--- name: ropa-art-30-dsgvo-grundlagen description: "Grundlagen des Verzeichnisses von Verarbeitungstaetigkeiten nach Art. 30 DSGVO. Anwendungsbereich, Schwellenwert, Mindestinhalte Controller und Processor, Verhaeltnis zu § 70 BDSG, Vorlagepflicht gegenueber der Aufsichtsbehoerde. Einstiegs-Skill fuer das Records of Processing Activities (RoPA)." --- # Verzeichnis von Verarbeitungstaetigkeiten – Art. 30 DSGVO Grundlagen ## Zweck Dieser Skill ordnet das Verzeichnis von Verarbeitungstaetigkeiten (Records of Processing Activities, kurz RoPA) nach Art. 30 DSGVO ein. Er erklaert Pflichtige, Inhalte, Form und Verhaeltnis zu anderen Dokumentationspflichten (DSFA, AVV, RoPA), damit Kanzleien und Datenschutzbeauftragte das richtige Werkzeug fuer das richtige Dokument waehlen. ## Wann brauchen Sie diesen Skill - Mandant fragt: "Brauchen wir ein Verarbeitungsverzeichnis?" - Aufsichtsbehoerde verlangt nach Art. 30 Abs. 4 DSGVO Vorlage des Verzeichnisses. - Audit eines bestehenden Verzeichnisses auf Vollstaendigkeit. - Erstaufbau eines RoPA in einer Kanzlei, einem Unternehmen oder einer oeffentlichen Stelle. - Abgrenzung Controller-Verzeichnis (Art. 30 Abs. 1 DSGVO) vs. Processor-Verzeichnis (Art. 30 Abs. 2 DSGVO). ## Rechtlicher Rahmen ### Art. 30 Abs. 1 DSGVO – Verzeichnis des Verantwortlichen (Controller) Pflichtinhalte: 1. Name und Kontaktdaten des Verantwortlichen, ggf. gemeinsam Verantwortlicher, Vertreter und Datenschutzbeauftragter. 2. Zwecke der Verarbeitung. 3. Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten. 4. Kategorien von Empfaengern, denen offengelegt wurde oder noch offengelegt wird. 5. Drittlandtransfer: Empfaengerland und Dokumentation geeigneter Garantien (Art. 46 Abs. 2 DSGVO). 6. Vorgesehene Loeschfristen fuer die verschiedenen Datenkategorien. 7. Allgemeine Beschreibung der technischen und organisatorischen Massnahmen (TOMs) gemaess Art. 32 Abs. 1 DSGVO. ### Art. 30 Abs. 2 DSGVO – Verzeichnis des Auftragsverarbeiters (Processor) Pflichtinhalte: 1. Name und Kontaktdaten des Auftragsverarbeiters und jedes Verantwortlichen, fuer den er taetig ist, ggf. Vertreter und DSB. 2. Kategorien der im Auftrag jedes Verantwortlichen durchgefuehrten Verarbeitungen. 3. Drittlandtransfer: Empfaengerland und geeignete Garantien. 4. Allgemeine Beschreibung der TOMs (Art. 32 Abs. 1 DSGVO). ### Art. 30 Abs. 3 DSGVO – Schriftform Schriftlich oder elektronisch. In der Praxis: Excel, Datenbank, RoPA-Software, Word-Dokument. Wichtig: aktuell halten, datierte Versionen. ### Art. 30 Abs. 4 DSGVO – Vorlagepflicht Auf Anforderung der Aufsichtsbehoerde vorzulegen. ### Art. 30 Abs. 5 DSGVO – Ausnahme fuer KMU Unternehmen oder Einrichtungen mit weniger als 250 Mitarbeitern sind grundsaetzlich befreit, **es sei denn**: - die Verarbeitung birgt ein Risiko fuer Rechte und Freiheiten; - die Verarbeitung erfolgt nicht nur gelegentlich; - die Verarbeitung umfasst besondere Datenkategorien (Art. 9 DSGVO) oder Daten ueber strafrechtliche Verurteilungen (Art. 10 DSGVO). In der Praxis: praktisch jede Kanzlei, jede Arztpraxis, jedes HR-System eines Mittelstaendlers erfuellt mindestens einen Ausnahmegrund. Die KMU-Ausnahme ist daher weitgehend Theorie. ### § 70 BDSG – RoPA fuer Bundesbehoerden Fuer Bundesbehoerden im Anwendungsbereich der JI-Richtlinie (Polizei und Justiz) gilt § 70 BDSG mit eigenen Mindestinhalten. ## Ablauf / Checkliste 1. **Rollenklaerung:** Ist die Stelle Verantwortlicher, gemeinsam Verantwortlicher (Art. 26 DSGVO), Auftragsverarbeiter (Art. 28 DSGVO) oder mehreres zugleich? 2. **Pflichtenpruefung:** Greift Art. 30 Abs. 5 DSGVO oder ist Verzeichnis ohnehin Pflicht? 3. **Inventar:** Welche Verarbeitungstaetigkeiten gibt es? Faustregel: pro Geschaeftsprozess eine Zeile. 4. **Mindestinhalte erfassen:** je nach Rolle 7 (Controller) oder 4 (Processor) Felder. 5. **Drittlandtransfer:** separate Spalte; Verweis auf SCC, BCR, DPF, Angemessenheitsbeschluss. 6. **Loeschfristen:** konkrete Fristen, nicht "nach gesetzlichen Vorgaben". 7. **TOM-Referenz:** Verweis auf TOM-Konzept; nicht jede Massnahme im RoPA wiederholen. 8. **Versionierung:** Datierte Snapshots fuer Audit-Trail. 9. **Review-Zyklus:** jaehrlich oder bei wesentlicher Aenderung. ## Mustertext / Template Tabellenkopf (Controller): | Lfd. Nr. | Verarbeitungstaetigkeit | Zweck | Rechtsgrundlage | Kategorien Betroffene | Datenkategorien | Empfaengerkategorien | Drittland / Garantie | Loeschfrist | TOM-Verweis | |---|---|---|---|---|---|---|---|---|---| Tabellenkopf (Processor): | Lfd. Nr. | Auftraggeber | Verarbeitungskategorie | Drittland / Garantie | TOM-Verweis | |---|---|---|---|---| Konkrete Vorlagen liefern die Skills: - `ropa-art-30-controller-deutsch-vorlage` - `ropa-art-30-processor-deutsch-vorlage` - `ropa-en-controller-template` - `ropa-en-processor-template` ## Typische Fehler - KMU-Ausnahme bejaht, obwohl regelmaessige Personalverarbeitung erfolgt. - TOM-Spalte mit "Verschluesselung" abgespeist – zu pauschal, Aufsichtsbehoerde fordert Konkretion. - Drittlandtransfer nicht erfasst, obwohl SaaS in den USA gehostet wird. - Empfaengerkategorien fehlen oder werden mit Einzelempfaengern verwechselt. - Kein Versionsstand; bei Audit unklar, welcher Stand zum Pruefzeitpunkt galt. - Loeschfristen pauschal "10 Jahre"; ohne Differenzierung nach Datenkategorie. - Doppelte Pflege RoPA / DSFA / TOM-Konzept ohne Querverweise. ## Querverweise - `dsfa-erstellung` fuer hochrisikobehaftete Verarbeitungen. - `avv-art-28-dsgvo-grundtatbestand` fuer Processor-Vertraege. - `drittlandstransfer-pruefung` fuer Art. 44 ff. DSGVO. - `dsb-bestellungspflicht-pruefung` fuer DSB-Verantwortlichkeiten. ## Quellen Stand 06/2026 - VO (EU) 2016/679 (DSGVO), insbesondere Art. 30, Erwaegungsgrund 13, 82. - BDSG, insbesondere § 70 fuer Bundesbehoerden. - EDSA: Position Paper on Article 30(5) GDPR (vom 19.04.2018). - Konferenz der unabhaengigen Datenschutzaufsichtsbehoerden des Bundes und der Laender (DSK): Kurzpapier Nr. 1 "Verzeichnis von Verarbeitungstaetigkeiten" (Stand 17.12.2018).