Verarbeitungsverzeichnis-Vorlage nach DSGVO: Was eine prüffeste Vorlage wirklich enthalten muss

Art. 30 DSGVO verpflichtet jeden Verantwortlichen mit mindestens 250 Beschäftigten und faktisch auch nahezu jedes kleinere Unternehmen, ein Verzeichnis von Verarbeitungstätigkeiten zu führen. Die Pflicht entsteht bereits dann, wenn die Verarbeitung ein Risiko für die Rechte und Freiheiten der betroffenen Personen birgt, regelmäßig erfolgt oder besondere Datenkategorien nach Art. 9 DSGVO umfasst. In der Praxis trifft das auf jede HR-Abteilung, jeden Online-Shop und jede Newsletter-Datenbank zu. Suchanfragen nach einer Verarbeitungsverzeichnis-Vorlage sind entsprechend hoch, die Qualität der frei verfügbaren Vorlagen dagegen schwankt erheblich.

Eine Vorlage ist kein Verzeichnis. Sie ist ein leeres Gerüst, das gepflegt werden muss, sonst wird sie zur trügerischen Sicherheit. Aufsichtsbehörden prüfen nicht, ob ein Excel-Sheet existiert, sondern ob die geführten Einträge mit der gelebten Realität übereinstimmen und ob jede Verarbeitung eine dokumentierte Rechtsgrundlage hat. Dieser Beitrag richtet sich an Datenschutzbeauftragte, Geschäftsführungen und Compliance-Verantwortliche. Sie erfahren, welche Pflichtfelder Art. 30 DSGVO konkret verlangt, welche Felder erfahrene Aufsichtsbehörden zusätzlich erwarten, woran die meisten Vorlagen scheitern und wie die CIVAC Compliance-Plattform und Officer-as-a-Service die Vorlage in ein gepflegtes Verzeichnis überführt, das im Prüfungsfall zwei Werktage und nicht zwei Wochen Vorbereitungszeit braucht.

Art. 30 Abs. 1 DSGVO benennt sieben Angaben, die ein Verzeichnis von Verarbeitungstätigkeiten beim Verantwortlichen mindestens enthalten muss. Erstens den Namen und die Kontaktdaten des Verantwortlichen sowie gegebenenfalls des gemeinsam Verantwortlichen und des Datenschutzbeauftragten. Zweitens die Zwecke der Verarbeitung. Drittens eine Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten. Viertens die Kategorien von Empfängern, denen die Daten offengelegt worden sind oder werden, einschließlich Empfängern in Drittländern. Fünftens gegebenenfalls Übermittlungen in Drittländer mit der Dokumentation geeigneter Garantien nach Art. 46 DSGVO. Sechstens vorgesehene Fristen für die Löschung. Siebtens eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen nach Art. 32 DSGVO.

Diese sieben Angaben sind Pflicht. Sie sind aber nicht ausreichend. Die deutschen Aufsichtsbehörden verlangen in der Praxis weitere Angaben, ohne die ein Verzeichnis im Audit kaum verteidigbar ist. Dazu zählen vor allem die jeweilige Rechtsgrundlage nach Art. 6 DSGVO und gegebenenfalls Art. 9 DSGVO, die konkrete IT-Anwendung oder Datenbank, in der die Verarbeitung stattfindet, sowie das Datum der letzten Aktualisierung. Wer eine Vorlage aus dem Internet ohne diese Erweiterungen übernimmt, dokumentiert formal das Pflichtfeld-Set, aber nicht den Stand seiner Compliance.

Der externe Datenschutzbeauftragte prüft daher in jedem Erstkontakt nicht nur, ob ein Verzeichnis vorhanden ist, sondern auch, ob die Pflichtfelder im Sinne der DSK-Kurzpapiere ausgelegt wurden. Eine pauschale Angabe wie "Vertragserfüllung" als Zweck oder "allgemeine TOM" als Maßnahme ist im Prüfungsfall keine ausreichende Antwort. Erfahrene Prüfer hinterfragen sofort, welche konkreten Verträge gemeint sind, welche TOM tatsächlich gelten und ob die zugewiesenen Empfängerkategorien mit den tatsächlichen Datenflüssen übereinstimmen. Eine belastbare Vorlage zwingt zur Konkretisierung, weil sie Pflichtfelder mit Auswahllisten und Validierungen versieht, statt mit einer offenen Spalte zu enden.

Art. 30 Abs. 2 DSGVO regelt ein eigenes Verzeichnis für Auftragsverarbeiter mit reduziertem Umfang. Vier Angaben sind verpflichtend: Name und Kontaktdaten des Auftragsverarbeiters, jedes Verantwortlichen und des jeweiligen Datenschutzbeauftragten, die Kategorien der im Auftrag jedes Verantwortlichen durchgeführten Verarbeitungen, gegebenenfalls Drittlandübermittlungen mit Garantien sowie eine allgemeine Beschreibung der TOM nach Art. 32 DSGVO. In vielen mittelständischen Unternehmen wird übersehen, dass die eigene Rolle nicht nur Verantwortlicher, sondern in einzelnen Vorgängen auch Auftragsverarbeiter sein kann, etwa wenn HR-Daten für eine Konzerngesellschaft verarbeitet werden.

Wer Auftragsverarbeiter ist, führt zwei Verzeichnisse parallel. Das eine dokumentiert die eigenen Verarbeitungen als Verantwortlicher, das andere die im Auftrag durchgeführten Verarbeitungen. Eine saubere Trennung ist wichtig, weil die Pflichten unterschiedlich sind. Der Auftragsverarbeiter haftet nach Art. 82 DSGVO mit, wenn er ohne Weisung oder gegen Weisung handelt. Eine Vorlage, die nur Verantwortlichen-Verarbeitungen vorsieht, ist für Auftragsverarbeiter unzureichend. Hier braucht es zusätzliche Spalten für Auftraggeber, Auftrag, Vertragsdatum und Stand der TOM-Prüfung.

Die hessische Aufsichtsbehörde hat 2026 mehrere Bußgelder zwischen 25.000 und 180.000 Euro verhängt, weil Auftragsverarbeiter in IT-Outsourcing und HR-Services kein eigenes Verzeichnis führten, sondern auf die Verzeichnisse ihrer Auftraggeber verwiesen. Diese Konstruktion ist rechtlich unzulässig. Wer im Auftrag verarbeitet, muss ein eigenes Verzeichnis führen, auch wenn es im Detail mit dem Verzeichnis des Auftraggebers übereinstimmt. Eine Plattform-Lösung erlaubt es, dasselbe Verfahren in beiden Rollen abzubilden, ohne die Daten doppelt zu erfassen, was Aktualisierungsfehler reduziert. Die Trennung wird über Sichten und Berechtigungen abgebildet, nicht über getrennte Excel-Dateien, die in der Praxis schnell auseinanderlaufen.

Frei verfügbare Excel-Vorlagen sind in der Anfangsphase nützlich. Sie scheitern jedoch regelmäßig an drei Stellen. Erstens fehlen Validierungen. Spalten für Rechtsgrundlagen oder Löschfristen werden als Freitext geführt, was zu inkonsistenten Einträgen wie "Art. 6 DSGVO", "Art. 6 Abs. 1 lit. b", "Vertrag" und "Vertragserfüllung" für denselben Sachverhalt führt. Im Audit wirkt das chaotisch und erzeugt Folgefragen. Eine prüffeste Vorlage erzwingt eine Auswahl aus einer geschlossenen Liste, die exakt den sechs Buchstaben des Art. 6 Abs. 1 DSGVO entspricht.

Zweitens fehlt die Versionierung. Excel speichert keine systematische Historie. Wer eine Verarbeitung im März ändert und im November geprüft wird, kann selten belegen, was vorher galt. Die DSGVO kennt zwar keine explizite Versionierungspflicht, die Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO verlangt aber den Nachweis der Rechtmäßigkeit zum jeweiligen Verarbeitungszeitpunkt. Ohne Versionierung gelingt dieser Nachweis nicht. Eine professionelle Vorlage führt daher ein Änderungsprotokoll mit Datum, Autor und Beschreibung der Änderung.

Drittens fehlt die Verknüpfung zu anderen Compliance-Artefakten. Eine Verarbeitung ohne Verknüpfung zur passenden Datenschutzhinweis-Version, zum Auftragsverarbeitungsvertrag mit dem jeweiligen Dienstleister oder zur Datenschutz-Folgenabschätzung ist im Audit nur ein Eintrag, kein Nachweis. Wer eine Vorlage nutzt, die mit Hinweistexten, AVV-Mustern und DSFA-Vorlagen vernetzt ist, halbiert seinen Pflegeaufwand und beseitigt die häufigste Audit-Lücke. Die CIVAC-Plattform stellt diese Verknüpfungen als Standardarchitektur bereit, sodass eine Änderung an einer Verarbeitung automatisch die abhängigen Dokumente markiert. Andere führen Compliance wie einen Aktenschrank. Wir führen sie wie Software. Hinzu kommt die fehlende Mehrsprachigkeit: Wer in mehreren EU-Ländern verarbeitet, braucht das Verzeichnis auf Anfrage auch in Englisch, was Excel-Lösungen mit deutschen Spaltenköpfen nicht abdecken.

Ein Verzeichnis ist kein einmaliges Projekt. Es ist eine Daueraufgabe, die mit jeder neuen Datenbank, jedem neuen Cloud-Dienst und jeder neuen Personalkategorie wächst. Die Datenschutzkonferenz empfiehlt im Kurzpapier Nr. 1 eine zyklische Überprüfung mindestens einmal jährlich, in Hochrisiko-Bereichen halbjährlich. In der Praxis sehen Aufsichtsbehörden bei einer Stichprobe sofort, ob ein Verzeichnis lebt oder im Schrank verstaubt. Indikatoren sind das Datum der letzten Aktualisierung, die Anzahl der Verarbeitungen mit Status "in Prüfung", die Konsistenz von Empfängerlisten und die Aktualität der TOM-Beschreibungen.

Pflege braucht eine Berichtslinie. Der Datenschutzbeauftragte meldet quartalsweise an die Geschäftsleitung, welche Verarbeitungen hinzugekommen sind, welche entfallen sind und welche eine Risikoneubewertung benötigen. Diese Berichtslinie ist nicht nur eine Frage des guten Tons, sondern eine Pflicht des § 38 BDSG für den Datenschutzbeauftragten, der unmittelbar der höchsten Managementebene zu unterstellen ist. Wer dies in der eigenen Organisation nicht abbilden kann, vergibt einen Compliance-Hebel.

Praktisch hilft ein automatisierter Pflegezyklus. In der CIVAC-Plattform erhält jede Verarbeitung ein Wiedervorlage-Datum und einen verantwortlichen Owner aus der Fachabteilung. Bleibt die Wiedervorlage unbearbeitet, eskaliert das System an den Datenschutzbeauftragten und nach einer weiteren Frist an die Geschäftsleitung. Diese Eskalation ersetzt keine inhaltliche Prüfung, sie sorgt aber dafür, dass kein Eintrag jahrelang unbearbeitet liegt. Bestellurkunde, unterschrieben, abgelegt, belegbar. Die gleiche Logik gilt für das Verzeichnis: gepflegt, datiert, abgelegt, belegbar. Wer den Pflegezyklus nicht aktiv steuert, hat im Ernstfall ein historisches Dokument vorzulegen, keinen aktuellen Compliance-Nachweis. Drei nachvollziehbar dokumentierte Updates pro Jahr und Verarbeitung sind die Grenze, unter der Aufsichtsbehörden in der Praxis kritisch werden.

Jede Verarbeitung im Verzeichnis, an der ein externer Dienstleister beteiligt ist, hat einen zugehörigen Auftragsverarbeitungsvertrag nach Art. 28 DSGVO. Die Vorlage muss diese Verknüpfung sichtbar machen. In der Praxis bewährt sich eine Spalte mit dem Vertragsnamen, dem Vertragsdatum, dem Datum der letzten Aktualisierung und einem Verweis auf das hinterlegte Dokument. Wer den Vertrag nicht binnen weniger Minuten vorlegen kann, hat ein Pflegeproblem. Aufsichtsbehörden prüfen die Verknüpfung gezielt bei größeren Cloud-Dienstleistern und bei Übermittlungen in Drittländer.

Die technisch-organisatorischen Maßnahmen nach Art. 32 DSGVO werden in der Vorlage typischerweise als allgemeiner Verweis auf das eigene TOM-Dokument geführt. Das ist in den meisten Fällen unzureichend. Aufsichtsbehörden erwarten, dass die TOM pro Verarbeitung soweit konkretisiert sind, wie es die Schutzbedürftigkeit verlangt. Eine Lohnabrechnung mit Gehaltsdaten und Steuer-IDs braucht eine andere TOM-Tiefe als ein Newsletter-Verteiler. Eine prüffeste Vorlage führt daher eine TOM-Klassifizierung in mindestens drei Stufen und verknüpft jede Verarbeitung mit der jeweils zutreffenden Stufe.

Wer ein Informationssicherheits-Management nach ISO/IEC 27001:2022 betreibt, kann die 93 Controls dieses Standards systematisch auf die TOM-Beschreibung im Verzeichnis abbilden. Diese Abbildung ist nicht nur effizient, sie stärkt auch die Argumentationsbasis im Audit. Die Aufsichtsbehörde erkennt sofort, dass die TOM nicht aus dem Nichts dokumentiert wurden, sondern auf einem etablierten Sicherheitsstandard fußen. Die CIVAC-Plattform stellt diese Verknüpfung als Standardmapping bereit und aktualisiert sie bei Änderungen am Control-Set, etwa bei den Anpassungen, die der Übergang auf ISO/IEC 27001:2022 in der Übergangsfrist bis Oktober 2026 mit sich bringt. Praktisch heißt das: Eine Verarbeitung mit hohem Schutzbedarf bekommt automatisch das passende Control-Set zugewiesen, der DSB muss nicht jede TOM-Auswahl manuell prüfen.

Übermittlungen in Drittländer sind nach dem Schrems-II-Urteil des EuGH (C-311/18) ein besonders sensibles Pflichtfeld. Die Vorlage muss eindeutig erkennen lassen, in welche Länder Daten übermittelt werden, auf welcher Grundlage nach Art. 44 ff. DSGVO die Übermittlung erfolgt und welche zusätzlichen Maßnahmen ergriffen wurden. Die Standardvertragsklauseln in der Fassung des Durchführungsbeschlusses 2021/914 sind das gängigste Instrument. Ihre bloße Erwähnung reicht jedoch nicht, die Plattform muss die jeweilige Modul-Wahl (Modul 1 bis 4) dokumentieren und die ergänzenden Maßnahmen wie Verschlüsselung oder Pseudonymisierung benennen.

Seit dem EU-US Data Privacy Framework, das die EU-Kommission im Juli 2023 als angemessen anerkannt hat, ist die Übermittlung in die USA an zertifizierte Unternehmen wieder ohne SCC möglich. Die Anerkennung kann jedoch widerrufen werden, weshalb Verzeichnisse SCC weiterhin als Rückfall-Option führen sollten. Eine prüffeste Vorlage zeigt für jede US-Übermittlung die Zertifizierung im DPF an, mit Link zur Liste des US-Handelsministeriums, und parallel die SCC-Variante mit Modul-Wahl. Bei Übermittlungen in andere Drittländer ohne Angemessenheitsbeschluss ist die Dokumentation aufwendiger, weil ein Transfer Impact Assessment nach Empfehlung 01/2020 des Europäischen Datenschutzausschusses zu führen ist.

Die Folgen einer fehlenden oder unvollständigen Dokumentation sind erheblich. Die irische Datenschutzbehörde hat 2026 ein Bußgeld in Höhe von 1,2 Milliarden Euro gegen Meta Platforms Ireland wegen unzureichend dokumentierter Übermittlungen in die USA verhängt. Auch wenn dieser Fall ein Einzelfall in seiner Größenordnung bleibt, zeigt er, dass Aufsichtsbehörden bei Drittlandübermittlungen die formale Dokumentation hart prüfen. Eine Vorlage, die Drittlandübermittlungen nur als Freitext führt, ist hier ein Risiko. Der Prüfer ruft an, der Nachweis liegt bereit, wenn die Übermittlung als strukturierter Datensatz mit Empfängerland, Empfänger, Rechtsgrundlage, ergänzenden Maßnahmen und TIA-Verweis vorliegt.

Ein Verzeichnis enthält sensible Informationen über die gesamte Datenlandschaft eines Unternehmens. Es darf nicht für jeden Mitarbeiter sichtbar sein. Gleichzeitig müssen Fachbereichsleiter ihre eigenen Verarbeitungen pflegen können, der Datenschutzbeauftragte braucht Lesezugriff auf alle Verarbeitungen, und die Geschäftsleitung benötigt einen aggregierten Überblick mit Kennzahlen. Eine Excel-Vorlage löst dieses Rechteproblem in der Regel nicht. Sie wird entweder zu offen oder zu restriktiv geführt.

Eine plattformgestützte Vorlage trennt Rollen sauber. Fachbereichs-Owner sehen und pflegen nur die ihnen zugewiesenen Verarbeitungen. Der Datenschutzbeauftragte sieht alle, kann aber inhaltliche Änderungen nur auf Vorschlag genehmigen. Die Geschäftsleitung erhält ein Dashboard mit Kennzahlen wie Anzahl Verarbeitungen, Anzahl Drittlandübermittlungen, Anzahl überfälliger Reviews und Anzahl offener DSFA. Diese Trennung entspricht dem Prinzip der minimalen Berechtigung nach Art. 32 DSGVO und ist gleichzeitig eine Kontrolle nach Anhang A.5.15 der ISO/IEC 27001:2022.

Audit-fest, dokumentiert, Art. 30-fest bedeutet konkret, dass jede Änderung am Verzeichnis einem identifizierbaren Bearbeiter zugeordnet ist und nicht aus einer freigegebenen Excel-Datei mit anonymen Bearbeitern stammt. Die EU-Datenresidenz der CIVAC-Plattform stellt sicher, dass das Verzeichnis selbst in der Europäischen Union verarbeitet wird, was bei einer Übermittlung des Verzeichnisses an externe Prüfer eine zusätzliche Sicherheit bietet. Lizenzieren Sie den Workspace für Ihre internen Beauftragten, oder lassen Sie unsere Beauftragten bestellen. Beide Modelle nutzen dieselbe Plattform, die Rollentrennung bleibt identisch. Eine Berechtigungsmatrix wird einmal definiert und gilt für alle Verarbeitungen, unabhängig vom gewählten Modell. Bei einem Audit kann zusätzlich ein zeitlich begrenzter Lesezugriff für den Prüfer eingerichtet werden, der nach Abschluss automatisch erlischt und im Audit-Trail dokumentiert wird.

Die meisten Unternehmen starten mit einer Excel-Datei und stehen irgendwann vor der Frage, ob und wie sie auf eine strukturierte Plattform migrieren. Eine Migration ist kein Datentransfer, sondern eine Bereinigung. Sie zwingt dazu, alle Verarbeitungen auf eine einheitliche Struktur zu bringen, doppelte Einträge zusammenzuführen und veraltete Einträge zu archivieren. Erfahrungsgemäß enthält ein durchschnittliches Excel-Verzeichnis zwischen 15 und 40 Prozent veraltete oder doppelte Einträge.

Der Migrationspfad in der Praxis: Erstens Inventur aller bestehenden Einträge. Zweitens Mapping der Excel-Spalten auf die Plattform-Pflichtfelder. Drittens Bereinigung von Dubletten und Aktualisierung der Rechtsgrundlagen-Notation. Viertens Übertragung in die Plattform, in der Regel über einen Import. Fünftens Owner-Zuweisung pro Verarbeitung. Sechstens erste Pflegerunde durch die Owner mit fester Frist. Siebtens Übergabe an den Datenschutzbeauftragten zur Freigabe.

Die CIVAC-Plattform bietet für diesen Pfad eine eigene Migrationsvorlage und einen geführten Import. Die 490 Audit-Vorlagen im Workspace decken alle Standard-Verarbeitungen eines mittelständischen Unternehmens ab, sodass der Owner nicht bei null anfängt, sondern eine fachlich vorbereitete Beschreibung nur noch an die Realität anpasst. Diese Vorlagen sind nicht statisch, sondern werden bei Änderungen der DSK-Kurzpapiere, der EDSA-Leitlinien oder relevanter Rechtsprechung aktualisiert. Wer eine eigene Vorlage in Excel pflegt, muss diese Aktualisierungen selbst nachvollziehen, was in der Praxis selten geschieht. Die Migration ist damit nicht nur eine technische Umstellung, sondern auch ein inhaltlicher Qualitätssprung. Frist läuft ab Kenntnis: Wer einen Mangel im bestehenden Verzeichnis feststellt, hat keine Schonfrist, sondern muss unverzüglich nachbessern. Die Migration ist daher in der Regel eine bewusste Entscheidung der Geschäftsleitung, kein Selbstläufer aus der IT-Abteilung, und sie sollte mit einem klaren Stichtag versehen werden, bis zu dem die alte Excel-Version eingefroren und nur noch die Plattform geführt wird.

Eine Vorlage allein ist keine Compliance. Sie ist ein Anfang, der eine Pflegekultur und eine Rollenstruktur braucht. Die in diesem Beitrag beschriebenen Pflichtfelder und Erweiterungen sind in der CIVAC-Plattform bereits hinterlegt, einschließlich der Verknüpfungen zu DSFA, AVV und TOM. Wer ein Verzeichnis aufbauen oder ein bestehendes konsolidieren will, hat zwei Wege. Lizenzieren Sie den Workspace für Ihre internen Beauftragten, dann pflegen Ihr interner Datenschutzbeauftragter und die Fachbereichs-Owner das Verzeichnis selbst, mit allen Vorlagen, Reviews und Eskalationspfaden. Oder lassen Sie unsere Beauftragten bestellen, dann übernimmt CIVAC die Bestellung des externen Datenschutzbeauftragten inklusive Verzeichnisführung und Berichtslinie an die Geschäftsleitung.

Der Aufwand für die initiale Befüllung eines Verzeichnisses für ein mittelständisches Unternehmen liegt erfahrungsgemäß zwischen drei und sechs Arbeitstagen. Die laufende Pflege beträgt rund zwei Stunden pro Monat für den Datenschutzbeauftragten und zehn bis dreißig Minuten pro Monat pro Fachbereichs-Owner. Wer diese Stunden nicht investiert, hat im Audit ein Problem, das innerhalb der CIVAC-SLA von zwei Werktagen kaum aufzuholen ist. Die übliche Vorbereitungszeit ohne Plattform liegt bei zwei bis sechs Wochen, in denen Fachbereiche befragt, Dokumente gesucht und Lücken hektisch geschlossen werden.

Aus dem Lesen einen Auftrag machen. Wer eine prüffeste Vorlage und eine gepflegte Berichtslinie ohne Eigenbau will, schreibt an info@civac.de oder nutzt das Kontaktformular auf civac.de. Im Erstgespräch klären wir, ob der Workspace mit Ihrem internen Datenschutzbeauftragten kombiniert wird oder ob CIVAC die Bestellung des externen Datenschutzbeauftragten übernimmt. Beide Wege führen zu einem Verzeichnis, das einer unangekündigten Prüfung standhält. Die Plattform ist mit der EU-Datenresidenz und der ISO/IEC 27001:2022-Zertifizierung so aufgesetzt, dass auch eine zukünftige Konzernprüfung oder eine Lieferkettenanforderung nach LkSG keine zusätzlichen Anpassungen mehr verlangt.