Kostenloser Download
Verarbeitungsverzeichnis als Excel-Vorlage (Art. 30 DSGVO)
Sofort einsatzbereit: ein vollständig ausgefülltes Beispiel mit sieben typischen Verarbeitungstätigkeiten plus eine leere Vorlage mit Auswahllisten für Rechtsgrundlage und Drittlandtransfer – alle Pflichtspalten nach Art. 30 DSGVO. Keine Anmeldung nötig.
Was ist ein Verarbeitungsverzeichnis?
Das Verarbeitungsverzeichnis – auch Verzeichnis von Verarbeitungstätigkeiten (VVT) genannt – dokumentiert alle Prozesse in Ihrem Unternehmen, bei denen personenbezogene Daten verarbeitet werden. Es ist das zentrale Dokument Ihres Datenschutz-Managements und die Grundlage für jede Datenschutz-Prüfung durch Aufsichtsbehörden.
Gemäß Art. 30 DSGVO müssen Verantwortliche ein solches Verzeichnis führen. Bei Verstößen drohen Bußgelder von bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes.
Verarbeitungsverzeichnis vs. Verfahrensverzeichnis
In der Praxis meinen beide Begriffe dasselbe. „Verfahrensverzeichnis“ ist der ältere Begriff aus dem Bundesdatenschutzgesetz (BDSG) in der Fassung vor der DSGVO. Seit Geltung der DSGVO im Mai 2018 lautet die korrekte Bezeichnung „Verzeichnis von Verarbeitungstätigkeiten“, umgangssprachlich Verarbeitungsverzeichnis. Wenn Sie also noch ein altes Verfahrensverzeichnis pflegen, führen Sie es einfach als Verarbeitungsverzeichnis nach Art. 30 DSGVO fort.
Verantwortlicher und Auftragsverarbeiter – zwei Verzeichnisse
Die DSGVO unterscheidet zwei Rollen mit je eigenem Verzeichnis. Der oder die Verantwortliche – also das Unternehmen, das über Zwecke und Mittel der Datenverarbeitung entscheidet – führt ein Verzeichnis nach Art. 30 Abs. 1 mit den weiter unten genannten Pflichtangaben. Der Auftragsverarbeiter, ein Dienstleister, der Daten im Auftrag verarbeitet (etwa Rechenzentren, Lohnbüros oder externe Marketing-Tools), führt ein gesondertes Verzeichnis nach Art. 30 Abs. 2 mit etwas anderen Pflichtangaben. Wie Auftragsverhältnisse vertraglich abgesichert werden, lesen Sie in unserem Beitrag zum Auftragsverarbeitungsvertrag (AVV).
Pflichtangaben im Verarbeitungsverzeichnis
Jede Verarbeitungstätigkeit in Ihrem Verzeichnis muss folgende Informationen enthalten:
Name der Verarbeitungstätigkeit und der konkrete Zweck der Datenverarbeitung
Welche Personengruppen betroffen sind und welche Datenkategorien verarbeitet werden
Die rechtliche Basis nach Art. 6 DSGVO (z.B. Vertrag, Einwilligung, berechtigtes Interesse)
Technische und organisatorische Maßnahmen (TOMs) zum Schutz der Daten
Vorgesehene Fristen für die Löschung der verschiedenen Datenkategorien
Übermittlungen in Drittländer und die jeweiligen Garantien nach Art. 44 ff. DSGVO
So erstellen Sie Ihr Verarbeitungsverzeichnis mit unserer Software
Unser Datenschutz-Management-System macht die Erstellung Ihres Verarbeitungsverzeichnisses so einfach wie möglich:
1. Vorgefertigte Verarbeitungstätigkeiten auswählen
Wählen Sie aus über 50 typischen Verarbeitungstätigkeiten die passenden für Ihr Unternehmen aus. Von der Lohnabrechnung über die Kundenverwaltung bis zum E-Mail-Marketing – die häufigsten Prozesse sind bereits vorkonfiguriert und mit Beispieldaten ausgefüllt.
2. Angaben anpassen und ergänzen
Passen Sie die vorausgefüllten Angaben an Ihre konkreten Gegebenheiten an. Rechtsgrundlagen, Löschfristen und Empfänger sind als Vorschläge hinterlegt und können mit wenigen Klicks angepasst werden.
3. Risikobewertung automatisch durchführen
Unsere Software bewertet automatisch das Risiko jeder Verarbeitungstätigkeit und zeigt Ihnen, wo Handlungsbedarf besteht. Die integrierte Risikomatrix orientiert sich an den Vorgaben der Datenschutzkonferenz (DSK).
4. TOMs zuordnen und dokumentieren
Ordnen Sie jeder Verarbeitungstätigkeit die passenden technischen und organisatorischen Maßnahmen zu. Unsere Vorlagen enthalten bereits die wichtigsten TOMs nach dem Stand der Technik.
5. Export und Nachweis
Exportieren Sie Ihr fertiges Verarbeitungsverzeichnis als PDF-Dokument – jederzeit aktuell und bereit für Aufsichtsbehörden, Audits oder Kundenanfragen.
Typische Verarbeitungstätigkeiten – Beispiele aus der Praxis
| Verarbeitungstätigkeit | Zweck | Rechtsgrundlage |
|---|---|---|
| Lohn- und Gehaltsabrechnung | Durchführung der Gehaltsabrechnung | Art. 6 Abs. 1 lit. b, c DSGVO |
| Kundenverwaltung / CRM | Verwaltung von Kundenbeziehungen | Art. 6 Abs. 1 lit. b DSGVO |
| Bewerbermanagement | Durchführung des Bewerbungsverfahrens | Art. 6 Abs. 1 lit. b DSGVO, § 26 BDSG |
| Website-Analyse (Google Analytics) | Analyse des Nutzerverhaltens | Art. 6 Abs. 1 lit. a DSGVO |
| E-Mail-Marketing / Newsletter | Versand von Werbemails | Art. 6 Abs. 1 lit. a DSGVO |
| Videoüberwachung | Schutz von Eigentum und Personen | Art. 6 Abs. 1 lit. f DSGVO |
Warum ist das Verarbeitungsverzeichnis so wichtig?
Das Verarbeitungsverzeichnis ist weit mehr als eine lästige Pflicht. Es ist Ihr wichtigstes Werkzeug im Datenschutz-Management:
Nachweis gegenüber Behörden: Bei einer Prüfung durch die Datenschutz-Aufsichtsbehörde ist das VVT das erste Dokument, das angefordert wird. Wer kein aktuelles Verzeichnis vorlegen kann, riskiert empfindliche Bußgelder.
Transparenz im Unternehmen: Sie sehen auf einen Blick, welche Daten wo und warum verarbeitet werden. Das schafft Klarheit für alle Beteiligten – von der Geschäftsführung bis zum einzelnen Mitarbeiter.
Grundlage für Datenschutz-Folgenabschätzung: Für Verarbeitungen mit hohem Risiko ist eine DSFA nach Art. 35 DSGVO erforderlich. Das Verarbeitungsverzeichnis liefert die Basis dafür.
Erfüllung der Rechenschaftspflicht: Nach Art. 5 Abs. 2 DSGVO müssen Sie die Einhaltung der Datenschutzgrundsätze nachweisen können. Das VVT ist dafür das zentrale Instrument.
Häufige Fehler beim Verarbeitungsverzeichnis
Fehler 1: Kein Verzeichnis vorhanden
Viele Unternehmen glauben, sie bräuchten kein VVT, weil sie weniger als 250 Mitarbeiter haben. Diese Ausnahme greift jedoch fast nie, da die meisten Verarbeitungen regelmäßig stattfinden.
Fehler 2: Veraltete Einträge
Ein VVT muss aktuell sein. Neue Verarbeitungstätigkeiten müssen zeitnah ergänzt, weggefallene Prozesse gelöscht werden.
Fehler 3: Fehlende Risikobewertung
Ohne Risikobewertung können Sie nicht erkennen, welche Verarbeitungen besonders schutzbedürftig sind und möglicherweise eine DSFA erfordern.
Fehler 4: Unvollständige Angaben
Fehlende Löschfristen, ungenannte Empfänger oder pauschale Rechtsgrundlagen sind typische Mängel, die bei Prüfungen auffallen.
Verarbeitungsverzeichnis mit unserer Software erstellen
Statt mühsam Excel-Tabellen zu pflegen, nutzen Sie unsere spezialisierte Datenschutz-Software. Die Vorteile:
Über 50 vorgefertigte Verarbeitungstätigkeiten zum Anpassen
Automatische Erinnerungen bei fälligen Überprüfungen
Automatische Risikomatrix nach DSK-Standard
Jederzeit druckfertig für Behörden und Audits
Verarbeitungsverzeichnis jetzt erstellen
Testen Sie unsere Software mit vollständig ausgefülltem Beispiel-Verarbeitungsverzeichnis.
Häufig gestellte Fragen zum Verarbeitungsverzeichnis
Wer muss ein Verarbeitungsverzeichnis führen?
Grundsätzlich jede verantwortliche Stelle, die personenbezogene Daten verarbeitet, sowie Auftragsverarbeiter. Die Ausnahme für Unternehmen mit weniger als 250 Beschäftigten greift in der Praxis fast nie, weil sie schon bei nicht nur gelegentlicher Verarbeitung entfällt.
Ist das Verarbeitungsverzeichnis Pflicht?
Ja. Die Pflicht ergibt sich aus Art. 30 DSGVO. Das Verzeichnis ist schriftlich oder elektronisch zu führen und der Aufsichtsbehörde auf Anfrage vorzulegen.
Gilt die Ausnahme für Unternehmen unter 250 Mitarbeitern?
Nur sehr eingeschränkt. Die Ausnahme nach Art. 30 Abs. 5 DSGVO entfällt, sobald die Verarbeitung ein Risiko für die Betroffenen birgt, nicht nur gelegentlich erfolgt oder besondere Datenkategorien (Art. 9) bzw. Daten zu Straftaten (Art. 10) betrifft. Da fast jedes Unternehmen regelmäßig Daten verarbeitet, besteht die Pflicht praktisch immer.
Was muss im Verarbeitungsverzeichnis stehen?
Nach Art. 30 Abs. 1 DSGVO unter anderem: Name und Kontaktdaten des Verantwortlichen, die Zwecke der Verarbeitung, die Kategorien betroffener Personen und personenbezogener Daten, die Kategorien von Empfängern, Übermittlungen in Drittländer, vorgesehene Löschfristen sowie eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen (TOMs).
Was ist der Unterschied zwischen Verarbeitungs- und Verfahrensverzeichnis?
Gemeint ist dasselbe. „Verfahrensverzeichnis“ ist der alte Begriff aus dem BDSG vor der DSGVO. Seit 2018 heißt es offiziell „Verzeichnis von Verarbeitungstätigkeiten“, umgangssprachlich Verarbeitungsverzeichnis.
Brauchen Verantwortlicher und Auftragsverarbeiter je ein eigenes Verzeichnis?
Ja. Der Verantwortliche führt ein Verzeichnis nach Art. 30 Abs. 1, der Auftragsverarbeiter ein eigenes nach Art. 30 Abs. 2 mit teils anderen Pflichtangaben.
Wie erstelle ich ein Verarbeitungsverzeichnis Schritt für Schritt?
Alle Verarbeitungstätigkeiten erfassen (z. B. Lohnabrechnung, Bewerbermanagement, Newsletter), je Tätigkeit Zweck, Datenkategorien, Empfänger, Löschfristen und TOMs dokumentieren, das Verzeichnis freigeben und regelmäßig aktualisieren. Eine Vorlage oder Software beschleunigt den Prozess.
Excel-Vorlage oder Software – was ist besser?
Eine Excel-Vorlage genügt für den Einstieg und kleine Verzeichnisse. Bei vielen Verarbeitungstätigkeiten, mehreren Mandanten oder häufigen Änderungen ist eine Software sinnvoller, weil sie Versionierung, Wiedervorlagen und konsistente TOMs erleichtert.
Muss ich das Verzeichnis der Aufsichtsbehörde vorlegen?
Ja. Nach Art. 30 Abs. 4 DSGVO ist das Verzeichnis der Aufsichtsbehörde auf Anfrage zur Verfügung zu stellen. Es muss nicht laufend eingereicht, aber jederzeit vorlegbar sein.
Welches Bußgeld droht bei fehlendem Verzeichnis?
Ein fehlendes oder unvollständiges Verzeichnis kann nach Art. 83 Abs. 4 DSGVO mit einer Geldbuße von bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes geahndet werden – maßgeblich ist der höhere Betrag.
Weiterführende Themen zum Datenschutz
Erfahren Sie mehr über technische und organisatorische Maßnahmen (TOMs), die Sie in Ihrem Verarbeitungsverzeichnis dokumentieren müssen.
Datenschutzkonzept →
Das Verarbeitungsverzeichnis ist ein zentraler Bestandteil Ihres Datenschutzkonzepts.
DSGVO Bußgeldkatalog →
Welche Bußgelder drohen bei fehlendem Verarbeitungsverzeichnis? Unser Bußgeldkatalog gibt Auskunft.
DSGVO Checkliste →
Prüfen Sie mit unserer DSGVO-Checkliste, ob Ihr Verarbeitungsverzeichnis vollständig ist.
ISO 27001 Zertifizierung →
Für eine ISO 27001 Zertifizierung ist ein lueckenloses Verarbeitungsverzeichnis Voraussetzung.
Datenschutz-Management-Software →
Verarbeitungsverzeichnis, TOMs, DSFA und Löschkonzept in einem Tool – Vorlagen inklusive.
technische und organisatorische Maßnahmen →
Welche TOMs nach Art. 32 DSGVO ins Verarbeitungsverzeichnis gehören – mit Beispielen.
Datenschutzkonzept erstellen →
Vom Verarbeitungsverzeichnis zum vollständigen Datenschutzkonzept – Aufbau, Muster & Beispiel.