Das Bearbeitungsverzeichnis gehört zu den zentralen Instrumenten des neuen Schweizer Datenschutzrechts — und ist gleichzeitig jenes, das bei Schweizer KMU am häufigsten fehlt. Dieser Leitfaden erklärt, was es ist, wen es betrifft und wie Sie in wenigen Schritten ein rechtskonformes Verzeichnis aufbauen.
Was ist ein Bearbeitungsverzeichnis?
Ein Bearbeitungsverzeichnis ist ein internes Dokument, das alle Vorgänge auflistet, bei denen Ihr Unternehmen Personendaten erhebt, verwendet, speichert, weitergibt oder vernichtet. Im Schweizer Datenschutzrecht ist die Pflicht in Art. 12 des neuen Bundesgesetzes über den Datenschutz (nDSG, fedlex.admin.ch) verankert und wird durch Art. 24 der Datenschutzverordnung (DSV) präzisiert.
Jede Zeile im Verzeichnis entspricht einer eigenständigen Bearbeitungstätigkeit — also beispielsweise dem Versand eines Newsletters, der Verwaltung von Mitarbeiterdaten oder der Auswertung von Website-Statistiken.
Das Verzeichnis ist nicht öffentlich. Es bleibt intern, muss aber dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) auf Verlangen vorgelegt werden können.
Rechtliche Grundlage: Wer muss ein Bearbeitungsverzeichnis führen?
Art. 12 Abs. 5 nDSG sieht eine formelle Ausnahme für Unternehmen mit weniger als 250 Mitarbeitenden vor, deren Bearbeitungstätigkeiten kein hohes Risiko für die betroffenen Personen darstellen. In der Praxis bedeutet das:
- Obligatorisch für jedes Unternehmen ab 250 Mitarbeitenden.
- Obligatorisch für jedes Unternehmen — unabhängig von der Grösse — dessen Bearbeitungen ein hohes Risiko aufweisen: umfangreiches Profiling, grossangelegte Bearbeitung besonders schützenswerter Daten (Gesundheit, politische Ansichten, biometrische Daten), systematische Überwachung öffentlicher Bereiche usw.
- Dringend empfohlen für alle anderen KMU, auch unterhalb der Schwelle.
Dieser letzte Punkt verdient besondere Beachtung.
Warum auch kleine KMU ein Bearbeitungsverzeichnis führen sollten
Die gesetzliche Ausnahme bedeutet nicht, dass ein Verzeichnis für kleine Betriebe nutzlos wäre. Die grosse Mehrheit der Schweizer Datenschutzberater empfiehlt es trotzdem — aus guten Gründen.
1. Der EDÖB kann jedes Unternehmen prüfen. Reicht ein Mitarbeitender, ein Kunde oder ein Konkurrent eine Beschwerde ein, kann der EDÖB unabhängig von der Unternehmensgrösse ein Verfahren eröffnen. Ein sorgfältig geführtes Bearbeitungsverzeichnis ist ein konkreter Nachweis des guten Willens, der den Ausgang einer Prüfung positiv beeinflussen kann.
2. Das Verzeichnis strukturiert Ihr Denken. Beim Erfassen Ihrer Bearbeitungstätigkeiten stellen Sie schnell fest, welche Daten Sie unnötigerweise erheben, welche Aufbewahrungsfristen zu grosszügig bemessen sind und welche Auftragsbearbeiter Sie datenschutzrechtlich noch nie betrachtet haben.
3. Es vereinfacht Ihre Datenschutzerklärung. Ein vollständiges Verzeichnis ist die Grundlage für Ihre öffentliche Datenschutzerklärung. Sie wissen genau, was hineingehört — ohne das Risiko, eine Bearbeitungstätigkeit zu vergessen.
4. Es erleichtert Auskunftsanfragen. Das nDSG stärkt das Auskunftsrecht betroffener Personen (Art. 25). Mit einem gepflegten Verzeichnis können Sie innerhalb von Minuten feststellen, welche Daten Sie über eine Person halten und wo diese gespeichert sind.
Pflichtangaben nach Art. 12 nDSG
Art. 12 nDSG legt die Mindestangaben fest, die jeder Eintrag im Verzeichnis enthalten muss. Art. 24 DSV ergänzt die Anforderungen für Auftragsbearbeiter. Folgendes muss der Verantwortliche (in der Regel Ihr Unternehmen) dokumentieren:
| Pflichtfeld | Beschreibung |
|---|---|
| Identität des Verantwortlichen | Firmenname, Adresse, Kontaktangaben des Datenschutzbeauftragten, sofern vorhanden |
| Bearbeitungszweck | Genauer Zweck, für den die Daten erhoben und verwendet werden |
| Kategorien betroffener Personen | Kunden, Mitarbeitende, Interessenten, Website-Besucher usw. |
| Kategorien von Personendaten | Kontaktdaten, Finanzdaten, Gesundheitsdaten, Nutzungsdaten usw. |
| Kategorien von Empfängern | Interne oder externe Stellen, die Daten erhalten (Auftragsbearbeiter, Partner, Behörden) |
| Aufbewahrungsfristen | Wie lange jede Datenkategorie aufbewahrt wird, bevor sie gelöscht oder anonymisiert wird |
| Bekanntgaben ins Ausland | Zielland, Rechtsgrundlage der Übermittlung (Angemessenheit, Standardvertragsklauseln usw.) |
| Sicherheitsmassnahmen | Wesentliche technische und organisatorische Massnahmen (Verschlüsselung, Zugangskontrolle usw.) |
Für Auftragsbearbeiter — Dienstleister, die Personendaten in Ihrem Auftrag bearbeiten — sieht Art. 24 DSV vergleichbare Angaben vor, insbesondere die Identität des Verantwortlichen, in dessen Auftrag sie handeln.
Schritt-für-Schritt-Anleitung: Bearbeitungsverzeichnis von Grund auf erstellen
Schritt 1 — Bearbeitungstätigkeiten inventarisieren
Bevor Sie eine einzige Zeile ausfüllen, verschaffen Sie sich einen Überblick über alle Stellen, an denen Ihr Unternehmen Personendaten erhebt oder verwendet. Stellen Sie sich diese Fragen nach Abteilungen:
- Marketing: Newsletter, Online-Werbung, Kontaktformulare, Website-Analysen?
- Vertrieb: CRM, Angebots- und Rechnungsverwaltung, Kaufhistorie?
- HR: Rekrutierung, Personaldossiers, Lohnabrechnung, Beurteilungen?
- IT: Verbindungsprotokolle, Systemzugriffe, Datensicherungen?
- Finanzen: Zahlungen, Buchhaltung, Kontoauszüge?
Notieren Sie alles — auch scheinbar Selbstverständliches. Sortieren können Sie später.
Schritt 2 — Nach Bearbeitungstätigkeiten gruppieren
Jede eigenständige Bearbeitungstätigkeit erhält einen eigenen Eintrag. Die Faustregel: Unterscheiden sich Zweck oder Datenkategorien wesentlich, erstellen Sie einen neuen Eintrag. „Versand kommerzieller Newsletter" und „statistische Website-Auswertung" sind zwei separate Tätigkeiten — auch wenn beide E-Mail-Adressen verwenden.
Schritt 3 — Rechtsgrundlage für jede Bearbeitung bestimmen
Das nDSG schreibt nicht vor, die Rechtsgrundlage formal im Verzeichnis zu dokumentieren (anders als die DSGVO), doch es ist empfehlenswert. Mögliche Grundlagen sind: Einwilligung, Vertragserfüllung, gesetzliche Verpflichtung, überwiegendes berechtigtes Interesse oder Wahrung lebenswichtiger Interessen.
Schritt 4 — Aufbewahrungsfristen festlegen
Diese Spalte ist oft die schwierigste. Gehen Sie von gesetzlichen Pflichten aus (OR: 10 Jahre für Geschäftsbücher; Arbeitsrecht: je nach Dokument unterschiedlich) und ergänzen Sie diese mit Ihren eigenen Geschäftsregeln. Wo keine spezifische Pflicht besteht, gilt das Grundsatz der Verhältnismässigkeit: Daten nur so lange aufbewahren, wie es für den erklärten Zweck erforderlich ist.
Schritt 5 — Auftragsbearbeiter und Auslandübermittlungen erfassen
Für jede Bearbeitungstätigkeit: Welche Drittanbieter haben Zugang zu den Daten? Hosting-Anbieter, SaaS-Tools, Agenturen, Berater. Notieren Sie deren Standort. Werden Daten in Länder übermittelt, die der EDÖB nicht als angemessen anerkannt hat, müssen geeignete Garantien vorgesehen werden (Standardvertragsklauseln, verbindliche interne Datenschutzvorschriften usw.).
Schritt 6 — Wichtigste Sicherheitsmassnahmen beschreiben
Kein erschöpfender IT-Infrastrukturkatalog nötig. Halten Sie die wesentlichen Massnahmen fest: Datenverschlüsselung im Ruhezustand und bei der Übertragung, rollenbasierte Zugangskontrolle, Zwei-Faktor-Authentifizierung, Backup-Politik, Verfahren zum Umgang mit Sicherheitsvorfällen.
Schritt 7 — Verzeichnis aktuell halten
Das Verzeichnis ist kein einmaliges Dokument. Jedes Mal, wenn Sie einen neuen Dienst einführen, ein neues SaaS-Tool übernehmen oder eine bestehende Bearbeitungstätigkeit wesentlich ändern, aktualisieren Sie es. Planen Sie mindestens eine jährliche Überprüfung ein.
Mustervorlage: Tabellenvorlage zum sofortigen Einsatz
Die folgende Vorlage können Sie in einer Tabellenkalkulation oder einem Dokumentenverwaltungssystem adaptieren. Die vier Beispiele decken die häufigsten Bearbeitungstätigkeiten eines KMU ab.
| Bearbeitungstätigkeit | Zweck | Kategorien betroffener Personen | Datenkategorien | Empfänger | Aufbewahrungsfrist | Auslandübermittlung | Sicherheitsmassnahmen |
|---|---|---|---|---|---|---|---|
| Website-Analyse | Reichweitenmessung, Site-Verbesserung | Website-Besucher | IP-Adresse (anonymisiert), besuchte Seiten, Sitzungsdauer, Gerätetyp | Google LLC (Google Analytics) | 14 Monate (in GA4 konfiguriert) | USA — EU-Standardvertragsklauseln | IP-Anonymisierung aktiviert, Einwilligung via CMP erforderlich |
| Marketing-Newsletter | Kommerzielle Kommunikation, Kundenbindung | Abonnenten (Kunden und Interessenten) | Vorname, E-Mail-Adresse, Öffnungshistorie | Brevo (Sendinblue) SA | Bis Abmeldung + 3 Jahre | Frankreich (EU) — angemessenes Schutzniveau anerkannt | Double Opt-in, Abmeldelink in jedem Versand |
| Kunden-CRM | Kundenbeziehungsmanagement, Vertriebsverfolgung | Kunden, Interessenten | Name, Vorname, E-Mail, Telefon, Kaufhistorie, Korrespondenz | Internes Vertriebsteam, HubSpot Inc. | Vertragsdauer + 10 Jahre (OR) | USA — EU-Standardvertragsklauseln | Rollenbasierter Zugang, TLS-Verschlüsselung, 2FA |
| Mitarbeiterdaten | HR-Verwaltung, Lohnabrechnung, gesetzliche Pflichten | Mitarbeitende | Identitätsdaten, Kontaktdaten, Lohn, Vertrag, Beurteilungen, Absenzen | Geschäftsleitung, Buchhaltung, Pensionskasse, Steuerbehörden | Vertragsdauer + 10 Jahre (OR) | Keine | Eingeschränkter HR-/Geschäftsleitungszugang, verschlüsselter Speicher, Server in der Schweiz |
Diese Tabelle ist ein Ausgangspunkt. Passen Sie die Spalten an Ihre tatsächlichen Tools und die Komplexität Ihrer Bearbeitungstätigkeiten an.
Was PrivaGuard Business für Sie leistet
Ein Bearbeitungsverzeichnis in einer Tabelle zu führen ist ein Anfang — wird aber schnell unübersichtlich, sobald Ihre Bearbeitungstätigkeiten zunehmen. Das Modul Bearbeitungsverzeichnis von PrivaGuard Business ermöglicht Ihnen:
- Bearbeitungstätigkeiten in einer strukturierten Oberfläche zu erfassen und zu verwalten
- Automatisch ein PDF-Dokument zu generieren, das Art. 12 nDSG entspricht und dem EDÖB vorgelegt werden kann
- Erinnerungen zur Aktualisierung zu erhalten, wenn ein neuer Dienst oder Scanner hinzugefügt wird
- Bearbeitungsverzeichnis, Datenschutzerklärung und Consent-Banner zentral in einem einzigen Tool zu verwalten
Das ist die Lösung für Schweizer KMU, die eine solide Compliance anstreben — ohne eine Vollzeit-Datenschutzfachperson einzustellen.
Häufige Fragen
Muss ich ein bestimmtes Format verwenden? Nein. Das nDSG schreibt kein spezifisches Format vor. Eine strukturierte Tabelle, ein Word-Dokument oder ein dediziertes Tool wie PrivaGuard sind alle zulässig — solange die Angaben nach Art. 12 enthalten sind.
Muss das Verzeichnis auf Deutsch sein? Nicht zwingend — es muss in der Arbeitssprache Ihres Unternehmens verfasst sein. Bei einer Prüfung durch den EDÖB müssen Sie es verständlich vorlegen können.
Welche Folgen drohen ohne Verzeichnis? Das nDSG sieht strafrechtliche Sanktionen für bestimmte Verstösse vor (bis CHF 250 000 für die verantwortliche natürliche Person), aber das Fehlen eines Verzeichnisses wird nicht automatisch mit einer Busse geahndet. Das eigentliche Risiko ist reputationeller und operationeller Natur: Bei einem Sicherheitsvorfall oder einer Beschwerde schwächt das Fehlen eines Verzeichnisses Ihre Position gegenüber dem EDÖB erheblich.
Muss auch ein Auftragsbearbeiter ein Verzeichnis führen? Ja. Wer als Dienstleister Personendaten im Auftrag von Kunden bearbeitet (Hosting, ausgelagerte Buchhaltung usw.), ist nach Art. 24 DSV verpflichtet, ein eigenes Verzeichnis der in dieser Funktion ausgeführten Bearbeitungstätigkeiten zu führen.
Der erste Schritt zu einer soliden nDSG-Compliance beginnt damit, zu wissen, was Sie tatsächlich erheben. Analysieren Sie Ihre Website kostenlos mit PrivaScan: In wenigen Minuten erhalten Sie die vollständige Liste aller aktiven Cookies und Tracker, kategorisiert nach Typ, mit klar ausgewiesenen nicht konformen Elementen.