# Verarbeitungsverzeichnis

### 📖 Definition

Das **Verarbeitungsverzeichnis** ist die **strukturierte Kartierung aller Verarbeitungen personenbezogener Daten** innerhalb Ihrer Organisation.\
Es stellt den **Ausgangspunkt jeder Kontrolle** durch eine Datenschutzaufsichtsbehörde (z. B.: CNIL) und ein **zentrales Instrument der Compliance-Governance** dar.

> 🔗 Das Verarbeitungsverzeichnis ist in [Artikel 30 der DSGVO](https://www.cnil.fr/fr/reglement-europeen-protection-donnees/chapitre4#Article30) vorgesehen.\
> Es konkretisiert das Prinzip der **Accountability**, also der nachweisbaren Verantwortlichkeit.

Es ermöglicht die genaue Identifizierung von:

* Den beteiligten **Stakeholdern** (Verantwortlicher, Auftragsverarbeiter, gemeinsam Verantwortliche, Vertreter)
* Den **Kategorien der erhobenen Daten**
* Den **Verarbeitungszwecken**
* Den **Empfängern und Datenübermittlungen**
* Den **Speicherdauern**
* Den umgesetzten **Sicherheitsmaßnahmen**

Wie Sie in den "Run"-Modus bei der Verwaltung der Verarbeitungsverzeichnisse wechseln

***

### 🎯 Warum ein Verarbeitungsverzeichnis führen?

Das Verarbeitungsverzeichnis ist **verpflichtend** (Artikel 30 der DSGVO).\
Aber über die regulatorische Pflicht hinaus wird es zu einem **echten Steuerungsinstrument**, das Ihnen ermöglicht:

* Ihre Verarbeitungen zu dokumentieren, um **Ihre Compliance nachzuweisen**,
* Risiken zu identifizieren und zu **priorisieren**,
* Ihre **Speicherdauern zu optimieren**,
* Ihre **Verarbeitungen zu rationalisieren** und unnötige Daten zu löschen,
* Ihre **DSGVO-Audits** und **DSFA (Datenschutz-Folgenabschätzungen)** vorzubereiten.

{% hint style="success" %}
💡 Das Verarbeitungsverzeichnis ist keine Verwaltungsformalität: Es ist der **Schlüssel zu einer effizienten Governance** Ihrer Daten und internen Prozesse.
{% endhint %}

***

### 👥 Wer ist betroffen?

Alle Organisationen, die personenbezogene Daten europäischer Einwohner verarbeiten, sind betroffen.\
Allerdings ist eine **Ausnahme** für Unternehmen mit weniger als 250 Beschäftigten vorgesehen.

{% hint style="info" %}
KMU müssen dennoch in ihrem Verarbeitungsverzeichnis folgende Verarbeitungen eintragen:

* nicht gelegentliche (z. B.: Personalverwaltung, Gehaltsabrechnung, Kunden, Lieferanten),
* solche mit **Risiken für die betroffenen Personen** (Videoüberwachung, Geolokalisierung usw.),
* oder solche mit **sensiblen Daten** (Gesundheit, Straftaten, Meinungen).

➡️ In der Praxis sind **die meisten Unternehmen** betroffen.\
Die CNIL empfiehlt, **in jedem Fall** ein Verarbeitungsverzeichnis zu erstellen.
{% endhint %}

***

### 🧱 Zwei zu unterscheidende Verzeichnisse

Je nach Ihrer Rolle müssen Sie führen:

1. ein **Verzeichnis des Verantwortlichen**,
2. ein **Verzeichnis des Auftragsverarbeiters**.

> Eine Organisation kann beide kumulieren: Beispielsweise ein SaaS-Unternehmen, das sowohl seine eigenen HR-Daten (Verantwortlicher) als auch die seiner Kunden (Auftragsverarbeiter) verwaltet.

***

### 🧭 Das Verzeichnis des Verantwortlichen (in Dastra)

Für jede Verarbeitung muss das Verzeichnis mindestens enthalten:

1. Den **Namen und die Kontaktdaten** des Verantwortlichen oder gemeinsam Verantwortlichen
2. Die **Verarbeitungszwecke**
3. Die **Kategorien betroffener Personen** (Kunden, Interessenten, Beschäftigte usw.)
4. Die **Datenkategorien** (Identität, Finanzen, Standort usw.)
5. Die **Empfänger** (intern, Auftragsverarbeiter, Partner)
6. Die **Datenübermittlungen außerhalb des EWR**, mit den zugehörigen Garantien (Standardvertragsklauseln, BCR usw.)
7. Die **Löschfristen** oder Aufbewahrungskriterien
8. Eine **allgemeine Beschreibung der Sicherheitsmaßnahmen**

#### 👤 Die Stakeholder

* Verantwortlicher
* Datenschutzbeauftragter oder Compliance-Kontakt
* Eventueller Vertreter
* Gemeinsam Verantwortliche oder Partner

#### 🎯 Die Verarbeitungszwecke

Alle mit einer Tätigkeit verbundenen Zwecke (z. B.: Vertragsverwaltung, Bewerberverfolgung, Marketing usw.).

#### ⚖️ Die Rechtsgrundlagen

* Vertragserfüllung
* Gesetzliche Verpflichtung
* Berechtigte Interessen des Verantwortlichen
* Öffentliches Interesse
* Einwilligung
* Schutz lebenswichtiger Interessen

#### 🧩 Daten und betroffene Personen

* Typologie der Personen (Kunden, Beschäftigte, Besucher…)
* Kategorien der erhobenen Daten
* Speicherdauern oder geltende Regeln

#### 🌍 Empfänger und Datenübermittlungen außerhalb des EWR

* Betroffene interne Abteilungen
* Auftragsverarbeiter, Dienstleister oder externe Partner
* Gemeinsam Verantwortliche oder betroffene Personen
* Internationale Datenübermittlungen: Identifizierung der Länder und rechtlichen Instrumente (Standardvertragsklauseln, BCR, Angemessenheitsbeschluss…)

#### 🔐 Sicherheitsmaßnahmen

* Technische Maßnahmen (Verschlüsselung, Pseudonymisierung, Sicherung)
* Organisatorische Maßnahmen (Zugangsmanagement, Schulung, interne Richtlinien)

***

### 🤝 Das Verzeichnis des Auftragsverarbeiters

Auftragsverarbeiter müssen ebenfalls ein kompakteres Verzeichnis führen, das auflistet:

* Die Kontaktdaten des Auftragsverarbeiters, des Datenschutzbeauftragten und des eventuellen Vertreters
* Die Kontaktdaten der **Verantwortlichen Kunden**
* Die **Kategorien der verarbeiteten Daten**
* Die **Kategorien der Empfänger**
* Die **Datenübermittlungen außerhalb des EWR** und zugehörigen Garantien
* Die angewandten **Sicherheitsmaßnahmen**

### 🤖 Und das Register der KI-Systeme

Mit dem Inkrafttreten der **KI-Verordnung** müssen Organisationen auch ihre **KI-Systeme** entsprechend ihrem Risikoniveau dokumentieren.\
Dastra integriert bereits jetzt ein **Register der KI-Systeme**, um:

* Jedes KI-System mit seinen Datenverarbeitungen zu verknüpfen,
* Zwecke, verwendete Modelle und Trainingsdaten zu beschreiben,
* Risiken und Maßnahmen zur Risikominderung zu bewerten,
* Die Compliance mit KI-Verordnung und DSGVO in einem gemeinsamen Bereich zu verfolgen.

***

### 📘 Weiterführende Informationen

***

{% hint style="success" %}
💡 **Gute Praxis:**\
Aktualisieren Sie Ihr Verarbeitungsverzeichnis **bei jeder neuen Verarbeitung** und **jeder wesentlichen Änderung** (neuer Zweck, neuer Dienstleister, neue Datenübermittlung usw.).\
Dastra kann Sie automatisch benachrichtigen, wenn ein Verzeichnis eine Überprüfung erfordert.
{% endhint %}


---

# Agent Instructions: Querying This Documentation

If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.

Perform an HTTP GET request on the current page URL with the `ask` query parameter:

```
GET https://doc.dastra.eu/de/nutzliche-hinweise/rgpd-en-bref/registre-de-traitement.md?ask=<question>
```

The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.

Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.