FAQ: Verzeichnis von Verarbeitungstätigkeiten gemäß Art. 30 DSGVO
Geschrieben von Ronja Zimmermann, veröffentlicht am 11.03.2026Wir geben einen Überblick zum Verzeichnis von Verarbeitungstätigkeiten. Dieses ist in Art. 30 DSGVO festgehalten.
Was ist ein Verzeichnis von Verarbeitungstätigkeiten?
Eine Verarbeitungstätigkeit ist ein klar abgegrenzter Geschäftsprozess, bei dem personenbezogene Daten für einen bestimmten Zweck verarbeitet werden. Sie kann mehrere einzelne Verarbeitungsvorgänge wie Erheben, Speichern, Nutzen oder Löschen umfassen, solange diese einem gemeinsamen Ziel dienen. Maßgeblich für die Abgrenzung ist der jeweilige Verarbeitungszweck: Unterschiedliche Zwecke begründen in der Regel unterschiedliche Verarbeitungstätigkeiten.
Das Verzeichnis von Verarbeitungstätigkeiten ist daher eine systematische und strukturierte Aufstellung der in Art. 30 Abs. 1 DSGVO genannten Angaben. Es muss so aufgebaut sein, dass Aufsichtsbehörden nachvollziehen können, ob die datenschutzrechtlichen Anforderungen eingehalten werden.
Wer ist verpflichtet, ein Verzeichnis zu führen?
Zur Führung eines Verzeichnisses von Verarbeitungstätigkeiten sind verpflichtet:
- Verantwortliche (Art. 30 Abs. 1 DSGVO), also Stellen, die über Zwecke und Mittel der Verarbeitung entscheiden
- Auftragsverarbeiter (Art. 30 Abs. 2 DSGVO), die personenbezogene Daten im Auftrag verarbeiten
- Ggf. Vertreter nach Art. 27 DSGVO
Ausgenommen sind Unternehmen mit weniger als 250 Beschäftigten, sofern die Verarbeitung nur gelegentlich erfolgt, kein Risiko für die Rechte und Freiheiten der Betroffenen besteht und keine sensiblen Daten nach Art. 9 DSGVO verarbeitet werden. In der Praxis greift diese Ausnahme selten.
Welche Funktion erfüllt das Verzeichnis von Verarbeitungstätigkeiten?
Das Verzeichnis ermöglicht Aufsichtsbehörden, einen Überblick über datenbezogene Prozesse und Systeme zu erhalten, und unterstützt die Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO. Gleichzeitig bildet es eine zentrale Grundlage für interne Datenschutzprozesse, etwa für Datenschutz-Folgenabschätzungen, Löschkonzepte und Informationspflichten.
Ein aktuelles und vollständiges Verzeichnis trägt zudem zur Risikominimierung bei, da Datenschutzdefizite frühzeitig erkannt und Bußgeldrisiken reduziert werden können.
Welche Inhalte muss das Verzeichnis eines Verantwortlichen enthalten?
Gem. Art. 30 Abs. 1 DSGVO muss das Verzeichnis des Verantwortlichen folgende Angaben enthalten:
- Name und Kontaktdaten des Verantwortlichen, ggf. des Vertreters und des Datenschutzbeauftragten
- Zweck der Verarbeitung, klar beschrieben (z. B. Kundenverwaltung, Bewerbermanagement)
- Kategorien betroffener Personen, etwa Kunden, Beschäftigte oder Bewerber
- Kategorien personenbezogener Daten, etwa Kontakt-, Bank- oder Steuerdaten
- Rechtsgrundlage der Verarbeitung, z. B. Art. 6 DSGVO oder § 26 BDSG
- Kategorien von Empfängern, intern (z. B. Personalabteilung) und extern (z. B. Dienstleister)
- Drittlandsübermittlungen, einschließlich Zielland, Empfänger und geeigneter Garantien
- Löschfristen, soweit möglich, nach dem Grundsatz der Zweckfortfall-Löschung
- Technische und organisatorische Maßnahmen (TOMs) gemäß Art. 32 DSGVO in allgemeiner Form
Welche Inhalte muss das Verzeichnis des Auftragsverarbeiters enthalten?
Das Verzeichnis eines Auftragsverarbeiters gemäß Art. 30 Abs. 2 DSGVO ist weniger umfangreich und umfasst insbesondere:
- Name und Kontaktdaten des Auftragsverarbeiters und der Verantwortlichen
- Kategorien der im Auftrag durchgeführten Verarbeitungen
- Angaben zu Drittlandsübermittlungen
- Allgemeine Beschreibung der TOMs
Muss ich das Verzeichnis von Verarbeitungstätigkeiten ständig aktualisieren?
Eine ausdrückliche gesetzliche Pflicht zur regelmäßigen Aktualisierung besteht nicht. Dennoch ergibt sich eine faktische Aktualisierungspflicht, da das Verzeichnis nur dann seinen Zweck erfüllt, wenn es fortlaufend aktuell und korrekt gehalten wird. Dies stellt eine Konkretisierung der Rechenschaftspflicht nach Art. 5 Abs. 2 und Art. 24 DSGVO dar.
Welche Konsequenzen drohen bei einem fehlenden oder unvollständigen Verzeichnis?
Ein fehlendes oder fehlerhaftes Verzeichnis stellt einen Verstoß gegen Art. 30 DSGVO dar. Mögliche Sanktionen:
- Geldbußen bis zu 10 Mio. EUR oder
- bis zu 2 % des weltweiten Jahresumsatzes (je nachdem, welcher Betrag höher ist)
In der Praxis richten sich Höhe und Wahrscheinlichkeit nach Schwere, Dauer und Fahrlässigkeit.
Sprechen Sie uns gerne an, bei Fragen zu FAQ: Verzeichnis von Verarbeitungstätigkeiten gemäß Art. 30 DSGVO
Ronja Zimmermann,
Juristin mit Schwerpunkt Datenschutzrecht. Sie unterstützt unsere Consultants durch wissenschaftliche Arbeit zu aktuellen rechtlichen Fragestellungen.
Auf unserem Blog schreibt sie über Themen rund um Datenschutz, die KI-Verordnung und Informationssicherheit.
Weitere Artikel
- Apple ATT: Kompromisse abgelehnt
- Muss oder Option: Das Verzeichnis von Verarbeitungstätigkeiten
- Welche Informationen darf der Arbeitgeber im Bewerbungsprozess abfragen?
- Europas Cybersecurity-Paket 2026
Verwandte Artikel
- Achtung, iPhone-User: DarkSword-Malware auf GitHub aufgetaucht
- Muss oder Option: Das Verzeichnis von Verarbeitungstätigkeiten
- Raus aus der iCloud? Wie US-Gesetze Ihre Daten gefährden
- KRITIS-Dachgesetz: Schutzschild für die physische Sicherheit
- Warum ist eine Clean Desk Policy für den Datenschutz so wichtig?
- Was das neue Bundessicherheitsgesetz für deutsche Unternehmen bedeutet