Leitfaden zu DSGVO Artikel 30

Verzeichnis von Verarbeitungstätigkeiten (Verarbeitungsverzeichnis): So erstellen Sie ein konformes Verzeichnis - selbst über Dutzende von Entitäten hinweg

Aktualisiert 2026-06-22
Das Wichtigste auf einen Blick: Priverion ist eine in der Schweiz gehostete Datenschutzplattform, die Mehr-Entitäten-Organisationen dabei unterstützt, Verarbeitungsverzeichnisse nach DSGVO Artikel 30 zu erstellen, zu pflegen und zu rezertifizieren.

Wenn Sie für die DSGVO-Compliance verantwortlich sind, wissen Sie bereits, dass Artikel 30 die Führung eines Verzeichnisses von Verarbeitungstätigkeiten verlangt. Was Ihnen niemand sagt: Wie mühsam dies wird, wenn Sie Verarbeitungsverzeichnisse über 10, 50 oder mehr als 200 Konzernentitäten hinweg verwalten - jede mit anderen Prozessen, Rechtsgrundlagen und lokalen Anforderungen.

Dieser Leitfaden liefert Ihnen ein klares, schrittweises Rahmenkonzept zur Erstellung und Pflege Ihres Verarbeitungsverzeichnisses - egal, ob Sie bei null beginnen oder einen Tabellenkalkulations-Albtraum bereinigen wollen.

In der Schweiz gehostete Plattform

ISO-27001-konforme Infrastruktur

Vertraut von Unternehmen, die mehr als 50 Entitäten verwalten

Keine Kreditkarte erforderlich

Trusted by 50+ privacy teams across 14 countries
Healthcare
Aviation
Energy
Legal
Technology
Zurzach logo
AXA logo
Open Medical logo
Glencore logo
Pilatus logo
Liferay logo
CareerFairy logo
Voicepoint logo
Kellerhals Carrard logo
Aclaris logo
Avantec logo
Diakonie Bethanien logo
Liferay logo
CareerFairy logo
Zurzach logo
Voicepoint logo
Open Medical logo
Kellerhals Carrard logo
AXA logo
Aclaris logo
Avantec logo
Diakonie Bethanien logo
Warum die meisten Verarbeitungsverzeichnisse scheitern

Warum sich die meisten Organisationen schwertun, ihr Verarbeitungsverzeichnis zu erstellen (und zu pflegen)

Fünf Fehlermuster, die wir in nahezu jedem Datenschutzprogramm von Unternehmen sehen - und das eine, mit dem Sie wahrscheinlich gerade leben.

Tabellenkalkulations-Chaos

Die meisten Teams beginnen mit Excel. Innerhalb von sechs Monaten haben Sie 37 Versionen über 12 Tochtergesellschaften, und niemand weiss, welche aktuell ist. Datenschutzteams verbringen am Ende mehr Zeit damit, die Tabelle zu verwalten, als den Datenschutz.

60 %

der Datenschutzteams verlassen sich für die Verwaltung des Verarbeitungsverzeichnisses nach wie vor auf Tabellenkalkulationen, und die Mehrheit räumt ein, dass ihre Verzeichnisse unvollständig oder veraltet sind.

Quelle: IAPP Privacy Governance Report, 2023

Keine einzige verlässliche Quelle

Wenn Ihr Verarbeitungsverzeichnis auf gemeinsamen Laufwerken und in E-Mail-Verläufen lebt, ist eine Rezertifizierung unmöglich. Sie jagen am Ende lokalen Datenschutzbeauftragten hinterher, um Aktualisierungen zu erhalten, die nie eintreffen, und Ihr konzernweites Compliance-Bild ist stets drei Monate veraltet.

60 %

der Verwaltungszeit für Compliance wurden bei einem Flugzeughersteller für manuelle Aktualisierungen des Verarbeitungsverzeichnisses aufgewendet, bevor mit einer zentralen Plattform automatisiert wurde.

Flugzeughersteller, erste 6 Monate mit Priverion

Komplexität über mehrere Rechtsordnungen

DSGVO Artikel 30 ist die Grundlinie, doch das revDSG, die UK GDPR und branchenspezifische Vorschriften fügen jeweils eigene Anforderungen hinzu. Ein Verarbeitungsverzeichnis, das für Ihre deutsche Entität funktioniert, kann für Ihre Schweizer oder brasilianischen Tochtergesellschaften unter dem revDSG oder LGPD nicht konform sein.

5+

sich überschneidende Datenschutz-Frameworks (DSGVO, revDSG, UK GDPR, LGPD, NIST), die Gruppen mit mehreren Rechtsordnungen in einem einzigen Verzeichnis in Einklang bringen müssen.

Basierend auf den Enterprise-Implementierungen von Priverion

Rezertifizierung als nachgelagerter Gedanke

Das Verarbeitungsverzeichnis einmal zu erstellen ist schwierig. Es im Laufe der Zeit aktuell zu halten (während sich Prozesse ändern, Anbieter wechseln und neue Entitäten hinzugekauft werden) ist der Punkt, an dem die meisten Programme scheitern. Ohne automatisierte Rezertifizierung verfällt Ihr Verarbeitungsverzeichnis innerhalb von Wochen nach Fertigstellung.

100 %

Rezertifizierungsquote für das Verarbeitungsverzeichnis, die AXA nach der Einführung vollständig automatisierter Rezertifizierungs-Workflows erreichte.

AXA, automatisierte Rezertifizierung mit Priverion

Sorge um die Prüfungsbereitschaft

Wenn eine Aufsichtsbehörde Ihr Verarbeitungsverzeichnis anfordert, sollten Sie es in Minuten vorlegen können, nicht in Wochen. Wenn Ihr Team zwei Wochen braucht, um aus verstreuten Dateien ein vorzeigbares Verzeichnis zusammenzustellen, sind Sie nicht nur ineffizient, sondern auch angreifbar.

200+

eingesparte Stunden bei der Vorbereitung der Compliance-Dokumentation bei Medtec durch den Wechsel vom manuellen Sammeln von Nachweisen zu prüfungsbereiten Paketen.

Medtec, ISO-27001-Vorbereitung mit Priverion

Wenn Ihnen etwas davon bekannt vorkommt, sind Sie nicht allein - und Sie sind hier genau richtig. Lassen Sie uns gemeinsam durchgehen, wie Sie ein Verarbeitungsverzeichnis aufbauen, das tatsächlich funktioniert.

200+

Eingesparte Stunden bei der Verwaltung des Verarbeitungsverzeichnisses

Medtec sparte mehr als 200 Stunden bei der Vorbereitung auf ISO 27001 und die Rezertifizierung des Verarbeitungsverzeichnisses im ersten Jahr mit Priverion

60 %

Geringere Kosten gegenüber etablierten Plattformen

Ein Flugzeughersteller senkte die Verwaltungskosten für Compliance in den ersten 6 Monaten um 60 %, mit planbaren Preisen und ohne Kostenfallen bei der Nutzererweiterung

3 Mon.

Dem Zeitplan bei ISO 27001 voraus

Medtec beschleunigte die ISO-27001-Vorbereitung um 3 Monate mithilfe der prüfungsbereiten Nachweispakete und automatisierten Dokumentation von Priverion

Priverion vs. OneTrust

Datenschutzmanagement auf Enterprise-Niveau - ohne den Enterprise-Aufpreis

Organisationen im Mittelstand brauchen leistungsfähige Compliance-Werkzeuge, nicht eine Plattform, die für Fortune-100-Budgets und 18-monatige Implementierungen gebaut wurde. Hier erfahren Sie, warum Datenschutzteams umsteigen.

Das erhalten Sie mit Priverion

Garantierte Schweizer Datensouveränität

In der Schweiz entwickelt und gehostet. Die gesamte Datenverarbeitung bleibt innerhalb der Schweizer Infrastruktur. Das ist nicht nur ein Häckchen, sondern ein rechtlicher Vorteil für grenzüberschreitende Uebermittlungen in einer Welt nach Schrems II.

Einsatzbereit in Wochen, nicht Monaten

Eine Benutzeroberfläche, die für Datenschutzpraktiker konzipiert ist, nicht für IT-Berater. Ihr Team beginnt sofort mit dem Compliance-Management, ohne dass ein Zertifizierungskurs erforderlich ist. Ein Flugzeughersteller war innerhalb seines ersten Engagement-Zeitraums vollständig einsatzbereit.

Basierend auf dem Onboarding-Zeitplan eines Flugzeugherstellers, 2023

Planbare Preise für den Mittelstand

Die Preisgestaltung basiert auf der Anzahl der Unternehmen und der Organisationsgrösse, nicht auf Lizenzen pro Nutzer oder Modulzusätzen. Keine Kostenfallen bei der Erweiterung. Ihr CFO wird die Verlängerung tatsächlich ohne Diskussion genehmigen.

All-in-one-Datenschutzplattform

Verarbeitungsverzeichnis, DSFA/TIA, Lieferantenrisiko, Bearbeitung von Betroffenenanfragen, Vorfallsmanagement, Data Mapping und KI-Verordnungs-Bereitschaft - alles in einer Plattform. Kein Zusammenschustern von Einzellösungen und kein Bezahlen für Module, die Sie "irgendwann" aktivieren werden.

KI, die unterstützt, aber nie entscheidet

KI-gestütztes Verfassen, Risikobewertung und regulatorische Zuordnung - wobei jedes Ergebnis von Ihrem Team geprüft wird, bevor es zu einem Compliance-Datensatz wird. Keine Nutzung von Kundendaten zum Modelltraining. Volle Transparenz, volle Massnahme.

Womit Sie bei OneTrust festsitzen

In den USA gehostete Infrastruktur

Daten werden auf in den USA ansässiger Cloud-Infrastruktur verarbeitet. Für europäische Organisationen, die grenzüberschreitende Uebermittlungen verwalten, entsteht so genau das rechtliche Risiko, das Sie zu lösen versuchen. EU-Rechenzentren sind verfügbar, doch das ist nicht dasselbe wie die Schweizer Rechtsordnung.

Implementierung in Quartalen gemessen

Komplexe Einführungen, die dedizierte Implementierungspartner, umfangreiche Konfiguration und Schulungsprogramme erfordern. Mittelständische Teams stellen oft fest, dass sie für eine Plattform bezahlen, die für Organisationen der zehnfachen Grösse gebaut wurde.

Erweiterung pro Nutzer, pro Modul

Modulare Preise, die günstig beginnen und mit jeder neuen Nutzerlizenz, jeder Entität und jeder Funktion wachsen. Jährliche Verlängerungen bringen regelmässig unwillkommene Kostenüberraschungen mit sich, besonders wenn Ihr Datenschutzprogramm reift und mehr von der Plattform benötigt.

Breite Plattform, breite Komplexität

ESG, Ethik-Hotlines, Cookie-Einwilligung, GRC: OneTrust kann vieles. Doch wenn Sie in erster Linie Datenschutzprogramm-Management über mehrere Entitäten hinweg benötigen, bezahlen Sie für einen Flugzeugträger, wenn Sie ein präzises Schiff brauchen.

KI mit weniger Klarheit

KI-Funktionen werden über die Plattform hinweg ausgebaut, doch die Transparenz hinsichtlich Datennutzung zum Modelltraining, Verarbeitungsrechtsordnung und menschlichen Eingriffsmöglichkeiten variiert. Für regulierte Branchen ist "KI-gestützt" ohne klare Leitplanken ein Risiko, keine Funktion.

Eine ehrliche Anmerkung dazu, was wir nicht tun

Priverion deckt keine ESG-Berichterstattung, keine Ethik-Hotlines und keine Cookie-Einwilligung ab. Wir haben keine 200 Integrationen. Wir haben tiefe Integrationen mit den Systemen, die für Datenschutz-Workflows entscheidend sind: HR, Beschaffung und IT-Asset-Management. Und wir sind speziell für Mehr-Entitäten-Organisationen konzipiert, nicht für Einzel-Entitäten-Unternehmen.

Schritt-für-Schritt-Leitfaden

So erstellen Sie Ihr Verarbeitungsverzeichnis: ein Rahmenkonzept für die Praxis

Egal, ob Sie von Grund auf aufbauen oder ein bestehendes Verzeichnis umstrukturieren - folgen Sie diesen sieben Schritten, um ein Verarbeitungsverzeichnis zu erstellen, das Artikel 30 erfüllt und tatsächlich aktuell bleibt.

Schritt 1

Definieren Sie Ihren Geltungsbereich und Ihre Entitätsstruktur

Bevor Sie eine einzige Verarbeitung dokumentieren, kartieren Sie, welche Entitäten im Geltungsbereich liegen. Für konzernweite Compliance bedeutet dies, jede juristische Person, Tochtergesellschaft und Niederlassung zu identifizieren, die personenbezogene Daten verarbeitet, und zu klären, ob die jeweilige Stelle als Verantwortlicher, gemeinsam Verantwortlicher oder Auftragsverarbeiter handelt.

  • Listen Sie jede juristische Person Ihres Konzerns und ihre Rechtsordnung auf
  • Klären Sie für jede Entität den Status als Verantwortlicher oder Auftragsverarbeiter
  • Identifizieren Sie den verantwortlichen Datenschutzbeauftragten oder Datenschutzverantwortlichen pro Entität
  • Dokumentieren Sie alle gemeinsamen Verarbeitungen zwischen Entitäten

Tipp für Mehr-Entitäten-Strukturen: An dieser Stelle beginnen tabellenbasierte Verarbeitungsverzeichnisse zu scheitern. Eine Plattform mit Entitätshierarchie ermöglicht es Ihnen, ein einziges massgebliches Verzeichnis zu führen und zugleich die eigenständige Compliance-Lage jeder Entität zu bewahren.

Schritt 2

Identifizieren Sie alle Verarbeitungstätigkeiten

Arbeiten Sie mit den Verantwortlichen der Geschäftsbereiche zusammen, um jede Verarbeitung in Ihrer Organisation zu inventarisieren. Denken Sie über das Offensichtliche hinaus (Lohnabrechnung und Marketing) und beziehen Sie Mitarbeiterüberwachung, Videoüberwachung, Besucherlisten, Kundenanalysen und die Datenweitergabe an Dritte ein.

  • Führen Sie strukturierte Gespräche mit den Abteilungsleitern
  • Prüfen Sie bestehende Datenschutzhinweise und Datenfluss-Dokumentationen
  • Prüfen Sie Lieferantenverträge auf Auftragsverarbeitungstätigkeiten
  • Identifizieren Sie jede Verarbeitung, die besondere Kategorien von Daten umfasst

Häufige Lücke: Die meisten Organisationen übersehen beim ersten Durchgang 30 bis 40 % der Verarbeitungstätigkeiten. Automatisiertes Data Mapping bringt die Tätigkeiten ans Licht, die Ihre Geschäftsbereiche vergessen zu erwähnen - oder von denen sie nicht wussten, dass sie als Verarbeitung gelten.

Schritt 3

Dokumentieren Sie die nach Artikel 30 erforderlichen Felder

Für jede Verarbeitung verlangt DSGVO Artikel 30 bestimmte Angaben. Dies ist das gesetzliche Minimum, keine Empfehlung. Fehlende Felder gehören zu den häufigsten Feststellungen bei Prüfungen durch Aufsichtsbehörden.

  • Name und Kontaktdaten des Verantwortlichen (und des Datenschutzbeauftragten)
  • Zwecke der Verarbeitung
  • Kategorien betroffener Personen und personenbezogener Daten
  • Kategorien von Empfängern (einschliesslich Drittländer)
  • Internationale Uebermittlungen und Garantien (SCCs, Angemessenheitsbeschlüsse)
  • Aufbewahrungsfristen für jede Datenkategorie
  • Allgemeine Beschreibung der technischen und organisatorischen Sicherheitsmassnahmen

Profi-Tipp: Gehen Sie über das gesetzliche Minimum hinaus. Die Aufnahme von Rechtsgrundlage, DSFA-Verknüpfung und Datenquelle verbessert die Prüfungsbereitschaft und macht Ihr Verarbeitungsverzeichnis zu einem wirklich nützlichen operativen Werkzeug, nicht nur zu einem Compliance-Artefakt.

Schritt 4

Weisen Sie Eigentümerschaft und Verantwortlichkeit zu

Jede Verarbeitung braucht einen benannten Eigentümer, typischerweise den für diesen Prozess verantwortlichen Leiter des Geschäftsbereichs. Ohne klare Eigentümerschaft veralten Einträge im Verarbeitungsverzeichnis innerhalb von Wochen, weil sich niemand dafür verantwortlich fühlt, sie aktuell zu halten.

  • Weisen Sie jeder Verarbeitung einen Prozess-Eigentümer zu
  • Legen Sie die Prüfhäufigkeit fest (quartalsweise ist das Minimum für dynamische Organisationen)
  • Richten Sie Eskalationswege ein, wenn Eigentümer nicht reagieren
  • Dokumentieren Sie, wer befugt ist, Aenderungen zu genehmigen

Realitätscheck: Dies ist der Schritt, vor dem die meisten Datenschutzbeauftragten zurückschrecken. Den Geschäftsbereichen wegen Aktualisierungen hinterherzulaufen ist der Punkt, an dem 60 % der Verwaltungszeit für Compliance verschwinden, wie ein Flugzeughersteller erlebte, bevor er seine Rezertifizierungs-Workflows automatisierte.

Schritt 5

Kartieren Sie Datenflüsse und Uebermittlungen an Dritte

Dokumentieren Sie, wohin personenbezogene Daten fliessen: zwischen Entitäten, an Auftragsverarbeiter und insbesondere in Drittländer. Nach Schrems II achten Aufsichtsbehörden genau auf internationale Uebermittlungen. Ihr Verarbeitungsverzeichnis sollte jede Uebermittlung klar mit ihrem rechtlichen Mechanismus verknüpfen.

  • Kartieren Sie konzerninterne Datenflüsse zwischen Entitäten
  • Dokumentieren Sie alle Auftragsverarbeiter und Unterauftragsverarbeiter Dritter
  • Identifizieren Sie alle Uebermittlungen in Länder ausserhalb der EU/des EWR/der Schweiz
  • Verknüpfen Sie jede Uebermittlung mit ihrer Garantie (SCCs, Angemessenheitsbeschluss, BCRs)

Entscheidend für Mehr-Entitäten-Gruppen: Beim entitätsübergreifenden Data Mapping wird konzernweite Sichtbarkeit unverzichtbar. Ohne sie verlassen Sie sich darauf, dass jede Tochtergesellschaft ihre Uebermittlungen korrekt selbst meldet - ein Rezept für Compliance-Lücken.

Schritt 6

Verbinden Sie Ihr Verarbeitungsverzeichnis mit DSFA und Risikobewertungen

Ein eigenständiges Verarbeitungsverzeichnis ist ein Compliance-Häckchen. Ein Verarbeitungsverzeichnis, das mit DSFA, TIA, Lieferantenrisikobewertungen und Vorfallsdatensätzen verknüpft ist, wird zu einem Werkzeug für das Datenschutzprogramm-Management. Diese Integration unterscheidet Organisationen, die "ein Verarbeitungsverzeichnis haben", von solchen, die es operativ nutzen.

  • Markieren Sie Verarbeitungstätigkeiten, die DSFA-Anforderungen auslösen
  • Verknüpfen Sie bestehende DSFA und TIA mit ihren entsprechenden Einträgen im Verarbeitungsverzeichnis
  • Verbinden Sie Lieferantenrisikobewertungen mit auftragsverarbeitungsbezogenen Tätigkeiten
  • Stellen Sie sicher, dass Vorfallsdatensätze auf die betroffenen Verarbeitungstätigkeiten verweisen

Plattformvorteil: Dies ist in Tabellenkalkulationen kaum aufrechtzuerhalten. Eine integrierte Plattform verknüpft DSFA, Lieferantenbewertungen und Vorfälle automatisch mit ihren Einträgen im Verarbeitungsverzeichnis und hält alles ohne manuelle Querverweise synchron.

Schritt 7

Richten Sie eine automatisierte Rezertifizierung ein

Ihr Verarbeitungsverzeichnis ist nur so gut wie seine letzte Aktualisierung. Richten Sie einen Rezertifizierungsrhythmus ein, der Prozess-Eigentümer dazu veranlasst, ihre Einträge zu prüfen und zu bestätigen (oder zu aktualisieren). Ohne dies wird selbst das gründlichste anfängliche Verarbeitungsverzeichnis innerhalb eines Quartals veraltet sein.

  • Legen Sie Rezertifizierungspläne fest (quartalsweise bei hohem Risiko, jährlich bei geringem Risiko)
  • Automatisieren Sie Erinnerungen und Eskalationen an die Prozess-Eigentümer
  • Verfolgen Sie die Abschlussquoten über alle Entitäten hinweg
  • Erzeugen Sie Prüfpfade, die zeigen, wann jeder Eintrag zuletzt geprüft wurde

Der Goldstandard: AXA erreichte über alle Entitäten hinweg eine 100-prozentige Rezertifizierung des Verarbeitungsverzeichnisses, nachdem es vollständig automatisierte Workflows eingeführt hatte - und verwandelte so, was früher eine quartalsweise Feuerwehrübung war, in einen Hintergrundprozess, der von selbst läuft.

Kostenlose Ressource

Laden Sie die Vorlage und Compliance-Checkliste für das Verarbeitungsverzeichnis herunter

Erhalten Sie eine praxiserprobte Vorlage für das Verarbeitungsverzeichnis, die alle nach DSGVO Artikel 30 erforderlichen Felder abdeckt, sowie eine Compliance-Checkliste für Mehr-Entitäten-Organisationen. Erstellt aus echten Enterprise-Implementierungen.

  • Vollständige Feldvorlage nach Artikel 30 (Versionen für Verantwortliche und Auftragsverarbeiter)
  • Compliance-Checkliste für Mehr-Entitäten-Strukturen mit rechtsordnungsspezifischen Anforderungen
  • Leitfaden für den Rezertifizierungs-Workflow
  • Beispielvorlage für das Datenfluss-Mapping

Kein Spam. Wir senden Ihnen die Vorlage und eine Folge-E-Mail. Das war's. Ihre Daten bleiben in der Schweiz.

Verwalten Sie Compliance nicht länger in Tabellenkalkulationen

Holen Sie sich Ihre Freitagnachmittage zurück

Sehen Sie, wie konzernweites Datenschutzmanagement funktioniert, wenn es von Anfang an für Mehr-Entitäten-Organisationen gebaut ist - mit automatisierter Rezertifizierung, KI-gestützten Bewertungen und garantierter Schweizer Datensouveränität. Keine Preisüberraschungen pro Nutzer. Einsatzbereit in Wochen, nicht Monaten.

60 %

weniger Verwaltungszeit für Compliance

Flugzeughersteller, erste 6 Monate

200+

eingesparte Stunden bei der ISO-27001-Vorbereitung

Medtec

100 %

automatisierte Rezertifizierung des Verarbeitungsverzeichnisses

AXA

30-minütige Begehung buchen

Keine Verpflichtung erforderlich. Wir zeigen Ihnen die Plattform anhand Ihres Anwendungsfalls, nicht anhand eines generischen Demo-Skripts.

FAQ

Häufig gestellte Fragen zu Verarbeitungsverzeichnissen

Wer ist nach der DSGVO verpflichtet, ein Verarbeitungsverzeichnis zu führen?

Nach Artikel 30 muss jeder Verantwortliche und Auftragsverarbeiter ein Verarbeitungsverzeichnis führen. Die Ausnahme für Organisationen mit weniger als 250 Beschäftigten ist sehr eng: Sie greift nur, wenn Ihre Verarbeitung gelegentlich erfolgt, keine besonderen Kategorien von Daten umfasst und voraussichtlich kein Risiko für die Rechte der betroffenen Personen mit sich bringt. In der Praxis benötigt nahezu jede Organisation, die personenbezogene Daten verarbeitet, ein solches.

Was ist der Unterschied zwischen dem Verarbeitungsverzeichnis eines Verantwortlichen und dem eines Auftragsverarbeiters?

Das Verarbeitungsverzeichnis eines Verantwortlichen (Artikel 30(1)) dokumentiert Zwecke der Verarbeitung, Kategorien betroffener Personen, Empfänger, internationale Uebermittlungen, Aufbewahrungsfristen und Sicherheitsmassnahmen. Das Verarbeitungsverzeichnis eines Auftragsverarbeiters (Artikel 30(2)) ist enger gefasst; es dokumentiert die Kategorien der im Auftrag jedes Verantwortlichen durchgeführten Verarbeitungen, internationale Uebermittlungen und Sicherheitsmassnahmen. Wenn Ihre Organisation sowohl als Verantwortlicher als auch als Auftragsverarbeiter handelt, benötigen Sie beide Versionen.

Wie häufig sollte ein Verarbeitungsverzeichnis aktualisiert werden?

Es gibt keine gesetzlich vorgeschriebene Häufigkeit, doch Aufsichtsbehörden erwarten, dass Ihr Verarbeitungsverzeichnis "aktuell" ist. In der Praxis ist eine quartalsweise Rezertifizierung das Minimum für Organisationen mit aktiven Verarbeitungsänderungen. Verarbeitungstätigkeiten mit hohem Risiko sollten immer dann überprüft werden, wenn sich Zweck, Datenkategorie oder Empfänger ändern. Automatisierte Rezertifizierungs-Workflows (wie die 100-prozentige Rezertifizierungsquote von AXA) sind der zuverlässigste Ansatz.

Können wir eine Tabellenkalkulation für unser Verarbeitungsverzeichnis verwenden?

Technisch ja. Artikel 30 verlangt, dass das Verarbeitungsverzeichnis "schriftlich, einschliesslich in elektronischer Form" geführt wird. Eine Tabellenkalkulation erfüllt dies. Doch für Organisationen, die mehrere Entitäten verwalten, schaffen Tabellenkalkulationen Probleme bei der Versionskontrolle, es fehlen Prüfpfade, sie können keine Rezertifizierung erzwingen und machen die Berichterstattung an Aufsichtsbehörden zu einem manuellen Kraftakt. Der Privacy Governance Report 2023 der IAPP ergab, dass die Mehrheit der Teams, die Tabellenkalkulationen verwenden, einräumt, dass ihre Verzeichnisse unvollständig oder veraltet sind.

Was passiert, wenn eine Aufsichtsbehörde unser Verarbeitungsverzeichnis anfordert und es nicht bereit ist?

Das Versäumnis, ein angemessenes Verarbeitungsverzeichnis zu führen, kann nach Artikel 83(4) der DSGVO Geldbussen von bis zu 10 Millionen EUR oder 2 % des weltweiten Jahresumsatzes nach sich ziehen. Ueber Geldbussen hinaus signalisiert ein unvollständiges Verarbeitungsverzeichnis breitere Compliance-Schwächen und löst oft tiefer gehende Untersuchungen aus. Die Fähigkeit, ein vollständiges, aktuelles Verzeichnis innerhalb von Minuten und nicht von Wochen vorzulegen, ist zunehmend die Erwartung.

Wie unterscheidet sich das revDSG von der DSGVO bei den Anforderungen an das Verarbeitungsverzeichnis?

Das revidierte Schweizer Datenschutzgesetz (revDSG), in Kraft seit September 2023, verlangt ebenfalls ein Verzeichnis der Verarbeitungstätigkeiten nach Artikel 12. Die Anforderungen sind weitgehend an DSGVO Artikel 30 angelehnt, es bestehen jedoch Unterschiede bei den Ausnahmeschwellen und den konkret erforderlichen Feldern. Organisationen, die sowohl in der EU als auch in der Schweiz tätig sind, brauchen eine Struktur des Verarbeitungsverzeichnisses, die beide Frameworks ohne Doppelung abbildet - ein Grund, warum eine Mehr-Framework-Plattform wichtig ist.

Ist Priverion für Einzel-Entitäten-Unternehmen geeignet?

Ehrlich gesagt liegt unsere Stärke im konzernweiten Management über mehrere Entitäten und Rechtsordnungen hinweg. Wenn Sie eine Einzel-Entitäten-Organisation mit unkomplizierter Verarbeitung sind, gibt es einfachere Werkzeuge, die besser passen könnten. Wir sind speziell für die Komplexität konzipiert, die mit der Verwaltung von Datenschutzprogrammen über 10, 50 oder mehr als 200 Entitäten einhergeht - und genau dort liefern wir den grössten Nutzen.

The Privacy Compliance Briefing

Monatliche Einblicke in die DSGVO-Durchsetzung, revDSG-Updates und Automatisierungsstrategien für Datenschutzbeauftragte und Compliance-Teams.

Kein Spam. Jederzeit abbestellbar.

Ueber diese Seite — Quellen, Definitionen und FAQs

Das Wichtigste auf einen Blick

DSGVO Artikel 30 verpflichtet jeden Verantwortlichen und Auftragsverarbeiter, ein Verzeichnis von Verarbeitungstätigkeiten (Verarbeitungsverzeichnis) zu führen. Für Mehr-Entitäten-Organisationen bedeutet dies, Verzeichnisse über Dutzende oder Hunderte von Tochtergesellschaften hinweg zu koordinieren, von denen jede sich überschneidenden Frameworks wie dem revDSG, der UK GDPR und dem LGPD unterliegt. Priverion ist eine in der Schweiz gehostete Datenschutzmanagement-Plattform, die speziell für diese Herausforderung konzipiert ist und zentrales Management des Verarbeitungsverzeichnisses, automatisierte Rezertifizierung und prüfungsbereite Exporte bietet.

Definitionen

Was ist ein Verzeichnis von Verarbeitungstätigkeiten (Verarbeitungsverzeichnis)?

Verzeichnis von Verarbeitungstätigkeiten (Verarbeitungsverzeichnis) ist ein umfassendes Verzeichnis, das durch DSGVO Artikel 30 vorgeschrieben ist und alle von einem Verantwortlichen oder Auftragsverarbeiter durchgeführten Verarbeitungen personenbezogener Daten dokumentiert. Es muss die Zwecke der Verarbeitung, Kategorien betroffener Personen, Kategorien personenbezogener Daten, Empfänger, internationale Uebermittlungen, Aufbewahrungsfristen und eine Beschreibung der Sicherheitsmassnahmen enthalten.

Was ist DSGVO Artikel 30?

DSGVO Artikel 30 ("Verzeichnis von Verarbeitungstätigkeiten") ist die Bestimmung innerhalb der Datenschutz-Grundverordnung (EU) 2016/679, die die rechtliche Verpflichtung für Verantwortliche (Artikel 30(1)) und Auftragsverarbeiter (Artikel 30(2)) begründet, schriftliche Verzeichnisse ihrer Verarbeitungstätigkeiten zu führen. Der Europäische Datenschutzausschuss hat in seinen Leitlinien und Empfehlungen Hinweise zu deren Anwendung herausgegeben.

Was ist das revDSG?

Das revidierte Schweizer Datenschutzgesetz (revDSG), revidiert und in Kraft seit dem 01.09.2023, ist das zentrale Datenschutzrecht der Schweiz. Artikel 12 revDSG verpflichtet Verantwortliche und Auftragsverarbeiter zur Führung eines Verzeichnisses der Verarbeitungstätigkeiten mit Anforderungen, die eng an DSGVO Artikel 30 angelehnt sind.

Was ist eine Datenschutz-Folgenabschätzung (DSFA)?

Eine Datenschutz-Folgenabschätzung (DSFA) ist eine nach DSGVO Artikel 35 erforderliche Risikobewertung für Verarbeitungen, die voraussichtlich ein hohes Risiko für Personen mit sich bringen. Ein gut gepflegtes Verarbeitungsverzeichnis ist die Grundlage, um zu erkennen, welche Verarbeitungstätigkeiten eine DSFA erfordern.

Statistiken und Branchendaten

Laut dem IAPP-EY Privacy Governance Report 2023 verlassen sich 60 % der Datenschutzteams für die Verwaltung des Verarbeitungsverzeichnisses nach wie vor auf Tabellenkalkulationen, und die Mehrheit räumt ein, dass ihre Verzeichnisse unvollständig oder veraltet sind. Derselbe Bericht ergab, dass das durchschnittliche Budget eines Datenschutzteams 2023 auf USD 2,7 Millionen anstieg, doch manuelle Compliance-Aufgaben beanspruchen einen überproportionalen Anteil der Ressourcen.

Daten zur DSGVO-Durchsetzung des Europäischen Datenschutzausschusses zeigen, dass Aufsichtsbehörden im gesamten EWR seit Mai 2018 zusammen über EUR 4 Milliarden an Geldbussen verhängt haben. Geldbussen, die sich gezielt gegen unzureichende Pflichten zur Führung von Verzeichnissen nach Artikel 30 richten, wurden von mehreren nationalen Behörden verhängt, darunter eine Busse von EUR 400'000 durch die belgische Datenschutzbehörde.

Die Agentur der Europäischen Union für Cybersicherheit (ENISA) betont, dass die Führung korrekter Verarbeitungsverzeichnisse ein grundlegendes Element sowohl der Datenschutz- als auch der Informationssicherheits-Governance ist und die Einhaltung von Frameworks wie ISO/IEC 27001 unterstützt.

Laut Gartner werden bis 2025 75 % der Weltbevölkerung mit ihren personenbezogenen Daten unter modernen Datenschutzvorschriften stehen, was ein skalierbares Management des Verarbeitungsverzeichnisses für jede grenzüberschreitend tätige Organisation unverzichtbar macht.

Häufig gestellte Fragen

Was ist ein Verzeichnis von Verarbeitungstätigkeiten (Verarbeitungsverzeichnis)?

Ein Verzeichnis von Verarbeitungstätigkeiten (Verarbeitungsverzeichnis) ist ein nach DSGVO Artikel 30 verpflichtendes Verzeichnis, das jede Verarbeitung personenbezogener Daten innerhalb einer Organisation dokumentiert. Es muss die Identität des Verantwortlichen, Verarbeitungszwecke, Datenkategorien, Empfänger, internationale Uebermittlungen, Aufbewahrungsfristen und Sicherheitsmassnahmen enthalten. Sowohl Verantwortliche als auch Auftragsverarbeiter haben jeweils eigene Pflichten zur Führung von Verzeichnissen.

Wer ist nach der DSGVO verpflichtet, ein Verarbeitungsverzeichnis zu führen?

Jeder Verantwortliche und jeder Auftragsverarbeiter muss ein Verarbeitungsverzeichnis führen. Die begrenzte Ausnahme für Organisationen mit weniger als 250 Beschäftigten nach Artikel 30(5) greift nur, wenn die Verarbeitung gelegentlich erfolgt, keine besonderen Kategorien von Daten umfasst und voraussichtlich kein Risiko für die Rechte und Freiheiten der betroffenen Personen mit sich bringt. In der Praxis müssen die meisten Organisationen die Vorgaben erfüllen, da sie regelmässig Mitarbeiterdaten verarbeiten. Der EDSA hat klargestellt, dass diese Ausnahme eng ist und nicht weitläufig herangezogen werden sollte.

Was muss ein Verarbeitungsverzeichnis nach DSGVO Artikel 30 enthalten?

Für Verantwortliche verlangt Artikel 30(1): (a) Name und Kontaktdaten des Verantwortlichen, des gemeinsam Verantwortlichen, des Vertreters und des Datenschutzbeauftragten; (b) Zwecke der Verarbeitung; (c) Kategorien betroffener Personen und personenbezogener Daten; (d) Kategorien von Empfängern; (e) Uebermittlungen in Drittländer einschliesslich Garantien; (f) vorgesehene Aufbewahrungsfristen; und (g) eine allgemeine Beschreibung der technischen und organisatorischen Sicherheitsmassnahmen nach Artikel 32(1). Auftragsverarbeiter haben nach Artikel 30(2) eine parallele, aber eigenständige Reihe von Anforderungen.

Wie häufig sollte ein Verarbeitungsverzeichnis aktualisiert werden?

Die DSGVO schreibt keine bestimmte Aktualisierungshäufigkeit vor, doch Aufsichtsbehörden erwarten, dass Verarbeitungsverzeichnisse jederzeit die aktuellen Verarbeitungstätigkeiten widerspiegeln. Bewährte Praxis - empfohlen vom EDSA und führenden Datenschutz-Frameworks - ist es, Einträge im Verarbeitungsverzeichnis mindestens jährlich zu rezertifizieren und Ad-hoc-Aktualisierungen immer dann auszulösen, wenn sich Verarbeitungstätigkeiten ändern, neue Anbieter eingebunden oder Entitäten hinzugekauft werden.

Welche Strafe droht, wenn kein Verarbeitungsverzeichnis geführt wird?

Nach DSGVO Artikel 83(4)(a) kann das Versäumnis, angemessene Verarbeitungsverzeichnisse zu führen, Geldbussen von bis zu EUR 10 Millionen oder 2 % des gesamten weltweiten Jahresumsatzes der Organisation nach sich ziehen, je nachdem, welcher Betrag höher ist. Die belgische Datenschutzbehörde verhängte 2020 eine Busse von EUR 400'000 gezielt wegen Verstössen im Zusammenhang mit dem Verarbeitungsverzeichnis und zeigte damit, dass Aufsichtsbehörden diese Pflicht aktiv durchsetzen.

Verlangt das revDSG ebenfalls ein Verarbeitungsverzeichnis?

Ja. Das revidierte Schweizer Datenschutzgesetz (revDSG), in Kraft seit dem 01.09.2023, verpflichtet sowohl Verantwortliche als auch Auftragsverarbeiter nach Artikel 12 zur Führung eines Verzeichnisses der Verarbeitungstätigkeiten. Die Anforderungen entsprechen weitgehend DSGVO Artikel 30, enthalten jedoch schweizspezifische Elemente. Der Eidgenössische Datenschutz- und Oeffentlichkeitsbeauftragte (EDOEB) überwacht die Durchsetzung.

Können Tabellenkalkulationen für die Verwaltung des Verarbeitungsverzeichnisses verwendet werden?

Tabellenkalkulationen sind technisch zulässig, werden für Organisationen mit mehreren Entitäten jedoch unbeherrschbar. Laut dem IAPP-EY Privacy Governance Report 2023 verlassen sich 60 % der Datenschutzteams nach wie vor auf Tabellenkalkulationen, und die Mehrheit berichtet, dass ihre Verzeichnisse unvollständig oder veraltet sind. Dedizierte Plattformen für das Datenschutzmanagement bieten Versionskontrolle, automatisierte Rezertifizierungs-Workflows, rollenbasierten Zugriff und prüfungsbereite Exporte, die Tabellenkalkulationen in diesem Massstab nicht abbilden können.

Wie unterstützt Priverion bei der Verwaltung des Verarbeitungsverzeichnisses über mehrere Entitäten hinweg?

Priverion bietet eine zentrale, in der Schweiz gehostete Plattform, auf der Mehr-Entitäten-Organisationen Verarbeitungsverzeichnisse über alle Tochtergesellschaften hinweg aus einer einzigen verlässlichen Quelle verwalten. Zu den zentralen Fähigkeiten gehören automatisierte Rezertifizierungs-Workflows, Mehr-Framework-Zuordnung (DSGVO, revDSG, ISO 27001), rollenbasierter Zugriff für lokale Datenschutzbeauftragte, KI-gestütztes Verfassen mit menschlicher Prüfung und prüfungsbereite Export-Pakete. Die gesamte Datenverarbeitung bleibt innerhalb der Schweizer Infrastruktur und bietet so einen rechtlichen Vorteil für grenzüberschreitende Uebermittlungen in einem Umfeld nach Schrems II.

Vergleich der Anforderungen an das Verarbeitungsverzeichnis: DSGVO vs. revDSG vs. UK GDPR

AnforderungDSGVO Artikel 30revDSG Artikel 12UK GDPR Artikel 30
Gilt für VerantwortlicheJaJaJa
Gilt für AuftragsverarbeiterJaJaJa
Zwecke der VerarbeitungErforderlichErforderlichErforderlich
Kategorien betroffener PersonenErforderlichErforderlichErforderlich
Kategorien personenbezogener DatenErforderlichErforderlichErforderlich
Empfänger / Kategorien von EmpfängernErforderlichErforderlichErforderlich
Internationale Uebermittlungen & GarantienErforderlichErforderlich (Länderliste)Erforderlich
AufbewahrungsfristenErforderlich (vorgesehen)Erforderlich (soweit möglich)Erforderlich (vorgesehen)
Beschreibung der SicherheitsmassnahmenErforderlich (allgemein)Erforderlich (allgemein)Erforderlich (allgemein)
KMU-Ausnahme (<250 Beschäftigte)Enge Ausnahme (Art. 30(5))Enge Ausnahme (Art. 12(5))Enge Ausnahme (Art. 30(5))
Maximale Busse bei VerstossEUR 10 Mio. oder 2 % UmsatzCHF 250'000 (persönliche Haftung)GBP 8,7 Mio. oder 2 % Umsatz
AufsichtsbehördeNationale DSB / EDSAEDOEBICO