Verarbeitungsverzeichnis nach Art. 30 DSGVO.

Was ist das Verarbeitungsverzeichnis?

Das Verzeichnis listet alle Verarbeitungstätigkeiten in Ihrem Unternehmen auf — also jede Art und Weise, wie personenbezogene Daten verarbeitet werden. Bewerbungen entgegennehmen, Newsletter versenden, Kunden im CRM pflegen, Mitarbeiter abrechnen — alles eigene Verarbeitungstätigkeiten.

Rechtsgrundlage: Art. 30 DSGVO. Das Verzeichnis ist Pflicht, weil es Grundlage der Rechenschaftspflicht (Art. 5 Abs. 2) ist. Es muss schriftlich oder elektronisch vorliegen und der Behörde auf Anforderung zur Verfügung gestellt werden.

Wer ist pflichtig?

Art. 30 Abs. 5 DSGVO sieht für Unternehmen unter 250 Beschäftigten eine Ausnahme vor. Diese Ausnahme greift aber nur, wenn:

• Die Verarbeitung kein Risiko für Betroffene birgt UND
• Sie nur gelegentlich erfolgt UND
• Keine sensiblen Daten betroffen sind (Art. 9, 10 DSGVO).

In der Praxis erfüllt praktisch kein KMU alle drei Bedingungen — Personalverwaltung allein reicht meist schon, um aus der Ausnahme zu fallen. Faustregel: Gehen Sie davon aus, dass Sie pflichtig sind, sobald Sie mindestens einen Mitarbeitenden haben.

Neun Pflicht-Felder pro Eintrag

1. Name und Kontakt des Verantwortlichen — also Ihr Unternehmen mit Anschrift, plus Datenschutzbeauftragter, falls vorhanden.
2. Zwecke der Verarbeitung — wofür werden die Daten benötigt?
3. Beschreibung der Kategorien Betroffener — Kunden, Mitarbeiter, Bewerber, Lieferanten.
4. Beschreibung der Datenkategorien — Stammdaten, Vertragsdaten, Zahlungsdaten, Gesundheitsdaten.
5. Empfänger — an wen werden die Daten weitergegeben? Hier kommen die Dienstleister rein (Newsletter-Tool, Webhoster, Cloud-Anbieter).
6. Übermittlungen in Drittländer — wird in die USA, UK oder andere Länder außerhalb der EU übertragen? Auf welcher Rechtsgrundlage?
7. Löschfristen — wann werden die Daten gelöscht? Pro Kategorie eigene Frist.
8. Technische und organisatorische Maßnahmen (TOMs) — wie sind die Daten geschützt? Zugriffskontrollen, Verschlüsselung, Backup-Strategie.
9. Rechtsgrundlage — Art. 6 DSGVO mit konkretem Buchstaben: Einwilligung, Vertrag, rechtliche Verpflichtung, berechtigtes Interesse.

Vier Beispiel-Einträge

Eintrag 1: Bewerbermanagement

• Zweck: Auswahl von Bewerbern für offene Stellen
• Betroffene: Bewerber
• Datenkategorien: Kontaktdaten, Lebenslauf, Zeugnisse, Anschreiben
• Empfänger: Personalverantwortung, Fachvorgesetzte, ggf. Personalsoftware-Anbieter
• Drittländer: keine
• Löschfrist: 6 Monate nach Absage; bei Einstellung: Übernahme in Personalakte
• TOMs: Zugriffsrechte begrenzt, verschlüsselte E-Mail-Übermittlung
• Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche Maßnahmen)

Eintrag 2: Newsletter

• Zweck: Direktwerbung und Kundenbindung
• Betroffene: Newsletter-Abonnenten
• Datenkategorien: E-Mail-Adresse, Vorname, Anmeldezeitpunkt, IP-Adresse
• Empfänger: Newsletter-Provider (z. B. CleverReach)
• Drittländer: bei US-Anbietern: USA mit SCC + DPF
• Löschfrist: bis Widerruf der Einwilligung; danach unverzüglich
• TOMs: Double-Opt-In-Verfahren, SSL-Übertragung
• Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung)

Eintrag 3: Buchhaltung

• Zweck: Erfüllung steuerlicher Aufzeichnungspflichten
• Betroffene: Kunden, Lieferanten
• Datenkategorien: Name, Anschrift, Bankdaten, Steuernummer, Rechnungsdaten
• Empfänger: Steuerberater, Finanzamt, Buchhaltungs-Software (z. B. Datev)
• Drittländer: keine
• Löschfrist: 10 Jahre nach Ablauf des Steuerjahres (§ 147 AO)
• TOMs: Zugriff nur Buchhaltung, verschlüsseltes Backup
• Rechtsgrundlage: Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtung)

Eintrag 4: Mitarbeiterverwaltung

• Zweck: Personalverwaltung, Lohn- und Gehaltsabrechnung
• Betroffene: Mitarbeitende
• Datenkategorien: Stammdaten, Vertragsdaten, Steuerdaten, Krankenversicherung, Bankdaten
• Empfänger: Lohnbuchhaltung, Finanzamt, Krankenkasse, Berufsgenossenschaft
• Drittländer: keine
• Löschfrist: 3 Jahre nach Ende des Arbeitsverhältnisses für Personalakte; Lohn- und Steuerdaten 10 Jahre
• TOMs: Personalakten verschlossen, digitale Personalsoftware mit Zugriffsbeschränkung
• Rechtsgrundlage: Art. 6 Abs. 1 lit. b und c DSGVO

Excel oder spezialisierte Software?

Für KMU mit bis zu 100 Mitarbeitenden reicht eine gut strukturierte Excel-Tabelle. Vorteil: keine zusätzlichen Kosten, einfache Anpassung. Nachteil: keine automatische Versionierung, keine Verknüpfung zu AVVs.

Spezialisierte Datenschutz-Software (Caralegal, audatis MANAGER, Datenschutz-Manager von ISiCO) bietet typischerweise:

• Vorlagen für Standard-Verarbeitungen
• Verknüpfung Verarbeitungsverzeichnis ↔ AVVs ↔ TOMs
• Automatische Reminder bei Löschfristen
• Audit-Trail für die Behördenprüfung
• Mehr-Benutzer-Zugriff für Datenschutzteam

Wir empfehlen Software ab etwa 80 Mitarbeitenden oder wenn das Unternehmen mehrere Standorte hat. Bei dataschild. setzen wir für unsere Mandanten häufig auf Caralegal — der monatliche Software-Preis von etwa 50 € pro Mandant ist nicht in unserem Standard-Abo enthalten, sondern wird separat bei Bedarf bestellt.

Häufige Fehler im Verarbeitungsverzeichnis

• Pauschale Einträge. „Verarbeitung von Kundendaten“ reicht nicht — getrennte Einträge für CRM-Pflege, Rechnungsstellung, Beschwerdebearbeitung.
• Fehlende Löschfristen. Wenn jeder Eintrag „solange wie nötig“ sagt, fehlt die konkrete Frist — ein häufig moniertes Defizit.
• Veraltete TOM-Beschreibung. Sicherheitsmaßnahmen, die seit drei Jahren nicht aktualisiert wurden — beweisen, dass das Verzeichnis nicht gepflegt wird.
• Fehlende Subunternehmer beim Cloud-Anbieter. Wer Microsoft 365 nutzt, hat indirekt auch alle Microsoft-Subunternehmer als Datenempfänger — das gehört ins Verzeichnis.

Im Setup-Paket bekommen Sie ein vollständig vorausgefülltes Verarbeitungsverzeichnis für die typischen KMU-Verarbeitungen — und pflegen es im laufenden Abo gemeinsam mit uns weiter. Mehr zum Setup-Prozess unter Setup & Audit.