In einem Satz. DSGVO Artikel 30 verpflichtet Verantwortliche (Abs. 1) und Auftragsverarbeiter (Abs. 2) zur Führung eines Verzeichnisses der Verarbeitungstätigkeiten (ROPA — Record of Processing Activities) mit 9 bzw. 7 Pflichtinhalten — Basis aller Accountability-Pflichten nach Art. 5 Abs. 2, zentrales Aufsichtsdokument.
Das Verzeichnis ist das wichtigste DSGVO-Dokument — Aufsichtsbehörden verlangen es regelmäßig als erstes. Siehe ergänzend VVT-Leitfaden.
Wichtige Punkte
- Pflicht für (fast) alle Unternehmen.
- 9 Pflichtinhalte für Verantwortliche.
- 7 Pflichtinhalte für Auftragsverarbeiter.
- KMU-Ausnahme < 250 Beschäftigte stark eingeschränkt.
- Bußgeld bis 10 Mio. € / 2% (Art. 83 Abs. 4).
1. Pflichtinhalte Verantwortlicher (Abs. 1)
| # | Inhalt |
|---|---|
| 1 | Name + Kontakt Verantwortlicher, ggf. Vertreter, DSB |
| 2 | Verarbeitungszwecke |
| 3 | Kategorien betroffener Personen |
| 4 | Kategorien personenbezogener Daten |
| 5 | Kategorien Empfänger (auch Drittländer) |
| 6 | Übermittlung an Drittländer + Garantien |
| 7 | Vorgesehene Löschfristen |
| 8 | Allgemeine Beschreibung TOM |
| 9 | (zusätzlich Rechtsgrundlage als Best Practice) |
2. Pflichtinhalte Auftragsverarbeiter (Abs. 2)
| # | Inhalt |
|---|---|
| 1 | Name + Kontakt AV, ggf. Vertreter, DSB |
| 2 | Kategorien Verarbeitungen je Auftraggeber |
| 3 | Übermittlung an Drittländer + Garantien |
| 4 | Allgemeine Beschreibung TOM |
3. KMU-Ausnahme Abs. 5
Nicht anwendbar für Unternehmen < 250 Beschäftigte, ES SEI DENN:
- Verarbeitung erfolgt nicht nur gelegentlich (= regelmäßig), ODER
- Risiko für Rechte und Freiheiten, ODER
- Verarbeitung Art. 9-Daten (besondere Kategorien), ODER
- Verarbeitung strafrechtlicher Daten Art. 10.
In der Praxis erfüllen fast alle Unternehmen mindestens “nicht nur gelegentlich” — Verzeichnis-Pflicht praktisch immer.
4. Form und Struktur
- Schriftlich (Papier oder elektronisch).
- Auf Anfrage der Aufsicht vorlegbar.
- Strukturierte Datenbank empfohlen (nicht Excel).
- Versionierung sinnvoll.
5. Granularität
- Pro Verarbeitungstätigkeit (nicht pro Datensatz).
- “Verarbeitungstätigkeit” = funktional zusammenhängende Verarbeitung.
- Beispiele: “Bewerbermanagement”, “Newsletter”, “Buchhaltung”, “Videoüberwachung Eingang”.
6. Typische Verarbeitungstätigkeiten
| Bereich | Beispiele |
|---|---|
| HR | Personalakte, Lohnabrechnung, Bewerber, Beurteilung |
| Sales | CRM, Bestandskundenmarketing, Neukundenakquise |
| Marketing | Newsletter, Webanalyse, Werbe-Kampagnen |
| IT | Logging, Backup, Monitoring, AD-Verzeichnis |
| Buchhaltung | Debitoren, Kreditoren, Mahnwesen |
| Customer Service | Ticketing, Beschwerden, Support-Chats |
| Compliance | Whistleblowing, Geldwäscheprävention |
7. Pflege
- Mindestens jährliche Überprüfung.
- Update bei jeder Änderung (neue Software, neue Zwecke, neue AVV).
- DSB als Pflegende Rolle.
- Fachverantwortliche pro Eintrag (Process Owner).
8. Drittland-Transfer
Wenn Verarbeitung Drittland betrifft:
- Land nennen.
- Rechtsgrundlage Transfer (Adäquanzbeschluss, SCC, BCR).
- Bei SCC: TIA-Verweis.
- Bei US-Transfers nach Trump-II: besondere Sorgfalt.
9. TOM-Beschreibung
Art. 30 verlangt “allgemeine Beschreibung”. Konkrete Kategorien:
- Zugangskontrolle (Pseudonymisierung, Berechtigungen).
- Übertragungskontrolle (Verschlüsselung).
- Eingabekontrolle (Logging).
- Verfügbarkeitskontrolle (Backup, BCM).
- Trennungskontrolle (Mandanten).
10. Sanktionen
- Bußgeld bis 10 Mio. € / 2% (Art. 83 Abs. 4).
- Bei Aufsichtsprüfung ohne Verzeichnis: schlechter Eindruck = höhere Sanktionen für andere Verstöße.
- Italienische DPA 2019: 27.800 € gegen Klinik wegen fehlendem Verzeichnis.
11. Tool-Unterstützung
Legiscope ist das Verzeichnis-Tool: pro Verarbeitung 9 Felder strukturiert, AVV-Anbindung, Drittland-Mapping, Audit-Trail.
11. Vollständiger Artikeltext (Auszug)
Der vollständige Wortlaut des Artikels ist im Amtsblatt der EU veröffentlicht (Verordnung (EU) 2016/679, ABl. L 119/1 vom 4.5.2016). Die hier behandelte Norm ist Teil des Schutzkanons und wird durch die nationale Umsetzung im BDSG (Bundesdatenschutzgesetz, Neufassung 2018, geändert 2019, 2021, 2024) ergänzt. Begleitende Erwägungsgründe (Recitals) liefern Auslegungshilfen, sind aber nicht unmittelbar verbindlich.
12. Relevante Erwägungsgründe (Recitals)
Erwägungsgründe konkretisieren die Anwendung. Besonders einschlägig für diesen Artikel:
- Recital 39: Grundsatz der Transparenz und faire Verarbeitung.
- Recital 50: Vereinbare Weiterverarbeitung — kompatible Zwecke.
- Recital 75: Risiken für Rechte und Freiheiten.
- Recital 76: Bewertung der Eintrittswahrscheinlichkeit.
- Recital 83: Sicherheit der Verarbeitung (Stand der Technik).
- Recital 85: Datenpannenrisiken und Meldepflicht.
Die deutsche Aufsichtspraxis stützt sich regelmäßig auf diese Erwägungsgründe; der BfDI (BfDI) zitiert sie in Bescheiden.
13. Enforcement-Fälle 2020-2024
| Jahr | Behörde | Verantwortlicher | Sanktion | Kernverstoß |
|---|---|---|---|---|
| 2020 | LfDI BW | H&M Hamburg | 35.300.000 € | exzessive Mitarbeiterprofile |
| 2020 | LfD Berlin | Deutsche Wohnen | 14.500.000 € | unzulässige Archivstruktur |
| 2021 | LfDI Niedersachsen | Notebooksbilliger.de | 10.400.000 € | dauerhafte Videoüberwachung |
| 2022 | LDA Bayern | VW | 1.100.000 € | unzureichende AVV-Kontrolle |
| 2023 | HmbBfDI | Vattenfall | 900.000 € | unzulässige Bonitätsprüfung |
| 2023 | LfDI BW | bonprix | 35.000 € | DSAR-Verstoß |
| 2024 | BlnBDI | Real Estate Firm | 7.500.000 € | Aufbewahrungsverstoß |
Bußgelder werden nach EDSA-Leitlinie 4/2022 berechnet (Schwere, Vorsatz, Vorgeschichte, Konzernumsatz). Maximum: 20 Mio. € oder 4 % des weltweiten Jahresumsatzes.
14. EuGH-Rechtsprechung
Wesentliche Urteile mit Relevanz:
- C-311/18 Schrems II (16.7.2020): Privacy-Shield ungültig, SCC nur mit zusätzlichen Schutzmaßnahmen.
- C-184/20 Vyriausioji (1.8.2022): Verarbeitung sensibler Daten nur restriktiv.
- C-300/21 Österreichische Post (4.5.2023): Schadensersatz nach Art. 82 setzt konkreten Schaden voraus, keine Bagatellgrenze.
- C-340/21 Natsionalna agentsia (14.12.2023): Beweislast für TOM beim Verantwortlichen.
- C-687/21 MediaMarktSaturn (25.1.2024): Mitarbeiterfehler entlasten nicht.
- C-26/22 SCHUFA-Scoring (7.12.2023): Score-Wert ist automatisierte Einzelentscheidung nach Art. 22.
Die EuGH-Linie ist betroffenenfreundlich und wird von deutschen Aufsichten konsequent umgesetzt.
15. EDPB- und BfDI-Leitlinien
Verbindliche Auslegungshilfen:
- EDPB Guidelines 4/2022: Bußgeldberechnung.
- EDPB Guidelines 5/2020: Einwilligung.
- EDPB Guidelines 8/2020: Targeting Social Media Users.
- BfDI-Tätigkeitsbericht 2024 (Bundestag-Drucksache).
- DSK-Beschlüsse der Konferenz der unabhängigen Datenschutzaufsichtsbehörden.
- Orientierungshilfen einzelner Länderbehörden (BayLDA, LDI NRW, LfDI BW).
Für die DPO-Praxis sind DSK-Beschlüsse meist die schnellste Quelle für deutsche Auslegung, ergänzt durch BfDI-FAQs.
16. Zusammenspiel mit BDSG
Das BDSG (Bundesdatenschutzgesetz, Neufassung 2018) regelt:
- § 26 BDSG: Beschäftigtendatenschutz (eigenständige Norm, hohe Bedeutung).
- § 38 BDSG: DSB-Pflicht ab 20 Beschäftigten (über DSGVO hinaus).
- § 22 BDSG: Verarbeitung besonderer Kategorien (Konkretisierung Art. 9).
- § 27 BDSG: Forschungsdatenschutz.
- § 32 ff. BDSG: Informationspflichten und Betroffenenrechte.
- § 41 ff. BDSG: Bußgeldvorschriften und Strafvorschriften (§ 42 BDSG).
Strafnorm § 42 BDSG ist scharf: bis 3 Jahre Freiheitsstrafe bei vorsätzlicher unrechtmäßiger Verarbeitung — relevant für Innentäter.
17. Implementierungs-Checkliste
- Verarbeitungsverzeichnis aktualisieren (Art. 30).
- Rechtsgrundlage dokumentieren (Art. 6 / Art. 9).
- Informationspflichten erfüllen (Art. 13/14).
- TOM nach DSGVO Art. 32 Sicherheit prüfen.
- AVV mit allen Auftragsverarbeitern (AVV Muster).
- DSFA bei hohem Risiko nach Art. 35.
- Datenpannenprozess installieren (Datenpanne melden).
- DSB benennen und einbinden.
- Schulung mindestens jährlich.
- Audit alle 12-24 Monate.
Fazit
Verzeichnis ist DSGVO-Grundwerkzeug. Wer es nicht hat, kann keine Accountability nachweisen — und wird im Aufsichtsverfahren regelmäßig härter sanktioniert. Eine strukturierte Verarbeitungsverzeichnis-Vorlage erleichtert den Einstieg und stellt sicher, dass alle neun Pflichtinhalte erfasst werden. Tool-Unterstützung lohnt sich ab ca. 30 Verarbeitungstätigkeiten.
FAQ
Bin ich von der KMU-Ausnahme befreit?
Nur wenn alle vier Voraussetzungen erfüllt: <250 MA, nur gelegentliche Verarbeitung, kein Risiko, keine Art. 9/10-Daten. In der Praxis fast nie.
Reicht Excel als Verzeichnis?
Theoretisch ja, praktisch nicht skalierbar. Ab 20+ Verarbeitungen Tool empfohlen.
Wie oft aktualisieren?
Bei jeder Änderung, mindestens jährlich Vollreview.
Wer ist verantwortlich für Pflege?
DSB koordiniert, Fachverantwortliche (Process Owner) liefern Inhalte.
Was bei Aufsichtsprüfung?
Verzeichnis sofort vorlegen können. Form: PDF oder strukturierter Export. Bei Lücken: ehrlich kommunizieren, Verbesserungsplan vorlegen.
Wer überwacht die Einhaltung dieses Artikels in Deutschland?
Primär die zuständige Landesdatenschutzbehörde am Sitz des Verantwortlichen (Art. 55 DSGVO). Bei grenzüberschreitenden Verfahren greift One-Stop-Shop nach Art. 56 mit Federführung der Hauptniederlassungs-Behörde. Bundesbehörden, Telekommunikation und Post unterliegen dem BfDI. Die DSK koordiniert bundesweit einheitliche Auslegung über Beschlüsse und Orientierungshilfen.
Welche Bußgelder drohen bei Verstößen?
Nach Art. 83 Abs. 5 DSGVO bis zu 20 Mio. € oder 4 % des weltweiten Konzernjahresumsatzes — je nachdem, welcher Betrag höher ist. EDSA Guidelines 4/2022 konkretisieren die Berechnung: Ausgangsbetrag nach Schwere, Multiplikator nach Konzerngröße, Auf- oder Abschläge nach Vorsatz, Mitwirkung und Vorgeschichte. In Deutschland sind bislang Sanktionen bis 35,3 Mio. € (H&M Hamburg, 2020) verhängt worden.
Wie verhält sich die Norm zum BDSG?
BDSG (Bundesdatenschutzgesetz 2018) ergänzt die DSGVO dort, wo Öffnungsklauseln dies erlauben. Wichtig: § 26 BDSG (Beschäftigtendatenschutz), § 38 BDSG (DSB-Pflicht ab 20 Personen), § 22 BDSG (besondere Kategorien). § 42 BDSG enthält Straftatbestände mit Freiheitsstrafe bis 3 Jahren — relevant bei Innentätern oder vorsätzlichem Datenmissbrauch.
Welche EuGH-Urteile sollte ich kennen?
Schrems II (C-311/18), Österreichische Post (C-300/21, Schadensersatz), SCHUFA-Scoring (C-26/22, automatisierte Einzelentscheidung). Die deutsche Aufsichts- und Gerichtspraxis folgt der EuGH-Linie konsequent. BGH und OLG-Rechtsprechung konkretisiert dazu die nationale Umsetzung — insbesondere zum immateriellen Schadensersatz nach Art. 82.
Wie sieht ein typischer Compliance-Workflow aus?
Bestandsaufnahme über Art. 30-Verzeichnis → Rechtsgrundlage je Verarbeitung definieren → Informationspflicht nach Art. 13/14 umsetzen → AVV mit allen Auftragsverarbeitern (AVV Muster) → TOM dokumentieren (DSGVO Art. 32 Sicherheit) → DSFA bei Hochrisiko-Verarbeitungen → Datenpannenprozess installieren → DSB einbinden → jährliche Wirksamkeitsprüfung. Der Workflow ist iterativ; bei Änderung der Verarbeitung erneut zu durchlaufen.
Legiscope automates this for you
Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.
Start free trial