Argana Consulting GmbH 
Lasst uns lieber darüber reden, wie sich die Probleme lösen lassen.

Verzeichnis von Verarbeitungstätigkeiten

Das Verzeichnis von Verarbeitungstätigkeiten ist ein zentraler Bestandteil der Datenschutz-Grundverordnung (DSGVO) und enthält Informationen über die Verarbeitung personenbezogener Daten durch ein Unternehmen. Das Verzeichnis von Verarbeitungstätigkeiten ist ein Dokument, das gemäß Artikel 30 der Datenschutz-Grundverordnung (DSGVO) von jedem Unternehmen Organisation geführt werden muss, das personenbezogene Daten verarbeitet

Das Verzeichnis von Verarbeitungstätigkeiten ist ein wichtiges Instrument zur Erfüllung der Transparenzanforderungen der Datenschutz-Grundverordnung (DSGVO) und ermöglicht es den Betroffenen, ihre Rechte auszuüben. Es ist auch ein wichtiges Instrument für die Datenschutzbehörden, um die Einhaltung der Datenschutzbestimmungen zu überwachen.

Das Verzeichnis von Verarbeitungstätigkeiten sollte Angaben zu folgenden Aspekten enthalten:

  • Verantwortliche Stelle: Die verantwortliche Stelle im Unternehmen muss klar benannt sein. Die verantwortliche Stelle im Unternehmen ist die natürliche oder juristische Person, die darüber entscheidet, welche personenbezogenen Daten verarbeitet werden und zu welchem Zweck. Diese Stelle wird auch als "Verantwortlicher" bezeichnet und ist für die Einhaltung der datenschutzrechtlichen Vorschriften verantwortlich.
  • Zweck der Verarbeitung: Es soll beschrieben werden, für welchen Zweck die personenbezogenen Daten verarbeitet werden. Dies kann beispielsweise die Abwicklung von Geschäftsprozessen oder die Erfüllung von vertraglichen Verpflichtungen sein.
  • Kategorien betroffener Personen: Es soll beschrieben werden, welche Personengruppen von der Verarbeitung betroffen sind. Hierbei kann es sich beispielsweise um Kunden, Mitarbeiter oder Lieferanten handeln.
  • Kategorien von personenbezogenen Daten: Es soll beschrieben werden, welche Arten von personenbezogenen Daten verarbeitet werden. Hierbei kann es sich beispielsweise um Name, Adresse, E-Mail-Adresse, Bankverbindung oder Gesundheitsdaten handeln.
  • Empfänger oder Kategorien von Empfängern: Es soll beschrieben werden, an wen die personenbezogenen Daten weitergegeben werden. Hierbei kann es sich beispielsweise um Partnerunternehmen oder staatliche Stellen handeln.
  • Übermittlung an ein Drittland oder eine internationale Organisation: Es soll beschrieben werden, ob personenbezogene Daten an Drittländer oder internationale Organisationen übermittelt werden und welche Schutzmaßnahmen ergriffen werden, um die Daten angemessen zu schützen.
  • Aufbewahrungsfristen: Es soll beschrieben werden, wie lange personenbezogene Daten aufbewahrt werden.
  • Technische und organisatorische Maßnahmen: Es sollten technische und organisatorische Maßnahmen beschrieben werden, die ergriffen werden, um die Sicherheit der personenbezogenen Daten zu gewährleisten.


Das Verzeichnis von Verarbeitungstätigkeiten kann in elektronischer oder papierbasierter Form geführt werden, solange es den Anforderungen der DSGVO entspricht und jederzeit verfügbar bzw. zugänglich ist. Es sollte regelmäßig aktualisiert und bei Änderungen der Verarbeitungstätigkeiten angepasst werden.

In der Regel wird das Verzeichnis von Verarbeitungstätigkeiten von einem Datenschutzbeauftragten oder einem anderen verantwortlichen Mitarbeiter verwaltet. Es kann in einer zentralen Datenbank oder einem Dokumentenmanagementsystem gespeichert werden, das allen betroffenen Mitarbeitern zugänglich ist. Die Verantwortlichen sollten sicherstellen, dass das Verzeichnis von Verarbeitungstätigkeiten korrekt und vollständig ist und dass es auf dem neuesten Stand gehalten wird.

In einigen Fällen, wie bei großen Organisationen oder komplexen Verarbeitungstätigkeiten, kann es auch sinnvoll sein, das Verzeichnis von Verarbeitungstätigkeiten von einem externen Datenschutzberater oder -dienstleister verwalten zu lassen, der über die erforderliche Expertise und Erfahrung verfügt, um die Einhaltung der DSGVO sicherzustellen.

Für jede Anwendung oder IT-System, das personenbezogene Daten erstellt, verwaltet, verarbeitet oder speichert, ist ein Dokument Verzeichnis von Verarbeitungstätigkeiten zu erstellen. 


bestandsführende Anwendung

Die bestandsführende Anwendung ist eine Bezeichnung aus dem IT-Bereich und bezieht sich auf das IT-System oder die Anwendung, in der die Stammdaten und Informationen zu einem bestimmten Geschäftsprozess oder -bereich verwaltet werden. Es handelt sich dabei um das führende System, das als zentrale Datenquelle und -referenz für andere Anwendungen dient.

In Bezug auf die Datenschutz-Grundverordnung (DSGVO) ist es wichtig, die bestandsführende Anwendung zu identifizieren, da sie die Grundlage für die Verarbeitung personenbezogener Daten bildet. Die DSGVO verlangt von Unternehmen, dass sie eine genaue und vollständige Dokumentation aller Verarbeitungstätigkeiten personenbezogener Daten führen, einschließlich der bestandsführenden Anwendung(en) und aller anderen Anwendungen oder Systeme, die personenbezogene Daten verarbeiten oder auf diese zugreifen.

Die Identifizierung der bestandsführenden Anwendung(en) ist ein wichtiger Schritt bei der Erstellung eines Verzeichnisses von Verarbeitungstätigkeiten gemäß Artikel 30 DSGVO und bei der Durchführung einer Datenschutzfolgenabschätzung gemäß Artikel 35 DSGVO. Eine genaue Dokumentation der bestandsführenden Anwendung(en) und der damit verbundenen Verarbeitungstätigkeiten ist auch eine wichtige Voraussetzung für die Einhaltung der Rechte betroffener Personen und für die Umsetzung wirksamer technischer und organisatorischer Maßnahmen zum Schutz personenbezogener Daten.