Art. 30 DSGVO · Template
Stand: Geprüft gegen Art. 30QuelleVerfahrensverzeichnis-Generator (Art. 30 DSGVO)
Erfassen Sie Verantwortlichen, DSB und alle Verarbeitungstätigkeiten. ComplyCheck erzeugt eine strukturierte Vorlage mit allen Pflichtfeldern nach Art. 30 DSGVO als Markdown. Keine Rechtsberatung, keine Einreichung — interne Dokumentation für Ihre Aufsichtsbehörde.
Frequently Asked Questions
Was ist ein Verfahrensverzeichnis nach Art. 30 DSGVO?
Das Verzeichnis der Verarbeitungstätigkeiten (Art. 30 DSGVO) ist eine schriftliche oder elektronische Bestandsaufnahme aller personenbezogenen Datenverarbeitungen im Unternehmen. Es dokumentiert pro Verfahren: Zweck, Rechtsgrundlage, Datenkategorien, Empfänger, Löschfristen und technisch-organisatorische Maßnahmen. Es ist auf Anforderung der Aufsichtsbehörde vorzulegen.
Welche Unternehmen brauchen ein Verfahrensverzeichnis?
Grundsätzlich jedes Unternehmen, das personenbezogene Daten verarbeitet. Art. 30 Abs. 5 DSGVO sieht eine Erleichterung für Unternehmen unter 250 Beschäftigten vor — die Pflicht entfällt jedoch praktisch nie: sobald eine Verarbeitung "nicht nur gelegentlich" stattfindet (z. B. Personalverwaltung, Kundenkartei), gilt die Dokumentationspflicht trotzdem. In der Praxis: jedes Unternehmen mit Mitarbeitenden oder Kundenbeziehungen.
Wer ist Verantwortlicher im Sinne der DSGVO?
Verantwortlicher ist die natürliche oder juristische Person, die allein oder gemeinsam mit anderen über Zweck und Mittel der Verarbeitung entscheidet (Art. 4 Nr. 7 DSGVO). Bei GmbH/UG ist es die juristische Person, vertreten durch Geschäftsführung. Bei Einzelunternehmen die Inhaber:in selbst.
Was sind "Kategorien betroffener Personen"?
Gruppen von Personen, deren Daten verarbeitet werden — z. B. Mitarbeitende, Bewerber:innen, Kund:innen, Lieferanten, Newsletter-Empfänger:innen. Nicht einzelne Namen, sondern logische Gruppen pro Verfahren.
Was steht unter "Löschfristen"?
Konkrete Aufbewahrungsfristen oder Löschkriterien — z. B. "Bewerbungsdaten: 6 Monate nach Absage", "Buchhaltungsunterlagen: 10 Jahre § 147 AO", "Marketing-Newsletter: bis zum Widerruf". Allgemeine Formulierungen wie "so lange wie nötig" sind unzureichend.
Muss das Verzeichnis bei der Aufsichtsbehörde eingereicht werden?
Nein. Es wird intern geführt und nur auf konkrete Anforderung (z. B. bei einer Prüfung oder einer Beschwerde) vorgelegt. Wer kein Verzeichnis vorlegen kann, riskiert Bußgelder bis 10 Mio. € bzw. 2 % des Konzernumsatzes (Art. 83 Abs. 4 lit. a DSGVO).
Ersetzt dieses Tool eine Rechtsberatung?
Nein. Das Tool generiert eine strukturierte Vorlage mit allen Pflichtfeldern nach Art. 30 DSGVO. Es ersetzt keine individuelle Prüfung durch Datenschutzbeauftragte oder Fachanwält:innen. Für komplexe Verarbeitungen (Profiling, Big-Data, internationale Konzerne) ist eine fachliche Begleitung empfohlen.