Verarbeitungsverzeichnis erstellen: Was hineingehört – und was nicht

Jedes KMU mit Mitarbeitenden braucht ein Verarbeitungsverzeichnis. Die Aufsichtsbehörde fragt danach bei nahezu jeder Prüfung. Hier die Vorlage + was hineingehört.

Das Verarbeitungsverzeichnis (Artikel 30 DSGVO) ist das zentrale Dokument. Wenn die Datenschutzbehörde prüft, ist das meist die erste Frage: „Zeigen Sie mir Ihr Verzeichnis."

Pro Verarbeitung hältst du fest

• Zweck (z. B. „Personalverwaltung").
• Kategorien betroffener Personen (Mitarbeitende, Bewerber, Kunden).
• Kategorien personenbezogener Daten (Name, E-Mail, Steuer-ID, Bankverbindung).
• Rechtsgrundlage (Vertrag, Einwilligung, berechtigtes Interesse, gesetzliche Pflicht).
• Empfänger (wer erhält diese Daten – interne Rollen, externe Stellen).
• Aufbewahrungsfristen (siehe Aufbewahrungsfristen).
• Sicherheitsmaßnahmen (technisch + organisatorisch).
• Soweit zutreffend: Übermittlung außerhalb des EWR.

Beispiele für Verarbeitungen in einem KMU

• Personalverwaltung.
• Kundendossiers / CRM.
• Rechnungswesen.
• Newsletter-Liste.
• Website-Besucherdaten (Analytics).
• Cookies / Tracking.
• Videoüberwachung im Büro.
• Bewerberverwaltung.

Format

Eine Tabelle oder Notion-Datenbank ist völlig ausreichend. Es gibt keine Vorgaben zu bestimmten Tools. Zentral, aktuell, eine Zeile pro Kategorie.

Pflege

Quartalsweise Kurzprüfung: Neue Verarbeitungen hinzugekommen? Wurden Verarbeitungen eingestellt? Einmal jährlich eine vollständige Überprüfung.

Siehe auch: DSGVO-Übersicht, Auftragsverarbeitungsverträge.