Datenschutz HubEinzelthemen

Verzeichnis von Verarbeitungstätigkeiten (Art. 30 DSGVO)

Pflichtinhalte, Form, Vorlage und KMU-Ausnahme des Verarbeitungsverzeichnisses nach Art. 30 DSGVO: eigenständige Pflichten von Verantwortlichem und Auftragsverarbeiter, Praxisaufbau, Reformvorschlag COM(2025) 501.

Jeder Verantwortliche und jeder Auftragsverarbeiter führt ein Verzeichnis seiner Verarbeitungstätigkeiten und legt es der Aufsichtsbehörde auf Anfrage vor (Art. 30 Abs. 1, 2, 4 DSGVO). Das Verzeichnis ist das zentrale Dokumentationsinstrument der DSGVO und Grundlage für die Rechenschaftspflicht aus Art. 5 Abs. 2 DSGVO.

Das Wichtigste in Kürze

  • Pflicht trifft Verantwortliche und Auftragsverarbeiter eigenständig (Art. 30 Abs. 1 und Abs. 2 DSGVO).
  • Inhalt: Wer verarbeitet, wozu, welche Daten welcher Personen, an wen, wie lange, mit welchen Schutzmaßnahmen.
  • Form: schriftlich, auch elektronisch zulässig (Art. 30 Abs. 3 DSGVO); keine Vorlage von Amts wegen, nur auf Anfrage.
  • Befreiung für Unternehmen mit weniger als 250 Beschäftigten, entfällt aber bei Risiko, regelmäßiger Verarbeitung oder besonderen Datenkategorien (Art. 30 Abs. 5 DSGVO).
  • Verstoß ist bußgeldbewehrt (Art. 83 Abs. 4 lit. a DSGVO, bis 10 Mio. EUR oder 2 % des weltweiten Vorjahresumsatzes), macht die Verarbeitung selbst aber nicht rechtswidrig (EuGH, Urt. v. 04.05.2023, C-60/22, Rn. 61).

1 Überblick

1.1 Funktion und Ziel

Das Verzeichnis ersetzt die generelle Meldepflicht der alten Datenschutzrichtlinie (Art. 19 DSRL), die als bürokratisch und für den Datenschutz wenig wirksam galt (Erwägungsgrund 89 DSGVO). An ihre Stelle tritt eine interne Dokumentation, die der Verantwortliche eigenverantwortlich führt und nur auf Anfrage der Aufsichtsbehörde herausgibt (Erwägungsgrund 82 DSGVO).

Das Verzeichnis hat drei Hauptfunktionen:

  • Externe Kontrolle. Aufsichtsbehörden verschaffen sich anhand des Verzeichnisses einen Überblick über die Systeme und Prozesse mit Personenbezug und können eine erste Rechtmäßigkeitsprüfung vornehmen.
  • Interne Steuerung. Das Verzeichnis ist Grundlage für die Selbstkontrolle des Verantwortlichen, für ein Datenschutzmanagementsystem und für angrenzende Pflichten, etwa die Datenschutz-Folgenabschätzung nach Art. 35 DSGVO und die Bearbeitung von Betroffenenanfragen (insbesondere Art. 15 DSGVO).
  • Nachweis der Compliance. Das Verzeichnis konkretisiert die Rechenschaftspflicht aus Art. 5 Abs. 2 DSGVO.

1.2 Verstoß und materielle Rechtmäßigkeit

Ein Verstoß gegen Art. 30 DSGVO ist bußgeldbewehrt (Art. 83 Abs. 4 lit. a DSGVO). Er macht die zugrundeliegende Verarbeitung aber nicht rechtswidrig: Die Dokumentationspflicht ist von der materiellen Rechtmäßigkeit nach Art. 6 DSGVO zu trennen (EuGH, Urt. v. 04.05.2023, C-60/22, Rn. 61). Ein Löschungs- oder Einschränkungsanspruch der betroffenen Person folgt aus dem Dokumentationsverstoß allein nicht.

1.3 Adressaten

Adressaten der Pflicht sind:

  • der Verantwortliche im Sinne von Art. 4 Nr. 7 DSGVO (Abs. 1),
  • der Auftragsverarbeiter im Sinne von Art. 4 Nr. 8 DSGVO (Abs. 2),
  • jeweils ein etwaiger Vertreter nach Art. 27 DSGVO.

Beide Pflichten stehen selbständig nebeneinander. Eine Stelle, die für eigene Zwecke Daten verarbeitet und zugleich als Auftragsverarbeiter für andere tätig ist (typischer Fall in Konzernen), muss zwei Verzeichnisse führen.

2 Verzeichnis des Verantwortlichen (Abs. 1)

2.1 Begriff der Verarbeitungstätigkeit

Der Begriff der „Verarbeitungstätigkeit" ist nicht legaldefiniert. Er ist prozess- und systemorientiert und damit weiter als der Begriff der einzelnen Verarbeitung in Art. 4 Nr. 2 DSGVO (Erwägungsgrund 82 DSGVO). Die Datenschutzkonferenz beschreibt die Verarbeitungstätigkeit als „Geschäftsprozess auf geeignetem Abstraktionsniveau" (DSK, Kurzpapier Nr. 1, S. 1). Eine Verarbeitungstätigkeit kann mehrere Einzelverarbeitungsvorgänge umfassen, etwa alle Verarbeitungen, die ein Marketing-Tool ermöglicht.

2.2 Mindestangaben im Überblick

Art. 30 Abs. 1 S. 2 DSGVO listet sieben Mindestangaben:

lit.InhaltPflicht
aName und Kontaktdaten (Verantwortlicher, ggf. Vertreter, Datenschutzbeauftragter)unbedingt
bZwecke der Verarbeitungunbedingt
cKategorien betroffener Personen und Datenunbedingt
dKategorien von Empfängernunbedingt
eDrittlandtransfers und Garantienbedingt
fLöschfristenwenn möglich
gAllgemeine Beschreibung der technischen und organisatorischen Maßnahmenwenn möglich

Die Detailtiefe muss eine summarische Erstprüfung durch die Aufsichtsbehörde erlauben, nicht den vollständigen Wissensstand des Verantwortlichen abbilden.

Empfehlung: Rechtsgrundlage mit dokumentieren. Die Erfassung der einschlägigen Rechtsgrundlage einer Verarbeitungstätigkeit ist gesetzlich nicht vorgeschrieben, gehört aber zur Erfüllung der Rechenschaftspflicht aus Art. 5 Abs. 2 DSGVO faktisch dazu. Sinnvoll ist es, die Rechtsgrundlage unmittelbar an den ohnehin zu dokumentierenden Zweck (lit. b) anzudocken und mit einer kurzen Begründung zu versehen. So lässt sich für jede Verarbeitung wenigstens eine summarische Rechtmäßigkeitsprüfung nachweisen.

2.3 Name und Kontaktdaten (lit. a)

Pflichtangaben sind Name und Kontaktdaten des Verantwortlichen, eines etwaigen gemeinsam Verantwortlichen, eines Vertreters und des Datenschutzbeauftragten. Bei Unternehmen genügt die Firma; Handelsregisternummer oder das zuständige Amtsgericht sind nicht zu nennen. Da Art. 30 Abs. 1 lit. a den Plural „Kontaktdaten" verwendet, reicht eine bloße E-Mail- oder Internet-Adresse nicht. Die Aufsichtsbehörden fordern als Triade: postalische Anschrift, Telefonnummer und elektronische Kontaktdaten (DSK, Hinweise zum Verzeichnis von Verarbeitungstätigkeiten, S. 4).

Sie empfehlen außerdem, statt der gesetzlichen Vertreter den fachlichen Ansprechpartner zu nennen, der die Verarbeitung im Tagesgeschäft verantwortet (DSK, a.a.O., S. 4). In Konzernen zeigt die Angabe zugleich, welche Gesellschaft konkret verantwortlich ist; die Nennung der fachverantwortlichen Organisationseinheit ist üblich, aber gesetzlich nicht gefordert.

Auftragsverarbeiter sind hier nicht zu nennen. Art. 30 Abs. 1 lit. a verlangt die Kontaktdaten von Verantwortlichem, gemeinsam Verantwortlichem, Vertreter und Datenschutzbeauftragten, nicht die der eingesetzten Auftragsverarbeiter. Diese erscheinen je nach Konstellation unter lit. d (Empfänger) oder ergeben sich aus dem Vertrag nach Art. 28 DSGVO.

2.4 Zwecke (lit. b)

Anzugeben ist der Zweckzusammenhang jeder Verarbeitung. Die Detailtiefe steht nicht im Gesetz; Maßstab sind die Informationspflichten aus Art. 13 und Art. 14 DSGVO. Der Differenzierungsgrad muss zwei Anforderungen genügen: eindeutige Unterscheidung der Verfahren und summarische Überprüfbarkeit. Je kritischer eine Verarbeitung (etwa als Auslöser einer Datenschutz-Folgenabschätzung), desto präziser die Beschreibung.

Praxisempfehlung Gruppierung. Verarbeitungen nicht nach IT-Systemen ordnen, da dasselbe System oft mehreren Verarbeitungen dient. Stattdessen nach operativen Oberkategorien: Personal, Vertrieb, Einkauf, Legal/Compliance, IT-Betrieb. Innerhalb der Datenbank vorab definierte Begrifflichkeiten verwenden, weil sich diese später als Filter nutzen lassen, Freitext nicht. Möglichst eine Verarbeitung pro Eintrag mit einem Zweck verknüpfen, statt mehrere Zwecke zusammenzufassen.

Granularität ist Augenmaß: Die einzelnen Schritte einer Lohn-/Gehaltsabrechnung (Lohnwertberechnung, Auszahlungsanweisung, Auszahlungskontrolle) werden nicht jeweils einzeln aufgelistet. Typische Verarbeitungen, die in einem sorgfältig geführten Verzeichnis erscheinen, sind etwa Personalstammdaten, Zeiterfassung, Lohn- und Gehaltsabrechnung, Schulungs- und Performance-Management, Bewerberverwaltung, Videoüberwachung, Dokumenten- und Aktenmanagement, Zutritts- und Zugangskontrolle, E-Mail-Kommunikation, Mitarbeiterverzeichnisse, CRM, Buchhaltung und Forderungsmanagement, ERP, Reisebuchung und -abrechnung sowie Projektmanagement.

2.5 Kategorien betroffener Personen und Daten (lit. c)

Die Personenkategorien leiten sich aus dem jeweiligen Verfahren ab: Kunden, Lieferanten, Mitarbeiter, Bewerber, Führungskräfte, Interessenten, Handelsvertreter, Vertragspartner, Darlehensnehmer, Bürgen, Patienten oder Ärzte. Auch Kategorien nach speziellen Kriterien (Einkommens- oder Altersgruppen) sind möglich, wenn diese Kriterien selbst Gegenstand der Verarbeitung sind. Die Beschreibung muss die Personengruppe abgrenzbar machen; pauschale Oberbegriffe wie „Externe" reichen nicht.

Den Personenkategorien sind die Datenkategorien jeweils zuzuordnen, etwa Identifikations- und Adressdaten, Vertragsstammdaten, Vertragsabrechnungs- und Zahlungsdaten, Planungs- und Steuerungsdaten, Auskunftsdaten und IT-Nutzungsdaten. Besondere Kategorien personenbezogener Daten nach Art. 9 DSGVO sind als solche zu kennzeichnen, da sich daran zusätzliche Pflichten knüpfen (siehe Art. 9).

2.6 Kategorien von Empfängern (lit. d)

Aufzunehmen sind die Kategorien von Empfängern (Art. 4 Nr. 9 DSGVO), gegenüber denen Daten offengelegt worden sind oder noch offengelegt werden, einschließlich Empfängern in Drittländern und internationalen Organisationen. „Offenlegung" ist weiter als „Übermittlung" und umfasst auch passive Zugriffsrechte, unabhängig davon, ob die Empfänger sie tatsächlich nutzen. Eine Bündelung anhand der Funktion ist zulässig, etwa „Logistikdienstleister" oder bestimmte Arten von Auftragsverarbeitern.

Erfasst sind nur gewollte Offenlegungen. Eine versehentliche Preisgabe wegen falsch gesetzter Berechtigungen ist kein Eintrag ins Verzeichnis, sondern eine Datenschutzverletzung im Sinne des Art. 33 DSGVO.

Streitfrage: interne Abteilungen? Die deutschen Aufsichtsbehörden empfehlen, auch interne Stellen wie die Personal- oder IT-Abteilung als Empfänger aufzuführen (DSK, Hinweise zum Verzeichnis von Verarbeitungstätigkeiten, S. 6). Systematisch passt das nicht: Empfänger sind nur Stellen außerhalb des Verantwortlichen oder Auftragsverarbeiters; Art. 4 Nr. 9 DSGVO erweitert den Begriff auf Auftragsverarbeiter, die zwar keine Dritten, aber außerhalb stehen. Interne Mitarbeiter sind nur dann zu nennen, wenn sie ausnahmsweise als Dritte gelten. Praxis-Linie: Dritte und Auftragsverarbeiter als Empfänger nennen, interne Zugriffsrechte gehören eher zu den technisch-organisatorischen Maßnahmen unter lit. g.

Hinweis: Kategorien reichen für Art. 30, für Art. 15 nicht. Wer das Verzeichnis zugleich als Werkzeug seines Datenschutzmanagementsystems nutzt, erfasst neben den Kategorien auch die konkreten Empfänger. Hintergrund: Bei einem Auskunftsersuchen nach Art. 15 Abs. 1 lit. c DSGVO hat die betroffene Person grundsätzlich Anspruch auf die Identität der konkreten Empfänger; die Beschränkung auf Kategorien ist dort die eng umgrenzte Ausnahme (EuGH, Urt. v. 12.01.2023, C-154/21, RW/Österreichische Post, Rn. 46).

2.7 Drittlandtransfers (lit. e)

Werden Daten an ein Drittland (also einen Nicht-EU-Staat) oder an eine internationale Organisation übermittelt, sind im Verzeichnis Name und gegebenenfalls weitere Identifikationsangaben aufzuführen. Beruht die Übermittlung auf einer der Ausnahmen des Art. 49 Abs. 1 UA 2 DSGVO, müssen zusätzlich die geeigneten Garantien dokumentiert werden.

2.8 Löschfristen (lit. f)

„Wenn möglich" sind die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien anzugeben. Die einschränkende Formulierung trägt dem Umstand Rechnung, dass starre Fristen für ganze Kategorien selten sachgerecht sind: Innerhalb derselben Kategorie können einzelne Datenarten sehr unterschiedliche Aufbewahrungspflichten auslösen, etwa aus § 257 HGB, § 147 AO oder bereichsspezifischen Spezialgesetzen.

In der Praxis empfiehlt sich, jeweils den frühesten Fristbeginn und das späteste Fristende zu definieren oder ersatzweise eine Löschregel mit fest definiertem Ereignis als Anker zu hinterlegen. Erwägungsgrund 39 S. 10 DSGVO erlaubt ausdrücklich Fristen zur Löschung oder zur regelmäßigen Überprüfung. Konkrete Löschfristen gehören ohnehin in das Löschkonzept; das Verzeichnis ist der Ort, an dem sie zentral nachvollziehbar werden (siehe Speicherbegrenzung).

2.9 Technisch-organisatorische Maßnahmen (lit. g)

„Wenn möglich" ist eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen nach Art. 32 Abs. 1 DSGVO aufzunehmen. Verlangt wird kein Detail-Datensicherheitskonzept, sondern eine stichwortartige Übersicht, die der Aufsichtsbehörde eine erste Beurteilung des Schutzniveaus erlaubt.

Praxisempfehlung Standardkatalog. In komplexen Strukturen lohnt sich ein unternehmensweiter, risikoorientierter Standardkatalog technisch-organisatorischer Maßnahmen, etwa nach dem Standard-Datenschutzmodell der Datenschutzkonferenz (SDM). Im Verzeichnis selbst genügt dann eine Einstufung der Schutzbedürftigkeit (gering / mittel / hoch); die konkreten Maßnahmen ergeben sich aus dem Standardkatalog. Die Einschränkung „wenn möglich" sollte nicht zur Spar-Position verleiten: die volle Detailtiefe ist über Art. 24 DSGVO ohnehin Teil des Informationssicherheits-Managementsystems.

2.10 Zusatz aus der KI-Verordnung (Art. 10 Abs. 5 lit. f KI-VO)

Verarbeiten Anbieter von Hochrisiko-KI-Systemen besondere Kategorien personenbezogener Daten zur Erkennung und Korrektur von Verzerrungen, müssen sie zusätzlich im Verzeichnis nach Art. 30 DSGVO begründen, weshalb diese Verarbeitung unbedingt erforderlich war und das Ziel nicht durch andere Datenkategorien (auch nicht synthetische oder anonymisierte) erreicht werden konnte (Art. 10 Abs. 5 lit. f Verordnung (EU) 2024/1689). Die Mindestangaben des Art. 30 Abs. 1 S. 2 DSGVO werden insoweit erweitert.

3 Verzeichnis des Auftragsverarbeiters (Abs. 2)

3.1 Eigenständige Pflicht

Auch der Auftragsverarbeiter führt ein eigenes Verzeichnis, und zwar getrennt für jeden Auftraggeber, in dessen Auftrag er tätig ist. Die Pflicht ist eigenständig und nicht subsidiär zur Pflicht des Verantwortlichen. Das Auftragsverarbeitungs-Verzeichnis dient zugleich der Selbstkontrolle des Auftragsverarbeiters und mittelbar der Kontrolle durch den Verantwortlichen. Eine Stelle in einer Doppelrolle führt zwei getrennte Verzeichnisse.

3.2 Pflichtangaben

Die Mindestangaben sind enger gefasst als beim Verantwortlichen (Art. 30 Abs. 2 lit. a-d DSGVO):

  • lit. a: Identifikation. Name und Kontaktdaten des Auftragsverarbeiters und jedes Verantwortlichen, in dessen Auftrag verarbeitet wird; gegebenenfalls Vertreter und Datenschutzbeauftragter beider Seiten. Ziel ist die rasche, zweifelsfreie Zuordnung des Ansprechpartners. Im Massengeschäft (typischerweise beim Cloud Computing mit standardisiertem Angebot für eine große Zahl von Kunden) genügt nach verbreiteter Auffassung zunächst die Angabe von Kategorien von Verantwortlichen, sofern auf Nachfrage der Aufsichtsbehörde eine konkrete Auflistung geliefert werden kann.
  • lit. b: Kategorien von Verarbeitungen pro Auftraggeber. Eine Bündelung gleichartiger Verarbeitungsprozesse ist zulässig: die einzelnen Verarbeitungen finden sich im Verzeichnis des jeweiligen Verantwortlichen. So werden Redundanzen vermieden. Bei standardisierten Cloud-Diensten dürfen vergleichbare Aufträge zu einer Kategorie zusammengefasst werden; Ziel ist, die Risikogeneigtheit der Verarbeitung einschätzen zu können.
  • lit. c: Drittlandtransfers. Inhaltsgleich mit Abs. 1 lit. e (siehe 2.7).
  • lit. d: Technische und organisatorische Maßnahmen. „Wenn möglich" eine allgemeine Beschreibung der Maßnahmen nach Art. 32 Abs. 1 DSGVO (siehe 2.9).

4 Form und Vorlage (Abs. 3, 4)

4.1 Schriftlich oder elektronisch

Das Verzeichnis ist schriftlich zu führen, wobei ausdrücklich auch ein elektronisches Format genügt (Art. 30 Abs. 3 DSGVO). Eine strenge Schriftform mit Unterschriften der Verantwortungsträger ist nicht erforderlich; Textform im Sinne des § 126b BGB reicht aus. Eine elektronische Signatur ist ebenfalls nicht erforderlich. Der Markt bietet eine Reihe von Anwendungen, die sich in Funktionsumfang und Konzern-Tauglichkeit unterscheiden. Ein Vergleich vor der Auswahl ist sinnvoll.

4.2 Sprache

Das Gesetz gibt keine Sprache vor. Die deutschen Aufsichtsbehörden verweisen auf § 23 Abs. 1, 2 VwVfG und verlangen, das Verzeichnis „regelmäßig in deutscher Sprache" zu führen, jedenfalls aber unverzüglich eine Übersetzung vorlegen zu können (DSK, Hinweise zum Verzeichnis von Verarbeitungstätigkeiten, S. 3). International tätige Konzerne dürfen daher ein gemeinsames englisches Verzeichnis führen und im Einzelfall die Beschreibung der konkret angefragten Verarbeitungstätigkeit übersetzen lassen.

4.3 Vorlage auf Anfrage

Eine Vorlage von Amts wegen oder eine Veröffentlichungspflicht besteht nicht. Das Verzeichnis ist der Aufsichtsbehörde nur auf Anfrage zur Verfügung zu stellen (Art. 30 Abs. 4 DSGVO). Eine elektronische Übermittlung (etwa über einen Gastzugang der eingesetzten Anwendung) ist zulässig; sicherheitshalber sollte zusätzlich eine analoge Form bereitgehalten werden.

5 Ausnahme für kleinere Unternehmen (Abs. 5)

5.1 Regel-Ausnahme-Prinzip

Unternehmen und Einrichtungen mit weniger als 250 Beschäftigten sind grundsätzlich von der Verzeichnispflicht befreit (Art. 30 Abs. 5 DSGVO). Maßgeblich ist die absolute Mitarbeiterzahl des Unternehmens, nicht die Zahl der mit der Verarbeitung befassten Mitarbeiter. Hintergrund ist Erwägungsgrund 13 DSGVO: Der freie Datenverkehr im Binnenmarkt darf kleine und mittlere Unternehmen nicht durch unverhältnismäßigen Bürokratieaufwand belasten.

5.2 Rück-Ausnahmen

Die Befreiung greift jedoch nur, wenn keiner der folgenden Tatbestände erfüllt ist. Sobald einer zutrifft, lebt die Verzeichnispflicht wieder auf:

  • die Verarbeitung birgt ein Risiko für die Rechte und Freiheiten der betroffenen Personen,
  • die Verarbeitung erfolgt nicht nur gelegentlich,
  • es werden besondere Datenkategorien gemäß Art. 9 Abs. 1 DSGVO verarbeitet, oder
  • es werden personenbezogene Daten über strafrechtliche Verurteilungen und Straftaten im Sinne des Art. 10 DSGVO verarbeitet.

5.3 Auslegung der unbestimmten Begriffe

Beide Schlüsselbegriffe sind streitig:

  • „Risiko" ist nicht jede abstrakte Beeinträchtigungsmöglichkeit. Andernfalls liefe die Ausnahme leer, weil jede Verarbeitung dem Grunde nach ein Risiko enthält. Gemeint sein muss ein hohes oder erhebliches Risiko für die Rechte und Freiheiten der Betroffenen.
  • „Nicht nur gelegentlich" ist nicht rein zeitlich zu verstehen. Die englische Sprachfassung der DSGVO verwendet das Wort „occasional", das auf eine untergeordnete Bedeutung insgesamt zielt, nicht auf bloße Häufigkeit. Schon der Kommissionsentwurf wollte Verarbeitungen freistellen, die „nur als Nebentätigkeit zusätzlich zu ihren Haupttätigkeiten" erfolgen; Erwägungsgrund 13 DSGVO ist im Verlauf des Verfahrens nicht angepasst worden. Die Befreiung entfällt daher erst, wenn die Verarbeitung Bestandteil des Hauptgeschäfts ist. Die regelmäßige Gehaltsabrechnung für die eigene Belegschaft macht die Verarbeitung dagegen noch nicht zu einer „nicht nur gelegentlichen", sonst wäre die Schwelle der 250 Beschäftigten ohne Bedeutung.

Die kumulative Lesart der Rück-Ausnahmen ist umstritten. Zur sicheren Seite hin gilt: Die Pflicht, ein Verzeichnis zu führen, besteht, sobald eine der Rück-Ausnahmen plausibel greift. Für KMU mit Personalverarbeitung über besondere Datenkategorien (z.B. Gesundheitsdaten im Krankheitsfall) ist die Befreiung in der Regel nicht einschlägig.

Praxisbeispiel: Lohnsteuerabzug bringt Art. 9 ins Spiel. Arbeitgeber in Deutschland müssen für den Kirchensteuerabzug die Religionszugehörigkeit ihrer Beschäftigten verarbeiten. Daraus lässt sich auf die religiöse Überzeugung schließen, es handelt sich also um besondere Daten im Sinne von Art. 9 Abs. 1 DSGVO. Bereits diese Verarbeitung lässt nach dem Wortlaut des Art. 30 Abs. 5 die KMU-Befreiung entfallen, sodass nahezu jeder Arbeitgeber unabhängig von seiner Größe ein Verzeichnis führen muss. In der Literatur wird vertreten, die Pflicht beschränke sich in solchen Fällen auf die betreffenden Daten. Die deutschen Aufsichtsbehörden sehen das strenger.

5.4 Reformvorschlag der Kommission (COM(2025) 501 final)

Die Europäische Kommission hat im Rahmen ihres Vereinfachungspakets im Mai 2025 einen Vorschlag zur Neufassung des Abs. 5 vorgelegt (COM(2025) 501 final; zur fachlichen Bewertung Stellungnahme EDSA/EDSB). Geplant sind drei Änderungen:

  • Schwellenwert von 250 auf 750 Beschäftigte,
  • einheitliches Kriterium der Rück-Ausnahme: Verarbeitung mit wahrscheinlich hohem Risiko im Sinne des Art. 35 DSGVO,
  • die Verarbeitung besonderer Kategorien personenbezogener Daten im Beschäftigungskontext nach Art. 9 Abs. 2 lit. b DSGVO löst die Pflicht nicht mehr automatisch aus.

Der Vorschlag ist noch nicht verabschiedet; die geltende Fassung des Art. 30 Abs. 5 DSGVO ist weiter anzuwenden.

Praktisch fällt der Anwendungsbereich der Ausnahme schmal aus: Wer den Mitarbeiter-Schwellenwert unterschreitet, läuft fast immer in mindestens eine der Rück-Ausnahmen. Hinzu kommt, dass die für das Verzeichnis benötigten Angaben (Zwecke, Datenkategorien, Empfänger, Löschfristen, Schutzmaßnahmen) ohnehin für die Erfüllung anderer Pflichten der DSGVO vorzuhalten sind, etwa für die Informationspflichten nach Art. 13, 14 DSGVO, das Auskunftsrecht nach Art. 15 DSGVO und die Datensicherheit nach Art. 32 DSGVO. Der Mehraufwand eines geführten Verzeichnisses bleibt überschaubar.

6 Aufbau, Pflege und interne Zuständigkeit

6.1 Wer führt das Verzeichnis im Unternehmen?

Das Gesetz schweigt zu den internen Zuständigkeiten. Pflichtadressat nach außen bleibt der Verantwortliche; die Erstellung wird in der Praxis aber regelmäßig dem Datenschutzbeauftragten übertragen. Diese Aufgabe gehört nicht zum gesetzlichen Aufgabenkatalog des Art. 39 DSGVO; eine Delegation durch die Geschäftsleitung ist zulässig, soweit der Datenschutzbeauftragte bei der inhaltlichen Gestaltung weisungsfrei bleibt (Art. 38 Abs. 3 DSGVO).

Rollenkonflikt im Auge behalten. Wird die Erstellung des Verzeichnisses dem Datenschutzbeauftragten übertragen, gerät er in einen Spannungsfeld: Nach Art. 39 Abs. 1 lit. b DSGVO hat er die Einhaltung der Verordnung zu überwachen: er kontrollierte sich dann selbst. Die Aufgabentrennung ist organisatorisch zu wahren, etwa durch klare Zuweisung der inhaltlichen Verantwortung an die Process-Owner und der Plausibilitätsprüfung an den Datenschutzbeauftragten.

Faktisch übernimmt der Datenschutzbeauftragte eine organisatorische Rolle, vergleichbar einem Projektmanager. Die Detailangaben kann er nicht alleine erheben; er ist auf die Mitarbeit der jeweiligen Process-Owner angewiesen, die den Geschäftsprozess fachlich verantworten und die nötigen Daten zu Zwecken, Datenkategorien, Empfängern, Löschfristen und Schutzmaßnahmen liefern. Die Verantwortung für Vollständigkeit und Richtigkeit verbleibt davon unberührt beim Verantwortlichen, nicht beim Datenschutzbeauftragten.

6.2 Erstellung in zwei Schritten

Bei der erstmaligen Erstellung hat sich ein zweistufiges Vorgehen bewährt:

Verarbeitungstätigkeiten und Process-Owner identifizieren. Welche Geschäftsprozesse mit Personenbezug existieren überhaupt? Wer kann pro Prozess die Detailangaben verbindlich liefern? Bei prozessorientierten Unternehmen lässt sich häufig auf bestehende Qualitätsmanagement-Strukturen zurückgreifen: Prozesse wie „Bewerbungsverfahren", „Einstellungsprozess", „Gehaltsbuchhaltung", „E-Mail-Marketing" oder „Videoüberwachung Parkplatz" sind in der Regel bereits dokumentiert und lassen sich als Verarbeitungstätigkeiten übernehmen.
Detailangaben erfassen. Pro Verarbeitungstätigkeit die Pflichtangaben aus Art. 30 Abs. 1 oder Abs. 2 DSGVO erheben, über Vorlagen in Formularform oder über eine Verzeichnis-Software. Die bloße Verteilung von Vorlagen an die Process-Owner führt erfahrungsgemäß zu unbefriedigenden Ergebnissen: Einzelne Punkte bedürfen der Erläuterung. Der Datenschutzbeauftragte begleitet die Erfassung, beantwortet Rückfragen und prüft die Plausibilität der Angaben.

Anti-Pattern: zu hohe Granularität beim Erstaufsatz. Wer das Verzeichnis im ersten Wurf zu detailliert anlegt und auch nebensächliche Prozesse einzeln erfasst, verfügt im Regelbetrieb mangels Pflegekapazität schnell über ein veraltetes Verzeichnis. Die Granularität muss zu den verfügbaren Ressourcen für Pflege und Aktualisierung passen: lieber ein gröberes, aber gepflegtes als ein detailgenaues, aber stehengebliebenes Verzeichnis.

Praxis-Konzept: Hauptdokument plus Einzeleinträge. Ein Großteil der Angaben ist über alle Verarbeitungstätigkeiten identisch: Name und Kontaktdaten des Verantwortlichen und Datenschutzbeauftragten, generelle technische und organisatorische Maßnahmen. Es bietet sich an, ein Hauptdokument mit diesen Metainformationen zu führen und in den einzelnen Verarbeitungstätigkeiten nur die abweichenden Angaben zu erfassen, im Übrigen aber auf das Hauptdokument zu verweisen. Verweise auf bestehende Dokumente im Unternehmen (etwa ein TOM-Konzept, eine Data Retention Policy oder einen Auftragsverarbeitungsvertrag) sind ausdrücklich zugelassen und werden von den Aufsichtsbehörden empfohlen, weil eine Nachprüfung in der Regel ohnehin auf diese Dokumente abzielt (DSK, Hinweise zum Verzeichnis von Verarbeitungstätigkeiten, S. 2, 7). Das spart Pflegeaufwand und vermeidet Inkonsistenzen.

6.3 Aktualisierung

Eine ausdrückliche Aktualisierungspflicht ist im Gesetz nicht vorgesehen; der entsprechende Vorschlag des Parlaments wurde im Gesetzgebungsverfahren verworfen. Die Pflicht folgt aber aus dem Verb „führen" und aus der Rechenschaftspflicht (Art. 5 Abs. 2, Art. 24 DSGVO): Ein Verzeichnis, das den aktuellen Stand der Verarbeitungen nicht abbildet, erfüllt seinen Zweck nicht. Es ist als lebendes Dokument zu verstehen.

Praktisch sinnvoll ist ein Prozess, in dem die für einen Geschäftsprozess oder ein System fachverantwortliche Person in regelmäßigen Abständen zur Bestätigung der Aktualität aufgefordert wird, Änderungen einarbeitet und sie in einer Änderungshistorie festhält. Die Aufsichtsbehörden empfehlen, die Änderungshistorie für mindestens ein Jahr vorzuhalten, um Anpassungen nachvollziehbar zu machen (DSK, Hinweise zum Verzeichnis von Verarbeitungstätigkeiten, S. 3).

6.4 Konzern-Konstellationen

In Unternehmensgruppen (Art. 4 Nr. 19 DSGVO) liegt es nahe, das Verzeichnis zentral zu führen und den Tochtergesellschaften nur lesenden Zugriff einzuräumen. Sind zentrale IT-Systeme oder Shared Services konzernweit im Einsatz, kann ein Intercompany-Vertrag mit dynamischem Verweis auf das Verzeichnis vermeiden, dass jeder Tool-Wechsel eine Vertragsänderung auslöst. Die einzelnen Verantwortlichkeiten und Empfänger müssen im Verzeichnis selbst aber präzise benannt werden.

6.5 Verhältnis zu anderen Pflichten

Das Verzeichnis ist Bezugspunkt einer Reihe weiterer Pflichten:

  • es konkretisiert die Rechenschaftspflicht (Art. 5 Abs. 2 DSGVO),
  • es liefert den Ausgangspunkt für die Datenschutz-Folgenabschätzung nach Art. 35 DSGVO,
  • es ist Grundlage für die Beantwortung von Auskunftsersuchen nach Art. 15 DSGVO,
  • es ergänzt die Dokumentation nach Art. 24 DSGVO und das Informationssicherheits-Managementsystem nach Art. 32 DSGVO,
  • in Verbindung mit Art. 10 Abs. 5 KI-VO trägt es zusätzliche Begründungen für Verarbeitungen besonderer Datenkategorien zur Bias-Korrektur in Hochrisiko-KI-Systemen.

Rechenschaftspflicht (Art. 5 Abs. 2 DSGVO)

Übergeordneter Grundsatz, dessen wichtigstes Werkzeug das Verzeichnis ist.

Speicherbegrenzung (Art. 5 Abs. 1 lit. e DSGVO)

Löschfristen und Überprüfungsintervalle des Verzeichnisses.

Zweckbindung (Art. 5 Abs. 1 lit. b DSGVO)

Verzeichnis als Ort der Zweckfestlegung.

Besondere Kategorien personenbezogener Daten (Art. 9 DSGVO)

Auslöser der Rück-Ausnahme nach Art. 30 Abs. 5 DSGVO.

EuGH C-60/22, BAMF

Verstoß gegen Art. 30 DSGVO macht Verarbeitung nicht rechtswidrig.

DSK Kurzpapier Nr. 1

Behördliche Auslegungshilfe der Datenschutzkonferenz.

Über den Autor

Über den Autor

Dieser Beitrag wurde von Dr. Thomas Helbing, Fachanwalt für IT-Recht in München, verfasst.

Dr. Helbing wird seit 2020 durchgehend bis heute (2026) vom Handelsblatt als einer der „Deutschlands besten Anwälte" im Bereich IT-Recht und Datenschutzrecht ausgezeichnet.

Laut Kanzleimonitor.de (Ausgaben 2024–2026) zählt er zu den führenden Anwälten für Datenschutz und IT-Recht und ist unter den Top-100 Anwälten in Deutschland (2024/25) gelistet. Kanzleimonitor gilt als besonders aussagekräftige Marktstudie, da sie ausschließlich auf persönlichen Empfehlungen von Unternehmensjuristen basiert.

Dr. Helbing verfügt über langjährige Beratungserfahrung im Datenschutz- und IT-Recht und berät Mandanten unterschiedlichster Größen, vom Startup über wachstumsstarke SaaS-Unternehmen und Unicorns bis hin zu internationalen Konzernen.

Sein beruflicher Hintergrund umfasst das gesamte Spektrum der Praxis im IT- und Technologierecht. Er begann seine Laufbahn in einer internationalen Großkanzlei, sammelte anschließend Inhouse-Erfahrung in einem DAX-Unternehmen und ist selbst Unternehmer und Gründer mehrerer digitaler Projekte. Darüber hinaus verfügt er über praktische Programmiererfahrung, wodurch er technische Systeme, Softwarearchitekturen und digitale Geschäftsmodelle nicht nur juristisch, sondern auch aus technischer Perspektive versteht.

Zu seinen Mandanten zählen seit vielen Jahren unter anderem Technologieunternehmen und SaaS-Anbieter, führende deutsche Forschungseinrichtungen sowie eine systemrelevante deutsche Großbank. Seine Beratungsschwerpunkte liegen insbesondere in den Bereichen DSGVO-Compliance, Datenökonomie, SaaS, KI-Regulierung und IT-Vertragsrecht.

Rechenschaftspflicht (Art. 5 Abs. 2 DSGVO)

Accountability als Grundsatz der DSGVO: Einhaltung und Nachweis der Grundsätze, Dokumentationspflichten, Aufbewahrungsfrist, Beweislast des Verantwortlichen.

Besondere Kategorien personenbezogener Daten (Art. 9 DSGVO)

Grundlagen, Verbot der Verarbeitung und Systematik der Ausnahmen für sensible Daten nach Art. 9 DSGVO; Verhältnis zu Art. 6 DSGVO.

Auf dieser Seite

1 Überblick1.1 Funktion und Ziel1.2 Verstoß und materielle Rechtmäßigkeit1.3 Adressaten2 Verzeichnis des Verantwortlichen (Abs. 1)2.1 Begriff der Verarbeitungstätigkeit2.2 Mindestangaben im Überblick2.3 Name und Kontaktdaten (lit. a)2.4 Zwecke (lit. b)2.5 Kategorien betroffener Personen und Daten (lit. c)2.6 Kategorien von Empfängern (lit. d)2.7 Drittlandtransfers (lit. e)2.8 Löschfristen (lit. f)2.9 Technisch-organisatorische Maßnahmen (lit. g)2.10 Zusatz aus der KI-Verordnung (Art. 10 Abs. 5 lit. f KI-VO)3 Verzeichnis des Auftragsverarbeiters (Abs. 2)3.1 Eigenständige Pflicht3.2 Pflichtangaben4 Form und Vorlage (Abs. 3, 4)4.1 Schriftlich oder elektronisch4.2 Sprache4.3 Vorlage auf Anfrage5 Ausnahme für kleinere Unternehmen (Abs. 5)5.1 Regel-Ausnahme-Prinzip5.2 Rück-Ausnahmen5.3 Auslegung der unbestimmten Begriffe5.4 Reformvorschlag der Kommission (COM(2025) 501 final)6 Aufbau, Pflege und interne Zuständigkeit6.1 Wer führt das Verzeichnis im Unternehmen?6.2 Erstellung in zwei Schritten6.3 Aktualisierung6.4 Konzern-Konstellationen6.5 Verhältnis zu anderen Pflichten