Nach Art. 30 Abs. 1 DSGVO muss jeder Verantwortliche ein Verzeichnis „aller Verarbeitungstätigkeiten“, die seiner Zuständigkeit unterliegen, führen. In der Praxis stellt sich oft die Frage, welche Arten von Verarbeitungen personenbezogener Daten als „Verarbeitungstätigkeit“ zu qualifizieren sind und daher ins Verzeichnis aufgenommen werden müssen. Ebenso ist von Bedeutung, wie man eine solche „Verarbeitungstätigkeit“ beschreibt und auch, ob etwa ein einmaliger Verarbeitungsprozess ebenfalls im Verzeichnis dokumentiert sein muss?

Hinweise der DSK

In der Vergangenheit hat sich zu diesen Fragen u.a. die deutsche Datenschutzkonferenz (DSK) in ihrem Anwendungshinweis zum Verzeichnis nach Art. 30 DSGVO geäußert. 

Dort wird empfohlen, für „jede einzelne Verarbeitungstätigkeit“ eine Beschreibung nach Maßgabe des Art. 30 DSGVO anzufertigen. Unter dem Begriff „Verarbeitungstätigkeit“ versteht die DSK im Allgemeinen einen Geschäftsprozess, der auf „geeignetem Abstraktionsniveau“ beschrieben wird. Diese Ansicht klingt zunächst danach, dass als „Verarbeitungstätigkeit“ gerade nicht etwa eine einzelne Datenverarbeitung an sich zu verstehen ist, sondern ein Prozess, der viele solche Verarbeitungen unter einem gemeinsamen Zweck bündelt.

Jedoch vertritt die DSK direkt nachfolgend in den Hinweisen die Ansicht, dass ein „strenger Maßstab anzulegen“ sei und: 

„… so dass jeder neue Zweck der Verarbeitung eine eigene Verarbeitungstätigkeit darstellt“. 

Bei einer nur geringen Zweckänderung müsse geprüft werden, ob eine bereits bestehende Beschreibung einer Verarbeitungstätigkeit angepasst werden muss oder ob eine vollständig neue Beschreibung anzufertigen sei. 

Diese Auffassung scheint wiederum eine „Verarbeitung“ mit der „Verarbeitungstätigkeit“ gleich zu setzen – was in der Praxis aber wohl dazu führen dürfte, dass das Verzeichnis riesig und kaum kontrollierbar wäre, wenn man eine „Verarbeitung“ im Sinne von Art. 4 Nr. 2 DSGVO (also etwa den Vorgang der Übermittlung oder Löschung an sich) bereits als „Verarbeitungstätigkeit“ ansehen würde. 

Eventuell kann man die Ansicht der DSK aber auch so verstehen, dass auch viele Verarbeitungen (z.B. Speicherung, Übermittlung, Löschung) unter einer „Verarbeitungstätigkeit“ zusammengefasst werden können, wenn diese Verarbeitungen denselben Zwecken dienen. Denn die Ansicht der DSK verweist auf den Fall der Zweckänderung („neuer Zweck“). Völlig eindeutig sind die Hinwiese jedoch nicht. 

Ansicht der Verwaltungsgerichts Hannover zur „Verarbeitungstätigkeit“ und Aktualität des Verzeichnisses

Das VG Hannover (Urteil vom 5.Juni 2025 , Az: 10 A 4017/23) hat sich in einer Entscheidung ebenfalls mit dem Begriff der „Verarbeitungstätigkeit“ nach Art. 30 Abs. 1 DSGVO befasst. Die Entscheidung hat in jedem Fall Praxisrelevanz, da es eher selten gerichtliche Entscheidungen zu Art. 30 Abs. 1 DSGVO und zum Verzeichnis gibt. 

Nach Ansicht des Gerichts hatte im vorliegenden Fall die Klägerin (ein Unternehmen, welches gegen eine Verwarnung der Datenschutzbehörde klagte) gegen Art. 30 Abs. 1 DSGVO verstoßen, da sie nicht schon zu Beginn eines Prozesses, der auch die Verarbeitung von Daten beinhaltete, ein Verarbeitungsverzeichnis geführt hat. Konkret ging es um eine sog. EPA-Auditierung. Diese wurde im Rahmen einer Verwaltungsvereinbarung mit der US-Umweltbehörde „Environmental Protection Agency“ (EPA) vereinbart. 

Die EPA-Auditierung war darauf ausgerichtet, das interne Compliance-Management-System der Klägerin fortzuentwickeln und die bestehenden Compliance-Strukturen auf ihre Effektivität zu überprüfen.

Nach Ansicht des Gerichts 

„stellen die Datenverarbeitungen, die im Rahmen der EPA-Auditierung erfolgt sind, eine Verarbeitungstätigkeit dar“.

Das VG sieht also (meines Erachtens zurecht) nicht einzelne Verarbeitungen für sich jeweils als „Verarbeitungstätigkeit“ an, sondern fasst viele Verarbeitungen unter der Tätigkeit oder dem Prozess „EPA-Auditierung“ als eine Verarbeitungstätigkeit zusammen. Der verklammernde Faktor, wenn man so will, ist der übergeordnete Zweck der Durchführung der Auditierung. 

Das Gericht verweist darauf, dass der Begriff der Verarbeitungstätigkeit von der DSGVO selbst nicht legal definiert wird. Er werde jedoch an mehreren Stellen in der Verordnung genannt. Dabei werde er häufig in Kontexten verwendet, wenn es um mehrere gleichartige Verarbeitungen oder um eine Kategorie der Verarbeitung gehe. 

Zudem sei der Begriff durch eine „gewisse zeitliche Kontinuität gekennzeichnet“, da eine punktuelle Verarbeitung personenbezogener Daten nicht als „Tätigkeit“ bezeichnet werden würde. 

Diese Ansicht des VG ist aus meiner Sicht für die Praxis wichtig, wenn man sich die Frage stellt, ob eine Verarbeitungstätigkeit aufgenommen werden muss, wenn diese Tätigkeit bereits absehbar nur einmal durchgeführt wird. Dann wäre eine Dokumentation nach Art. 30 Abs. 1 DSGVO nicht erforderlich. 

Im konkreten Fall ging das VG davon aus, dass eine Verarbeitungstätigkeit vorlag, da es während der Dauer der EPA-Auditierung zu einer Vielzahl von gleichartigen Datenverarbeitungen gekommen ist, weil die Klägerin in diesem Zeitraum personenbezogene Daten von mindestens 234 Beschäftigten an den EPA-Auditor übersandt hatet.

Des Weiteren urteilt das VG, dass die Pflicht nach Art. 30 Abs. 1 S. 1 DSGVO, ein Verarbeitungsverzeichnis zu führen, nicht auf einen bestimmten Zeitpunkt beschränkt sei. Vielmehr sei der Verantwortliche verpflichtet, die Grundsätze aus Art. 5 Abs. 1 DSGVO – zu denen auch die Transparenz gehöre – (jederzeit) nachweisen zu können. 

Aus dem Sinn und Zweck der Norm gehe hervor, dass der Verantwortliche der Aufsichtsbehörde jederzeit auf Verlangen ein Verzeichnis vorlegen können muss. Zwar sei eine explizite Aktualisierungspflicht gesetzlich nicht vorgesehen. 

„… jedoch ist angesichts des Sinnes und Zweckes des Verarbeitungsverzeichnisses davon auszugehen, dass nur ein solches, welches die tatsächliche, nicht überholte Sachlage widerspiegelt, den Anforderungen des Art. 30 Abs. 1 S. 1 DSGVO gerecht werden kann“.

Im Grunde ist die Aussage des VG aus meiner Sicht nachvollziehbar, aber praktisch in größeren Einheiten wohl kaum umsetzbar. Da das Gericht verlangt, dass stets ein aktuelles Verzeichnis vorliegt. Beispiel: würde man eine Verarbeitungstätigkeit prüfen und intern freigeben, diese jedoch erst 2-3 Tage später im Verzeichnis dokumentiert, befände man sich in diesem Zeitraum in einem Verstoß gegen Art. 30. Abs. 1 DSGVO. Da das Verzeichnis in dieser Zeit eben nicht 100% aktuell ist. 

Das VG folgert, dass bereits bei Aufnahme der konkreten Verarbeitungstätigkeiten ein neues Verarbeitungsverzeichnis zu erstellen oder ein bestehendes Verarbeitungsverzeichnis zu ergänzen sei, sodass es die aktuelle Sachlage bei Beginn der Verarbeitungstätigkeiten wiedergibt. 

„Es ist sodann fortlaufend zu pflegen und nach Bedarf zu aktualisieren“.

Fazit

Die Entscheidung des Gerichts gibt einige wichtige Anhaltspunkte für die Erfüllung der Pflicht zur Führung des Verzeichnisses nach Art. 30 Abs. 1 DSGVO. Insbesondere die Auslegung des Begriffs der „Verarbeitungstätigkeit“ kann in der Praxis hilfreich sein.