# Verzeichnis von Verarbeitungstätigkeiten (Art. 30 DSGVO)

Pflichtinhalte, Form, Vorlage und KMU-Ausnahme des Verarbeitungsverzeichnisses nach Art. 30 DSGVO: eigenständige Pflichten von Verantwortlichem und Auftragsverarbeiter, Praxisaufbau, Reformvorschlag COM(2025) 501.

> Quelle: https://www.thomashelbing.com/en/wissen/dsgvo-hub/einzelthemen/1.3.7-verzeichnis-von-verarbeitungstaetigkeiten
> Sprache: en



Jeder Verantwortliche und jeder Auftragsverarbeiter führt ein Verzeichnis seiner Verarbeitungstätigkeiten und legt es der Aufsichtsbehörde auf Anfrage vor (Art. 30 Abs. 1, 2, 4 DSGVO). Das Verzeichnis ist das zentrale Dokumentationsinstrument der DSGVO und Grundlage für die Rechenschaftspflicht aus Art. 5 Abs. 2 DSGVO.

<Callout type="info">
  **Das Wichtigste in Kürze**

  * Pflicht trifft Verantwortliche und Auftragsverarbeiter **eigenständig** (Art. 30 Abs. 1 und Abs. 2 DSGVO).
  * Inhalt: Wer verarbeitet, wozu, welche Daten welcher Personen, an wen, wie lange, mit welchen Schutzmaßnahmen.
  * Form: schriftlich, **auch elektronisch** zulässig (Art. 30 Abs. 3 DSGVO); keine Vorlage von Amts wegen, nur auf Anfrage.
  * Befreiung für Unternehmen mit weniger als 250 Beschäftigten, entfällt aber bei Risiko, regelmäßiger Verarbeitung oder besonderen Datenkategorien (Art. 30 Abs. 5 DSGVO).
  * Verstoß ist bußgeldbewehrt (Art. 83 Abs. 4 lit. a DSGVO, bis 10 Mio. EUR oder 2 % des weltweiten Vorjahresumsatzes), macht die Verarbeitung selbst aber **nicht rechtswidrig** ([EuGH, Urt. v. 04.05.2023, C-60/22, Rn. 61](https://curia.europa.eu/juris/document/document.jsf?docid=273289\&doclang=DE)).
</Callout>

## 1 Überblick [#1-überblick]

### 1.1 Funktion und Ziel [#11-funktion-und-ziel]

Das Verzeichnis ersetzt die generelle Meldepflicht der alten Datenschutzrichtlinie (Art. 19 DSRL), die als bürokratisch und für den Datenschutz wenig wirksam galt (Erwägungsgrund 89 DSGVO). An ihre Stelle tritt eine interne Dokumentation, die der Verantwortliche eigenverantwortlich führt und nur **auf Anfrage** der Aufsichtsbehörde herausgibt (Erwägungsgrund 82 DSGVO).

Das Verzeichnis hat drei Hauptfunktionen:

* **Externe Kontrolle.** Aufsichtsbehörden verschaffen sich anhand des Verzeichnisses einen Überblick über die Systeme und Prozesse mit Personenbezug und können eine erste Rechtmäßigkeitsprüfung vornehmen.
* **Interne Steuerung.** Das Verzeichnis ist Grundlage für die Selbstkontrolle des Verantwortlichen, für ein Datenschutzmanagementsystem und für angrenzende Pflichten, etwa die Datenschutz-Folgenabschätzung nach Art. 35 DSGVO und die Bearbeitung von Betroffenenanfragen (insbesondere Art. 15 DSGVO).
* **Nachweis der Compliance.** Das Verzeichnis konkretisiert die [Rechenschaftspflicht](/docs/dsgvo-hub/einzelthemen/grundsaetze-der-verarbeitung/1.3.3.9-rechenschaftspflicht) aus Art. 5 Abs. 2 DSGVO.

### 1.2 Verstoß und materielle Rechtmäßigkeit [#12-verstoß-und-materielle-rechtmäßigkeit]

Ein Verstoß gegen Art. 30 DSGVO ist bußgeldbewehrt (Art. 83 Abs. 4 lit. a DSGVO). Er macht die zugrundeliegende Verarbeitung aber **nicht** rechtswidrig: Die Dokumentationspflicht ist von der materiellen Rechtmäßigkeit nach Art. 6 DSGVO zu trennen ([EuGH, Urt. v. 04.05.2023, C-60/22, Rn. 61](https://curia.europa.eu/juris/document/document.jsf?docid=273289\&doclang=DE)). Ein Löschungs- oder Einschränkungsanspruch der betroffenen Person folgt aus dem Dokumentationsverstoß allein nicht.

### 1.3 Adressaten [#13-adressaten]

Adressaten der Pflicht sind:

* der **Verantwortliche** im Sinne von Art. 4 Nr. 7 DSGVO (Abs. 1),
* der **Auftragsverarbeiter** im Sinne von Art. 4 Nr. 8 DSGVO (Abs. 2),
* jeweils ein etwaiger **Vertreter** nach Art. 27 DSGVO.

Beide Pflichten stehen **selbständig** nebeneinander. Eine Stelle, die für eigene Zwecke Daten verarbeitet und zugleich als [Auftragsverarbeiter](/docs/dsgvo-hub/einzelthemen/verantwortliche-und-auftragsverarbeiter/1.3.6.4-auftragsverarbeiter) für andere tätig ist (typischer Fall in Konzernen), muss zwei Verzeichnisse führen.

## 2 Verzeichnis des Verantwortlichen (Abs. 1) [#2-verzeichnis-des-verantwortlichen-abs-1]

### 2.1 Begriff der Verarbeitungstätigkeit [#21-begriff-der-verarbeitungstätigkeit]

Der Begriff der „Verarbeitungstätigkeit" ist nicht legaldefiniert. Er ist **prozess- und systemorientiert** und damit weiter als der Begriff der einzelnen Verarbeitung in Art. 4 Nr. 2 DSGVO (Erwägungsgrund 82 DSGVO). Die Datenschutzkonferenz beschreibt die Verarbeitungstätigkeit als „Geschäftsprozess auf geeignetem Abstraktionsniveau" ([DSK, Kurzpapier Nr. 1, S. 1](https://www.datenschutzkonferenz-online.de/media/kp/dsk_kpnr_1.pdf)). Eine Verarbeitungstätigkeit kann mehrere Einzelverarbeitungsvorgänge umfassen, etwa alle Verarbeitungen, die ein Marketing-Tool ermöglicht.

### 2.2 Mindestangaben im Überblick [#22-mindestangaben-im-überblick]

Art. 30 Abs. 1 S. 2 DSGVO listet sieben Mindestangaben:

| lit. | Inhalt                                                                            |    Pflicht   |
| ---- | --------------------------------------------------------------------------------- | :----------: |
| a    | Name und Kontaktdaten (Verantwortlicher, ggf. Vertreter, Datenschutzbeauftragter) |   unbedingt  |
| b    | Zwecke der Verarbeitung                                                           |   unbedingt  |
| c    | Kategorien betroffener Personen und Daten                                         |   unbedingt  |
| d    | Kategorien von Empfängern                                                         |   unbedingt  |
| e    | Drittlandtransfers und Garantien                                                  |    bedingt   |
| f    | Löschfristen                                                                      | wenn möglich |
| g    | Allgemeine Beschreibung der technischen und organisatorischen Maßnahmen           | wenn möglich |

Die Detailtiefe muss eine **summarische Erstprüfung** durch die Aufsichtsbehörde erlauben, nicht den vollständigen Wissensstand des Verantwortlichen abbilden.

<Callout type="info">
  **Empfehlung: Rechtsgrundlage mit dokumentieren.** Die Erfassung der einschlägigen Rechtsgrundlage einer Verarbeitungstätigkeit ist gesetzlich **nicht vorgeschrieben**, gehört aber zur Erfüllung der Rechenschaftspflicht aus Art. 5 Abs. 2 DSGVO faktisch dazu. Sinnvoll ist es, die Rechtsgrundlage unmittelbar an den ohnehin zu dokumentierenden Zweck (lit. b) anzudocken und mit einer kurzen Begründung zu versehen. So lässt sich für jede Verarbeitung wenigstens eine summarische Rechtmäßigkeitsprüfung nachweisen.
</Callout>

### 2.3 Name und Kontaktdaten (lit. a) [#23-name-und-kontaktdaten-lit-a]

Pflichtangaben sind Name und Kontaktdaten des Verantwortlichen, eines etwaigen gemeinsam Verantwortlichen, eines Vertreters und des Datenschutzbeauftragten. Bei Unternehmen genügt die **Firma**; Handelsregisternummer oder das zuständige Amtsgericht sind nicht zu nennen. Da Art. 30 Abs. 1 lit. a den Plural „Kontaktdaten" verwendet, reicht eine bloße E-Mail- oder Internet-Adresse nicht. Die Aufsichtsbehörden fordern als **Triade**: postalische Anschrift, Telefonnummer und elektronische Kontaktdaten ([DSK, Hinweise zum Verzeichnis von Verarbeitungstätigkeiten, S. 4](https://www.datenschutzkonferenz-online.de/media/ah/201802_ah_verzeichnis_verarbeitungstaetigkeiten.pdf)).

Sie empfehlen außerdem, **statt** der gesetzlichen Vertreter den fachlichen Ansprechpartner zu nennen, der die Verarbeitung im Tagesgeschäft verantwortet (DSK, a.a.O., S. 4). In Konzernen zeigt die Angabe zugleich, welche Gesellschaft konkret verantwortlich ist; die Nennung der **fachverantwortlichen Organisationseinheit** ist üblich, aber gesetzlich nicht gefordert.

<Callout type="info">
  **Auftragsverarbeiter sind hier nicht zu nennen.** Art. 30 Abs. 1 lit. a verlangt die Kontaktdaten von Verantwortlichem, gemeinsam Verantwortlichem, Vertreter und Datenschutzbeauftragten, **nicht** die der eingesetzten Auftragsverarbeiter. Diese erscheinen je nach Konstellation unter lit. d (Empfänger) oder ergeben sich aus dem Vertrag nach Art. 28 DSGVO.
</Callout>

### 2.4 Zwecke (lit. b) [#24-zwecke-lit-b]

Anzugeben ist der Zweckzusammenhang jeder Verarbeitung. Die Detailtiefe steht nicht im Gesetz; Maßstab sind die [Informationspflichten aus Art. 13 und Art. 14 DSGVO](/docs/dsgvo-hub/einzelthemen/transparenzpflichten). Der Differenzierungsgrad muss zwei Anforderungen genügen: eindeutige Unterscheidung der Verfahren und summarische Überprüfbarkeit. Je kritischer eine Verarbeitung (etwa als Auslöser einer Datenschutz-Folgenabschätzung), desto präziser die Beschreibung.

<Callout type="info">
  **Praxisempfehlung Gruppierung.** Verarbeitungen nicht nach IT-Systemen ordnen, da dasselbe System oft mehreren Verarbeitungen dient. Stattdessen nach **operativen Oberkategorien**: Personal, Vertrieb, Einkauf, Legal/Compliance, IT-Betrieb. Innerhalb der Datenbank vorab definierte Begrifflichkeiten verwenden, weil sich diese später als Filter nutzen lassen, Freitext nicht. Möglichst eine Verarbeitung pro Eintrag mit einem Zweck verknüpfen, statt mehrere Zwecke zusammenzufassen.
</Callout>

Granularität ist Augenmaß: Die einzelnen Schritte einer Lohn-/Gehaltsabrechnung (Lohnwertberechnung, Auszahlungsanweisung, Auszahlungskontrolle) werden nicht jeweils einzeln aufgelistet. Typische Verarbeitungen, die in einem sorgfältig geführten Verzeichnis erscheinen, sind etwa Personalstammdaten, Zeiterfassung, Lohn- und Gehaltsabrechnung, Schulungs- und Performance-Management, Bewerberverwaltung, Videoüberwachung, Dokumenten- und Aktenmanagement, Zutritts- und Zugangskontrolle, E-Mail-Kommunikation, Mitarbeiterverzeichnisse, CRM, Buchhaltung und Forderungsmanagement, ERP, Reisebuchung und -abrechnung sowie Projektmanagement.

### 2.5 Kategorien betroffener Personen und Daten (lit. c) [#25-kategorien-betroffener-personen-und-daten-lit-c]

Die Personenkategorien leiten sich aus dem jeweiligen Verfahren ab: Kunden, Lieferanten, Mitarbeiter, Bewerber, Führungskräfte, Interessenten, Handelsvertreter, Vertragspartner, Darlehensnehmer, Bürgen, Patienten oder Ärzte. Auch Kategorien nach speziellen Kriterien (Einkommens- oder Altersgruppen) sind möglich, wenn diese Kriterien selbst Gegenstand der Verarbeitung sind. Die Beschreibung muss die Personengruppe **abgrenzbar** machen; pauschale Oberbegriffe wie „Externe" reichen nicht.

Den Personenkategorien sind die Datenkategorien jeweils zuzuordnen, etwa Identifikations- und Adressdaten, Vertragsstammdaten, Vertragsabrechnungs- und Zahlungsdaten, Planungs- und Steuerungsdaten, Auskunftsdaten und IT-Nutzungsdaten. Besondere Kategorien personenbezogener Daten nach Art. 9 DSGVO sind als solche zu kennzeichnen, da sich daran zusätzliche Pflichten knüpfen ([siehe Art. 9](/docs/dsgvo-hub/einzelthemen/besondere-kategorien-personenbezogener-daten)).

### 2.6 Kategorien von Empfängern (lit. d) [#26-kategorien-von-empfängern-lit-d]

Aufzunehmen sind die Kategorien von Empfängern (Art. 4 Nr. 9 DSGVO), gegenüber denen Daten **offengelegt** worden sind oder noch offengelegt werden, einschließlich Empfängern in Drittländern und internationalen Organisationen. „Offenlegung" ist weiter als „Übermittlung" und umfasst auch passive Zugriffsrechte, unabhängig davon, ob die Empfänger sie tatsächlich nutzen. Eine Bündelung anhand der Funktion ist zulässig, etwa „Logistikdienstleister" oder bestimmte Arten von Auftragsverarbeitern.

Erfasst sind nur **gewollte** Offenlegungen. Eine versehentliche Preisgabe wegen falsch gesetzter Berechtigungen ist kein Eintrag ins Verzeichnis, sondern eine Datenschutzverletzung im Sinne des Art. 33 DSGVO.

<Callout type="warn">
  **Streitfrage: interne Abteilungen?** Die deutschen Aufsichtsbehörden empfehlen, auch interne Stellen wie die Personal- oder IT-Abteilung als Empfänger aufzuführen ([DSK, Hinweise zum Verzeichnis von Verarbeitungstätigkeiten, S. 6](https://www.datenschutzkonferenz-online.de/media/ah/201802_ah_verzeichnis_verarbeitungstaetigkeiten.pdf)). Systematisch passt das nicht: Empfänger sind nur Stellen **außerhalb** des Verantwortlichen oder Auftragsverarbeiters; Art. 4 Nr. 9 DSGVO erweitert den Begriff auf Auftragsverarbeiter, die zwar keine Dritten, aber außerhalb stehen. Interne Mitarbeiter sind nur dann zu nennen, wenn sie ausnahmsweise als Dritte gelten. Praxis-Linie: **Dritte und Auftragsverarbeiter** als Empfänger nennen, interne Zugriffsrechte gehören eher zu den technisch-organisatorischen Maßnahmen unter lit. g.
</Callout>

<Callout type="info">
  **Hinweis: Kategorien reichen für Art. 30, für Art. 15 nicht.** Wer das Verzeichnis zugleich als Werkzeug seines Datenschutzmanagementsystems nutzt, erfasst neben den Kategorien auch die **konkreten Empfänger**. Hintergrund: Bei einem Auskunftsersuchen nach Art. 15 Abs. 1 lit. c DSGVO hat die betroffene Person grundsätzlich Anspruch auf die Identität der konkreten Empfänger; die Beschränkung auf Kategorien ist dort die eng umgrenzte Ausnahme ([EuGH, Urt. v. 12.01.2023, C-154/21, RW/Österreichische Post, Rn. 46](https://curia.europa.eu/juris/document/document.jsf?docid=268781\&doclang=DE)).
</Callout>

### 2.7 Drittlandtransfers (lit. e) [#27-drittlandtransfers-lit-e]

Werden Daten an ein Drittland (also einen Nicht-EU-Staat) oder an eine internationale Organisation übermittelt, sind im Verzeichnis Name und gegebenenfalls weitere Identifikationsangaben aufzuführen. Beruht die Übermittlung auf einer der Ausnahmen des Art. 49 Abs. 1 UA 2 DSGVO, müssen zusätzlich die **geeigneten Garantien dokumentiert** werden. Wann ein solcher Datenexport vorliegt und welche Garantien in Betracht kommen, behandelt das Kapitel [Drittlandsübermittlung (Datenexport)](/docs/dsgvo-hub/einzelthemen/drittlandsuebermittlung).

### 2.8 Löschfristen (lit. f) [#28-löschfristen-lit-f]

„Wenn möglich" sind die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien anzugeben. Die einschränkende Formulierung trägt dem Umstand Rechnung, dass starre Fristen für ganze Kategorien selten sachgerecht sind: Innerhalb derselben Kategorie können einzelne Datenarten sehr unterschiedliche Aufbewahrungspflichten auslösen, etwa aus § 257 HGB, § 147 AO oder bereichsspezifischen Spezialgesetzen.

In der Praxis empfiehlt sich, jeweils den **frühesten Fristbeginn** und das **späteste Fristende** zu definieren oder ersatzweise eine Löschregel mit fest definiertem Ereignis als Anker zu hinterlegen. Erwägungsgrund 39 S. 10 DSGVO erlaubt ausdrücklich Fristen zur Löschung **oder** zur regelmäßigen Überprüfung. Konkrete Löschfristen gehören ohnehin in das Löschkonzept; das Verzeichnis ist der Ort, an dem sie zentral nachvollziehbar werden ([siehe Speicherbegrenzung](/docs/dsgvo-hub/einzelthemen/grundsaetze-der-verarbeitung/1.3.3.7-speicherbegrenzung)).

### 2.9 Technisch-organisatorische Maßnahmen (lit. g) [#29-technisch-organisatorische-maßnahmen-lit-g]

„Wenn möglich" ist eine **allgemeine Beschreibung** der technischen und organisatorischen Maßnahmen nach Art. 32 Abs. 1 DSGVO aufzunehmen. Verlangt wird kein Detail-Datensicherheitskonzept, sondern eine stichwortartige Übersicht, die der Aufsichtsbehörde eine erste Beurteilung des Schutzniveaus erlaubt.

<Callout type="info">
  **Praxisempfehlung Standardkatalog.** In komplexen Strukturen lohnt sich ein unternehmensweiter, risikoorientierter Standardkatalog technisch-organisatorischer Maßnahmen, etwa nach dem [Standard-Datenschutzmodell der Datenschutzkonferenz (SDM)](https://www.datenschutzkonferenz-online.de/sdm.html). Im Verzeichnis selbst genügt dann eine Einstufung der Schutzbedürftigkeit (gering / mittel / hoch); die konkreten Maßnahmen ergeben sich aus dem Standardkatalog. Die Einschränkung „wenn möglich" sollte nicht zur Spar-Position verleiten: die volle Detailtiefe ist über Art. 24 DSGVO ohnehin Teil des Informationssicherheits-Managementsystems.
</Callout>

### 2.10 Zusatz aus der KI-Verordnung (Art. 10 Abs. 5 lit. f KI-VO) [#210-zusatz-aus-der-ki-verordnung-art-10-abs-5-lit-f-ki-vo]

Verarbeiten Anbieter von Hochrisiko-KI-Systemen besondere Kategorien personenbezogener Daten zur Erkennung und Korrektur von Verzerrungen, müssen sie zusätzlich im Verzeichnis nach Art. 30 DSGVO **begründen**, weshalb diese Verarbeitung unbedingt erforderlich war und das Ziel nicht durch andere Datenkategorien (auch nicht synthetische oder anonymisierte) erreicht werden konnte ([Art. 10 Abs. 5 lit. f Verordnung (EU) 2024/1689](https://eur-lex.europa.eu/eli/reg/2024/1689/oj?locale=de)). Die Mindestangaben des Art. 30 Abs. 1 S. 2 DSGVO werden insoweit erweitert.

## 3 Verzeichnis des Auftragsverarbeiters (Abs. 2) [#3-verzeichnis-des-auftragsverarbeiters-abs-2]

### 3.1 Eigenständige Pflicht [#31-eigenständige-pflicht]

Auch der Auftragsverarbeiter führt ein eigenes Verzeichnis, und zwar **getrennt** für jeden Auftraggeber, in dessen Auftrag er tätig ist. Die Pflicht ist eigenständig und nicht subsidiär zur Pflicht des Verantwortlichen. Das Auftragsverarbeitungs-Verzeichnis dient zugleich der Selbstkontrolle des Auftragsverarbeiters und mittelbar der Kontrolle durch den Verantwortlichen. Eine Stelle in einer Doppelrolle führt zwei getrennte Verzeichnisse.

### 3.2 Pflichtangaben [#32-pflichtangaben]

Die Mindestangaben sind enger gefasst als beim Verantwortlichen (Art. 30 Abs. 2 lit. a-d DSGVO):

* **lit. a: Identifikation.** Name und Kontaktdaten des Auftragsverarbeiters und **jedes** Verantwortlichen, in dessen Auftrag verarbeitet wird; gegebenenfalls Vertreter und Datenschutzbeauftragter beider Seiten. Ziel ist die rasche, zweifelsfreie Zuordnung des Ansprechpartners. Im **Massengeschäft** (typischerweise beim Cloud Computing mit standardisiertem Angebot für eine große Zahl von Kunden) genügt nach verbreiteter Auffassung zunächst die Angabe von **Kategorien von Verantwortlichen**, sofern auf Nachfrage der Aufsichtsbehörde eine konkrete Auflistung geliefert werden kann.
* **lit. b: Kategorien von Verarbeitungen pro Auftraggeber.** Eine **Bündelung** gleichartiger Verarbeitungsprozesse ist zulässig: die einzelnen Verarbeitungen finden sich im Verzeichnis des jeweiligen Verantwortlichen. So werden Redundanzen vermieden. Bei standardisierten Cloud-Diensten dürfen vergleichbare Aufträge zu einer Kategorie zusammengefasst werden; Ziel ist, die Risikogeneigtheit der Verarbeitung einschätzen zu können.
* **lit. c: Drittlandtransfers.** Inhaltsgleich mit Abs. 1 lit. e (siehe 2.7).
* **lit. d: Technische und organisatorische Maßnahmen.** „Wenn möglich" eine allgemeine Beschreibung der Maßnahmen nach Art. 32 Abs. 1 DSGVO (siehe 2.9).

## 4 Form und Vorlage (Abs. 3, 4) [#4-form-und-vorlage-abs-3-4]

### 4.1 Schriftlich oder elektronisch [#41-schriftlich-oder-elektronisch]

Das Verzeichnis ist schriftlich zu führen, wobei ausdrücklich auch ein **elektronisches Format** genügt (Art. 30 Abs. 3 DSGVO). Eine strenge Schriftform mit Unterschriften der Verantwortungsträger ist nicht erforderlich; **Textform** im Sinne des § 126b BGB reicht aus. Eine elektronische Signatur ist ebenfalls nicht erforderlich. Der Markt bietet eine Reihe von Anwendungen, die sich in Funktionsumfang und Konzern-Tauglichkeit unterscheiden. Ein Vergleich vor der Auswahl ist sinnvoll.

### 4.2 Sprache [#42-sprache]

Das Gesetz gibt keine Sprache vor. Die deutschen Aufsichtsbehörden verweisen auf § 23 Abs. 1, 2 VwVfG und verlangen, das Verzeichnis „regelmäßig in deutscher Sprache" zu führen, jedenfalls aber unverzüglich eine Übersetzung vorlegen zu können ([DSK, Hinweise zum Verzeichnis von Verarbeitungstätigkeiten, S. 3](https://www.datenschutzkonferenz-online.de/media/ah/201802_ah_verzeichnis_verarbeitungstaetigkeiten.pdf)). International tätige Konzerne dürfen daher ein gemeinsames englisches Verzeichnis führen und im Einzelfall die Beschreibung der konkret angefragten Verarbeitungstätigkeit übersetzen lassen.

### 4.3 Vorlage auf Anfrage [#43-vorlage-auf-anfrage]

Eine Vorlage von Amts wegen oder eine Veröffentlichungspflicht besteht **nicht**. Das Verzeichnis ist der Aufsichtsbehörde nur **auf Anfrage** zur Verfügung zu stellen (Art. 30 Abs. 4 DSGVO). Eine elektronische Übermittlung (etwa über einen Gastzugang der eingesetzten Anwendung) ist zulässig; sicherheitshalber sollte zusätzlich eine analoge Form bereitgehalten werden.

## 5 Ausnahme für kleinere Unternehmen (Abs. 5) [#5-ausnahme-für-kleinere-unternehmen-abs-5]

### 5.1 Regel-Ausnahme-Prinzip [#51-regel-ausnahme-prinzip]

Unternehmen und Einrichtungen mit **weniger als 250 Beschäftigten** sind grundsätzlich von der Verzeichnispflicht befreit (Art. 30 Abs. 5 DSGVO). Maßgeblich ist die **absolute** Mitarbeiterzahl des Unternehmens, nicht die Zahl der mit der Verarbeitung befassten Mitarbeiter. Hintergrund ist Erwägungsgrund 13 DSGVO: Der freie Datenverkehr im Binnenmarkt darf kleine und mittlere Unternehmen nicht durch unverhältnismäßigen Bürokratieaufwand belasten.

### 5.2 Rück-Ausnahmen [#52-rück-ausnahmen]

Die Befreiung greift jedoch nur, wenn **keiner** der folgenden Tatbestände erfüllt ist. Sobald **einer** zutrifft, lebt die Verzeichnispflicht wieder auf:

* die Verarbeitung birgt ein Risiko für die Rechte und Freiheiten der betroffenen Personen,
* die Verarbeitung erfolgt **nicht nur gelegentlich**,
* es werden besondere Datenkategorien gemäß Art. 9 Abs. 1 DSGVO verarbeitet, oder
* es werden personenbezogene Daten über strafrechtliche Verurteilungen und Straftaten im Sinne des Art. 10 DSGVO verarbeitet.

<Mermaid
  chart="flowchart TD
  A[Unternehmen / Einrichtung] --> B{Weniger als 250<br/>Beschäftigte?}
  B -->|Nein| P[Verzeichnispflicht]
  B -->|Ja| C{Risiko für Rechte<br/>und Freiheiten?}
  C -->|Ja| P
  C -->|Nein| D{Verarbeitung mehr<br/>als nur gelegentlich?}
  D -->|Ja| P
  D -->|Nein| E{Besondere Kategorien<br/>nach Art. 9 Abs. 1?}
  E -->|Ja| P
  E -->|Nein| F{Daten zu Straftaten<br/>nach Art. 10?}
  F -->|Ja| P
  F -->|Nein| G[Befreiung greift]"
/>

### 5.3 Auslegung der unbestimmten Begriffe [#53-auslegung-der-unbestimmten-begriffe]

Beide Schlüsselbegriffe sind streitig:

* **„Risiko"** ist nicht jede abstrakte Beeinträchtigungsmöglichkeit. Andernfalls liefe die Ausnahme leer, weil jede Verarbeitung dem Grunde nach ein Risiko enthält. Gemeint sein muss ein **hohes oder erhebliches** Risiko für die Rechte und Freiheiten der Betroffenen.
* **„Nicht nur gelegentlich"** ist nicht rein zeitlich zu verstehen. Die englische Sprachfassung der DSGVO verwendet das Wort „occasional", das auf eine **untergeordnete Bedeutung insgesamt** zielt, nicht auf bloße Häufigkeit. Schon der Kommissionsentwurf wollte Verarbeitungen freistellen, die „nur als Nebentätigkeit zusätzlich zu ihren Haupttätigkeiten" erfolgen; Erwägungsgrund 13 DSGVO ist im Verlauf des Verfahrens nicht angepasst worden. Die Befreiung entfällt daher erst, wenn die Verarbeitung **Bestandteil des Hauptgeschäfts** ist. Die regelmäßige Gehaltsabrechnung für die eigene Belegschaft macht die Verarbeitung dagegen noch nicht zu einer „nicht nur gelegentlichen", sonst wäre die Schwelle der 250 Beschäftigten ohne Bedeutung.

<Callout type="warn">
  Die kumulative Lesart der Rück-Ausnahmen ist umstritten. Zur sicheren Seite hin gilt: Die Pflicht, ein Verzeichnis zu führen, besteht, sobald **eine** der Rück-Ausnahmen plausibel greift. Für KMU mit Personalverarbeitung über besondere Datenkategorien (z.B. Gesundheitsdaten im Krankheitsfall) ist die Befreiung in der Regel nicht einschlägig.
</Callout>

<Callout type="info">
  **Praxisbeispiel: Lohnsteuerabzug bringt Art. 9 ins Spiel.** Arbeitgeber in Deutschland müssen für den Kirchensteuerabzug die Religionszugehörigkeit ihrer Beschäftigten verarbeiten. Daraus lässt sich auf die religiöse Überzeugung schließen, es handelt sich also um besondere Daten im Sinne von Art. 9 Abs. 1 DSGVO. Bereits diese Verarbeitung lässt nach dem Wortlaut des Art. 30 Abs. 5 die KMU-Befreiung entfallen, sodass nahezu jeder Arbeitgeber unabhängig von seiner Größe ein Verzeichnis führen muss. In der Literatur wird vertreten, die Pflicht beschränke sich in solchen Fällen auf die betreffenden Daten. Die deutschen Aufsichtsbehörden sehen das strenger.
</Callout>

### 5.4 Reformvorschlag der Kommission (COM(2025) 501 final) [#54-reformvorschlag-der-kommission-com2025-501-final]

Die Europäische Kommission hat im Rahmen ihres Vereinfachungspakets im Mai 2025 einen Vorschlag zur Neufassung des Abs. 5 vorgelegt ([COM(2025) 501 final](https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:52025PC0501); zur fachlichen Bewertung [Stellungnahme EDSA/EDSB](https://www.edpb.europa.eu/news/news/2025/targeted-modifications-gdpr-edpb-edps-welcome-simplification-record-keeping_en)). Geplant sind drei Änderungen:

* **Schwellenwert** von 250 auf **750 Beschäftigte**,
* einheitliches Kriterium der Rück-Ausnahme: Verarbeitung mit **wahrscheinlich hohem Risiko** im Sinne des Art. 35 DSGVO,
* die Verarbeitung besonderer Kategorien personenbezogener Daten **im Beschäftigungskontext** nach Art. 9 Abs. 2 lit. b DSGVO löst die Pflicht **nicht mehr automatisch** aus.

Der Vorschlag ist noch nicht verabschiedet; die geltende Fassung des Art. 30 Abs. 5 DSGVO ist weiter anzuwenden.

Praktisch fällt der Anwendungsbereich der Ausnahme schmal aus: Wer den Mitarbeiter-Schwellenwert unterschreitet, läuft fast immer in mindestens eine der Rück-Ausnahmen. Hinzu kommt, dass die für das Verzeichnis benötigten Angaben (Zwecke, Datenkategorien, Empfänger, Löschfristen, Schutzmaßnahmen) ohnehin für die Erfüllung anderer Pflichten der DSGVO vorzuhalten sind, etwa für die Informationspflichten nach Art. 13, 14 DSGVO, das Auskunftsrecht nach Art. 15 DSGVO und die Datensicherheit nach Art. 32 DSGVO. Der Mehraufwand eines geführten Verzeichnisses bleibt überschaubar.

## 6 Aufbau, Pflege und interne Zuständigkeit [#6-aufbau-pflege-und-interne-zuständigkeit]

### 6.1 Wer führt das Verzeichnis im Unternehmen? [#61-wer-führt-das-verzeichnis-im-unternehmen]

Das Gesetz schweigt zu den internen Zuständigkeiten. Pflichtadressat nach außen bleibt der Verantwortliche; die Erstellung wird in der Praxis aber regelmäßig dem [Datenschutzbeauftragten](/docs/dsgvo-hub/einzelthemen/datenschutzbeauftragter) übertragen. Diese Aufgabe gehört nicht zum gesetzlichen Aufgabenkatalog des Art. 39 DSGVO; eine Delegation durch die Geschäftsleitung ist zulässig, soweit der Datenschutzbeauftragte bei der inhaltlichen Gestaltung **weisungsfrei** bleibt (Art. 38 Abs. 3 DSGVO).

<Callout type="warn">
  **Rollenkonflikt im Auge behalten.** Wird die Erstellung des Verzeichnisses dem Datenschutzbeauftragten übertragen, gerät er in einen Spannungsfeld: Nach Art. 39 Abs. 1 lit. b DSGVO hat er die Einhaltung der Verordnung zu **überwachen**: er kontrollierte sich dann selbst. Die Aufgabentrennung ist organisatorisch zu wahren, etwa durch klare Zuweisung der inhaltlichen Verantwortung an die Process-Owner und der Plausibilitätsprüfung an den Datenschutzbeauftragten.
</Callout>

Faktisch übernimmt der Datenschutzbeauftragte eine **organisatorische Rolle**, vergleichbar einem Projektmanager. Die Detailangaben kann er nicht alleine erheben; er ist auf die Mitarbeit der jeweiligen **Process-Owner** angewiesen, die den Geschäftsprozess fachlich verantworten und die nötigen Daten zu Zwecken, Datenkategorien, Empfängern, Löschfristen und Schutzmaßnahmen liefern. Die Verantwortung für Vollständigkeit und Richtigkeit verbleibt davon unberührt beim Verantwortlichen, nicht beim Datenschutzbeauftragten.

### 6.2 Erstellung in zwei Schritten [#62-erstellung-in-zwei-schritten]

Bei der erstmaligen Erstellung hat sich ein zweistufiges Vorgehen bewährt:

<Steps>
  <Step>
    **Verarbeitungstätigkeiten und Process-Owner identifizieren.**

     Welche Geschäftsprozesse mit Personenbezug existieren überhaupt? Wer kann pro Prozess die Detailangaben verbindlich liefern? Bei prozessorientierten Unternehmen lässt sich häufig auf bestehende 

    **Qualitätsmanagement-Strukturen**

     zurückgreifen: Prozesse wie „Bewerbungsverfahren", „Einstellungsprozess", „Gehaltsbuchhaltung", „E-Mail-Marketing" oder „Videoüberwachung Parkplatz" sind in der Regel bereits dokumentiert und lassen sich als Verarbeitungstätigkeiten übernehmen.
  </Step>

  <Step>
    **Detailangaben erfassen.**

     Pro Verarbeitungstätigkeit die Pflichtangaben aus Art. 30 Abs. 1 oder Abs. 2 DSGVO erheben, über Vorlagen in Formularform oder über eine Verzeichnis-Software. Die bloße Verteilung von Vorlagen an die Process-Owner führt erfahrungsgemäß zu unbefriedigenden Ergebnissen: Einzelne Punkte bedürfen der Erläuterung. Der Datenschutzbeauftragte begleitet die Erfassung, beantwortet Rückfragen und prüft die Plausibilität der Angaben.
  </Step>
</Steps>

<Callout type="warn">
  **Anti-Pattern: zu hohe Granularität beim Erstaufsatz.** Wer das Verzeichnis im ersten Wurf zu detailliert anlegt und auch nebensächliche Prozesse einzeln erfasst, verfügt im Regelbetrieb mangels Pflegekapazität schnell über ein veraltetes Verzeichnis. Die Granularität muss zu den verfügbaren Ressourcen für Pflege und Aktualisierung passen: lieber ein gröberes, aber gepflegtes als ein detailgenaues, aber stehengebliebenes Verzeichnis.
</Callout>

<Callout type="info">
  **Praxis-Konzept: Hauptdokument plus Einzeleinträge.** Ein Großteil der Angaben ist über alle Verarbeitungstätigkeiten identisch: Name und Kontaktdaten des Verantwortlichen und Datenschutzbeauftragten, generelle technische und organisatorische Maßnahmen. Es bietet sich an, ein **Hauptdokument** mit diesen Metainformationen zu führen und in den einzelnen Verarbeitungstätigkeiten nur die abweichenden Angaben zu erfassen, im Übrigen aber auf das Hauptdokument zu verweisen. **Verweise auf bestehende Dokumente** im Unternehmen (etwa ein TOM-Konzept, eine Data Retention Policy oder einen Auftragsverarbeitungsvertrag) sind ausdrücklich zugelassen und werden von den Aufsichtsbehörden empfohlen, weil eine Nachprüfung in der Regel ohnehin auf diese Dokumente abzielt ([DSK, Hinweise zum Verzeichnis von Verarbeitungstätigkeiten, S. 2, 7](https://www.datenschutzkonferenz-online.de/media/ah/201802_ah_verzeichnis_verarbeitungstaetigkeiten.pdf)). Das spart Pflegeaufwand und vermeidet Inkonsistenzen.
</Callout>

### 6.3 Aktualisierung [#63-aktualisierung]

Eine ausdrückliche Aktualisierungspflicht ist im Gesetz nicht vorgesehen; der entsprechende Vorschlag des Parlaments wurde im Gesetzgebungsverfahren verworfen. Die Pflicht folgt aber aus dem Verb &#x2A;*„führen"** und aus der Rechenschaftspflicht (Art. 5 Abs. 2, Art. 24 DSGVO): Ein Verzeichnis, das den aktuellen Stand der Verarbeitungen nicht abbildet, erfüllt seinen Zweck nicht. Es ist als **lebendes Dokument** zu verstehen.

Praktisch sinnvoll ist ein Prozess, in dem die für einen Geschäftsprozess oder ein System fachverantwortliche Person in **regelmäßigen Abständen** zur Bestätigung der Aktualität aufgefordert wird, Änderungen einarbeitet und sie in einer Änderungshistorie festhält. Die Aufsichtsbehörden empfehlen, die Änderungshistorie für **mindestens ein Jahr** vorzuhalten, um Anpassungen nachvollziehbar zu machen ([DSK, Hinweise zum Verzeichnis von Verarbeitungstätigkeiten, S. 3](https://www.datenschutzkonferenz-online.de/media/ah/201802_ah_verzeichnis_verarbeitungstaetigkeiten.pdf)).

### 6.4 Konzern-Konstellationen [#64-konzern-konstellationen]

In Unternehmensgruppen (Art. 4 Nr. 19 DSGVO) liegt es nahe, das Verzeichnis **zentral** zu führen und den Tochtergesellschaften nur lesenden Zugriff einzuräumen. Sind zentrale IT-Systeme oder Shared Services konzernweit im Einsatz, kann ein Intercompany-Vertrag mit dynamischem Verweis auf das Verzeichnis vermeiden, dass jeder Tool-Wechsel eine Vertragsänderung auslöst. Die einzelnen Verantwortlichkeiten und Empfänger müssen im Verzeichnis selbst aber präzise benannt werden.

### 6.5 Verhältnis zu anderen Pflichten [#65-verhältnis-zu-anderen-pflichten]

Das Verzeichnis ist Bezugspunkt einer Reihe weiterer Pflichten:

* es konkretisiert die [Rechenschaftspflicht](/docs/dsgvo-hub/einzelthemen/grundsaetze-der-verarbeitung/1.3.3.9-rechenschaftspflicht) (Art. 5 Abs. 2 DSGVO),
* es liefert den Ausgangspunkt für die [Datenschutz-Folgenabschätzung](/docs/dsgvo-hub/einzelthemen/datenschutz-folgenabschaetzung) nach Art. 35 DSGVO,
* es ist Grundlage für die Beantwortung von Auskunftsersuchen nach Art. 15 DSGVO,
* es ergänzt die Dokumentation nach Art. 24 DSGVO und das Informationssicherheits-Managementsystem nach Art. 32 DSGVO,
* in Verbindung mit Art. 10 Abs. 5 KI-VO trägt es zusätzliche Begründungen für Verarbeitungen besonderer Datenkategorien zur Bias-Korrektur in Hochrisiko-KI-Systemen.

<Cards>
  <Card title="Rechenschaftspflicht (Art. 5 Abs. 2 DSGVO)" href="/docs/dsgvo-hub/einzelthemen/grundsaetze-der-verarbeitung/1.3.3.9-rechenschaftspflicht" description="Übergeordneter Grundsatz, dessen wichtigstes Werkzeug das Verzeichnis ist." />

  <Card title="Speicherbegrenzung (Art. 5 Abs. 1 lit. e DSGVO)" href="/docs/dsgvo-hub/einzelthemen/grundsaetze-der-verarbeitung/1.3.3.7-speicherbegrenzung" description="Löschfristen und Überprüfungsintervalle des Verzeichnisses." />

  <Card title="Zweckbindung (Art. 5 Abs. 1 lit. b DSGVO)" href="/docs/dsgvo-hub/einzelthemen/grundsaetze-der-verarbeitung/1.3.3.4-zweckbindung" description="Verzeichnis als Ort der Zweckfestlegung." />

  <Card title="Besondere Kategorien personenbezogener Daten (Art. 9 DSGVO)" href="/docs/dsgvo-hub/einzelthemen/besondere-kategorien-personenbezogener-daten" description="Auslöser der Rück-Ausnahme nach Art. 30 Abs. 5 DSGVO." />

  <Card title="EuGH C-60/22, BAMF" href="/docs/dsgvo-hub/rechtsprechung/1.4.39-eugh-c-60-22-bamf" description="Verstoß gegen Art. 30 DSGVO macht Verarbeitung nicht rechtswidrig." />

  <Card title="DSK Kurzpapier Nr. 1" href="https://www.datenschutzkonferenz-online.de/media/kp/dsk_kpnr_1.pdf" description="Behördliche Auslegungshilfe der Datenschutzkonferenz." />
</Cards>


---

## Über den Autor

Dieser Beitrag wurde von [Dr. Thomas Helbing, Fachanwalt für IT-Recht in München](https://www.thomashelbing.com/en) verfasst.

Dr. Helbing wird seit 2020 durchgehend bis heute (2026) vom Handelsblatt als einer der **„Deutschlands besten Anwälte"** im Bereich IT-Recht und Datenschutzrecht [ausgezeichnet](https://www.thomashelbing.com/en#auszeichnungen).

Laut Kanzleimonitor.de (Ausgaben 2024–2026) zählt er zu den **führenden Anwälten für Datenschutz und IT-Recht** und ist unter den **Top-100 Anwälten in Deutschland (2024/25)** gelistet. Kanzleimonitor gilt als besonders aussagekräftige Marktstudie, da sie ausschließlich auf persönlichen Empfehlungen von Unternehmensjuristen basiert.

Dr. Helbing verfügt über **langjährige Beratungserfahrung im Datenschutz- und IT-Recht** und berät Mandanten unterschiedlichster Größen, vom Startup über wachstumsstarke SaaS-Unternehmen und Unicorns bis hin zu internationalen Konzernen.

Sein [beruflicher Hintergrund](https://www.thomashelbing.com/en#stationen) umfasst das **gesamte Spektrum der Praxis im IT- und Technologierecht**. Er begann seine Laufbahn in einer internationalen Großkanzlei, sammelte anschließend **Inhouse-Erfahrung in einem DAX-Unternehmen** und ist selbst **Unternehmer und Gründer mehrerer digitaler Projekte**. Darüber hinaus verfügt er über **praktische Programmiererfahrung**, wodurch er technische Systeme, Softwarearchitekturen und digitale Geschäftsmodelle nicht nur juristisch, sondern auch aus technischer Perspektive versteht.

Zu seinen [Mandanten](https://www.thomashelbing.com/en#referenzen) zählen seit vielen Jahren unter anderem **Technologieunternehmen und SaaS-Anbieter**, führende **deutsche Forschungseinrichtungen** sowie eine **systemrelevante deutsche Großbank**. Seine Beratungsschwerpunkte liegen insbesondere in den Bereichen **DSGVO-Compliance, Datenökonomie, SaaS, KI-Regulierung und IT-Vertragsrecht**.