Verfahrensverzeichnis nach Art. 30 DSGVO als PDF: Leitfaden für Datenschutzbeauftragte
Das Verzeichnis der Verarbeitungstätigkeiten nach Art. 30 DSGVO ist eines der zentralen Instrumente der DSGVO-Compliance. Es dokumentiert alle Prozesse, bei denen personenbezogene Daten verarbeitet werden – von der Personalverwaltung über das CRM-System bis zur Videoüberwachung. Das Verzeichnis muss schriftlich geführt werden und auf Anfrage der Datenschutzbehörde vorgelegt werden können. PDF ist das ideale Format für das Verfahrensverzeichnis: Es ist leicht teilbar, lässt sich nicht versehentlich verändern, und kann jederzeit auf die Aktualität geprüft werden. Viele Datenschutzbeauftragte (DSB) pflegen das Verzeichnis in Word oder Excel und exportieren es regelmäßig als PDF für die offizielle Dokumentation. Dieser Leitfaden zeigt Datenschutzbeauftragten in Deutschland, wie sie das Verfahrensverzeichnis systematisch als PDF aufbereiten, versionieren und archivieren. Außerdem werden typische Fehler im Verzeichnis erklärt, die bei Datenschutzbehörden-Prüfungen zu Problemen führen können. Mit LazyPDF.com lässt sich die PDF-Aufbereitung des Verzeichnisses kostenlos und effizient gestalten.
Mindestinhalte des Verfahrensverzeichnisses nach Art. 30 DSGVO
Art. 30 Abs. 1 DSGVO definiert die Mindestinhalte, die ein Verfahrensverzeichnis für den Verantwortlichen enthalten muss. Jeder Verarbeitungsvorgang ist ein eigener Eintrag, der folgende Pflichtangaben enthält: Name und Kontaktdaten des Verantwortlichen, Zweck der Verarbeitung, Kategorien betroffener Personen (z.B. Kunden, Mitarbeiter), Kategorien personenbezogener Daten (z.B. Namen, E-Mail-Adressen, Gesundheitsdaten), Kategorien von Empfängern, geplante Löschfristen, und wo vorhanden: technische und organisatorische Maßnahmen. Für Auftragsverarbeiter gilt Art. 30 Abs. 2 DSGVO mit leicht abweichenden Anforderungen. Ein IT-Dienstleister, der für mehrere Kunden Daten verarbeitet, muss für jeden Kunden ein separates Verzeichnis führen. In der Praxis umfasst das Verfahrensverzeichnis eines mittelständischen Unternehmens 30 bis 100 Verarbeitungsvorgänge. Als PDF kann dieses Verzeichnis schnell 50 bis 200 Seiten umfassen. Eine klare Struktur mit Inhaltsverzeichnis und konsistentem Tabellenformat ist daher entscheidend.
Verfahrensverzeichnis strukturieren und als PDF exportieren
Die effizienteste Methode zur Erstellung des Verfahrensverzeichnisses ist eine Vorlage in Word oder Excel, die alle Pflichtfelder nach Art. 30 DSGVO enthält. Für jede Verarbeitungstätigkeit wird ein separates Tabellenblatt (Excel) oder ein separates Kapitel (Word) ausgefüllt. Am Ende wird das vollständige Dokument als PDF exportiert. Für Word-Dokumente empfiehlt sich die LazyPDF Word-zu-PDF Konvertierung, die eine 1:1-Übertragung der Formatierung gewährleistet. Excel-Tabellen werden mit LazyPDF Excel-zu-PDF konvertiert. Anschließend können beide Teile (z.B. ein Word-Deckblatt und Excel-Tabellen) mit LazyPDF Merge zu einem einzigen vollständigen Verzeichnis-PDF zusammengeführt werden. Das fertige PDF sollte mit LazyPDF Protect gegen Bearbeitung gesperrt werden – das Verzeichnis soll die tatsächlichen Verarbeitungstätigkeiten zu einem bestimmten Datum dokumentieren. Änderungen werden nicht im selben Dokument gemacht, sondern führen zu einer neuen Version.
- 1Verarbeitungstätigkeiten in einer Word- oder Excel-Vorlage dokumentieren: für jede Tätigkeit Name, Zweck, betroffene Personen, Datenkategorien, Empfänger, Löschfristen und TOMs ausfüllen
- 2Fertige Vorlage mit LazyPDF Word-zu-PDF oder Excel-zu-PDF in ein PDF konvertieren – Seitenformat: A4, Orientierung: Querformat für Tabellen
- 3Falls mehrere Teile (Deckblatt, Tabellenanhang): mit LazyPDF Merge zusammenführen – Seitennummerierung in Word/Excel vorab einstellen
- 4Mit LazyPDF Protect Bearbeitungssperre aktivieren; Datei als VERSION_JJJJ-MM-TT_Verfahrensverzeichnis.pdf speichern – alte Versionen NICHT löschen
Versionierung und Änderungsmanagement für das Verzeichnis
Das Verfahrensverzeichnis ist kein statisches Dokument. Es muss bei jeder Änderung der Verarbeitungstätigkeiten aktualisiert werden – bei der Einführung neuer Software, bei Änderungen in der Datenverarbeitung oder wenn Verarbeitungen wegfallen. Datenschutzbehörden können verlangen, auch historische Versionen einzusehen. Ein bewährtes Versionierungskonzept: Die aktuelle Version liegt immer in einem 'Aktuell'-Ordner als PDF. Ältere Versionen werden in einen 'Archiv'-Unterordner verschoben und mit Datum im Dateinamen versehen (z.B. 2024-12-31_Verfahrensverzeichnis.pdf). So ist die Geschichte der Verarbeitungstätigkeiten vollständig nachvollziehbar. Jede neue Version sollte mit einem kurzen Änderungsprotokoll beginnen: Datum der Änderung, betroffene Verarbeitungstätigkeit, Art der Änderung (neu / geändert / gelöscht). Dieses Protokoll gibt Datenschutzbehörden einen schnellen Überblick und zeigt, dass das Verzeichnis aktiv gepflegt wird.
Das Verfahrensverzeichnis bei einer Datenschutzbehörden-Prüfung vorlegen
Datenschutzbehörden können das Verfahrensverzeichnis jederzeit anfordern – entweder im Rahmen einer regulären Aufsichtsmaßnahme oder nach einer Beschwerde. In diesem Fall muss das Verzeichnis unverzüglich, vollständig und in verständlicher Form vorgelegt werden. Ein vollständiges, aktuelles PDF-Verfahrensverzeichnis ist hier der schnellste und professionellste Weg. Es kann direkt per E-Mail an die Behörde gesendet werden. Wichtig: Das PDF sollte nicht nur die Tabellen enthalten, sondern auch ein Deckblatt mit Name des Unternehmens, Name des Datenschutzbeauftragten, Datum der letzten Aktualisierung und Versionsnummer. Bei einer Vor-Ort-Prüfung sollte das Verzeichnis ausgedruckt und in einem gebundenen Ordner bereitliegen. LazyPDF Page Numbers hilft dabei, das mehrseitige Verzeichnis mit durchlaufenden Seitenzahlen zu versehen – das erleichtert Verweisungen auf bestimmte Verarbeitungsvorgänge während der Prüfung erheblich.
Häufig gestellte Fragen
Gibt es eine offizielle Vorlage für das Verfahrensverzeichnis nach Art. 30 DSGVO?
Es gibt keine verbindliche Pflichtvorlage, aber die deutschen Datenschutzbehörden (z.B. BayLDA, LDA Brandenburg) stellen Mustervorlagen zur Verfügung. Diese können auf den Websites der Länderbehörden heruntergeladen werden. Auch der Bundesverband der Datenschutzbeauftragten Deutschlands (BvD) bietet Vorlagen an. Wichtig ist, dass die Vorlage alle Pflichtangaben nach Art. 30 Abs. 1 bzw. Abs. 2 DSGVO enthält. Das konkrete Format (Tabelle, Liste oder Fließtext) ist der Organisation freigestellt.
Ab wie vielen Mitarbeitern ist ein Datenschutzbeauftragter und damit das Verfahrensverzeichnis Pflicht?
Das Verzeichnis der Verarbeitungstätigkeiten nach Art. 30 DSGVO ist für alle Verantwortlichen und Auftragsverarbeiter Pflicht, die personenbezogene Daten verarbeiten – unabhängig von der Unternehmensgröße. Kleine Unternehmen mit weniger als 250 Mitarbeitern sind nur dann von der Pflicht befreit, wenn die Verarbeitung nur gelegentlich erfolgt, keine Daten besonderer Kategorien verarbeitet werden und kein Risiko für die Rechte der betroffenen Personen besteht. In der Praxis muss fast jedes Unternehmen ein Verzeichnis führen, da schon die Lohnbuchhaltung eine regelmäßige Verarbeitung darstellt.
Wie oft muss das Verfahrensverzeichnis aktualisiert werden?
Das Verzeichnis muss immer dann aktualisiert werden, wenn sich Verarbeitungstätigkeiten ändern. Eine jährliche Vollüberprüfung ist empfehlenswert – am besten im Rahmen des jährlichen Datenschutz-Audits. Zusätzlich sollte das Verzeichnis bei jeder Einführung neuer Software, neuer Prozesse oder neuer Datenquellen sofort aktualisiert werden. Nicht aktualisierte Verzeichnisse können bei Behördenprüfungen zu Bußgeldern führen, da das Fehlen eines aktuellen Verzeichnisses als Verstoß gegen Art. 30 DSGVO gewertet wird.