KlarKonform Docs
DSGVO

Verarbeitungstätigkeiten

Verzeichnis von Verarbeitungstätigkeiten nach Art. 30 DSGVO

Das Verzeichnis von Verarbeitungstätigkeiten ist eine zentrale Dokumentationspflicht nach Art. 30 DSGVO. Jedes Unternehmen mit mehr als 250 Mitarbeitern oder bei regelmäßiger Verarbeitung besonderer Datenkategorien muss dieses Verzeichnis führen.

Übersicht

Listenansicht

Die Übersichtsseite zeigt alle erfassten Verarbeitungstätigkeiten mit:

  • Name und Beschreibung
  • Rechtsgrundlage
  • Status (Aktiv/Entwurf/Archiviert)
  • Letzte Aktualisierung

Filter-Optionen:

  • Nach Rechtsgrundlage
  • Nach Status
  • Nach Abteilung/Verantwortlichem

Export-Funktionen

FormatVerwendung
CSVImport in Excel, weitere Verarbeitung
PDFVorlage für Behörden, Audits

Neue Verarbeitungstätigkeit anlegen

Pflichtfelder

Diese Felder müssen ausgefüllt werden:

FeldBeschreibungBeispiel
NameEindeutige Bezeichnung"Lohnabrechnung"
ZweckWarum werden Daten verarbeitet?"Durchführung der monatlichen Gehaltsabrechnung"
RechtsgrundlageArt. 6 Abs. 1 DSGVOVertragserfüllung
Betroffene PersonenWessen Daten?Mitarbeiter
DatenkategorienWelche Daten?Stammdaten, Finanzdaten

Rechtsgrundlagen (Art. 6 DSGVO)

RechtsgrundlageAnwendungsfallHinweis
EinwilligungNewsletter, MarketingWiderruflich, dokumentieren!
VertragserfüllungKundenbestellungen, ArbeitsverträgeHäufigste Grundlage
Rechtliche VerpflichtungSteuerliche AufbewahrungGesetzliche Nachweise führen
Lebenswichtige InteressenNotfallsituationenSelten anwendbar
Öffentliches InteresseBehördliche AufgabenNur für öffentliche Stellen
Berechtigtes InteresseDirektwerbung an BestandskundenInteressenabwägung dokumentieren!

Kategorien betroffener Personen

Wählen Sie alle zutreffenden Kategorien:

  • Kunden - Käufer, Auftraggeber
  • Mitarbeiter - Angestellte, Auszubildende
  • Bewerber - Stellenbewerber
  • Lieferanten - Geschäftspartner, Dienstleister
  • Website-Besucher - Nutzer der Webpräsenz
  • Geschäftspartner - Kontakte, Interessenten

Kategorien personenbezogener Daten

KategorieBeispieleBesonders schützenswert?
StammdatenName, Adresse, GeburtsdatumNein
KontaktdatenE-Mail, TelefonNein
FinanzdatenBankverbindung, GehaltNein
GesundheitsdatenKrankheitstage, BehinderungJa (Art. 9)
Biometrische DatenFingerabdruck, GesichtserkennungJa (Art. 9)
Genetische DatenDNA-AnalysenJa (Art. 9)
Rassische/ethnische HerkunftNationalität für VisaJa (Art. 9)
Politische MeinungenParteimitgliedschaftJa (Art. 9)
Religiöse ÜberzeugungenKirchensteuerJa (Art. 9)
GewerkschaftszugehörigkeitMitgliedsbeiträgeJa (Art. 9)
SexuallebenPartnerschaftsstatusJa (Art. 9)
Strafrechtliche DatenFührungszeugnisJa (Art. 10)

Bei besonderen Datenkategorien (Art. 9) ist eine Datenschutz-Folgenabschätzung (DSFA) zu prüfen!

Empfänger und Übermittlungen

Interne Empfänger

Dokumentieren Sie, welche Abteilungen Zugriff haben:

  • Personalabteilung
  • Buchhaltung
  • IT-Abteilung
  • Geschäftsführung

Externe Empfänger

EmpfängertypBeispielErforderlich
AuftragsverarbeiterCloud-Anbieter, LohnbüroAVV erforderlich
Gemeinsam VerantwortlicheKonzerngesellschaftenArt. 26 Vereinbarung
Eigenständige VerantwortlicheFinanzamt, KrankenkasseRechtsgrundlage prüfen

Drittlandtransfer

Bei Übermittlung außerhalb EU/EWR:

ZiellandRechtsgrundlageMaßnahme
USAData Privacy FrameworkDPF-Zertifizierung prüfen
UKAngemessenheitsbeschlussKeine zusätzliche Maßnahme
SchweizAngemessenheitsbeschlussKeine zusätzliche Maßnahme
AndereStandardvertragsklauselnSCC + TIA erforderlich

Aufbewahrung und Löschung

Verknüpfen Sie jede Verarbeitungstätigkeit mit einer Löschklasse:

Verarbeitungstätigkeit: Lohnabrechnung
├── Löschklasse: Lohnunterlagen
│   ├── Aufbewahrungsfrist: 10 Jahre
│   ├── Rechtsgrundlage: AO §147
│   └── Löschauslöser: Ende Beschäftigungsverhältnis

Datenschutz-Folgenabschätzung (DSFA)

Das System prüft automatisch, ob eine DSFA erforderlich sein könnte:

Indikatoren für DSFA-Pflicht:

  • Verarbeitung besonderer Datenkategorien
  • Systematische Überwachung
  • Automatisierte Einzelentscheidungen
  • Verarbeitung in großem Umfang
  • Innovative Technologien

Bei Anzeige "DSFA empfohlen" sollten Sie:

  1. Die Notwendigkeit mit dem Datenschutzbeauftragten prüfen
  2. Eine separate DSFA-Dokumentation erstellen
  3. Ggf. die Aufsichtsbehörde konsultieren

Vorlagen und Duplikate

Standardvorlagen

Nutzen Sie "Standardwerte laden" für typische Verarbeitungstätigkeiten:

  • Lohn- und Gehaltsabrechnung
  • Bewerbermanagement
  • Kundenverwaltung (CRM)
  • Website-Betrieb
  • E-Mail-Kommunikation
  • Videoüberwachung

Duplizieren

Bei ähnlichen Verarbeitungen:

  1. Bestehende Tätigkeit öffnen
  2. "Duplizieren" klicken
  3. Namen und spezifische Details anpassen

Workflow

┌─────────────┐     ┌─────────────┐     ┌─────────────┐
│   Entwurf   │────▶│    Aktiv    │────▶│  Archiviert │
└─────────────┘     └─────────────┘     └─────────────┘
      │                   │                    │
      │                   │                    │
      ▼                   ▼                    ▼
   Bearbeiten        Regelmäßig           Historische
   bis fertig        überprüfen           Dokumentation

Status-Bedeutung

StatusBedeutungAktion
EntwurfIn BearbeitungVervollständigen
AktivProduktiv im EinsatzRegelmäßig prüfen
ArchiviertNicht mehr aktivFür Nachweis aufbewahren

Regelmäßige Überprüfung

Das Verzeichnis sollte mindestens jährlich überprüft werden:

  • Sind alle Verarbeitungen noch aktuell?
  • Haben sich Rechtsgrundlagen geändert?
  • Sind neue Verarbeitungen hinzugekommen?
  • Wurden Verarbeitungen eingestellt?
  • Sind die Löschfristen korrekt?

Previous

DSGVO-Modul

Next

Anwendungen & Auftragsverarbeitung

On this page