Das Verarbeitungsverzeichnis -- dein Datenschutz-Logbuch
Wenn die DSB an deine Tür klopft und fragt "Welche personenbezogenen Daten verarbeiten Sie?", solltest du nicht nervös Google durchsuchen müssen. Du brauchst ein Verarbeitungsverzeichnis -- das zentrale Dokument, das alle Datenverarbeitungen in deinem Startup auflistet. Art. 30 DSGVO macht es zur Pflicht, und die DSB prüft es bei Beschwerden oder Kontrollen als eines der ersten Dokumente.
Viele Gründer denken, das sei nur Papierkram für Konzerne. Aber das Verarbeitungsverzeichnis ist tatsächlich dein bester Freund, wenn es um Datenschutz geht: Es gibt dir den Überblick über alle Datenflüsse in deinem Unternehmen, hilft dir bei der Erstellung der Datenschutzerklärung und ist die Basis für alles andere -- vom AVV bis zum Löschkonzept.
Startup Burgenland stellt dir dafür Vorlagen und Unterstützung zur Verfügung. In diesem Post zeige ich dir, wie du das Verzeichnis aufbaust, was reingehört, wie es für ein typisches Startup aussieht und welche Tools dir dabei helfen.
Die Pflicht: Wen betrifft Art. 30 DSGVO wirklich?
Art. 30 Abs. 5 DSGVO enthält eine vermeintliche Ausnahme: Unternehmen mit weniger als 250 Beschäftigten müssen kein Verarbeitungsverzeichnis führen. Klingt erstmal gut für Startups. Aber diese Ausnahme hat so viele Gegenausnahmen, dass sie in der Praxis fast nie greift.
Du musst trotz unter 250 Mitarbeitern ein Verarbeitungsverzeichnis führen, wenn:
- Die Verarbeitung nicht nur gelegentlich erfolgt -- und eine Website zu betreiben, Newsletter zu versenden oder ein CRM zu nutzen ist definitiv nicht gelegentlich
- Du besondere Datenkategorien verarbeitest -- Gesundheitsdaten, biometrische Daten, Daten über religiöse oder politische Überzeugungen
- Die Verarbeitung ein Risiko für die Rechte und Freiheiten der Betroffenen birgt -- was bei den meisten digitalen Geschäftsmodellen der Fall ist
- Du strafrechtlich relevante Daten verarbeitest
In der Praxis bedeutet das: Jedes Startup braucht ein Verarbeitungsverzeichnis. Die europäischen Aufsichtsbehörden haben das in einer gemeinsamen Stellungnahme klargestellt und empfehlen ausdrücklich, immer ein Verarbeitungsverzeichnis zu führen -- unabhängig von der Mitarbeiterzahl. Die österreichische DSB folgt dieser Empfehlung.
Das hat auch einen praktischen Vorteil: Ohne Verarbeitungsverzeichnis kannst du die Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO kaum erfüllen. Du musst nachweisen können, dass du die DSGVO einhältst -- und das Verarbeitungsverzeichnis ist dafür das zentrale Dokument.
Was muss im Verarbeitungsverzeichnis stehen? -- Pflichtfelder
Art. 30 Abs. 1 DSGVO nennt die Pflichtangaben für Verantwortliche präzise. Für jeden Verarbeitungsvorgang musst du folgende Felder ausfüllen:
| Feld | Was einzutragen ist | Beispiel |
|---|---|---|
| Name des Verantwortlichen | Dein Unternehmen mit Kontaktdaten | Muster GmbH, Hauptstr. 1, 7000 Eisenstadt |
| Datenschutzbeauftragter | Name und Kontakt (falls vorhanden) | Nicht bestellt (keine Pflicht) |
| Verarbeitungstätigkeit | Bezeichnung des Vorgangs | Newsletter-Versand |
| Zweck der Verarbeitung | Warum die Daten verarbeitet werden | Direktmarketing, Information über Produkte |
| Rechtsgrundlage | Welcher Art. 6 DSGVO | Einwilligung (Art. 6 Abs. 1 lit. a) |
| Kategorien betroffener Personen | Wer ist betroffen? | Newsletter-Abonnenten |
| Kategorien personenbezogener Daten | Welche Daten werden verarbeitet? | E-Mail-Adresse, Vorname, Anmeldedatum |
| Empfänger | An wen werden Daten weitergegeben? | Brevo (Newsletter-Tool), Hetzner (Hosting) |
| Drittlandtransfer | Übermittlung außerhalb EU/EWR? | Nein / Ja -- USA (EU-US DPF) |
| Löschfristen | Wann werden die Daten gelöscht? | Bei Abmeldung, max. 3 Jahre Inaktivität |
| TOMs (Verweis) | Technische und organisatorische Maßnahmen | Siehe TOM-Dokument Anlage 1 |
Zusätzlich sinnvolle Felder -- nicht vorgeschrieben, aber empfohlen
Obwohl die DSGVO nur die oben genannten Felder verlangt, empfehle ich dir folgende Ergänzungen, die dir in der Praxis enorm helfen:
- Verantwortliche Person/Abteilung -- wer kümmert sich um diese Verarbeitung?
- Eingesetztes Tool/System -- welche Software wird genutzt (z. B. "Brevo", "HubSpot")?
- AVV vorhanden? -- Ja/Nein mit Datum des Abschlusses
- Datum der letzten Überprüfung -- wann hast du den Eintrag zuletzt geprüft?
- Risikobewertung -- hoch/mittel/niedrig -- hilft bei der Priorisierung
- Datenschutz-Folgenabschätzung nötig? -- bei hohem Risiko relevant (Art. 35 DSGVO)
Praxis-Vorlage: Verarbeitungsverzeichnis für ein typisches Startup
Hier ein konkretes Beispiel mit typischen Verarbeitungstätigkeiten, wie sie bei einem jungen digitalen Startup vorkommen. Du kannst diese Einträge als Vorlage für dein eigenes Verzeichnis nutzen.
Verarbeitungstätigkeit 1: Website-Betrieb
| Feld | Eintrag |
|---|---|
| Tätigkeit | Bereitstellung der Unternehmenswebsite |
| Zweck | Information über Produkte und Dienstleistungen |
| Rechtsgrundlage | Berechtigtes Interesse (Art. 6 Abs. 1 lit. f) |
| Betroffene | Website-Besucher |
| Datenkategorien | IP-Adresse, Browsertyp, Betriebssystem, Zugriffszeit, aufgerufene Seiten, Referrer-URL |
| Empfänger | Hetzner Online GmbH (Hosting) |
| Drittlandtransfer | Nein (Server in Deutschland) |
| Löschfrist | Server-Logfiles nach 30 Tagen |
| AVV | Ja, abgeschlossen am 01.01.2026 |
| Tool | Hetzner Cloud, Astro (Static Site Generator) |
Verarbeitungstätigkeit 2: Web-Analytics
| Feld | Eintrag |
|---|---|
| Tätigkeit | Analyse des Nutzerverhaltens auf der Website |
| Zweck | Verbesserung der Website, Conversion-Optimierung |
| Rechtsgrundlage | Einwilligung (Art. 6 Abs. 1 lit. a) + TKG § 165 |
| Betroffene | Website-Besucher (nur bei Consent) |
| Datenkategorien | IP-Adresse (anonymisiert), Seitenaufrufe, Verweildauer, Gerätetyp |
| Empfänger | Google Ireland Limited (Google Analytics) |
| Drittlandtransfer | Ja -- USA (EU-US DPF, Google LLC zertifiziert) |
| Löschfrist | 14 Monate (Analytics-Einstellung) |
| AVV | Ja, DPA akzeptiert am 15.01.2026 |
Verarbeitungstätigkeit 3: Kundenverwaltung (CRM)
| Feld | Eintrag |
|---|---|
| Tätigkeit | Verwaltung von Kundenbeziehungen und Verkaufschancen |
| Zweck | Vertragserfüllung, Kundenbetreuung, Vertriebssteuerung |
| Rechtsgrundlage | Vertragserfüllung (Art. 6 Abs. 1 lit. b) |
| Betroffene | Kunden, Interessenten |
| Datenkategorien | Name, Firma, Adresse, E-Mail, Telefon, Bestellhistorie, Kommunikationsverlauf |
| Empfänger | HubSpot Inc. (CRM), Stripe Inc. (Zahlung) |
| Drittlandtransfer | Ja -- USA (EU-US DPF, SCCs) |
| Löschfrist | 7 Jahre nach Vertragsende (BAO-Aufbewahrungspflicht) |
| AVV | Ja, HubSpot DPA am 15.02.2026, Stripe DPA am 01.01.2026 |
Verarbeitungstätigkeit 4: Bewerbermanagement
| Feld | Eintrag |
|---|---|
| Tätigkeit | Entgegennahme und Bearbeitung von Bewerbungen |
| Zweck | Personalauswahl und Einstellung |
| Rechtsgrundlage | Vorvertragliche Maßnahmen (Art. 6 Abs. 1 lit. b) |
| Betroffene | Bewerber |
| Datenkategorien | Name, Kontaktdaten, Lebenslauf, Zeugnisse, Bewerbungsschreiben, Gehaltsvorstellung |
| Empfänger | Nur intern |
| Drittlandtransfer | Nein |
| Löschfrist | 6 Monate nach Absage (mit Einwilligung bis 2 Jahre) |
| AVV | Nicht erforderlich (rein interne Verarbeitung) |
Verarbeitungstätigkeit 5: Newsletter-Versand
| Feld | Eintrag |
|---|---|
| Tätigkeit | Versand von Marketing-Newslettern |
| Zweck | Direktmarketing, Information über Produkte und Neuigkeiten |
| Rechtsgrundlage | Einwilligung (Art. 6 Abs. 1 lit. a) + TKG § 107 |
| Betroffene | Newsletter-Abonnenten |
| Datenkategorien | E-Mail-Adresse, Vorname (optional), Anmeldedatum, Double-Opt-In-Nachweis |
| Empfänger | Brevo SAS (Newsletter-Tool) |
| Drittlandtransfer | Nein (EU-Server) |
| Löschfrist | Bei Abmeldung sofort, bei Inaktivität nach 3 Jahren |
| AVV | Ja, abgeschlossen am 01.03.2026 |
Tools für das Verarbeitungsverzeichnis
Du brauchst kein teures Tool -- für ein Startup mit 5 bis 20 Verarbeitungstätigkeiten reicht eine gut strukturierte Tabelle völlig aus. Aber je nach Komplexität gibt es verschiedene Optionen:
Kostenlos und einfach
Excel oder Google Sheets: Eine Tabelle mit den Pflichtfeldern als Spalten und einer Zeile pro Verarbeitungstätigkeit. Für die meisten Startups völlig ausreichend. Vorteil: Flexibel, kostenlos, keine Einarbeitung nötig. Nachteil: Keine automatischen Erinnerungen, keine Versionierung (außer du nutzt Google Sheets mit Versionshistorie).
WKO-Mustervorlage: Die Wirtschaftskammer Österreich bietet ein kostenloses Muster-Verarbeitungsverzeichnis als Word-Dokument an. Es enthält die Pflichtfelder und Ausfüllhinweise. Gut als Startpunkt, aber du musst es selbst pflegen.
DSK-Muster (deutsche Datenschutzkonferenz): Ein detailliertes Muster-Formular, das auch für österreichische Unternehmen verwendbar ist. Etwas ausführlicher als die WKO-Vorlage.
Professionelle Tools
| Tool | Kosten (ca.) | Vorteile | Zielgruppe |
|---|---|---|---|
| Proliance 360 | Ab EUR 50/Monat | Deutschsprachig, KMU-fokussiert, integriertes DSM | Startups mit 10+ Verarbeitungen |
| DataGuard | Ab EUR 100/Monat | Umfangreich, mit Beratung, Dashboard | Wachsende Startups |
| Keyed | Ab EUR 30/Monat | Österreichisches Tool, DACH-fokussiert | Österreichische KMU |
| PRIVERION | Ab EUR 40/Monat | Aus Österreich, gut für KMU | DACH-Startups |
| OneTrust | Enterprise-Preis | Sehr umfangreich, international | Für Startups meist überdimensioniert |
Meine Empfehlung: Starte mit einer Excel- oder Google-Sheets-Tabelle. Investiere erst in ein Tool, wenn du über 30 Verarbeitungstätigkeiten hast, regulierte Daten verarbeitest oder dein Team wächst und mehrere Personen am Verzeichnis arbeiten müssen.
Das TOM-Dokument -- die technische Ergänzung
Im Verarbeitungsverzeichnis verweist du bei jedem Eintrag auf die technischen und organisatorischen Maßnahmen (TOMs). Diese kannst du in einem separaten Dokument beschreiben, das für alle Verarbeitungstätigkeiten gilt. Typische Inhalte:
Zutrittskontrolle: Wie schützt du den physischen Zugang zu Datenverarbeitungsanlagen? Bei einem reinen Online-Startup vielleicht weniger relevant, aber wenn du ein Büro hast: Schlüssel, Alarmanlage, Serverraum?
Zugangskontrolle: Wer hat Zugang zu welchen Systemen? Passwortrichtlinien, Zwei-Faktor-Authentifizierung, individuelle Benutzerkonten.
Zugriffskontrolle: Welcher Mitarbeiter darf auf welche Daten zugreifen? Rollenkonzept, Need-to-know-Prinzip.
Verschlüsselung: Sind Daten bei der Übertragung (TLS) und im Ruhezustand verschlüsselt?
Verfügbarkeit und Belastbarkeit: Backup-Konzept, Disaster-Recovery-Plan, Redundanz.
Verfahren zur regelmäßigen Überprüfung: Wie oft prüfst du die Wirksamkeit der Maßnahmen?
Typische Fehler beim Verarbeitungsverzeichnis
Aus der Praxis bei Startup Burgenland kennen wir diese immer wiederkehrenden Fehler:
1. Zu abstrakt formuliert: "Wir verarbeiten Kundendaten" ist kein brauchbarer Eintrag. Sei konkret: Welche Daten genau? In welchem System? Für welchen Zweck? Mit welcher Rechtsgrundlage?
2. Rechtsgrundlage nicht korrekt: Viele tragen pauschal "Berechtigtes Interesse" ein, obwohl es eigentlich Vertragserfüllung oder Einwilligung ist. Die richtige Zuordnung ist wichtig, weil unterschiedliche Rechtsgrundlagen unterschiedliche Pflichten auslösen (Einwilligung muss widerrufbar sein, berechtigtes Interesse braucht eine dokumentierte Abwägung).
3. Verarbeitungsverzeichnis als Projekt statt als Prozess: Das Verzeichnis wird einmal erstellt und dann nie wieder angefasst. Neue Tools, neue Datenflüsse, neue Mitarbeiter -- alles ändert sich, aber das Verzeichnis bleibt auf dem Stand von Tag eins. Das ist bei einer Prüfung durch die DSB besonders auffällig.
4. Löschfristen unrealistisch: "Sofort nach Zweckerfüllung" klingt gut, ist aber in der Praxis oft nicht umsetzbar. Definiere realistische Fristen, die du auch tatsächlich einhalten kannst und die gesetzliche Aufbewahrungspflichten berücksichtigen (BAO: 7 Jahre für steuerrelevante Unterlagen).
5. TOMs fehlen oder sind zu allgemein: "Wir setzen angemessene Sicherheitsmaßnahmen ein" reicht nicht. Beschreibe konkret: Verschlüsselungsstandard, 2FA, Zugriffskonzept, Backup-Rhythmus.
6. Auftragsverarbeiter nicht vollständig aufgelistet: Vergiss nicht die "unsichtbaren" Verarbeitungen: Google Fonts (Datentransfer bei jedem Seitenaufruf), CDNs (Content Delivery Networks), eingebettete YouTube-Videos, reCAPTCHA, Chat-Widgets.
Verarbeitungsverzeichnis für Auftragsverarbeiter (Art. 30 Abs. 2)
Falls dein Startup selbst als Auftragsverarbeiter für andere Unternehmen tätig ist (z. B. als SaaS-Anbieter, Agentur oder IT-Dienstleister), brauchst du zusätzlich ein Verarbeitungsverzeichnis nach Art. 30 Abs. 2 DSGVO. Dieses hat leicht andere Pflichtfelder:
| Feld | Inhalt |
|---|---|
| Name des Auftragsverarbeiters | Dein Unternehmen |
| Name des Verantwortlichen | Dein Auftraggeber |
| Kategorien der Verarbeitungen | Was du für den Auftraggeber tust |
| Drittlandtransfer | Falls du Sub-Prozessoren in Drittländern einsetzt |
| TOMs | Deine technischen und organisatorischen Maßnahmen |
Wenn du sowohl Verantwortlicher (für deine eigenen Datenverarbeitungen) als auch Auftragsverarbeiter (für die Daten deiner Kunden) bist, brauchst du beide Verzeichnisse. In der Praxis kannst du sie in einer Tabelle mit einem Kennzeichen ("V" für Verantwortlicher, "AV" für Auftragsverarbeiter) zusammenfassen.
Das Verarbeitungsverzeichnis aktuell halten
Ein Verarbeitungsverzeichnis, das du einmal erstellst und dann vergisst, ist nicht nur wertlos -- es kann sogar schaden, weil es bei einer Prüfung den Eindruck erweckt, du würdest Datenschutz nicht ernst nehmen. So hältst du es aktuell:
Bei jedem neuen Tool prüfen: Brauche ich einen neuen Eintrag? Brauche ich einen AVV? Findet ein Drittlandtransfer statt?
Quartalsweiser Review: Setz dir einen festen Termin (z. B. jeden ersten Montag im Quartal), um das gesamte Verzeichnis durchzugehen. Stimmen die Einträge noch? Gibt es Tools, die du nicht mehr nutzt?
Verantwortlichkeit festlegen: Wer pflegt das Verzeichnis? In einem kleinen Startup bist das vermutlich du selbst. Wenn das Team wächst, delegiere die Pflege an eine Person mit klarer Zuständigkeit.
Versionierung: Halte fest, wann du was geändert hast. In Google Sheets passiert das automatisch. In Excel: Speichere Kopien mit Datum im Dateinamen.
Löschfristen überwachen: Löschst du Daten tatsächlich, wenn die im Verzeichnis angegebene Frist abgelaufen ist? Das Verarbeitungsverzeichnis ist nur dann glaubwürdig, wenn die Löschung auch wirklich stattfindet.
Der Zusammenhang mit anderen Datenschutz-Dokumenten
Das Verarbeitungsverzeichnis steht nicht allein. Es ist das zentrale Dokument, aus dem sich andere Pflichtdokumente speisen:
Datenschutzerklärung: Die Informationen in deiner Datenschutzerklärung sollten konsistent mit dem Verarbeitungsverzeichnis sein. Dieselben Zwecke, Rechtsgrundlagen, Empfänger und Speicherfristen.
Cookie-Tabelle: Die Cookie-basierten Verarbeitungstätigkeiten im Verzeichnis entsprechen den Einträgen in der Cookie-Tabelle deiner Datenschutzerklärung und den Kategorien im Cookie-Banner.
AVV-Übersicht: Für jeden Auftragsverarbeiter im Verzeichnis sollte ein AVV vorliegen. Nutze das Verzeichnis als Checkliste, ob alle AVVs abgeschlossen sind.
Löschkonzept: Die Löschfristen im Verzeichnis bilden die Grundlage für dein Löschkonzept. Prüfe regelmäßig, ob die tatsächliche Löschung den dokumentierten Fristen entspricht.
TOM-Dokument: Die technischen und organisatorischen Maßnahmen, auf die du im Verzeichnis verweist, sollten in einem eigenen Dokument detailliert beschrieben sein.
Wenn du diese Dokumente konsistent pflegst, hast du ein Datenschutz-Management-System, das jeder DSB-Prüfung standhält.
Dein Aktionsplan
Nimm dir eine Stunde Zeit und erstelle dein Verarbeitungsverzeichnis. Fang mit den offensichtlichen Dingen an: Website, E-Mail, CRM, Newsletter. Dann arbeite dich zu den weniger offensichtlichen vor: Cloud-Speicher, Projektmanagement-Tools, Videokonferenz-Systeme, HR-Tools. Im nächsten Post zeigen wir dir, wie du deinen Newsletter DSGVO-konform versendest. Startup Burgenland stellt dir Excel-Vorlagen zur Verfügung -- melde dich einfach bei uns.
Startup Burgenland macht Gründung leistbar: EUR 10.000 Gründungszuschuss (nicht rückzahlbar, keine Eigenkapitalabgabe), 1:1 Coaching und ein Netzwerk aus Steuerberatern, Notaren und Rechtsanwälten. Flexibler Einstieg jederzeit. Schreib uns ein formloses E-Mail.
Über den Autor: Felix Lenhard ist Program Director und Startup Coach bei Startup Burgenland. Zuvor Managing Director beim 360 Innovation Lab, Innovation Manager bei RHI Magnesita und Serial Entrepreneur mit internationalen Exits. Über 15 Jahre Erfahrung in Innovation und Unternehmensaufbau.