Verzeichnisse der Verarbeitungstätigkeiten

Ein Verzeichnis von Verarbeitungstätigkeiten ist eine durch das europäische Datenschutzrecht vorgeschriebene Auflistung aller Verarbeitungstätigkeiten personenbezogener Daten. Regelungen zum Verzeichnis über Verarbeitungstätigkeiten finden sich in der DSGVO und ggf. ergänzende Regelungen in den nationalen Datenschutzgesetzen der EU-Mitgliedsstaaten.


Die Pflicht zur Führung eines Verzeichnisses über Verarbeitungstätigkeiten wurde mit Inkrafttreten der DSGVO am 25. Mai 2018 in der Europäischen Union eingeführt. Die DSGVO löste die bisherigen datenschutzrechtlichen Regelungen der EU-Mitgliedsstaaten ab, nach denen z. B. in Deutschland nach dem Bundesdatenschutzgesetz ein Verfahrensverzeichnis zu führen war. Die DSGVO verpflichtet Verantwortliche im Sinne des Datenschutzrechts (nach der DSGVO ist dies jede „natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet“) und dessen Vertreter, ein Verzeichnis aller Verarbeitungstätigkeiten, die ihrer Zuständigkeit unterliegen zu führen.


Form und Inhalt:


Das Verzeichnis aller Verarbeitungstätigkeiten bedarf der Schriftform. Es kann auch digital geführt werden.


Mindestangaben sind:


  • Namen und Kontaktdaten des Verantwortlichen und gegebenenfalls des gemeinsam mit ihm Verantwortlichen, des Vertreters des Verantwortlichen sowie eines etwaigen Datenschutzbeauftragten

  • Die Zwecke der Verarbeitung

  • Eine Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten

  • Die Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, einschließlich Empfänger in Drittländern oder internationalen Organisationen

  • Gegebenenfalls Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation unter Nennung des Landes oder der Organisation

sowie wenn möglich

  • Die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien

  • Eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen


Neben den Verantwortlichen sind auch Auftragsverarbeiter, d. h. natürliche oder juristische Personen, Behörden, Einrichtungen oder andere Stellen, die personenbezogene Daten im Auftrag eines Verantwortlichen verarbeiten, zur Führung des Verzeichnisses über Verarbeitungstätigkeiten verpflichtet. Deren Verzeichnis muss zusätzlich den Namen und die Kontaktdaten des Auftragsverarbeiters oder der Auftragsverarbeiter enthalten.