DSAR vs DPA vs ROPA: die wichtigsten DSGVO-Begriffe 2026 erklärt

Inhalt in Kürze

• DSAR (Data Subject Access Request) = Auskunftsanfrage nach Art. 15–22 DSGVO — das Recht von Betroffenen.
• DPA (Data Processing Agreement) = Auftragsverarbeitungsvertrag nach Art. 28 DSGVO — der Vertrag mit Dienstleistern.
• ROPA (Record of Processing Activities) = Verzeichnis Verarbeitungstätigkeiten nach Art. 30 DSGVO — die interne Doku.
• Alle drei hängen zusammen: Ohne ROPA kein DSAR-Antwort. Ohne DPA kein rechtskonformer Cloud-Einsatz. Ohne DSAR-Reaktion kein DSGVO-Compliance.

Stand: Mai 2026 · Autor: Jens Hagel · Lesezeit: 6 Minuten

Wer in deutschen DSGVO-Texten plötzlich englische Akronyme liest — DSAR, DPA, ROPA — fragt sich oft, ob das ein anderes Gesetz ist. Ist es nicht. Es sind die international üblichen Übersetzungen für die deutschen DSGVO-Begriffe. Dieser Glossar-Artikel räumt die Verwirrung in zehn Minuten auf.

DSAR — Data Subject Access Request

Definition: DSAR ist die englischsprachige Sammelbezeichnung für die Betroffenenrechte aus Kapitel III der DSGVO (Art. 15–22). Im Zentrum steht Art. 15 — das Auskunftsrecht. Eingebettet sind aber auch die abgeleiteten Rechte: Berichtigung (Art. 16), Löschung (Art. 17), Einschränkung (Art. 18), Datenübertragbarkeit (Art. 20), Widerspruch (Art. 21).

Praxisbeispiele:

• Ein ehemaliger Mitarbeiter bittet um Kopie aller HR-Dokumente — DSAR nach Art. 15.
• Ein Kunde verlangt die Löschung seiner Newsletter-Anmeldung — DSAR nach Art. 17.
• Eine Bewerberin will ihre Bewerbungsunterlagen zurück — DSAR nach Art. 17 Abs. 1.

Frist: Eine DSAR muss laut Art. 12 Abs. 3 DSGVO innerhalb eines Monats beantwortet werden. Diese Frist startet mit Eingang der Anfrage — nicht mit Klärung der Identität.

Tools: Wer DSARs strukturiert empfängt und beantwortet, nutzt ein DSAR-Portal. Tiefer dazu im DSAR-Portal-Vergleich 2026 und in der Setup-Anleitung DSAR-Portal in 30 Sekunden einrichten.

DPA — Data Processing Agreement (= AVV)

Definition: DPA ist die englische Bezeichnung für den Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO. Eine vertragliche Pflicht, sobald ein externer Dienstleister personenbezogene Daten in Ihrem Auftrag verarbeitet.

Praxisbeispiele:

• Sie nutzen Microsoft 365 → DPA mit Microsoft.
• Sie haben einen externen Steuerberater mit Zugriff auf Lohndaten → DPA mit der Kanzlei.
• Ihr Newsletter läuft über Mailchimp → DPA mit Intuit Mailchimp + EU-SCC wegen US-Drittland.
• Eine Marketingagentur betreut Ihre Kampagnen → DPA mit der Agentur.

Pflichtinhalte (Art. 28 Abs. 3): Gegenstand, Dauer, Art und Zweck der Verarbeitung, Datenkategorien, Weisungsbindung, TOMs, Subunternehmer-Regelung, Unterstützungspflichten, Löschung am Vertragsende.

Tools: AVV-Listen mit Drittland-Ampel und Diff-View bei Vorlage-Updates sind Teil jeder ernsten DSGVO-Software. Tiefer in unserem Artikel AVV-Vorlage 2026 und in der AVV-Prüf-Checkliste.

ROPA — Record of Processing Activities (= VVT)

Definition: ROPA ist die englische Bezeichnung für das Verzeichnis von Verarbeitungstätigkeiten (VVT) nach Art. 30 DSGVO. Ein internes Register, das jedes Unternehmen ab 250 Mitarbeitenden — und in der Praxis fast immer auch kleinere — führen muss.

Praxisbeispiele für ein ROPA-Verfahren:

• „Bewerbungsmanagement” — Daten: Lebensläufe, Qualifikationen; Empfänger: Personalabteilung, externe Recruiter; Löschfrist: 6 Monate nach Absage.
• „Lohnabrechnung” — Daten: Gehaltsdaten, Steueridentifikationen; Empfänger: Steuerberater, Sozialversicherungsträger; Löschfrist: 10 Jahre (handelsrechtlich).
• „Newsletter-Versand” — Daten: E-Mail, Vorname; Empfänger: Mailchimp; Drittlandtransfer ja, SCC vorhanden.

Pflichtfelder Art. 30 Abs. 1: Verantwortlicher, Zweck, Datenkategorien, Empfänger-Kategorien, Drittlandübermittlung, Löschfristen, allgemeine TOMs.

Tools: Hugo führt 277 vorgefertigte VVT-Vorlagen, davon 63 fertig + 214 zu 90 % vorausgefüllt. Vergleich der Vorlagen-Bibliotheken im VVT-Vorlagen-Vergleich 2026, Anleitung in Verarbeitungsverzeichnis erstellen.

Wie sie zusammenhängen — der DSGVO-Triptychon

DSAR, DPA und ROPA sind keine isolierten Pflichten. Sie greifen ineinander:

1. ROPA als zentrale Datenkarte: Hier dokumentieren Sie, welche Daten Sie verarbeiten, wo sie liegen, wer Zugriff hat. Ohne ROPA fehlt die Quellinformation für alles andere.
2. DPA als Lieferanten-Erweiterung: Für jeden externen Dienstleister im ROPA brauchen Sie einen DPA. ROPA und DPA-Liste sind verbunden — Empfänger im ROPA = DPA-Partner.
3. DSAR als Anwendungsfall: Kommt eine Auskunftsanfrage, durchsuchen Sie ROPA + DPA-Bestand nach allen Stellen, wo Daten der betroffenen Person liegen könnten.
4. Datenpannen-Meldung als Notfall-Pfad: Auch [Datenpannen melden in 72 Stunden](/blog/datenpanne-melden-72-stunden-frist/) braucht das ROPA — Sie müssen wissen, welche Daten betroffen sind.

Hugo-Werkzeuge für jeden Begriff

Alle drei Module sind in den Hugo-DSB-Plänen ab 149 €/Monat enthalten — siehe Preise.

Aus der Praxis

Innerhalb von 24 Stunden war der Fall geklärt. Der Mandant wusste: Er kann jetzt datenschutzkonform eine Umfrage an seine Kunden losschicken. Genau so soll Arbeit mit einem Datenschutzbeauftragten stattfinden — DSAR, DPA, ROPA werden nicht zum Bürokratie-Monster, sondern zu praktischen Werkzeugen.

Nils OehmichenDatenschutzberater bei frag.hugo

Weitere DSGVO-Akronyme im Schnelldurchlauf

• DPIA / DSFA — Data Protection Impact Assessment / Datenschutz-Folgenabschätzung (Art. 35 DSGVO).
• DPO / DSB — Data Protection Officer / Datenschutzbeauftragter (Art. 37 DSGVO).
• SCC — Standard Contractual Clauses / EU-Standardvertragsklauseln für Drittlandtransfers (2021er Version).
• TIA — Transfer Impact Assessment / Drittlandtransfer-Risikobewertung (post Schrems II).
• BCR — Binding Corporate Rules / verbindliche interne Datenschutzvorschriften.
• LGPD — Lei Geral de Proteção de Dados Pessoais — Brasiliens DSGVO-Pendant. Wichtig für Export-Geschäft.
• CCPA / CPRA — California Consumer Privacy Act / California Privacy Rights Act — US-Kalifornien.

Fazit / Ihr nächster Schritt

Wer DSAR, DPA und ROPA als getrennte Felder im Excel pflegt, verliert sich in Doppel-Erfassung. Wer sie als verbundenes System versteht — und ein Tool nutzt, das die Bridges automatisiert — hat einen Datenschutz-Stack, der mit dem Unternehmen wächst.

Häufige Fragen (FAQ)

Was bedeutet DSAR?

DSAR steht für Data Subject Access Request — die englische Übersetzung der Betroffenenrechte aus DSGVO Art. 15–22. Im Kern: das Recht von Kunden, Mitarbeitenden oder Bewerbern, Auskunft über die zu ihrer Person gespeicherten Daten zu bekommen, sie berichtigen, löschen oder einschränken zu lassen.

Was bedeutet DPA in der DSGVO?

DPA steht für Data Processing Agreement — die englische Bezeichnung für den Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO. Wenn ein externer Dienstleister Daten in Ihrem Auftrag verarbeitet (Cloud, IT-Dienstleister, Newsletter-Tool), brauchen Sie einen DPA mit ihm.

Was ist ein ROPA und was hat es mit dem VVT zu tun?

ROPA steht für Record of Processing Activities — exakt das, was die DSGVO als Verzeichnis von Verarbeitungstätigkeiten (VVT) nach Art. 30 bezeichnet. Beide Begriffe beschreiben dieselbe Pflicht: ein internes Register aller Datenverarbeitungs-Vorgänge im Unternehmen.

Brauche ich beide Begriffe — englisch und deutsch?

Praktisch ja. Deutsche Behörden, Gesetze und Mandanten nutzen die deutschen Begriffe (AVV, VVT, Auskunftsanfrage). Internationale Tools, US-Konzern-Mutter, Konzernkunden, Cyberversicherer und Compliance-Frameworks (ISO, SOC 2) verwenden die englischen Akronyme. Wer in beiden Welten arbeitet, sollte beide kennen.

Wo überschneiden sich DSAR, DPA und ROPA?

Stark. Eine eingegangene DSAR braucht das ROPA, um zu wissen, wo die Daten der betroffenen Person liegen. Das ROPA listet die DPA-Partner auf, weil deren Datenflüsse Teil der Verarbeitung sind. Ein guter DSGVO-Tool-Stack verknüpft alle drei automatisch — siehe Cross-Modul-Bridge bei Hugo.

Konkurrenz-Recherche-Stand: Akronyme und Begriffsdefinitionen verifiziert am 8. Mai 2026 über die DSGVO-Originaltexte (dsgvo-gesetz.de, eur-lex.europa.eu) und die Verlautbarungen der Aufsichtsbehörden. Die englischen Akronyme stammen aus den IAPP-Glossaren und der EU-Vorlage zur DSGVO.