Verarbeitungsverzeichnis DSGVO Österreich: Pflicht & Muster
Steven | TrustYourWebsite · 16. Juni 2026 · Zuletzt aktualisiert: Juni 2026
Das Verzeichnis von Verarbeitungstätigkeiten, auch Verarbeitungsverzeichnis genannt, ist die schriftliche Bestandsaufnahme jeder Nutzung personenbezogener Daten in Ihrem Unternehmen. Artikel 30 DSGVO (Verordnung 2016/679) verpflichtet Verantwortliche, dieses Verzeichnis zu führen. In Österreich verlangt die Datenschutzbehörde (DSB) es bei einer Prüfung oder nach einer Beschwerde als Erstes.
Sie wissen nicht, welche Drittdienste Ihre Website lädt? Prüfen Sie Ihre Website kostenlos und erhalten Sie die Liste der Tracker und Skripte, bevor Sie das Verzeichnis ausfüllen.
Springen Sie direkt zum Muster für ein kleines Unternehmen, oder lesen Sie weiter für die Regeln.
Wer muss ein Verzeichnis führen?
Artikel 30 Absatz 5 DSGVO sieht eine Ausnahme für Unternehmen mit weniger als 250 Beschäftigten vor. Diese Ausnahme gilt nur, wenn alle drei Bedingungen gleichzeitig erfüllt sind:
- Die Verarbeitung erfolgt nur gelegentlich und nicht als regelmäßige Tätigkeit
- Die Verarbeitung birgt kein Risiko für die Rechte und Freiheiten der Betroffenen
- Es werden keine besonderen Daten verarbeitet (Gesundheit, Religion, Biometrie, Gewerkschaft, Sexualleben, Straftaten)
In der Praxis ist die Ausnahme sehr eng. Nahezu jedes Unternehmen mit Website, Beschäftigten oder Kundenstamm muss ein Verzeichnis führen. Das österreichische Datenschutzgesetz (DSG) ergänzt die DSGVO, ohne die Verzeichnispflicht zu ändern.
| Wenn Sie ... haben | Warum das Verzeichnis Pflicht ist |
|---|---|
| Eine Website mit Reichweitenmessung | Regelmäßige Verarbeitung, keine Ausnahme |
| Einen Newsletter | Regelmäßige Verarbeitung, keine Ausnahme |
| Einen Kundenstamm | Regelmäßige Verarbeitung, keine Ausnahme |
| Reservierungen mit Angaben zur Ernährung | Besondere Daten, keine Ausnahme |
| Beschäftigte in der Lohnverrechnung | Regelmäßige Verarbeitung, keine Ausnahme |
Was das Verzeichnis enthalten muss
Für einen Verantwortlichen dokumentiert jede Verarbeitung:
- Name und Kontaktdaten des Verantwortlichen und eines etwaigen Vertreters
- Name des Datenschutzbeauftragten, falls Sie einen benannt haben
- Zwecke der Verarbeitung, etwa Bestellbestätigungen senden oder die Reichweite messen
- Kategorien der Betroffenen, Kunden, Besucher, Beschäftigte oder Bewerber
- Kategorien der Daten, Namen, E-Mails, IP-Adressen, Finanzdaten oder Gesundheitsdaten
- Empfänger, jeder Dienstleister, der Daten erhält. Jeder Auftragsverarbeiter braucht einen Auftragsverarbeitungsvertrag nach Artikel 28
- Drittlandübermittlungen, das Land und die anwendbare Garantie (Standardvertragsklauseln, Angemessenheitsbeschluss)
- Aufbewahrungsfrist je Datenkategorie
- Allgemeine Beschreibung der Sicherheitsmaßnahmen (Verschlüsselung, Zugriffskontrolle, Backups)
Das Muster der WKO
Sie müssen nicht bei null anfangen. Die Wirtschaftskammer Österreich (WKO) stellt Muster für das Verarbeitungsverzeichnis bereit, getrennt für Verantwortliche und Auftragsverarbeiter. Die Muster decken die Pflichtfelder aus Artikel 30 Absatz 1 ab.
Sie ersetzen die Beispiele durch Ihre Lage und haben in unter einer Stunde ein nutzbares Verzeichnis.
Muster für ein kleines Unternehmen
Hier eine Tabelle zum Anpassen. Jede Zeile steht für eine Verarbeitung.
Unternehmen: [Ihr Firmenname]
Firmenbuchnummer: [Ihre FN]
Kontakt: [E-Mail für Datenschutzfragen]
Letzte Aktualisierung: [Datum]
| Verarbeitung | Zweck | Betroffene | Datenkategorien | Rechtsgrundlage | Empfänger | Drittland | Aufbewahrungsfrist |
|---|---|---|---|---|---|---|---|
| Reichweitenmessung | Nutzung verstehen | Besucher | IP-Adresse, Seitenaufrufe | Einwilligung | Analyse-Tool | je nach Tool | 14 Monate |
| Kontaktformular | Anfragen beantworten | Besucher, Interessenten | Name, E-Mail, Nachricht | Berechtigtes Interesse | E-Mail-Hoster | keines | 1 Jahr |
| Newsletter | Marketing | Abonnenten | Name, E-Mail | Einwilligung | E-Mail-Dienst | je nach Tool | Dauer des Abos |
| Bestellungen | Bestellungen erfüllen | Kunden | Name, Adresse, Zahlung | Vertrag | Zahlungsdienst | je nach Tool | 7 Jahre (Belege) |
| Lohnverrechnung | Beschäftigte bezahlen | Beschäftigte | Name, Bankdaten, Gehalt | Rechtliche Pflicht | Steuerberater | keines | 7 Jahre |
| Bewerbung | Personal einstellen | Bewerber | Name, Lebenslauf, Kontakt | Vorvertraglich | HR-Tool | keines | 6 Monate nach Absage |
Aufbewahrungsfristen nach österreichischem Recht
Die Aufbewahrungsfrist ist das Feld, das die DSB zuerst prüft. Vermeiden Sie die Angabe "so lange wie nötig" und nennen Sie eine konkrete Frist mit Grundlage. Anders als in Deutschland gilt in Österreich für Belege eine einheitliche Frist von sieben Jahren.
| Kategorie | Frist | Grundlage |
|---|---|---|
| Bücher, Belege, Geschäftspapiere | 7 Jahre | § 132 BAO |
| Rechnungen, Buchhaltungsunterlagen | 7 Jahre | § 212 UGB |
| Lohnverrechnungsunterlagen | 7 Jahre | § 132 BAO |
| Bewerberunterlagen (Absage) | bis 6 Monate nach Absage | GlBG (Klagefrist) |
| Kundendaten | Vertragsdauer plus Verjährung | ABGB |
Typische Fehler
| Fehler | Stattdessen |
|---|---|
| "Daten so lange wie nötig" | Konkrete Frist und Grundlage nennen |
| Zweck und Rechtsgrundlage verwechseln | "Anfragen beantworten" ist der Zweck, die Grundlage ist berechtigtes Interesse oder Vertrag |
| Nur die eigene Firma als Empfänger | Jeden Auftragsverarbeiter aufführen, der Daten erhält |
| IP-Adressen vergessen | Eine IP ist personenbezogen, sobald Ihre Logs sie speichern |
| Nicht aktualisieren | Verzeichnis bei jedem neuen Tool oder Dienstleister prüfen |
Was die DSB mit dem Verzeichnis macht
Das Verzeichnis ist ein internes Dokument. Sie müssen es nicht veröffentlichen. Die Datenschutzbehörde kann es bei einer Prüfung oder nach einer Beschwerde verlangen. Ein fehlendes oder unvollständiges Verzeichnis ist selbst ein Verstoß und ein Anlass für eine tiefere Prüfung.
Ein gutes Verzeichnis belegt, dass Sie über Ihre Verarbeitungen nachgedacht haben und dass Ihre Datenschutzerklärung zur Realität passt.
Praktische Schritte zum Verzeichnis
- 1Mit Muster startenMit dem WKO-Muster oder einer Tabelle starten.
- 2Tools auflistenJedes Tool und jeden Dienst mit Personenbezug auflisten.
- 3Eine Zeile je VerarbeitungZweck, Rechtsgrundlage, Empfänger und Frist notieren.
- 4Website prüfenAnalyse, Karten, Chat-Widgets und Skripte finden.
- 5Offline einbeziehenPapierformulare, Telefonnotizen und Videoüberwachung einbeziehen.
- 6Datieren und prüfenDatieren und alle 6 bis 12 Monate prüfen.
- Starten Sie mit dem WKO-Muster oder einer Tabellendatei
- Listen Sie jedes Tool und jeden Dienst auf, der personenbezogene Daten berührt
- Füllen Sie die Spalten je Verarbeitung anhand der Tabelle oben aus
- Prüfen Sie Ihre Website auf Analyse, Karten, Chat-Widgets und weitere Skripte
- Beziehen Sie Offline-Verarbeitungen ein, Papierformulare, Telefonnotizen, Videoüberwachung
- Datieren Sie das Verzeichnis und setzen Sie eine Erinnerung für eine Prüfung alle 6 bis 12 Monate
Für die sichtbaren Punkte Ihrer Website starten Sie mit einer DSGVO-Checkliste.
Häufige Fragen
Muss ein kleines österreichisches Unternehmen ein Verzeichnis führen?
Meist ja. Artikel 30 Absatz 5 DSGVO befreit nur, wenn alle drei Bedingungen erfüllt sind: gelegentliche Verarbeitung, kein Risiko und keine besonderen Daten. Ein Unternehmen mit Website, Newsletter oder Beschäftigten bleibt verpflichtet.
Welche Behörde kontrolliert das Verzeichnis in Österreich?
Die Datenschutzbehörde (DSB) in Wien. Sie kann das Verzeichnis bei einer Prüfung oder nach einer Beschwerde verlangen.
Muss das Verzeichnis öffentlich sein?
Nein. Es ist ein internes Dokument. Nur die DSB auf Anfrage sowie Ihr etwaiger Datenschutzbeauftragter und die Geschäftsführung sehen es ein.
Dieser Artikel ist eine technische Analyse und keine Rechtsberatung. Für eine auf Ihre Situation zugeschnittene Beratung wenden Sie sich an einen Anwalt.
Quellen
Ihre Website jetzt prüfen
Scannen Sie Ihre Website auf DSGVO & Datenschutz-Probleme und 30+ weitere Prüfungen.
Website kostenlos scannenWebsite-Leitfäden
Cookie-Einwilligung in Österreich: § 165 TKG und DSB
Cookie-Einwilligung nach § 165 TKG 2021 in Österreich. Was die DSB-Leitlinien fordern, welche Banner-Designs sicher sind und wo der häufigste Fehler liegt.
Datenschutzerklärung Pflicht: Was AT-Websites brauchen
Datenschutzerklärung Website Pflicht in Österreich: Pflichtangaben nach Art. 13 DSGVO und DSG, typische DSB-Beanstandungen, was DE-Generator-Texten fehlt.
DSGVO-Checkliste Österreich: 35 Punkte (2026)
35-Punkte-DSGVO-Checkliste für österreichische Websites. Cookie-Banner nach § 165 TKG, AVV nach Art. 28 DSGVO, Datenschutzerklärung, DSB-Prüfpraxis.
DSGVO-konformer Cookie-Banner in Österreich: Anforderungen
DSGVO-konformer Cookie-Banner in Österreich: § 165 Abs. 3 TKG 2021 plus DSGVO. DSB-Leitlinien, Dark Patterns und technische Pflichten im Überblick.
Kontaktformular und DSGVO in Österreich: DSB-Pflichten
Was ein Kontaktformular in Österreich DSGVO-konform erfüllen muss: Datenschutzhinweis, Rechtsgrundlage, Speicherdauer nach § 212 UGB und § 132 BAO, AVV, DSB.