F.. Sollten Sie bereits über ein solches verfügen, können Sie dieses als Grundlage heranziehen und aktualisieren.

Beginnen sollten Sie, indem Sie alle Geschäftsprozesse auflisten, in denen personenbezogene Daten verarbeitet werden. Hierfür sollten Sie sich zunächst einen Überblick über alle Prozesse verschaffen, in denen personenbezogene Daten verarbeitet werden. Der Begriff des „Verarbeitens“ ist in Art. 4 Nr. 2 DSGVO sehr weit gefasst und bezeichnet kurzgefasst jeden Vorgang im Zusammenhang mit personenbezogenen Daten wie

das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung.“ Dabei ist nicht von Bedeutung, ob die Daten auf Papier oder elektronisch gespeichert werden.

Für das Verzeichnis ist eine feingliedrige Darstellung Ihrer Geschäftsprozesse empfehlenswert. Bei einem zu großzügigen Clustern der Geschäftsprozesse besteht die Gefahr, dass dies nicht den Anforderungen der Datenschutzbehörden genügt. Bei der Auswahl dieser Prozesse sollten Sie sich immer in die Lage eines Kontrolleurs der Datenschutzbehörde versetzen. Diesem muss es möglich sein, anhand des Verarbeitungsverzeichnisses einen vollständigen Einblick in die Prozesse Ihres Unternehmens zu erhalten. Neben offensichtlichen Prozessen wie etwa „Neue Kunden elektronisch erfassen“ und „Mitarbeiterdaten speichern“ können dies etwa sein: Daten der Bewerber speichern, Jahresgespräche, Reisekostenabrechnung, Besucherverwaltung, E-Mail-Marketing, Papier- und Aktenvernichtung, Telefonsupport, Videoüberwachung, etc. Letztlich werden in fast allen internen wie externen Prozessen Daten verarbeitet. Bilden Sie Ihr Geschäft daher möglichst umfangreich ab.

Welche Inhalte gehören in ein Verzeichnis der Verarbeitungstätigkeiten?

Anschließend müssen die in Art. 30 DSGVO genannten Angaben in das Verzeichnis mit aufgenommen werden. So müssen Sie etwa identifizieren, woher die Daten in den jeweiligen Prozessen stammen, zu welchem Zweck sie verarbeitet werden, wer Zugriff hat und an wen sie weitergegeben werden. Zudem müssen Sie als Verantwortlicher hier folgende Punkte auflisten (Art. 30 Abs. 1 S. 2 DSGVO):

  • Name und Kontaktdaten des Verantwortlichen und ggf. des gemeinsam mit ihm Verantwortlichen, des Vertreters des Verantwortlichen sowie eines etwaigen Datenschutzbeauftragten;
  • die Zwecke der Verarbeitung;
  • eine Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten;
  • die Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, einschließlich Empfänger in Drittländern oder internationalen Organisationen;
  • gegebenenfalls Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation, einschließlich der Angabe des betreffenden Drittlands oder der betreffenden internationalen Organisation, sowie bei den in Art. 49  Abs. 1 DSGVO genannten Datenübermittlungen die Dokumentierung geeigneter Garantien;
  • wenn möglich, die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien;
  • wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Art. 32 Abs. 1 DSGVO

Die Inhalte des Verzeichnisses für Auftragsverarbeiter ergeben sich aus Art. 30 Abs. 2 DSGVO.

Soforthilfe vom Anwalt

Sie brauchen rechtliche Beratung? Rufen Sie uns an für eine kostenlose Ersteinschätzung oder nutzen Sie unser Kontaktformular.

Wir helfen Ihnen bei der Erstellung eines Verarbeitungsverzeichnisses

Sie möchten wissen, ob Sie ein Verarbeitungsverzeichnis brauchen oder benötigen Hilfe bei der Erstellung? Oder Sie haben Fragen zu anderen datenschutzrechtlichen Aspekten? Wir helfen Ihnen gerne! Das Expertenteam aus dem Datenschutzrecht steht Ihnen gerne Rede und Antwort für Ihre Fragen.

Rufen Sie uns unter 0221 / 951 563 0 (Beratung bundesweit) an.


  • 14.05.2024

Inhalt Einwilligung auf freiwilliger Basis zweifelhaft Sind Sie vom Facebook-Datenleck betroffen? Dann verpassen Sie nicht Ihre Chance auf Schadensersatz Facebook-Datenleck – jetzt prüfen Bezahlmodell kommt einer „Mogelpackung“ gleich Zahlreiche Nutzer von Facebook und Instagram mussten sich entscheiden: Nutzen sie die Dienste weiterhin mit personalisierter Werbung oder wollen sie die […]

Digital Service Act: EU-Kommission ermittelt gegen Meta

  • 02.05.2024

Inhalt Nutzer müssen illegale Inhalte einfach melden können Einfluss auf Wahlen soll vorgebeugt werden Verfahren gegen TikTok Dass über soziale Medien ein großer Einfluss auf die Nutzer der Plattformen ausgeübt werden kann, ist schon lange kein Geheimnis mehr. EU-Politiker sind daher aktuell besorgt, dass Russland und andere ausländische Nationen […]

Beschwerde gegen OpenAI eingereicht: ChatGPT verbreitet falsche Infos über Personen

  • 30.04.2024

Inhalt Sind Sie vom Facebook oder Deezer-Datenleck betroffen? Jetzt checken und nicht die Chance auf Schadensersatz verpassen Facebook-Datenleck – jetzt prüfen Deezer-Datenleck – jetzt prüfen ChatGPT erfindet Antwortet Keine DSGVO-Rechte für von ChatGPT erfasste Personen?  Beschwerde gegen OpenAI eingereicht Die DSGVO der EU verlangt von Unternehmen, dass Informationen über […]

Mark Zuckerberg, von Anthony Quintano

Datenschützer Schrems vs. Meta erneut vor dem EuGH: Generalanwalt will Facebooks Datennutzung deutlich einschränken

  • 25.04.2024

Inhalt Datensammeln für personalisierte Werbung – auf welcher Grundlage? Facebook sammelt auch sensible Daten – ist das legal? Generalanwalt: Facebook darf nicht zeitlich unbegrenzt massenhaft Daten zu Werbezwecken nutzen Urteil des EuGH könnte Grundlage für Schadensersatzansprüche der Nutzer werden Es sieht so aus, als könnte es der dritte große […]

EuGH zu immateriellem DSGVO-Schadensersatz: Betroffenenrechte erneut gestärkt

  • 11.04.2024

Inhalt Facebook-Datenleck – jetzt prüfen Deezer-Datenleck – jetzt prüfen Unternehmen können sich nicht mit Verschulden der Mitarbeiter herausreden DSGVO hat Ausgleichsfunktion Der EuGH hat ein neues Urteil in Sachen immaterieller Schadensersatz nach der DSGVO gefällt und darin die Rechte von Betroffenen weiter gestärkt: Zum einen weist das Gericht deutlich […]

Software hat Sicherheitslücke: Großes Datenleck bei Plattform für Cannabis-Clubs

  • 10.04.2024

Inhalt So gelangten ethische Hacker an die Daten Diskussion um Dokumentierungspflichten Schadensersatz bei Datenlecks Die sogenannten Cannabis Clubs sind eine von zwei möglichen Wegen, um ab dem 1. Juli 2024 an legales Cannabis zu kommen. Zur Verwaltung und Dokumentation der Mitglieder greifen einige davon auf eine niedersächsische Software-Lösung zurück, […]