Was ist ein Datenverarbeitungsverzeichnis und warum ist es wichtig?

1. Begriffsklärung: Was meint "Verarbeitung" und "personenbezogene Daten"?
2. Was gehört in ein Datenverarbeitungsverzeichnis?
3. Schritt für Schritt Anleitung: So erstellst du ein Datenverarbeitungsverzeichnis 
4. Häufige Fehler und wie ich sie vermeide
5. Hilfreiche Tools
6. Aufsichtsbehörden in Europa: Prüfungspflicht und Vorlageverlangen nach Art. 30 Abs. 4 DSGVO
7. Checkliste zur Selbstprüfung: Ist mein Verzeichnis vollständig?
8. Fazit: Kein Selbstzweck, sondern Steuerungstool

Wenn ich mit Unternehmen über Datenschutz spreche, gibt es ein Thema, das früher oder später immer zur Sprache kommt: das Datenverarbeitungsverzeichnis, häufig auch Verzeichnis von Verarbeitungstätigkeiten oder kurz einfach VVT genannt. Für viele ist es ein bürokratisches Muss. Für mich ist es jedoch ein zentrales Element jeder datenschutzkonformen Organisation und ein echtes Steuerungsinstrument für Transparenz und Sicherheit. Denn ein gut gepflegtes Verzeichnis hilft dabei, alle Prozesse im Unternehmen zu überblicken, bei denen personenbezogene Daten verarbeitet werden.

Begriffsklärung: Was meint "Verarbeitung" und "personenbezogene Daten"?

Die DSGVO definiert "Verarbeitung" sehr weitreichend. Gemeint ist jede Handlung, die mit personenbezogenen Daten durchgeführt wird: Vom Erheben über die Speicherung und Nutzung bis hin zur Löschung.

Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare Person beziehen. Dazu zählen beispielsweise:

• Name und Vorname
• Adresse
• Telefonnummer
• E-Mail-Adresse
• Kontodaten
• Standortdaten
• IP-Adressen
• Gesundheitsdaten

Rechtlicher Rahmen: DSGVO und revDSG

Die Verpflichtung zur Führung eines Verzeichnisses ergibt sich direkt aus:

• Artikel 30 DSGVO (für Unternehmen in der EU oder mit EU-Bezug),
• Artikel 12 revDSG (für Unternehmen in der Schweiz).

Beide Gesetze verlangen, dass ich als Verantwortliche*r oder Auftragsverarbeiter*in jederzeit nachweisen kann, wie ich personenbezogene Daten verarbeite. Diese sogenannte Rechenschaftspflicht ("Accountability") ist ein Kernprinzip des modernen Datenschutzrechts.

Was gehört in ein Datenverarbeitungsverzeichnis?

Je nachdem, ob ich als Verantwortliche*r oder Auftragsverarbeiter*in handle, unterscheiden sich die Anforderungen leicht. In der Praxis arbeite ich aber meistens mit einer einheitlichen Struktur, die folgende gesetzlich geforderte Punkte abdeckt:

Für jede Verarbeitungstätigkeit dokumentiere ich:

1. Name und Kontaktdaten des Unternehmens und des Datenschutzbeauftragten
2. Zweck der Verarbeitung (z. B. Kundenverwaltung, Bewerbung, Newsletter)
3. Betroffene Personengruppen (z. B. Kund*innen, Mitarbeitende, Lieferant*innen)
4. Kategorien personenbezogener Daten (z. B. Name, Adresse, Kontodaten, Gesundheitsdaten)
5. Empfänger*in oder Kategorien von Empfänger*innen (z. B. Steuerberater, IT-Dienstleister)
6. Übermittlungen in Drittländer außerhalb der EU/EWR (z. B. USA)
7. Speicherdauer oder Kriterien zur Festlegung der Löschfrist
8. Technische und organisatorische Maßnahmen (TOMs) zur Datensicherheit (z. B. Firewalls, Zwei-Faktor-Authentifizierung)

Diese Angaben mache ich für jede einzelne Verarbeitungstätigkeit, also z. B. getrennt für das Bewerbermanagement, die Lohnabrechnung oder den Versand von Newslettern.

Ergänzung: Anforderungen in der Schweiz (revDSG)

Mit Inkrafttreten des revDSG am 1. September 2023 ist auch in der Schweiz die Pflicht zur Führung eines Verzeichnisses der Bearbeitungstätigkeiten endgültig etabliert. Damit wird — ähnlich wie unter der Datenschutz-Grundverordnung (DSGVO) — Transparenz über alle Datenflüsse verlangt. 

Wenn ich mit Schweizer Unternehmen spreche, betone ich immer: Das Verzeichnis ist in der Regel Pflicht – nicht nur optional. Auch wenn einige Ausnahmen bestehen, betrifft die Pflicht zur Dokumentation die Mehrzahl der Unternehmen in der Schweiz. 

Wer ist betroffen und wer kann ausgenommen sein?

Laut revDSG müssen grundsätzlich Verantwortliche und Auftragsbearbeiter*innen ein Verzeichnis führen. Ausnahmen gelten nur dann, wenn:

• das Unternehmen weniger als 250 Mitarbeitende hat, und
• die Datenbearbeitung ein geringes Risiko für die Persönlichkeit der betroffenen Personen birgt.

Was muss das Verzeichnis enthalten? (revDSG – Mindestanforderungen)

Gemäß den Anforderungen nach revDSG sind im Verzeichnis mindestens folgende Angaben zu pflegen: 

• Identität des Verantwortlichen (also dein Unternehmen)
• Bearbeitungszweck der jeweiligen Verarbeitungstätigkeit
• Kategorien betroffener Personen und Kategorien der bearbeiteten Personendaten
• Kategorien der Empfänger*innen (also, wer Zugriff hat bzw. wer die Daten erhält)
• Aufbewahrungsdauer der Daten oder Kriterien zur Festlegung dieser Frist
• Allgemeine Beschreibung der Maßnahmen zur Gewährleistung der Datensicherheit (z. B. organisatorische oder technische Maßnahmen)
• Wenn Daten ins Ausland übermittelt werden: Angabe der jeweiligen Staaten und der getroffenen Garantien bzw. Schutzmechanismen

Schritt für Schritt Anleitung: So erstellst du ein Datenverarbeitungsverzeichnis 

Viele Unternehmen wissen nicht, wo sie anfangen sollen. Ich habe mir deshalb eine Schritt-für-Schritt-Methode angewöhnt, mit der ich systematisch vorgehe und im Rahmen eines Datenschutzaudits die notwendigen Informationen erhebe:

1. Alle Verarbeitungstätigkeiten identifizieren

Alle Abteilungen im Unternehmen analysieren. Von HR über IT, Marketing, Buchhaltung, und Vertrieb. Dabei stelle ich Fragen wie:

• Wo werden Daten erhoben?
• Welche Tools oder Systeme nutzt ihr?

2. Betroffene Personen erfassen

Welche Personen sind von der Datenverarbeitung betroffen? Beispiele sind Mitarbeitende, Kund*innen, Bewerber*innen, Lieferant*innen etc.

3. Datenkategorien auflisten

Erhebung welche Daten verarbeitet werden: Kontaktdaten, Vertragsdaten, Zahlungsinformationen, besondere Kategorien wie Gesundheitsdaten.

4. Zweck und Rechtsgrundlage benennen

Als nächsten Schritt wird der Zweck der Datenverarbeitung erhoben,z. B. Vertragserfüllung, gesetzliche Pflicht, berechtigtes Interesse.

5. Empfänger und Auftragsverarbeiter dokumentieren

Ich liste alle internen und externen Empfänger der Daten. Bei Dienstleister*innen prüfe ich, ob ein Auftragsverarbeitungsvertrag (AVV) vorliegt oder eine Vereinbarung zur gemeinsamen Verantwortlichkeit notwendig ist.

6. Speicherdauer und Löschfristen angeben

Ich formuliere klare Regeln: z. B. "X Monate nach Ablauf des Bewerbungsverfahrens" oder "10 Jahre gemäß steuerrechtlicher Vorgaben".

7. Schutzmaßnahmen dokumentieren

Ich halte fest, wie ich Daten technisch und organisatorisch schütze – etwa durch Zugriffsrechte, Verschlüsselung oder Backup-Routinen.

Wie oft muss ich mein Verzeichnis aktualisieren?

Ich empfehle dringend, das Verzeichnis mindestens einmal pro Jahr zu überprüfen und zu aktualisieren. Zusätzlich sollte es bei jeder relevanten Änderung angepasst werden, z. B.:

• Einführung neuer Software oder Systeme
• Wechsel des Dienstleisters
• Änderung des Verarbeitungszwecks
• neue gesetzliche Anforderungen

Ich habe gute Erfahrungen damit gemacht, die Aktualisierung mit einem jährlichen Datenschutz-Check oder internen Audit zu verbinden.

Häufige Fehler und wie ich sie vermeide

Hier sind typische Fehler, die ich in der Praxis oft beobachte:

• Das Verzeichnis ist unvollständig: Viele Unternehmen vergessen einzelne Prozesse oder Datenflüsse, etwa interne Chat-Systeme, Videokonferenzen oder Social Media Ads.
• Verzeichnis wurde einmal erstellt und nie wieder angepasst: Ein veraltetes VVT bringt im Prüfungsfall nichts und kann auch nicht als Steuerungselement dienen.
• Auftragsverarbeiter sind nicht erfasst: Kleine Agenturen, Hoster oder Freelancer*innen geraten oft in Vergessenheit.
• Löschfristen sind zu unkonkret: Angaben wie "wird bei Bedarf gelöscht" sind nicht ausreichend.

Hilfreiche Tools

Je nach Kundenanforderung führen wir bei unseren Kunden das VVT entweder Word oder Excel-basiert oder softwareunterstützt. Besonders praktisch finde ich:

• dataguard – Datenschutzberatung plus Software
• heyData – ideal für KMUs, intuitive Oberfläche

Diese Plattformen erleichtern mir die Pflege des VVT enorm, besonders bei mehreren Verantwortlichen oder komplexeren Strukturen wie in Unternehmensgruppen.

Aufsichtsbehörden in Europa: Prüfungspflicht und Vorlageverlangen nach Art. 30 Abs. 4 DSGVO

Was viele Unternehmen unterschätzen: Das Datenverarbeitungsverzeichnis muss nicht nur erstellt werden, es muss auch jederzeit vorgelegt werden können, wenn eine Datenschutzaufsichtsbehörde dies verlangt.

Laut Artikel 30 Absatz 4 DSGVO gilt klar: "Das Verzeichnis ist der Aufsichtsbehörde auf Anfrage zur Verfügung zu stellen." Das bedeutet in der Praxis:

• Die Datenschutzbehörde kann das VVT im Rahmen eines Audits, einer Beschwerde oder eines Datenschutzvorfalls anfordern.
• Ich muss es unverzüglich und vollständig vorlegen können.
• Ist das Verzeichnis nicht vorhanden oder unvollständig, droht ein Verstoß gegen die Rechenschaftspflicht (Art. 5 Abs. 2 DSGVO), der mit Bußgeldern sanktioniert werden kann.

Deshalb gilt für mich: Das VVT ist kein interner Zettel für die Schublade, sondern ein relevantes Prüfungsdokument, das ich jederzeit aktuell und nachvollziehbar führen muss.

Checkliste zur Selbstprüfung: Ist mein Verzeichnis vollständig?

Diese Checkliste nutze ich regelmäßig, um VVT zu prüfen.

Allgemeines:

•  Habe ich ein aktuelles Datenverarbeitungsverzeichnis erstellt?
•  Sind alle Abteilungen einbezogen worden?
•  Ist klar, wer das VVT regelmäßig pflegt?
•  Weiß ich, ob ich Verantwortlicher oder Auftragsverarbeiter bin?

Inhaltliche Vollständigkeit

•  Sind alle Verarbeitungstätigkeiten erfasst?
•  Sind Zweck, Datenkategorien und betroffene Personengruppen vollständig?
•  Habe ich alle Empfänger*innen und Auftragsverarbeiter*innen dokumentiert?
•  Gibt es Einträge zu Drittlandübermittlungen?
•  Sind Speicherdauern und Löschfristen angegeben?
•  Sind meine technischen und organisatorischen Maßnahmen beschrieben?
•  Liegen gültige Auftragsverarbeitungsverträge vor?

Pflege und Aktualisierung

•  Habe ich das Verzeichnis im letzten Jahr überprüft?
•  Wird es bei System- oder Dienstleisterwechseln aktualisiert?
•  Gibt es eine Versionierung oder Änderungsdokumentation?

Weiterführende Punkte

•  Verknüpfe ich das VVT mit meiner Datenschutzrichtlinie oder DSFA?

Fazit: Kein Selbstzweck, sondern Steuerungstool

Ein sauberes Datenverarbeitungsverzeichnis ist aus meiner Sicht kein Selbstzweck, sondern ein Ausdruck von Verantwortung und Organisation. Es hilft mir dabei, Klarheit über meine Prozesse zu gewinnen, Risiken zu minimieren und meine Rechenschaftspflicht zu erfüllen. Außerdem dient es als Steuerungstool für Datenschutz-Compliance.