Navigation und Service

Logo der Deutschen Rentenversicherung (Link zur Startseite rvRecht)

rvRecht® - Rechtsportal der Deutschen Rentenversicherung
Drucken

GRA

Art. 30 DSGVO: Verzeichnis von Verarbeitungstätigkeiten

Änderungsdienst
veröffentlicht am

27.04.2026

Änderung

Neu aufgenommen

Dokumentdaten
Stand27.04.2026
Erstellungsgrundlage in der Fassung der Datenschutz-Grundverordnung vom 27.04.2016 in Kraft getreten am 25.05.2018
Rechtsgrundlage

Art. 30 DSGVO

Version001.00

Inhalt der Regelung

Art. 30 Datenschutzgrundverordnung (DSGVO) regelt die Führung eines Verzeichnisses aller Verarbeitungstätigkeiten (VVT).

Der Verantwortliche oder der Auftragsverarbeiter hat ein VVT über alle Verarbeitungstätigkeiten, die seiner Zuständigkeit unterliegen, zu führen. Sie sind verpflichtet, ihrer Aufsichtsbehörde auf Anfrage das entsprechende Verzeichnis vorzulegen, damit die betreffenden Verarbeitungsvorgänge anhand dieses Verzeichnisses kontrolliert werden können.

Diese Regelung des Art. 30 DSGVO bezieht sich dabei jeweils auch auf den Vertreter des Verantwortlichen oder auf den Vertreter des Auftragsverarbeiters.

nach oben

Ergänzende/korrespondierende Regelungen

nach oben

Begriffsbestimmungen

Die Begrifflichkeiten "Verantwortlicher", "Auftragsverarbeiter", "Vertreter", "Verzeichnis", "Verarbeitungstätigkeit", "Verarbeitungsmittel", "Verarbeitung" und "Aufsichtsbehörde" sollten im Zusammenhang mit Art. 30 DSGVO näher beschrieben werden:

  • "Verantwortlicher" ist gemäß Art. 4 Nr. 7 DSGVO die Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Legen zwei oder mehr Verantwortliche gemeinsam die Zwecke und Mittel der Verarbeitung fest, so sind sie im Sinne des Art. 26 DSGVO gemeinsam Verantwortliche. "Auftragsverarbeiter" ist gemäß Art. 4 Nr. 8 DSGVO die Person, Behörde, Einrichtung oder andere Stelle, die personenbezogenen Daten im Auftrag des Verantwortlichen verarbeitet.
  • "Vertreter" ist gemäß Art. 4 Nr. 17 DSGVO eine Person, die von dem Verantwortlichen oder Auftragsverarbeiter schriftlich nach Art. 27 DSGVO bestellt wurde.
  • Der Begriff des "Verzeichnisses" ist in der DSGVO nicht legal definiert. Sein Inhalt ergibt sich jedoch im Wesentlichen aus dem Gesetz. Es handelt sich bei dem Verzeichnis um eine Aufstellung der in Art. 30 Abs. 1 lit. a-g DSGVO genannten Informationen und Angaben, die so detailliert, systematisiert und geordnet sind, dass sie eine Überprüfung seitens der Aufsichtsbehörde ermöglicht, ob der Verzeichnisersteller seinen Pflichten nachgekommen ist.
  • Die "Verarbeitungstätigkeit" ist ein Vorgang beziehungsweise ein Geschäftsprozess, in dem personenbezogene Daten oder Sozialdaten verarbeitet werden.
  • Die "Verarbeitungsmittel" sind alle analogen oder technischen Mittel, welche durch die Fachseite zur Durchführung eines Geschäftsprozesses genutzt werden. Analoge Verarbeitungsmittel sind beispielweise Akten in Papierform. Technische Verarbeitungsmittel sind IT-Verfahren und IT-Services beziehungsweise Anwendungen und Dienste.
  • Die "Verarbeitung" ist nach Art. 4 Nr. 2 DSGVO das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung von personenbezogenen Daten.
  • "Aufsichtsbehörde" ist gemäß Art. 4 Nr. 21 DSGVO eine von einem Mietgliedstaat gemäß Art. 51 DSGVO eingerichtete unabhängige staatliche Stelle.

nach oben

Allgemeines

Das Verzeichnis von Verarbeitungstätigkeiten (VVT) dient als wesentliche Grundlage für eine strukturierte Datenschutzdokumentation und hilft dem Verantwortlichen dabei gemäß Art. 5 Abs. 2 DSGVO in Verbindung mit Art. 24 DSGVO nachzuweisen, dass die Rechenschaftspflicht erfüllt wird.

Der Zweck ergibt sich aus dem Erwägungsgrund 82 zu Art. 30 DSGVO. Hiernach sollen der Verantwortliche und der Auftragsverarbeiter zum Nachweis der Einhaltung der DSGVO ein VVT führen. Dieses Verzeichnis betrifft sämtliche ganz, teilweise sowie nichtautomatisierte Verarbeitungen personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen. 

Ein Dateisystem ist jede strukturierte Sammlung personenbezogener Daten, die nach bestimmten Kriterien zugänglich sind, unabhängig davon, ob diese Sammlung zentral, dezentral oder nach funktionalen oder geografischen Gesichtspunkten geordnet geführt wird (Art. 4 Ziffer 6 DSGVO).

 Für jede einzelne Verarbeitungstätigkeit ist eine Beschreibung nach Maßgabe des Art. 30 DSGVO anzufertigen.

Das VVT dient der Dokumentation von Geschäftsprozessen, in denen personenbezogene Daten verarbeitet werden. Werden keine personenbezogenen Daten im Geschäftsprozess verarbeitet, ist auch keine Dokumentation in diesem Verzeichnis notwendig.

Mit der Erstellung des VVT sind keinesfalls alle von der DSGVO geforderten Dokumentationspflichten erfüllt. Das Verzeichnis ist nur ein Baustein, um der in Art. 5 Abs. 2 DSGVO normierten Rechenschaftspflicht nachzukommen.

nach oben

Angaben im Verzeichnis (Art. 30 Absatz 1 DSGVO)

Art. 30 Abs. 1 DSGVO verpflichtet zunächst den Verantwortlichen und gegebenenfalls den Vertreter zum Führen eines Verzeichnisses aller Verarbeitungstätigkeiten, die ihrer Zuständigkeit unterliegen. Dieses muss den unter Art. 30 Abs. 1 lit. a-g DSGVO angegebenen Inhalt enthalten. Hinsichtlich des Umfangs der inhaltlichen Darstellung ist keine Vorgabe in der DSGVO vorhanden.

Das VVT sollte folgende Punkte beinhalten:

  • Den Namen und die Kontaktdaten des Verantwortlichen und gegebenenfalls des gemeinsam mit ihm Verantwortlichen, des Vertreters des Verantwortlichen sowie eines etwaigen Datenschutzbeauftragten. Anzugeben sind die postalische, elektronische und telefonische Erreichbarkeit, um zu gewährleisten, dass die Aufsichtsbehörde den Verantwortlichen auf einfachem Wege und in Eilfällen auch über verschiedene Kanäle erreichen kann. Bei Behörden und juristischen Personen sind nicht zwingend Daten zu Leitungspersonen gefordert, aus aufsichtsbehördlicher Sicht ist die Angabe des operativ verantwortlichen Ansprechpartners wünschenswert.
  • Die Zwecke der Verarbeitung. Personenbezogene Daten müssen gemäß Art. 5 Abs. 1 lit. b DSGVO für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden. Je Beschreibung einer Verarbeitungstätigkeit ist der Verarbeitungszweck zu dokumentieren (zum Beispiel Personalaktenführung, Lohn-/Gehaltsabrechnung, Arbeitszeiterfassung, Bewerbungsverfahren/Personalgewinnung, Fahrzeugregister, Videoüberwachung et cetera). Für jede Verarbeitung sind vorher die Zwecke festzulegen. Jeder neue Zweck der Verarbeitung stellt eine eigene Verarbeitungstätigkeit dar. Bei einer nur geringen Zweckänderung muss geprüft werden, ob eine bereits bestehende Beschreibung einer Verarbeitungstätigkeit angepasst werden muss oder ob eine vollständig neue Beschreibung anzufertigen ist. Die Summe der Einzelbeiträge ergibt dann das VVT.
  • Eine Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten. Die Verarbeitung besonderer Kategorien personenbezogener Daten im Sinne des Art. 9 Abs. 1 DSGVO sollte gesondert beschrieben werden. Hierunter fallen Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen sowie die Verarbeitung von genetischen Daten und biometrischen Daten, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person. Dabei empfiehlt es sich hinsichtlich der einzelnen Kategorien personenbezogener Daten laufende Nummern zu vergeben, die so eine Zuordnung zu den weiteren konkreten Angaben gemäß Art. 30 Abs. 1 S. 2 lit. d-g DSGVO ermöglichen, beispielweise zu konkreten Löschregeln.
  • Die Kategorien von Empfängern gegenüber denen die personenbezogenen Daten offengelegt werden, einschließlich Empfänger in Drittländern oder internationalen Organisationen. Kategorien von Empfängern am Bespiel von Lohn- und Gehaltsabrechnungen können wie folgt aufgegliedert werden:
    • Banken
    • Sozialversicherungsträger
    • Finanzämter
    • Unternehmensinterne Datenempfänger (zum Beispiel Betriebsarzt, Personalrat)
    • Gläubiger bei Lohn-/Gehaltspfändungen
    • Träger der Betriebsrente
      Empfänger können auch Teile eines Unternehmens oder einer Behörde sein. Dies ist der Fall, sofern ein Zugriff auf die Daten möglich ist (zum Beispiel Zugriff auf Kunden-/Versichertendaten bei einer bundesweit tätigen Behörde wie der DRV Bund). Der Begriff "Datenempfänger" ist daher zu ergänzen durch "Zugriffsberechtigte". Die Angaben zu den zugriffsberechtigten Personen sind nach der DSGVO zwar nicht vorgesehen, es wird jedoch empfohlen, Angaben zu diesen zu machen. Die Zugriffsberechtigten sollten ohne namentliche Angabe angegeben werden. Sie müssen jedoch zum Beispiel über eine Rollen- oder Funktionsbeschreibung eindeutig bestimmbar sein. 
  • Gegebenenfalls Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation, einschließlich der Angabe des betreffenden Drittlands oder der betreffenden internationalen Organisation sowie bei den in Art. 49 Abs. 1 DSGVO genannten Datenübermittlungen die Dokumentierung geeigneter Garantien. Zu Drittländern sollte in jedem Fall eine Aussage getroffen werden, also auch angegeben werden, wenn eine Übermittlung in Drittländer nicht stattfindet und auch nicht geplant ist. Eine Übermittlung in Drittländer erfolgt auch, wenn sich dort der Server befindet oder der E-Mail-Versand hierüber abgewickelt wird. Ebenso kann eine Übermittlung in Drittländer vorliegen, wenn Supportdienstleistungen aus diesem erbracht werden. Art. 49 Abs. 6 DSGVO ist zu beachten, wonach der Verantwortliche die von ihm vorgenommene Beurteilung sowie die angemessenen Garantien im Sinne des Art. 49 Abs. 1 DSGVO im VVT aufnimmt.
  • Wenn möglich, die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien. Ein allgemeiner Verweis auf Aufbewahrungspflichten genügt nicht, vielmehr sind präzise Angaben erforderlich. (Verlinkung Löschkonzept)
  • Wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Art. 32 Abs. 1 DSGVO. Trotz der Formulierung "wenn möglich" stellt die allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Art. 32 Abs. 1 DSGVO hier den Regelfall dar. Art. 5 Abs. 2 DSGVO verpflichtet den Verantwortlichen insbesondere auch zur Dokumentation der technischen und organisatorischen Maßnahmen. Zudem muss der Verantwortliche die Wirksamkeit dieser Maßnahmen regelmäßig überprüfen (Art. 32 Abs. 1 lit. d DSGVO). Beide Forderungen kann der Verantwortliche nur erfüllen, wenn die technischen und organisatorischen Maßnahmen vollständig beschrieben sind (etwa in einem Sicherheitskonzept). Eine Verarbeitung darf erst erfolgen, wenn der Verantwortliche seiner Pflicht nach Art. 24 DSGVO nachgekommen ist. Darunter fallen neben den Verpflichtungen nach Art. 12 und 25 DSGVO auch diejenigen nach Art. 32 DSGVO zur Bestimmung und Umsetzung geeigneter technischer und organisatorischer Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Das betrifft primär Fragen der Sicherheit der Verarbeitung, schließt somit aber auch Maßnahmen zur Gewährleistung von Betroffenenrechten ein. In das Verzeichnis ist eine allgemeine, einfach nachvollziehbare Beschreibung der für diesen Zweck getroffenen Maßnahmen aufzunehmen.

nach oben

Verzeichnis des Auftragsverarbeiters (Art. 30 Absatz 2 DSGVO)

Nach Art. 30 Abs. 2 DSGVO muss auch der Auftragsverarbeiter oder gegebenenfalls sein Vertreter ein Verzeichnis zu allen Kategorien von den im Auftrag des Verantwortlichen durchgeführten Tätigkeiten der Verarbeitung führen.

Das Verzeichnis enthält sämtliche der in Art. 30 Abs. 2 lit a-d DSGVO genannten Angaben und bildet so ein Auftragskataster mit Angabe der Auftraggeber und der Subunternehmer. Dabei muss ein Subunternehmer nur seine direkten Auftraggeber nennen und nicht die dahinterstehende weitere Kette bis zu den Verantwortlichen zurück.

Das VVT sollte folgende Punkte beinhalten:

  • Den Namen und die Kontaktdaten des Auftragsverarbeiters und gegebenenfalls des gemeinsam mit ihm Verantwortlichen, des Vertreters des Verantwortlichen sowie eines etwaigen Datenschutzbeauftragten.
  • Beschreibung der Kategorien von Verarbeitungen, die im Auftrag jedes Verantwortlichen durchgeführt werden. Das Auftragskataster ist nach den einzelnen Aufträgen zu differenzieren, zum Beispiel: Lohn- und Gehaltsabrechnung, Finanzbuchhaltung, E-Mail-Datenbank, Übernahme der betrieblichen/behördlichen Telefonanlage, Werbeadressenverarbeitung, Einscannen Schriftstücken, Support-/Wartungsservice, Rechnerservice mit Support und Datensicherung, bei denen allein der Auftraggeber den Zweck und die Verarbeitungen festlegt, Archivierung von Datenbeständen, Löschung sowie Entsorgung von Datenträgern, Lernplattform, Datenverarbeitung in einem externen Rechenzentrum.
  • Angaben zu Übermittlungen von personenbezogenen Daten in ein Drittland oder an eine internationale Organisation, einschließlich der Angabe des betreffenden Drittlands oder der betreffenden internationalen Organisation sowie bei den in Art. 49 Abs. 1 DSGVO genannten Datenübermittlungen die Dokumentierung geeigneter Garantien. Darstellung wie bei Art. 30 Abs. 1 lit. e DSGVO mit Angabe der konkreten Datenempfänger im Drittland.
  • Allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Art. 32 Abs. 1 DSGVO (siehe oben).

nach oben

Schriftform (Art. 30 Absatz 3 DSGVO)

Art. 30 Abs. 3 DSGVO regelt, dass das Verzeichnis schriftlich zu führen ist. Dies kann auch in einem elektronischen Format erfolgen, beispielweise in Form einer Excel-Tabelle. Es gibt aber auch Systeme, die das VVT abbilden. Ob der Verpflichtete das VVT handschriftlich oder elektronisch unter Verwendung von speziellen IT-Tools führt, bleibt dem Verpflichteten überlassen. Bei einem elektronisch angelegten Verzeichnis sollte für eine erleichterte Zusammenarbeit mit der Aufsichtsbehörde die Möglichkeit der Exportierung mittels eines Standardformats (zum Beispiel PDF, Excel) bestehen. Befindet sich die betreffende Aufsichtsbehörde in Deutschland, so ist das Verzeichnis zudem in deutscher Sprache schriftlich oder elektronisch zu führen, vergleiche § 23 Abs. 1 VwVfG.

Um Änderungen der Eintragungen im Verzeichnis nachvollziehen zu können (zum Beispiel wer war wann Verantwortlicher, Datenschutzbeauftragter et cetera), sollte eine Dokumentation der Änderungen mit einer Speicherfrist von einem Jahr erfolgen. Dies lässt sich auch aus dem Grundsatz der Rechenschaftspflicht aus Art. 5 Abs. 2 DSGVO herleiten.

nach oben

Einsichtnahme der Aufsichtsbehörde (Art. 30 Absatz 4 DSGVO)

Art. 30 Abs. 4 DSGVO regelt, dass der Verantwortliche oder der Auftraggeber sowie gegebenenfalls der Vertreter des Verantwortlichen oder des Auftragsverarbeiters der Aufsichtsbehörde das VVT auf Anfrage zur Verfügung stellt.

Die Aufsichtsbehörde kann das Format (schriftlich in Papierform oder elektronisch in Textform) eigenständig festlegen und daher auch bei einem im elektronischen Format geführten VVT den Ausdruck verlangen.

Kommen die Verpflichteten der Anfrage der Aufsichtsbehörde oder der ordnungsgemäßen Führung des VVT nicht nach, dann ist der Verstoß gemäß Art. 83 Abs. 4 lit. a DSGVO bußgeldbewehrt.

nach oben

Anwendungsbereich (Art. 30 Absatz 5 DSGVO)

Gemäß Art. 30 Abs. 5 DSGVO müssen Verantwortliche und Auftragsverarbeiter mit weniger als 250 Mitarbeitenden kein VVT führen, es sei denn, der Verantwortliche beziehungsweise Auftragsverarbeiter führt Verarbeitungen personenbezogener Daten durch, die

  • ein Risiko für die Rechte und Freiheiten der betroffenen Personen bergen oder
  • nicht nur gelegentlich erfolgen oder
  • besondere Datenkategorien gemäß Art. 9 Abs. 1 DSGVO (unter anderem Religionsdaten, Gesundheitsdaten, biometrische Daten zur eindeutigen Identifizierung et cetera) oder über strafrechtliche Verurteilungen und Straftaten im Sinne des Art. 10 DSGVO betreffen.

Die Pflicht zur Führung eines VVT besteht also bereits dann, wenn mindestens eine der zuvor genannten drei Fallgruppen erfüllt ist.

Verarbeitungen, die ein Risiko für die Rechte und Freiheiten der Betroffenen bergen, können zum Beispiel sein:

  • Videoüberwachungen,
  • Bonitätsscoring- und Betrugspräventionsverfahren,
  • Ortung von Mitarbeitern (beispielweise mittels GPS),
  • Verarbeitungen, bei denen Kommunikationsinhalte betroffen sind.

Der Begriff "nicht nur gelegentlich" liegt vor, wenn mindestens eine der folgenden Eigenschaften erfüllt ist:

  • fortlaufend oder in bestimmten Abständen während eines bestimmten Zeitraums vorkommend,
  • immer wieder oder wiederholt zu bestimmten Zeitpunkten auftretend,
  • ständig oder regelmäßig stattfindend.

Wegen der regelmäßig erfolgenden Lohnabrechnungen werden damit kaum Behörden/Unternehmen von der Pflicht eines solchen Verzeichnisses generell befreit sein. Allenfalls Unternehmen, die diese Tätigkeiten komplett durch einen Steuerberater erledigen lassen sowie eventuell kleinere Vereine. Zudem liegen bei Lohnabrechnungen oder in der Schülerverwaltung mit der Angabe der Konfessionszugehörigkeit zumeist auch gleich besondere Datenkategorien im Sinne des Art. 9 Abs. 1 DSGVO vor.

Verordnung (EU) 2016/679 des Europäischen Parlaments und Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung)

Inkrafttreten: 24.05.2016, Gültigkeit: 25.05.2018

Quelle: Amtsblatt der Europäischen Union vom 04. Mai 2016 unter L 119/1

Die Datenschutzgrundverordnung (DSGVO) trat am 24.05.2016 in Kraft und gilt ab dem 25.05.2018 unmittelbar in allen Mitgliedstaaten der Europäischen Union.

Zusatzinformationen

Rechtsgrundlage

Art. 30 DSGVO