Was muss in das interne Verzeichnis?

Sachverhalt, betroffene Datenkategorien und -mengen, wahrscheinliche Folgen, ergriffene Maßnahmen, Risikobewertung und die Begründung, ob nach Art. 33/34 DSGVO gemeldet oder benachrichtigt wurde.

Wie lange ist aufzubewahren?

Eine ausdrückliche Aufbewahrungsfrist nennt die DSGVO nicht. In der Aufsichtspraxis werden drei Jahre als Mindest- und sechs Jahre als gängige Frist akzeptiert, parallel zu handelsrechtlichen Aufbewahrungspflichten.

Welche Form hat das Verzeichnis?

Es muss in nachvollziehbarer und für die Aufsicht prüfbarer Form geführt werden. In der Praxis kommen ein strukturiertes Tabellenblatt, ein Ticket-System oder ein dediziertes DSMS-Modul in Betracht.

Auch Bagatell-Vorfälle dokumentieren?

Ja. Die Pflicht trifft alle Verletzungen, auch wenn keine Meldung an die Aufsicht erfolgt. Wer nur die gemeldeten Vorfälle dokumentiert, verstößt gegen die Rechenschaftspflicht.

Wer hat Einsicht in das Verzeichnis?

Intern: Datenschutzbeauftragter, Geschäftsleitung, Compliance, gegebenenfalls Auftragsverarbeiter (auf Anforderung). Extern: Aufsichtsbehörde auf Anforderung im Aufsichtsverfahren.

Art. 33 Abs. 5 DSGVO: Datenpannen-Verzeichnis

Pflichtinhalte des Verzeichnisses

Art. 33 Abs. 5 DSGVO lässt den Verantwortlichen bei der Form frei, regelt aber den inhaltlichen Mindeststandard: Beschreibung der Verletzung, ihrer Auswirkungen und der ergriffenen Abhilfemaßnahmen. In der Aufsichtspraxis hat sich ein erweiterter Pflichtenkanon etabliert: Datum und Uhrzeit der Entdeckung, betroffene Verarbeitungstätigkeit, Art und Umfang der betroffenen personenbezogenen Daten, ungefähre Zahl der betroffenen Personen, wahrscheinliche Folgen, ergriffene und vorgeschlagene Maßnahmen, Ergebnis der Risikobewertung und Begründung, ob nach Art. 33 DSGVO gemeldet und nach Art. 34 DSGVO benachrichtigt wurde.

Auch nicht-gemeldete Vorfälle dokumentieren

Eine häufige Fehlannahme in der Praxis ist, dass nur die an die Aufsicht gemeldeten Vorfälle dokumentationspflichtig seien. Tatsächlich trifft die Pflicht alle Datenschutzverletzungen. Wer einen Vorfall als „kein Risiko" einstuft und deshalb nicht meldet, muss diese Einstufung dokumentieren. Andernfalls läuft das Unternehmen Gefahr, dass die Aufsicht im Nachhinein die fehlende Meldung als Verstoß und die fehlende Dokumentation als zweiten Verstoß wertet.

Aufbewahrungsdauer: drei bis sechs Jahre

Die DSGVO nennt keine konkrete Aufbewahrungsfrist. In der Aufsichtspraxis wird eine Mindestdauer von drei Jahren erwartet, die sich an der regelmäßigen Verjährungsfrist für Ordnungswidrigkeiten orientiert. Eine sechsjährige Aufbewahrung deckt zusätzlich handelsrechtliche und steuerrechtliche Aufbewahrungspflichten. Eine kürzere Aufbewahrung — etwa wegen eigener Datenschutzgrundsätze — ist nur mit substantieller Begründung tragfähig.

Form: prüfbar, strukturiert, manipulationsgeschützt

Die Aufsichtsbehörden erwarten ein Verzeichnis, das sich in einem Audit innerhalb kurzer Zeit prüfen lässt. In der Beratungspraxis bewähren sich drei Formen: erstens ein strukturiertes Tabellenblatt mit Versionsverlauf (für kleinere Organisationen), zweitens ein Ticket-System mit Datenpannen-Workflow und Reporting-Funktion (mittelgroße Organisationen), drittens ein dediziertes Datenschutzmanagementsystem mit integriertem Verzeichnis (große Organisationen). Wichtig ist die Manipulationssicherheit: Spätere Änderungen müssen erkennbar und begründet sein.

Dokumentation als Verteidigung im Bußgeldverfahren

Im Bußgeldverfahren ist die Dokumentation ein zweischneidiges Schwert. Eine vollständige und nachvollziehbare Dokumentation zeigt, dass der Verantwortliche seine Pflichten ernst genommen hat — sie wirkt bußgeldmindernd. Eine lückenhafte oder widersprüchliche Dokumentation hingegen wirkt bußgelderhöhend und kann eigenständige Verstöße begründen. Aus diesem Grund empfehlen wir, die Dokumentation als integralen Bestandteil des Krisenstabsprozesses zu führen und nicht erst nach Abschluss des Vorfalls zu erstellen.

Auftragsverarbeiter: zugeliefert, eigene Pflicht

Tritt eine Datenpanne bei einem Auftragsverarbeiter ein, bleibt der Verantwortliche dokumentationspflichtig. Der Auftragsverarbeiter ist nach Art. 33 Abs. 2 DSGVO verpflichtet, den Verantwortlichen unverzüglich zu informieren. Diese Information wird in das Verzeichnis übernommen, ergänzt um die eigene Risikobewertung und Meldeentscheidung. Wer keinen Standardprozess mit seinen Auftragsverarbeitern hat, riskiert, dass Meldefristen verstreichen, ohne dass überhaupt Kenntnis im rechtlichen Sinne entstanden ist.

Häufige Fragen

Was muss in das interne Verzeichnis?: Sachverhalt, betroffene Datenkategorien und -mengen, wahrscheinliche Folgen, ergriffene Maßnahmen, Risikobewertung und die Begründung, ob nach Art. 33/34 DSGVO gemeldet oder benachrichtigt wurde.
Wie lange ist aufzubewahren?: Eine ausdrückliche Aufbewahrungsfrist nennt die DSGVO nicht. In der Aufsichtspraxis werden drei Jahre als Mindest- und sechs Jahre als gängige Frist akzeptiert, parallel zu handelsrechtlichen Aufbewahrungspflichten.
Welche Form hat das Verzeichnis?: Es muss in nachvollziehbarer und für die Aufsicht prüfbarer Form geführt werden. In der Praxis kommen ein strukturiertes Tabellenblatt, ein Ticket-System oder ein dediziertes DSMS-Modul in Betracht.
Auch Bagatell-Vorfälle dokumentieren?: Ja. Die Pflicht trifft alle Verletzungen, auch wenn keine Meldung an die Aufsicht erfolgt. Wer nur die gemeldeten Vorfälle dokumentiert, verstößt gegen die Rechenschaftspflicht.
Wer hat Einsicht in das Verzeichnis?: Intern: Datenschutzbeauftragter, Geschäftsleitung, Compliance, gegebenenfalls Auftragsverarbeiter (auf Anforderung). Extern: Aufsichtsbehörde auf Anforderung im Aufsichtsverfahren.

Dieser Beitrag gibt den Rechtsstand Stand: Juni 2026 wieder und ersetzt keine Beratung im Einzelfall.