Ctrlk
For the complete documentation index, see llms.txt. This page is also available as Markdown.

Verarbeitungsverzeichnis

Erfahren Sie, was ein Verarbeitungsverzeichnis ist.

📖 Definition

Das Verarbeitungsverzeichnis ist die strukturierte Kartierung aller Verarbeitungen personenbezogener Daten innerhalb Ihrer Organisation. Es stellt den Ausgangspunkt jeder Kontrolle durch eine Datenschutzaufsichtsbehörde (z. B.: CNIL) und ein zentrales Instrument der Compliance-Governance dar.

🔗 Das Verarbeitungsverzeichnis ist in Artikel 30 der DSGVO vorgesehen. Es konkretisiert das Prinzip der Accountability, also der nachweisbaren Verantwortlichkeit.

Es ermöglicht die genaue Identifizierung von:

  • Den beteiligten Stakeholdern (Verantwortlicher, Auftragsverarbeiter, gemeinsam Verantwortliche, Vertreter)

  • Den Kategorien der erhobenen Daten

  • Den Verarbeitungszwecken

  • Den Empfängern und Datenübermittlungen

  • Den Speicherdauern

  • Den umgesetzten Sicherheitsmaßnahmen

Wie Sie in den "Run"-Modus bei der Verwaltung der Verarbeitungsverzeichnisse wechseln

🎯 Warum ein Verarbeitungsverzeichnis führen?

Das Verarbeitungsverzeichnis ist verpflichtend (Artikel 30 der DSGVO). Aber über die regulatorische Pflicht hinaus wird es zu einem echten Steuerungsinstrument, das Ihnen ermöglicht:

  • Ihre Verarbeitungen zu dokumentieren, um Ihre Compliance nachzuweisen,

  • Risiken zu identifizieren und zu priorisieren,

  • Ihre Speicherdauern zu optimieren,

  • Ihre Verarbeitungen zu rationalisieren und unnötige Daten zu löschen,

  • Ihre DSGVO-Audits und DSFA (Datenschutz-Folgenabschätzungen) vorzubereiten.

💡 Das Verarbeitungsverzeichnis ist keine Verwaltungsformalität: Es ist der Schlüssel zu einer effizienten Governance Ihrer Daten und internen Prozesse.

👥 Wer ist betroffen?

Alle Organisationen, die personenbezogene Daten europäischer Einwohner verarbeiten, sind betroffen. Allerdings ist eine Ausnahme für Unternehmen mit weniger als 250 Beschäftigten vorgesehen.

KMU müssen dennoch in ihrem Verarbeitungsverzeichnis folgende Verarbeitungen eintragen:

  • nicht gelegentliche (z. B.: Personalverwaltung, Gehaltsabrechnung, Kunden, Lieferanten),

  • solche mit Risiken für die betroffenen Personen (Videoüberwachung, Geolokalisierung usw.),

  • oder solche mit sensiblen Daten (Gesundheit, Straftaten, Meinungen).

➡️ In der Praxis sind die meisten Unternehmen betroffen. Die Aufsichtsbehörde empfiehlt, in jedem Fall ein Verarbeitungsverzeichnis zu erstellen.

🧱 Zwei zu unterscheidende Verzeichnisse

Je nach Ihrer Rolle müssen Sie führen:

  1. ein Verzeichnis des Verantwortlichen,

  2. ein Verzeichnis des Auftragsverarbeiters.

Eine Organisation kann beide kumulieren: Beispielsweise ein SaaS-Unternehmen, das sowohl seine eigenen HR-Daten (Verantwortlicher) als auch die seiner Kunden (Auftragsverarbeiter) verwaltet.

🧭 Das Verzeichnis des Verantwortlichen (in Dastra)

Für jede Verarbeitung muss das Verzeichnis mindestens enthalten:

  1. Den Namen und die Kontaktdaten des Verantwortlichen oder gemeinsam Verantwortlichen

  2. Die Verarbeitungszwecke

  3. Die Kategorien betroffener Personen (Kunden, Interessenten, Beschäftigte usw.)

  4. Die Datenkategorien (Identität, Finanzen, Standort usw.)

  5. Die Empfänger (intern, Auftragsverarbeiter, Partner)

  6. Die Datenübermittlungen außerhalb des EWR, mit den zugehörigen Garantien (Standardvertragsklauseln, BCR usw.)

  7. Die Löschfristen oder Aufbewahrungskriterien

  8. Eine allgemeine Beschreibung der Sicherheitsmaßnahmen

👤 Die Stakeholder

  • Verantwortlicher

  • Datenschutzbeauftragter oder Compliance-Kontakt

  • Eventueller Vertreter

  • Gemeinsam Verantwortliche oder Partner

🎯 Die Verarbeitungszwecke

Alle mit einer Tätigkeit verbundenen Zwecke (z. B.: Vertragsverwaltung, Bewerberverfolgung, Marketing usw.).

⚖️ Die Rechtsgrundlagen

  • Vertragserfüllung

  • Gesetzliche Verpflichtung

  • Berechtigte Interessen des Verantwortlichen

  • Öffentliches Interesse

  • Einwilligung

  • Schutz lebenswichtiger Interessen

🧩 Daten und betroffene Personen

  • Typologie der Personen (Kunden, Beschäftigte, Besucher…)

  • Kategorien der erhobenen Daten

  • Speicherdauern oder geltende Regeln

🌍 Empfänger und Datenübermittlungen außerhalb des EWR

  • Betroffene interne Abteilungen

  • Auftragsverarbeiter, Dienstleister oder externe Partner

  • Gemeinsam Verantwortliche oder betroffene Personen

  • Internationale Datenübermittlungen: Identifizierung der Länder und rechtlichen Instrumente (Standardvertragsklauseln, BCR, Angemessenheitsbeschluss…)

🔐 Sicherheitsmaßnahmen

  • Technische Maßnahmen (Verschlüsselung, Pseudonymisierung, Sicherung)

  • Organisatorische Maßnahmen (Zugangsmanagement, Schulung, interne Richtlinien)

🤝 Das Verzeichnis des Auftragsverarbeiters

Auftragsverarbeiter müssen ebenfalls ein kompakteres Verzeichnis führen, das auflistet:

  • Die Kontaktdaten des Auftragsverarbeiters, des Datenschutzbeauftragten und des eventuellen Vertreters

  • Die Kontaktdaten der Verantwortlichen Kunden

  • Die Kategorien der verarbeiteten Daten

  • Die Kategorien der Empfänger

  • Die Datenübermittlungen außerhalb des EWR und zugehörigen Garantien

  • Die angewandten Sicherheitsmaßnahmen

🤖 Und das Register der KI-Systeme

Mit dem Inkrafttreten der KI-Verordnung müssen Organisationen auch ihre KI-Systeme entsprechend ihrem Risikoniveau dokumentieren. Dastra integriert bereits jetzt ein Register der KI-Systeme, um:

  • Jedes KI-System mit seinen Datenverarbeitungen zu verknüpfen,

  • Zwecke, verwendete Modelle und Trainingsdaten zu beschreiben,

  • Risiken und Maßnahmen zur Risikominderung zu bewerten,

  • Die Compliance mit KI-Verordnung und DSGVO in einem gemeinsamen Bereich zu verfolgen.

📘 Weiterführende Informationen

💡 Gute Praxis: Aktualisieren Sie Ihr Verarbeitungsverzeichnis bei jeder neuen Verarbeitung und jeder wesentlichen Änderung (neuer Zweck, neuer Dienstleister, neue Datenübermittlung usw.). Dastra kann Sie automatisch benachrichtigen, wenn ein Verzeichnis eine Überprüfung erfordert.

Zuletzt aktualisiert

War das hilfreich?