Verzeichnis von Verarbeitungstätigkeiten (Art. 30 DSGVO)

Das Verzeichnis von Verarbeitungstätigkeiten erfüllt vier in der Praxis miteinander verzahnte Funktionen. Erstens ist es das primäre Nachweisinstrument der Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO: Der Verantwortliche muss die Einhaltung der Grundsätze der Datenverarbeitung dokumentieren und auf Verlangen der Aufsichtsbehörde darlegen können. Zweitens ist es das methodische Inventar der Verarbeitungslandschaft einer Hochschule: Welche Daten werden zu welchem Zweck, durch welche Stelle, auf welcher Rechtsgrundlage, in welchem System verarbeitet? Drittens ist es Anknüpfungspunkt für nahezu alle weiteren Datenschutzaufgaben – Schwellwertprüfung der DSFA, AVV-Übersicht, TOM-Dokumentation, Löschkonzept, Datenpannenrisikobewertung, Drittlandtransfer-Inventur. Viertens ist es Steuerungs- und Kommunikationsmittel gegenüber Fachbereichen, IT und Leitung: Wer keine saubere Verarbeitungstätigkeiten-Beschreibung hat, kann weder Risiken einschätzen noch Verantwortlichkeiten zuordnen.

In Erwägungsgrund 82 DSGVO ist der gesetzgeberische Zweck ausdrücklich benannt: „Zum Nachweis der Einhaltung dieser Verordnung sollte der Verantwortliche oder der Auftragsverarbeiter ein Verzeichnis der Verarbeitungstätigkeiten, die seiner Zuständigkeit unterliegen, führen." Das VVT ist damit primär ein internes Steuerungs- und Dokumentationsinstrument; eine Veröffentlichung wird durch Art. 30 DSGVO nicht verlangt, im Einzelfall aber durch Transparenzpflichten (Art. 13/14 DSGVO) oder Informationszugangsrechte (IZG LSA) zumindest hinsichtlich einzelner Angaben mitgesteuert.

Für öffentliche Stellen wie die Hochschulen Sachsen-Anhalts kommt eine besondere Bedeutung hinzu: Bußgelder sind nach Art. 83 Abs. 7 DSGVO i. V. m. § 31 Abs. 2 Satz 1 DSAG LSA gegenüber öffentlichen Stellen Sachsen-Anhalts grundsätzlich ausgeschlossen. Die Vorschrift kennt allerdings eine ausdrückliche Rückausnahme: Nach § 31 Abs. 2 Satz 2 DSAG LSA gilt der Bußgeldausschluss nicht, „soweit öffentliche Stellen als öffentlich-rechtliche Unternehmen am Wettbewerb teilnehmen". Für Hochschulen wird diese Rückausnahme in Konstellationen relevant, in denen sie wirtschaftlich am Markt agieren – etwa bei entgeltlicher wissenschaftlicher Weiterbildung, kommerziell ausgerichteten Drittmittelprojekten, Ausgründungen oder universitätsmedizinischen Wettbewerbsangeboten. Unabhängig vom Bußgeldrisiko bleiben die Aufsichtsbefugnisse der Landesbeauftragten für den Datenschutz nach Art. 58 DSGVO in jedem Fall bestehen: Beanstandungen, Anordnungen und – im Extremfall – die Untersagung einzelner Verarbeitungen sind weiterhin möglich. Ein lückenhaftes oder veraltetes VVT ist regelmäßig der erste Anlass, an dem eine Aufsicht aufmerksam wird, weil ein fehlendes VVT-Eintragmuster auf strukturelle Versäumnisse hinweist.

Art. 5 Abs. 2 DSGVO; Art. 30 DSGVO; Erwägungsgrund 82 DSGVO; Art. 58 DSGVO (Aufsichtsbefugnisse); Art. 83 Abs. 7 DSGVO; § 31 Abs. 2 Satz 1 und 2 DSAG LSA (Bußgeldausschluss mit Rückausnahme für am Wettbewerb teilnehmende öffentlich-rechtliche Unternehmen).

Die Pflicht zur Führung eines Verzeichnisses ergibt sich unmittelbar und ausschließlich aus Art. 30 DSGVO. Die Norm ist als EU-Verordnung in jedem Mitgliedstaat unmittelbar anwendbar (Art. 288 Abs. 2 AEUV) und bedarf keiner ausfüllenden landesrechtlichen Umsetzung. Das DSAG LSA enthält folgerichtig keine eigene VVT-Norm; die hochschul- und beschäftigtenrechtlichen Aufgabennormen (HSG LSA, LBG LSA, PersVG LSA) sind Rechtsgrundlagen einzelner Verarbeitungstätigkeiten und fließen damit in einzelne VVT-Einträge ein, begründen aber nicht die VVT-Pflicht selbst.

Adressat der Pflicht ist nach Art. 30 Abs. 1 DSGVO der Verantwortliche im Sinne von Art. 4 Nr. 7 DSGVO und – falls bestellt – sein Vertreter. Verantwortlicher ist diejenige Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung entscheidet. Für die öffentlichen Hochschulen in Sachsen-Anhalt ist das die jeweilige Hochschule selbst als Körperschaft des öffentlichen Rechts (§ 54 HSG LSA), vertreten durch ihr Rektorat. Daneben verpflichtet Art. 30 Abs. 2 DSGVO den Auftragsverarbeiter zur Führung eines eigenen Verzeichnisses; das ist im Hochschulkontext insbesondere für Dienstleister relevant, die im Auftrag der Hochschule personenbezogene Daten verarbeiten (Rechenzentren externer Anbieter, Cloud-Dienste mit AVV, Druck- und Versanddienstleister, externe Telefon- und IT-Support-Dienste u. ä.).

Art. 4 Nr. 7, Nr. 8 DSGVO; Art. 26 DSGVO; Art. 30 Abs. 1, Abs. 2 DSGVO; Erwägungsgrund 82 DSGVO; § 54 HSG LSA (Rechtsstellung der Hochschulen).

Art. 30 Abs. 1 DSGVO listet sieben Pflichtangaben auf (lit. a–g). Jeder einzelne VVT-Eintrag muss diese Angaben enthalten; eine pauschale, behördenweite Beschreibung ohne tatsächliche Einzelfallanknüpfung erfüllt die Pflicht nicht. Die nachfolgenden Erläuterungen geben den Normtext wieder und ordnen ihn für die Hochschulpraxis ein.

Die Wendung „wenn möglich" in lit. f und lit. g ist nach herrschender Aufsichtspraxis nicht als allgemeine Verzichtsklausel zu lesen. Sie bezieht sich auf seltene Konstellationen, in denen eine Frist oder eine TOM-Beschreibung im Einzelfall noch nicht festgelegt werden kann (z. B. weil das Verfahren neu ist und sich in der Pilotierung befindet). In allen anderen Fällen muss die Angabe erfolgen; ein bloßes Auslassen mit Verweis auf „wenn möglich" ist keine DSGVO-konforme Pflichterfüllung.

Art. 30 Abs. 1 lit. a–g DSGVO; Art. 6 Abs. 1 lit. e DSGVO; §§ 3, 6 ff., 27 ff. HSG LSA; §§ 26, 27 DSAG LSA; DSK, Kurzpapier Nr. 1 „Verzeichnis von Verarbeitungstätigkeiten", Stand 17.12.2018.

Der Auftragsverarbeiter führt ein eigenes Verzeichnis aller Verarbeitungstätigkeiten, die er im Auftrag eines Verantwortlichen erbringt. Die Pflicht ist von der VVT-Pflicht des Verantwortlichen unabhängig: Beide Rollen unterliegen unterschiedlichen Pflichtinhalten (Art. 30 Abs. 1 vs. Abs. 2 DSGVO) und müssen ihre Verzeichnisse jeweils eigenständig und nachprüfbar führen. Eine technische Abbildung beider Verzeichnisse in einem gemeinsamen IT-System ist zulässig, sofern die Rollen sauber getrennt, die jeweiligen Pflichtinhalte rollenspezifisch abgebildet und die Datensätze einer Rolle klar zuordenbar sind. Eine unspezifische Vermengung beider Verzeichnisse in einem einheitlichen, rollenneutralen Datensatz dürfte den Anforderungen aus Art. 30 Abs. 1 und Abs. 2 DSGVO dagegen nicht genügen.

Für die Hochschule als Verantwortliche ergeben sich daraus zwei praktische Konsequenzen. Erstens: Bei jeder Auftragsverarbeitung sollte im AVV (Art. 28 DSGVO) die Pflicht des Auftragsverarbeiters zur Führung eines eigenen VVT ausdrücklich aufgegriffen werden – ohnehin Bestandteil der gängigen AVV-Muster. Zweitens: In Auditsituationen kann die Hochschule vom Auftragsverarbeiter die Vorlage seines VVT-Auszuges zum sie betreffenden Auftrag verlangen (Art. 28 Abs. 3 lit. h DSGVO als Prüfunterstützungspflicht). Wer in der Hochschule selbst in seltenen Konstellationen als Auftragsverarbeiter nach außen auftritt (z. B. Hochschulambulanz, die für das Universitätsklinikum eine bestimmte Verarbeitung erbringt), unterliegt ergänzend Art. 30 Abs. 2 DSGVO und muss ein entsprechendes Teilverzeichnis führen.

Art. 28, Art. 30 Abs. 2 DSGVO; AVV-Muster der DSK und der LfDI-Behörden; vertiefend Themenseite AVV.

Die VVT-Pflicht entfällt nach Art. 30 Abs. 5 DSGVO für Unternehmen oder Einrichtungen, die weniger als 250 Beschäftigte haben – mit drei alternativen Rückausnahmen: Die Pflicht besteht weiter, sobald

• die Verarbeitung ein Risiko für die Rechte und Freiheiten der betroffenen Personen birgt,
• die Verarbeitung nicht nur gelegentlich erfolgt oder
• besondere Datenkategorien (Art. 9 Abs. 1 DSGVO) oder Daten zu strafrechtlichen Verurteilungen und Straftaten (Art. 10 DSGVO) verarbeitet werden.

Bereits im April 2018 hat die damalige Artikel-29-Gruppe in ihrer Position on the derogations from the obligation to maintain records of processing activities pursuant to Article 30(5) GDPR ausdrücklich klargestellt, dass die drei Rückausnahmen alternativ zu verstehen sind: Bereits das Vorliegen einer einzigen löst die Aufzeichnungspflicht aus – nach dem Positionspapier zunächst begrenzt auf die jeweils betroffene Verarbeitungstätigkeit. Das DSK-Kurzpapier Nr. 1 (Stand 17.12.2018) folgt dieser Linie. Für die öffentlichen Hochschulen folgt das Fehlen eines Ausnahmespielraums daher nicht aus einer Gesamtwirkung der einzelnen Rückausnahme, sondern aus der bereits überschrittenen 250er-Schwelle und dem flächendeckenden Vorliegen aller drei Rückausnahmen (siehe oben).

Art. 30 Abs. 5 DSGVO; WP 29 (jetzt EDSA), Position on Article 30(5), 19.04.2018; DSK, Kurzpapier Nr. 1, Stand 17.12.2018.

Der schwierigste methodische Punkt der VVT-Praxis ist die Granularität: Wann ist ein Vorgang eine Verarbeitungstätigkeit, wann sind es mehrere, wann ist eine Bündelung sinnvoll? Art. 30 DSGVO selbst gibt keinen Granularitätsbegriff vor. Maßgeblich ist die zweckorientierte Betrachtung: Eine Verarbeitungstätigkeit ist regelmäßig ein zweckgebundenes, in sich geschlossenes Verarbeitungsbündel. Sie wird durch den Zweck definiert, nicht durch das eingesetzte IT-System und nicht durch die handelnde Organisationseinheit.

Ein häufiger Fehler in der Praxis ist die Verwechslung von Verarbeitungstätigkeit und technischem Hilfsmittel: „Microsoft 365" ist keine Verarbeitungstätigkeit, sondern eine IT-Plattform, über die zahlreiche unterschiedliche Verarbeitungstätigkeiten ablaufen (E-Mail-Kommunikation in der Verwaltung, Dokumentenablage in Fakultäten, Lehrveranstaltungsorganisation, Personalaktenführung usw.). Das VVT führt die Verarbeitungstätigkeit; das technische Hilfsmittel wird mit einer eigenen Beschreibung referenziert. Diese Logik entspricht der koordinierten Aufsichtspraxis der deutschen Datenschutzbehörden (DSK, Kurzpapier Nr. 1) und wird in der jüngeren Aufsichtspraxis bekräftigt, etwa im HBDI-Bericht zu Microsoft 365 vom 15.11.2025; vertiefend siehe Microsoft 365 an öffentlichen Hochschulen.

Art. 30 Abs. 1 DSGVO; DSK, Kurzpapier Nr. 1 (17.12.2018); HBDI, Bericht zum datenschutzkonformen Einsatz von Microsoft 365 (Stand: 15.11.2025, Version 1.0); § 27 DSAG LSA; §§ 3, 6 ff., 27 ff., 35 f. HSG LSA.

Hochschulen verarbeiten in einer ausgeprägt heterogenen Aufgabenstruktur: Lehre und Studium, Forschung, Wissenstransfer, Personal- und Haushaltsverwaltung, Gremien, Mitbestimmung, Gleichstellung, Sicherheitsorganisation und Schutz vor wissenschaftlichem Fehlverhalten. Daraus ergeben sich fünf wiederkehrende VVT-typische Konstellationen, die hier exemplarisch dargestellt sind.

§§ 3, 6 ff., 12 f., 27 ff., 35 f. HSG LSA; §§ 26, 27 DSAG LSA; §§ 84 ff. LBG LSA; PersVG LSA; HStatG; HBDI, Bericht zum datenschutzkonformen Einsatz von Microsoft 365 (Stand: 15.11.2025, Version 1.0); KI-VO (Verordnung (EU) 2024/1689).

Das VVT ist kein isoliertes Dokument, sondern das Bezugsobjekt fast aller weiteren datenschutzrechtlichen Pflichten. Eine saubere Pflege des VVT vereinfacht die Erfüllung dieser Pflichten erheblich; ein veraltetes oder unvollständiges VVT macht sie strukturell schwierig.

Die Schnittstellenpflege ist methodisch zentral: Wer eine DSFA erstellt, vermerkt das Ergebnis im VVT; wer einen AVV abschließt, dokumentiert den Anbieter im VVT; wer ein Drittlandtransferproblem identifiziert, hält die Garantie im VVT fest. So entsteht aus dem VVT mittelfristig ein integriertes Datenschutzregister.

Art. 5 Abs. 1 lit. e, Art. 13–14, Art. 15–22, Art. 28, Art. 30, Art. 32, Art. 33–34, Art. 35, Kap. V DSGVO.

Art. 30 Abs. 3 DSGVO regelt das Format: Das Verzeichnis ist schriftlich – einschließlich in elektronischer Form – zu führen. Eine reine Mündlichkeit oder ein verteiltes Wissen einzelner Beschäftigter genügt nicht. In der Praxis dominieren drei Werkzeugkategorien:

• Tabellenbasierte Lösungen (Excel, Calc, strukturierte SharePoint-Listen): einfach, kostengünstig, aber bei mehreren hundert Einträgen schwer pflegbar und schlecht versionierbar.
• Spezialisierte VVT-Software (etwa OneTrust, audatis MANAGER, otris privacy oder DSMS-Module aus integrierten ISMS-Suiten): zentrale Pflege, Versionierung, Workflow-Unterstützung, Schnittstellen zu DSFA und AVV. Empfehlenswert ab einer dreistelligen Eintragszahl.
• Eigenentwicklungen auf Datenbankbasis: an Hochschulen gelegentlich anzutreffen, hoher Pflegeaufwand, aber maximale Anpassbarkeit.

Unabhängig vom Werkzeug ist das zentrale Qualitätsmerkmal die Aktualität: Jede neue Verarbeitungstätigkeit, jede wesentliche Änderung einer bestehenden Verarbeitung und jede Beendigung muss zeitnah im VVT abgebildet werden. Eine jährliche „Frühjahrsbereinigung" ersetzt nicht die laufende Pflege. In Aufsichtsprüfungen wird regelmäßig nach dem Bearbeitungsdatum einzelner Einträge gefragt; ein jahrelang unveränderter Eintrag eines erkennbar dynamischen Verfahrens (Personalwesen, Lehre, Forschung) wirft Glaubwürdigkeitsfragen auf.

Art. 30 Abs. 3 DSGVO; Art. 5 Abs. 2 DSGVO; DSK, Kurzpapier Nr. 1 (17.12.2018).

Nach Art. 30 Abs. 4 DSGVO stellen Verantwortliche und Auftragsverarbeiter das Verzeichnis der zuständigen Aufsichtsbehörde auf Anfrage zur Verfügung. Eine proaktive Übermittlung ist nicht verlangt; das Verzeichnis ist primär für den internen Gebrauch und für den Nachweis im Anfragefall bestimmt. Aufsichtsbehörden haben in der Praxis unterschiedliche Anfragepraktiken entwickelt – von Stichprobenanforderungen einzelner VVT-Einträge bis zu vollständigen Verzeichnis-Anforderungen in einer Verdachtssituation.

Für die öffentlichen Hochschulen in Sachsen-Anhalt ist die Landesbeauftragte für den Datenschutz Sachsen-Anhalt zuständig (§§ 21 ff. DSAG LSA). Bei einer Anfrage empfiehlt sich, das Verzeichnis im ursprünglichen Pflegeformat zu übermitteln und nicht im Nachhinein zu schönen; jede nachträgliche „Bereinigung" kann den Eindruck struktureller Mängel verstärken.

Art. 30 Abs. 4 DSGVO; Art. 58 Abs. 1 lit. a, e DSGVO; §§ 21–24 DSAG LSA (Landesbeauftragte für den Datenschutz Sachsen-Anhalt).

Aus aufsichtsbehördlichen Tätigkeitsberichten und aus der beruflichen Praxis lassen sich wiederkehrende Mängelmuster beobachten. Die nachfolgende Liste ist als Selbstkontroll-Raster gedacht.

• System statt Zweck: Verarbeitungstätigkeiten werden nach IT-System geführt („Microsoft 365", „HISinOne") statt nach Zweck. Das verletzt die zweckorientierte Logik des Art. 30 DSGVO und macht die Schwellwertprüfung der DSFA unmöglich.
• Pauschalzwecke ohne Substanz: Einträge mit Zweckangabe „Verwaltung", „Allgemeine Verwaltung", „Personalwesen" sind nicht hinreichend. Der Zweck muss eine konkrete Aufgabe benennen.
• Veraltete Empfängerangaben: Wechsel von Dienstleistern, neue Aufsichtspflichten oder neue Schnittstellen werden im VVT nicht nachgezogen.
• Fehlende Drittlandangaben: US-Cloud-Dienste werden ohne Hinweis auf Drittlandtransfer und Garantien geführt. Das verschleiert ein zentrales Compliance-Risiko und führt im Datenpannen- oder Aufsichtsfall zu Eskalation.
• Fehlende Löschfristen: Verweis auf „wenn möglich" ohne sachliche Begründung; Pauschalformulierungen wie „nach gesetzlichen Aufbewahrungsfristen".
• TOM-Sammelverweis ohne Anschluss: Verweis auf ein zentrales TOM-Dokument, ohne dass die einzelne Verarbeitungstätigkeit dort tatsächlich eingeordnet ist – der Verweis läuft leer.
• Fehlende Schwellwertprüfung der DSFA: Riskante Verarbeitungen (KI-gestützte Verfahren, Beschäftigten-Tracking, Forschung mit sensiblen Daten) werden im VVT geführt, ohne dass die DSFA-Schwellwertprüfung dokumentiert wäre.
• Forschungsprojekte als pauschaler Sammeleintrag: Ein einziger VVT-Eintrag „Forschungstätigkeit" pro Lehrstuhl ist regelmäßig zu grob, weil Zwecke, Rechtsgrundlagen und Datenkategorien zwischen den Projekten variieren. Eine Bündelung kommt allenfalls in Betracht, wenn sich mehrere Projekte über identische Zwecksetzung, gleiche Rechtsgrundlage und vergleichbare TOMs sauber zusammenfassen lassen und die einzelnen Projekte im Verzeichnis nachvollziehbar identifizierbar bleiben (vgl. Abschnitt 06).
• Joint-Controller-Übersicht fehlt: Bei gemeinsamer Verantwortlichkeit (Art. 26 DSGVO) fehlt der Verweis auf die jeweilige Vereinbarung; die Rolle der Hochschule wird nicht ausgewiesen.
• Keine periodische Revision: Einträge tragen ein Erstellungsdatum, aber kein letztes Revisionsdatum; in der Aufsichtsanfrage wirkt das wie ein „Karteileichen-Verzeichnis".

Tätigkeitsberichte der Landesdatenschutzaufsichtsbehörden 2023–2025 (insbesondere LfD LSA, BayLDA, LfDI BW, LDI NRW); DSK, Kurzpapier Nr. 1 (17.12.2018); eigene Verfasserpraxis.

Rechtsquellen

• Verordnung (EU) 2016/679 (DSGVO) – insbesondere Art. 5 Abs. 2 (Rechenschaftspflicht), Art. 24 (Verantwortung des für die Verarbeitung Verantwortlichen), Art. 26 (Gemeinsam Verantwortliche), Art. 28 (Auftragsverarbeiter), Art. 30 (Verzeichnis von Verarbeitungstätigkeiten), Art. 32 (TOMs), Art. 33–34 (Datenpannen), Art. 35 (DSFA), Erwägungsgrund 82.
• Datenschutz-Grundverordnungs-Ausfüllungsgesetz Sachsen-Anhalt (DSAG LSA) – Rechtsgrundlagen einzelner Verarbeitungstätigkeiten, insbesondere § 4 (Generalklausel), § 26 (Beschäftigungskontext), § 27 (Forschung und Statistik).
• Hochschulgesetz Sachsen-Anhalt (HSG LSA) – insbesondere §§ 3, 6 ff., 27 ff., 35 f., 54, 119 als Aufgaben- und Rechtsgrundlagen für Verarbeitungstätigkeiten von Hochschulen.
• Landesbeamtengesetz Sachsen-Anhalt (LBG LSA) – §§ 84 ff. zur Personalakte.

Aufsichtspraxis und Leitlinien

• DSK, Kurzpapier Nr. 1 „Verzeichnis von Verarbeitungstätigkeiten", Stand 17.12.2018 – maßgebliche koordinierte Auslegung des Art. 30 DSGVO durch die deutschen Aufsichtsbehörden.
• Artikel-29-Gruppe (jetzt EDSA), Position on the derogations from the obligation to maintain records of processing activities pursuant to Article 30(5) GDPR, 19.04.2018 – maßgebliche Auslegung der Ausnahme.
• Landesbeauftragte für den Datenschutz Sachsen-Anhalt – aufsichtsbehördliche Praxis und Orientierungshilfen für öffentliche Stellen des Landes; aktuelle Tätigkeitsberichte zu wiederkehrenden VVT-Mängeln.
• Muster-VVT-Vorlagen verschiedener Landesdatenschutzaufsichtsbehörden (z. B. LfDI BW, Muster-VVT; BfDI, Musterverzeichnis) – als methodische Orientierung; landesspezifische Anpassung erforderlich.

Querverweise auf eigene Themenseiten

• Datenschutz-Folgenabschätzung (DSFA) – Schwellwertprüfung beginnt am VVT-Eintrag.
• Auftragsverarbeitungsvertrag (AVV) – Auftragsverarbeiter im VVT als Empfänger nach Art. 30 Abs. 1 lit. d DSGVO.
• Gemeinsame Verantwortlichkeit – Bei Art. 26-Konstellationen führt jeder Verantwortliche ein eigenes VVT.
• Technisch-organisatorische Maßnahmen (TOMs) – Art. 30 Abs. 1 lit. g DSGVO.
• Drittlandstransfer – Art. 30 Abs. 1 lit. e DSGVO und Garantien.
• Datenpannen – VVT als Grundlage der 72-Stunden-Erstbewertung.
• Forschungszweck als Rechtsgrundlage – VVT-Eintrag pro Forschungsprojekt.
• Beschäftigtendatenschutz an Hochschulen – Personalaktenführung als eigener VVT-Eintrag.
• Microsoft 365 an öffentlichen Hochschulen – M365 als technisches Hilfsmittel, nicht als Verarbeitungstätigkeit.
• Auskunftsrecht (Art. 15 DSGVO) – VVT als Datenquelle für Auskunftserteilung.
• Hochschul- und Verwaltungsdatenschutz – Geltungsbereich und Bußgeldausschluss.