Zum Inhalt springen
📞 Praxisbezogene & bezahlbare ISO 27001 / TISAX Beratung: Jetzt kostenloses Erstgespräch sichern → Termin vereinbaren
Anfrage
NIS2
TISAX®
Startseite » Unser Blog » Verarbeitung nach DSGVO

Verarbeitung nach DSGVO

Verarbeitung nach DSGVO
Verarbeitung nach DSGVO

Verarbeitung nach DSGVO

Verarbeitung nach DSGVO bedeutet, mit oder ohne Hilfe eines automatisierten Verfahrens ausgeführte Vorgänge, die im Zusammenhang mit personenbezogenen Daten stehen. Beispielsweise das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung oder Verbreitung. Oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung von personenbezogenen Daten.

Die Datenschutz-Grundverordnung (DSGVO) regelt europaweit, wie personenbezogene Daten verarbeitet werden dürfen. Ein zentrales Element dieser Verordnung ist Art. 5 DSGVO, der die Grundsätze für die Verarbeitung personenbezogener Daten festlegt. Für Unternehmen, Institutionen und Organisationen ist es entscheidend, diese Vorgaben im Alltag umzusetzen, um rechtliche Risiken zu minimieren und das Vertrauen von Kunden, Geschäftspartnern und Mitarbeitern zu erhalten.

Verfahrensverzeichnis nach BDSG

Wer im Bundesdatenschutzgesetz nach dem Begriff Verfahrensverzeichnis sucht, wird nicht so schnell fündig. Das BDSG unterscheidete zwischen einem internen und einem externen Verzeichnis (§ 4g Abs. 2 // 5.4e BDSG). Das öffentliche (externe) Verzeichnis sollte auf der Webseite veröffentlicht werden – ist seit der Einführung der DSGVO aber nicht mehr zwingend erforderlich.

Vorteil: Dadurch, dass es für jedermann sichtbar war, mussten keine zusätzlichen Anfragen gestellt werden. Das sparte Zeit und Kosten.

Inhalt Verfahrensverzeichnis

Datenschutzbeauftragter Extern
Datenschutzbeauftragter Extern
  • Name oder Firmierung, sowie Anschrift der verantwortlichen Stelle
  • Gesetzliche Vertreter, Benennung Datenschutzbeauftragten
  • Zweck der Datenerhebung
  • Betroffene Personengruppen
  • Erhobene Datenkategorien
  • Empfänger oder Kategorien von Empfänger der Daten
  • Angaben zu den Löschfristen
  • Angaben zu Übermittlung an Drittstaaten

Grundsätze des Art. 5 DSGVO im Überblick

Art. 5 DSGVO enthält die zentralen Prinzipien für die Verarbeitung personenbezogener Daten. Unternehmen sind verpflichtet, diese Grundsätze bei jeder Verarbeitung einzuhalten.

Rechtmäßigkeit, Treu und Glauben & Transparenz

Daten müssen auf einer gültigen Rechtsgrundlage verarbeitet werden (z. B. Einwilligung, Vertrag, berechtigtes Interesse). Betroffene müssen nachvollziehen können, wie ihre Daten verwendet und wie lange sie gespeichert werden.

Zweckbindung

Personenbezogene Daten dürfen nur für klar definierte und legitime Zwecke erhoben werden. Eine Weiterverarbeitung ist nur erlaubt, wenn sie mit dem ursprünglichen Zweck vereinbar ist oder eine neue Rechtsgrundlage besteht.

Datenminimierung

Es dürfen nur Daten verarbeitet werden, die für den Zweck notwendig sind. So sinkt das Risiko für Missbrauch und Datenlecks.

Richtigkeit

Verarbeitete Daten müssen sachlich korrekt und aktuell sein. Unternehmen sollten Prozesse einführen, um veraltete oder falsche Daten regelmäßig zu berichtigen.

Speicherbegrenzung

Daten dürfen nur solange gespeichert werden, wie sie für den Zweck notwendig sind. Danach sind sie konsequent zu löschen oder zu anonymisieren.

Integrität und Vertraulichkeit

Unternehmen müssen personenbezogene Daten vor unbefugtem Zugriff, Verlust oder Schädigung schützen. Dazu gehören technische und organisatorische Maßnahmen wie Verschlüsselung, Zugriffsrechte und Sicherheitsüberprüfungen.

Rechenschaftspflicht

Verantwortliche müssen jederzeit nachweisen können, dass sie die DSGVO einhalten. Dokumentationen, Verzeichnisse, Schulungen und Audits sind dafür unverzichtbar.

Auszug Verfahrensverzeichnis

Nr.VerarbeitungstätigkeitZweckBetroffene PersonenKategorien von DatenRechtsgrundlageEmpfängerDrittland?SpeicherdauerTOM (Technische und Organisatorische Maßnahmen)
1PersonalverwaltungLohn- und GehaltsabrechnungMitarbeiterKontaktdaten, Bankdaten, Steuerdaten, GesundheitsdatenArt. 6 Abs. 1 lit. b (Vertragserfüllung)Finanzamt, SteuerberaterNein10 Jahre nach AusscheidenZugriffsbeschränkungen, Passwortrichtlinien, verschlüsselter Datentransfer
2KundenbetreuungAngebotserstellung, AuftragsabwicklungKundenKontaktdaten, Bestelldaten, ZahlungsinfosArt. 6 Abs. 1 lit. b (Vertragserfüllung)Buchhaltung, externer HosterNein6 Jahre nach Ende des VertragsVerschlüsselung, Rollen- und Rechtekonzept
3NewsletterversandMarketing, KundenbindungNewsletter-AbonnentenE-Mail-Adresse, ggf. NameArt. 6 Abs. 1 lit. a (Einwilligung)E-Mail-DienstleisterJa (USA)Bis Widerruf durch KundenAuftragsverarbeitungsvertrag, Standardvertragsklauseln
Das Verarbeitungsverzeichnis gibt einen umfassenden Überblick über alle relevanten Datenverarbeitungsprozesse im Unternehmen. Hinweis: Die Tabelle sollte noch erweitert werden ob eine Datenschutzfolgeabschätzung notwendig ist (Risikobetrachtung).

Aufbau Verarbeitungsverzeichnis nach Art. 30 DSGVO

Ein Verzeichnis von Verarbeitungstätigkeiten dokumentiert, wie personenbezogene Daten verarbeitet werden. Es ist für viele Unternehmen verpflichtend und muss auf Anfrage den Aufsichtsbehörden vorgelegt werden. Folgende Punkte gehören in jedes Verzeichnis:

1. Verantwortliche Stelle & Kontaktdaten

Name und Kontaktdaten des Verantwortlichen (Unternehmen, Adresse, E-Mail, Telefon). Falls vorhanden: Kontaktdaten des Datenschutzbeauftragten. ➝ Klärt, wer verantwortlich ist und wer Ansprechperson für Datenschutzfragen ist.

2. Zweck(e) der Verarbeitung

Beschreibung der Zwecke, z. B. Personalverwaltung, Kundenbetreuung, Marketing, Buchhaltung. ➝ Die Nennung konkreter Zwecke ist entscheidend, um den Grundsatz der Zweckbindung (Art. 5 DSGVO) einzuhalten.

3. Kategorien betroffener Personen & Daten

Betroffene: Kunden, Mitarbeiter, Lieferanten, Website-Besucher. Datenarten: Kontaktdaten, Zahlungsinformationen, IP-Adressen, Gesundheitsdaten. ➝ Gibt einen Überblick über Art & Umfang der gespeicherten Daten.

4. Rechtsgrundlagen

Angabe nach Art. 6 DSGVO: Einwilligung (a), Vertragserfüllung (b), rechtliche Verpflichtung (c), lebenswichtige Interessen (d), öffentliche Aufgabe (e), berechtigtes Interesse (f). ➝ Zeigt die Rechtmäßigkeit der Verarbeitung.

5. Empfänger oder Kategorien von Empfängern

Interne Empfänger: Abteilungen (z. B. HR, Buchhaltung). Externe Empfänger: Dienstleister, Behörden, Partner (z. B. Steuerberater, Zahlungsdienstleister). ➝ Transparenz über Datenflüsse im Unternehmen.

6. Übermittlung in Drittländer (falls zutreffend)

Angabe von Land, Rechtsgrundlage und ggf. Garantien (z. B. EU-Standardvertragsklauseln). ➝ Stellt sicher, dass Daten auch außerhalb der EU DSGVO-konform geschützt sind.

7. Aufbewahrungsfristen

Wie lange werden Daten gespeichert? Oder nach welchen Kriterien bestimmt sich die Dauer? ➝ Umsetzung des Grundsatzes der Speicherbegrenzung (Art. 5 DSGVO).

8. Technische & organisatorische Maßnahmen (TOM)

Beschreibung der Sicherheitsmaßnahmen, z. B. Zugriffsrechte, Verschlüsselung, sichere Passwörter, Firewalls. ➝ Nachweis, wie Vertraulichkeit und Integrität der Daten geschützt werden.

9. Besonderheiten oder Anmerkungen

Optional: Zusätzliche Hinweise wie interne Richtlinien, Prozessdokumentationen oder Verfahrensanweisungen. ➝ Dient der Abrundung und Transparenz im Datenschutzmanagement.

Checkliste: 9 Pflichtangaben im Verarbeitungsverzeichnis

Diese Angaben müssen nach Art. 30 DSGVO in jedem Verzeichnis von Verarbeitungstätigkeiten enthalten sein:

  • ✅ Verantwortliche Stelle & Kontaktdaten
  • ✅ Zweck(e) der Verarbeitung
  • ✅ Kategorien betroffener Personen & Daten
  • ✅ Rechtsgrundlagen (Art. 6 DSGVO)
  • ✅ Empfänger oder Kategorien von Empfängern
  • ✅ Übermittlung in Drittländer (falls zutreffend)
  • ✅ Aufbewahrungsfristen
  • ✅ Technische & organisatorische Maßnahmen (TOM)
  • ✅ Besonderheiten oder Anmerkungen

Das Verarbeitungsverzeichnis

Das Verarbeitungsverzeichnis gibt einen umfassenden Überblick über alle relevanten Datenverarbeitungsprozesse im Unternehmen. Es ist nach Art. 30 DSGVO für die meisten Unternehmen verpflichtend und muss auf Anfrage den Aufsichtsbehörden vorgelegt werden.

Hinweis: Zusätzlich sollte dokumentiert werden, ob eine Datenschutzfolgeabschätzung (DSFA) notwendig ist. Dies ist Teil der Risikobetrachtung und stellt sicher, dass Verarbeitungen mit hohem Risiko für die Betroffenen besonders geprüft werden.

Unterschiede zwischen BDSG und DSGVO

Im Gegensatz zum früheren BDSG sieht die DSGVO existenzbedrohende Strafen vor, wenn Unternehmen kein Verarbeitungsverzeichnis führen oder es nicht bereitstellen. Während das BDSG zwischen einem internen und einem öffentlichen Verzeichnis unterschied, macht die DSGVO keinen Unterschied mehr – das Verzeichnis muss aber jederzeit den Aufsichtsbehörden auf Anfrage vorgelegt werden.

Art. 30 DSGVO schreibt folgende Pflichtangaben vor:

  • Name und Kontaktdaten des Unternehmens
  • Name und Kontaktdaten des Datenschutzbeauftragten (DSB)
  • Zweck(e) der Verarbeitung
  • Kategorien betroffener Personen (z. B. Kunden, Mitarbeiter, Lieferanten)
  • Kategorien personenbezogener Daten (z. B. Gesundheitsdaten, Anschrift, Steuer-ID, Krankenkasse)
  • Kategorien von Empfängern (z. B. Krankenkasse, Steuerberater, Auftragsverarbeiter, Creditreform)
  • Gegebenenfalls Angaben zu Übermittlungen in Drittländer
  • Aufbewahrungsfristen
  • Technische und organisatorische Maßnahmen (TOMs)
  • Angabe, ob eine DSFA notwendig ist (Risikobetrachtung)

Praxis-Hinweis

Je nach Unternehmensgröße und Tätigkeitsbereich kann das Verzeichnis sehr umfangreich sein. Es sollte stets sorgfältig, transparent und vollständig geführt werden. Nur so lassen sich rechtliche Risiken minimieren und ein klarer Überblick über die Datenflüsse im Unternehmen sicherstellen.

Ziel

Ein vollständiges, aktuelles und formal korrektes Verfahrensverzeichnis, das alle Datenverarbeitungen im Unternehmen abbildet und den rechtlichen Vorgaben (Art. 30 DSGVO, BDSG) entspricht.

Vorgehen

  • Verantwortlichkeiten definieren und rechtliche Vorgaben klären
  • Template erstellen und strukturieren
  • Daten erfassen, validieren und in einer Master-Version zusammenführen
  • Rechtliche und technische Anforderungen prüfen und ggf. anpassen
  • Finale Freigabe und laufende Aktualisierung sicherstellen

Wichtig: Das Verzeichnis von Verarbeitungstätigkeiten ist kein einmaliges Projekt, sondern ein dynamisches Dokument, das sich mit den Geschäftsprozessen weiterentwickelt.

FAQ – Verzeichnis von Verarbeitungstätigkeiten (Art. 30 DSGVO)

Die häufigsten Fragen und Antworten rund um das Verarbeitungsverzeichnis – Pflichtangaben, Zuständigkeiten und praktische Umsetzung.

1Was ist ein Verarbeitungsverzeichnis?

Ein Dokument nach Art. 30 DSGVO, das alle relevanten Verarbeitungstätigkeiten personenbezogener Daten im Unternehmen auflistet.

2Wer muss ein Verarbeitungsverzeichnis führen?

Alle Unternehmen und Organisationen, die regelmäßig personenbezogene Daten verarbeiten – unabhängig von Größe oder Branche. Nur wenige Kleinstunternehmen sind ausgenommen.

3Welche Inhalte sind verpflichtend?
  • Verantwortliche Stelle & Kontaktdaten
  • Zweck(e) der Verarbeitung
  • Kategorien betroffener Personen & Daten
  • Rechtsgrundlagen
  • Empfänger & Drittländer
  • Aufbewahrungsfristen
  • Technische & organisatorische Maßnahmen (TOM)
4Muss eine Datenschutzfolgeabschätzung (DSFA) dokumentiert werden?

Ja. Bei Verarbeitungen mit hohem Risiko für Betroffene sollte im Verzeichnis angegeben sein, ob eine DSFA durchgeführt wurde.

5Wer ist für das Verzeichnis verantwortlich?

Die Unternehmensleitung bzw. der Verantwortliche nach DSGVO. Der Datenschutzbeauftragte unterstützt, ist aber nicht allein verantwortlich.

6Muss das Verzeichnis veröffentlicht werden?

Nein. Anders als im alten BDSG ist keine Veröffentlichung mehr notwendig. Es muss jedoch jederzeit den Aufsichtsbehörden vorgelegt werden können.

7Wie oft muss das Verzeichnis aktualisiert werden?

Bei jeder Änderung von Prozessen oder Systemen. Spätestens jedoch einmal jährlich im Rahmen interner Überprüfungen.

8Welche Strafen drohen bei Verstößen?

Fehlt ein Verarbeitungsverzeichnis, können Bußgelder bis zu 10 Mio. € oder 2 % des weltweiten Jahresumsatzes verhängt werden.

9Welche Rolle spielt der Datenschutzbeauftragte?

Er unterstützt bei der Erstellung und Pflege, kontrolliert die Einhaltung der DSGVO, ist aber nicht der „Eigentümer“ des Verzeichnisses.

10Wie umfangreich ist ein Verarbeitungsverzeichnis?

Je nach Unternehmensgröße und Prozessen kann es wenige Seiten bis hin zu einem komplexen Dokument umfassen. Wichtig ist, dass es vollständig und nachvollziehbar ist.

Kostenloses Erstgespräch vereinbaren

Sie möchten prüfen, wie Ihr Unternehmen DSGVO-konform aufgestellt ist? In einem unverbindlichen Erstgespräch zeigen wir Ihnen Optimierungsmöglichkeiten und die nächsten Schritte.

➡ Jetzt Erstgespräch anfragen
Schlagwörter:
Stefan Stroessenreuther

Stefan Stroessenreuther

Consulting Qualitätsmanagement ISO 9001 | Personenzertifizierter IATF 16949 und VDA 6.3 Auditor | Information Security Officer ISO/IEC 27001 | Dozent IMB Integrations Modell Bayreuth | Mitglied der Deutschen Gesellschaft für Qualität | Lead Auditor ISO 14001 | Lead Auditor ISO 45001 | Lead Auditor ISO 9001

Berechnung der durchschnittlichen Zertifizierungskosten ISO 9001

Qualitätsmanagement Beratung ISO 9001 - kompetent und flexibel