Artikel 30 Absatz 2 DSGVO einfach erklärt – Das Verzeichnis für Auftragsverarbeiter

Was bedeutet Artikel 30 Absatz 2 DSGVO?

Die Datenschutz-Grundverordnung (DSGVO) regelt, wie personenbezogene Daten in der EU verarbeitet werden dürfen. Viele kennen die Vorschriften für Unternehmen, die selbst über die Verarbeitung entscheiden – die sogenannten Verantwortlichen.

Doch auch Auftragsverarbeiter haben Pflichten. Sie verarbeiten Daten im Auftrag eines anderen Unternehmens. Für sie gilt Artikel 30 Absatz 2 DSGVO. Er verpflichtet Auftragsverarbeiter dazu, ein Verzeichnis von Verarbeitungstätigkeiten zu führen – ähnlich wie es Verantwortliche nach Absatz 1 tun müssen.

In diesem Beitrag erklären wir Ihnen verständlich, praxisnah und Schritt für Schritt:

Was ein Auftragsverarbeiter ist
Was genau in das Verzeichnis gehört
Wer davon betroffen ist
Wie ein Beispiel aussehen kann
Welche Fehler Sie vermeiden sollten
Warum dieses Verzeichnis wichtig für Ihre Datenschutz-Compliance ist

Wer ist Auftragsverarbeiter?

Ein Auftragsverarbeiter ist ein Unternehmen oder eine Person, die im Auftrag eines anderen Unternehmens personenbezogene Daten verarbeitet – ohne selbst über Zweck und Mittel der Verarbeitung zu entscheiden.

Beispiele für Auftragsverarbeiter:

Ein IT-Dienstleister, der Kundendaten hostet
Eine externe Buchhaltungsfirma
Ein Cloud-Dienst, der Daten speichert
Ein Callcenter, das im Namen eines Unternehmens Kunden anruft
Ein externer Lohnabrechnungsservice

Sie sind nicht selbst verantwortlich für den Zweck der Datenverarbeitung, sondern handeln im Auftrag des Verantwortlichen.

Was verlangt Artikel 30 Absatz 2 DSGVO?

Artikel 30 Absatz 2 DSGVO besagt:

Jeder Auftragsverarbeiter führt ein Verzeichnis aller Kategorien von im Auftrag eines Verantwortlichen durchgeführten Verarbeitungstätigkeiten.

Das heißt: Auch wenn Sie „nur" als Dienstleister für andere tätig sind, müssen Sie Ihre Verarbeitungsvorgänge dokumentieren – aber nur die, die Sie im Auftrag ausführen.

Für wen gilt diese Pflicht?

Die Pflicht gilt für alle Auftragsverarbeiter, unabhängig von der Unternehmensgröße.

Auch kleine Unternehmen sind betroffen

Auch wenn Sie nur ein Einzelunternehmer oder Kleinbetrieb sind – sobald Sie im Auftrag Daten verarbeiten, müssen Sie ein Verzeichnis führen.

Beispiele:

Ein Freelancer, der die Social-Media-Kanäle für einen Kunden verwaltet
Ein IT-Berater, der Server betreut, auf denen Kundendaten gespeichert sind
Ein Dienstleister für Newsletter-Versand, der mit den E-Mail-Adressen von Kunden arbeitet

Die einzige Ausnahme: Unternehmen mit weniger als 250 Mitarbeitern, die nur gelegentlich Daten verarbeiten, nicht mit sensiblen Daten arbeiten und kein Risiko für Betroffene darstellen, sind von der Pflicht befreit. Diese Ausnahme trifft aber in der Praxis nur selten zu.

Was muss in das Verzeichnis nach Artikel 30 Abs. 2 DSGVO?

Das Verzeichnis muss bestimmte Pflichtangaben enthalten. Diese sind in der DSGVO klar geregelt.

Hier ist die Liste mit einfachen Erklärungen und Beispielen:

1. Name und Kontaktdaten des Auftragsverarbeiters

Ihre vollständige Firmenanschrift und Ihre Kontaktdaten.

Beispiel:
IT-Service Mustermann e.K.
Max Mustermann
Hauptstraße 1
12345 Beispielstadt
Telefon: 01234 / 567890
E-Mail: Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein.

2. Name und Kontaktdaten des Verantwortlichen (Ihr Auftraggeber)

Sie müssen auch die Kontaktdaten des Unternehmens angeben, für das Sie die Daten verarbeiten.

Beispiel:
Musterfirma GmbH
Musterweg 2
54321 Musterhausen
E-Mail: iDiese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein.

3. Kategorien der durchgeführten Verarbeitungstätigkeiten

Hier beschreiben Sie, was genau Sie für den Auftraggeber tun.

Beispiele:

Hosting von Kundendaten
Durchführung der Lohnbuchhaltung
Versand von Newslettern
Verwaltung von IT-Systemen
Datensicherung und Backups

4. Übermittlungen in Drittländer (außerhalb der EU)

Wenn Sie Daten an Länder außerhalb der EU oder des EWR übermitteln, müssen Sie dies angeben – zum Beispiel, wenn Sie US-amerikanische Tools nutzen.

Beispiel:
„Ja, Übermittlung an Amazon Web Services (USA) im Rahmen des Hostings."
Oder: „Nein, keine Übermittlung in Drittländer."

5. Dokumentation der technischen und organisatorischen Maßnahmen (TOMs)

Hier geht es um den Datenschutz und die Datensicherheit. Sie müssen angeben, wie Sie die Daten schützen.

Beispiele für technische und organisatorische Maßnahmen:

Passwortgeschützte Zugänge
Verschlüsselte Datenübertragung (z. B. SSL)
Zugriffsrechte nur für befugte Mitarbeiter
Regelmäßige Datensicherungen (Backups)
Virenschutzprogramme und Firewalls
Schulungen für Mitarbeitende

Warum ist dieses Verzeichnis wichtig?

Das Verzeichnis zeigt, dass Sie Ihre Pflichten als Auftragsverarbeiter ernst nehmen. Es hilft Ihnen, gegenüber Datenschutzbehörden nachzuweisen, dass Sie korrekt und transparent arbeiten.

Weitere Vorteile:

Schutz vor Bußgeldern bei Prüfungen
Vertrauen Ihrer Auftraggeber
Klarheit über Ihre Prozesse
Grundlage für Datenschutzvereinbarungen (AV-Verträge)

Wenn eine Aufsichtsbehörde Sie überprüft, kann sie dieses Verzeichnis jederzeit verlangen. Dann sollten Sie es sofort vorlegen können.

Tipps zur Erstellung Ihres Verzeichnisses

1. Nutzen Sie Vorlagen

Viele Datenschutzbehörden bieten kostenlose Muster für das Verzeichnis an – sowohl für Verantwortliche als auch für Auftragsverarbeiter.

2. Verwenden Sie eine Excel-Tabelle oder eine Datenschutzsoftware

Eine einfache Tabelle in Excel reicht oft aus. Wichtig ist, dass alle Pflichtangaben enthalten sind und das Dokument aktuell ist.

3. Aktualisieren Sie regelmäßig

Sobald sich an Ihrer Dienstleistung oder an den Daten etwas ändert, sollten Sie das Verzeichnis sofort anpassen.

4. Kombinieren Sie mit Ihrer AV-Vereinbarung

Oft wird das Verzeichnis direkt an den Vertrag zur Auftragsverarbeitung (AV-Vertrag) angehängt oder darin integriert. So haben Sie alle Informationen an einem Ort.

Häufige Fehler – und wie Sie sie vermeiden

Keine Angabe des Verantwortlichen

Korrekt: Geben Sie immer den vollständigen Namen und die Kontaktdaten Ihres Auftraggebers an.

Fehlende TOMs

Korrekt: Beschreiben Sie zumindest die wichtigsten Maßnahmen – wie Zugriffsrechte, Verschlüsselung und Backups.

Verzeichnis wird nicht aktualisiert

Korrekt: Prüfen Sie regelmäßig, ob es noch aktuell ist – spätestens alle 12 Monate.

FAQ: Häufige Fragen zu Artikel 30 Absatz 2 DSGVO

Muss ich das Verzeichnis öffentlich machen?

Nein. Das Verzeichnis ist nicht öffentlich. Es muss aber auf Anfrage der Aufsichtsbehörde vorgelegt werden.

Was passiert, wenn ich kein Verzeichnis habe?

Das kann bei einer Kontrolle zu Bußgeldern führen – und zeigt, dass Sie Ihren Pflichten nicht nachkommen. Die DSGVO sieht Geldbußen von bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes vor.

Kann ich mein Verzeichnis auch digital führen?

Ja, Sie dürfen es auch digital führen – z. B. als Excel-Datei, PDF oder in einer Datenschutzsoftware. Wichtig ist: Es muss vollständig, übersichtlich und jederzeit verfügbar sein.

Wer im Auftrag handelt, braucht Übersicht

Auch wenn Sie nicht selbst für den Zweck der Datenverarbeitung verantwortlich sind: Als Auftragsverarbeiter haben Sie wichtige Pflichten. Artikel 30 Absatz 2 DSGVO hilft dabei, diese Pflichten transparent zu dokumentieren.

Ein gut geführtes Verzeichnis stärkt Ihr Unternehmen – und schafft Vertrauen bei Ihren Auftraggebern. Wenn Sie mit einfachen Mitteln anfangen und regelmäßig aktualisieren, sind Sie auf der sicheren Seite.

Sprechen Sie uns gerne an - wir unterstützen Sie in der einfachen und pragmatischen Umsetzung Ihrer Datenschutzgrundlagen. Schaffen Sie mit uns Vertrauen bei Ihren Kunden, Beschäftigen und Partnern.

Vereinbaren Sie einen Gesprächstermin. Oder senden Sie uns einfach eine Nachricht. Wir freuen uns, Sie kennenzulernen!

Ihr Team von Datenschutz Prinz