Ein praktischer Leitfaden zu Verzeichnis von Verarbeitungstätigkeiten

Dieser Leitfaden erklärt Verzeichnis von Verarbeitungstätigkeiten praxisnah und mit Fokus auf datenschutzfreundliche Analytics-Entscheidungen.

Ein ROPA ist eine Aufzeichnung von Verarbeitungstätigkeiten. Gemäß GDPR Artikel 30 müssen Verantwortliche und Auftragsverarbeiter schriftliche Aufzeichnungen über bestimmte Verarbeitungstätigkeiten personenbezogener Daten führen und diese auf Anfrage einer Aufsichtsbehörde zur Verfügung stellen (GDPR Artikel 30).

Betrachten Sie es als eine lebendige Karte darüber, wie sich personenbezogene Daten durch Ihr Unternehmen bewegen. Ein guter ROPA ist kein Selbstzweck. Es hilft Teams bei der Beantwortung praktischer Fragen: Welche Daten sammeln wir, warum, wohin gehen sie, wer kann darauf zugreifen, wie lange bewahren wir sie auf und welches Risiko birgt sie?

Wer braucht einen ROPA

Artikel 30 sieht eine Ausnahme für Organisationen mit weniger als 250 Mitarbeitern vor, die Ausnahme ist jedoch begrenzt. Sie gilt nicht, wenn die Verarbeitung voraussichtlich ein Risiko für den Einzelnen darstellt, nicht nur gelegentlich erfolgt oder besondere Kategorien von Daten oder Daten über strafrechtliche Verurteilungen umfasst.

In der Praxis benötigen viele kleine Organisationen immer noch Aufzeichnungen, da routinemäßige Verarbeitungen nicht gelegentlich erfolgen. Kundenverwaltung, Mitarbeiterdatensätze, Newsletter-Listen, Analysen, Support-Tickets, Zahlungsabwicklung und Einstellungspipelines sind allesamt wiederkehrende Verarbeitungsaktivitäten.

Controller vs. Prozessordatensätze

Ein Verantwortlicher entscheidet über die Zwecke und Mittel der Verarbeitung. Beispielsweise ist ein SaaS-Unternehmen, das beschließt, Anmeldedaten für Testversionen zu sammeln, Produkt-E-Mails zu versenden und Website-Conversions zu messen, ein Verantwortlicher für diese Aktivitäten.

Ein Auftragsverarbeiter handelt gemäß den Anweisungen eines Verantwortlichen. Je nach Beziehung und Vertrag kann ein Analyseanbieter, eine E-Mail-Plattform oder ein Cloud-Hosting-Anbieter als Verarbeiter für Kundendaten fungieren.

Verantwortliche müssen Kontaktdaten, Zwecke, Kategorien betroffener Personen, Kategorien personenbezogener Daten, Empfängerkategorien, Drittlandübermittlungen, Aufbewahrungsfristen (sofern möglich) und Sicherheitsmaßnahmen (sofern möglich) erfassen. Auftragsverarbeiter müssen Kontaktdaten für jeden Verantwortlichen, Verarbeitungskategorien, Übermittlungen und Sicherheitsmaßnahmen aufzeichnen.

Was einzuschließen ist

Erfassen Sie für jede Verarbeitungsaktivität Folgendes:

• Aktivitätsname: zum Beispiel Website-Analyse, Newsletter, Kundensupport, Abrechnung, Einstellung.
• Zweck: Warum die Verarbeitung notwendig ist.
• Betroffene Personen: Besucher, Kunden, Mitarbeiter, Bewerber, Spender, Abonnenten.
• Datenkategorien: Kontaktdaten, Kontodaten, Nutzungsdaten, Zahlungsmetadaten, Supportinhalte.
• Rechtsgrundlage: Vertrag, Einwilligung, berechtigte Interessen, rechtliche Verpflichtung usw.
• Empfänger und Anbieter: interne Teams und externe Verarbeiter.
• Internationale Überweisungen: Länder, Überweisungsmechanismus und Schutzmaßnahmen.
• Aufbewahrung: Wie lange werden Daten aufbewahrt und warum.
• Sicherheitsmaßnahmen: Zugriffskontrolle, Verschlüsselung, Protokollierung, Backups, Löschvorgang.
• Eigentümer: die Person oder das Team, die dafür verantwortlich ist, den Eintrag auf dem neuesten Stand zu halten.

Seien Sie bei Analysen genau. Schreiben Sie keine „Analysedaten“. Geben Sie an, ob Sie IP-Adressen, Cookie-IDs, vollständige URLs, Referrer, Kampagnenparameter, Gerätedaten, Conversionsereignisse und Benutzer-IDs erfassen. Wenn Sie Cookie-lose Analysen verwenden, dokumentieren Sie diese Designauswahl.

Wie man eins baut, ohne es schmerzhaft zu machen

Beginnen Sie mit Systemen, nicht mit Abteilungen. Listen Sie die Tools auf, die personenbezogene Daten verarbeiten: CRM, Zahlungsabwickler, E-Mail-Anbieter, Analysen, Produktdatenbank, Support Desk, HR-System, Cloud-Hosting, Fehlerprotokollierung, Session Replay, Werbeplattformen und Tabellenkalkulationen.

Dann interviewen Sie die Eigentümer. Fragen Sie, welche Daten in das System gelangen, woher sie kommen, wer sie nutzt, ob sie weitergegeben werden und wann sie gelöscht werden. Sie finden die Schattenverarbeitung in Exporten, Tabellenkalkulationen und alten Integrationen. Verstecke es nicht. Der ROPA ist nützlich, weil er die Realität offenbart.

Priorisieren Sie zuerst Hochrisikobereiche: Daten besonderer Kategorien, Daten von Kindern, genauer Standort, Finanzdaten, Gesundheitsdaten, groß angelegte Nachverfolgung und internationale Überweisungen.

Wie ROPA Produktteams hilft

Ein ROPA macht Privacy-by-Design konkret. Bevor ein neues Analyseereignis oder Marketingtool hinzugefügt wird, können Produktteams prüfen, ob die Verarbeitung bereits besteht, ob der Zweck kompatibel ist und ob die Daten erforderlich sind.

Es unterstützt auch die Rechte betroffener Personen. Wenn jemand um Zugriff oder Löschung bittet, teilt Ihnen der ROPA mit, welche Systeme seine Daten enthalten könnten. Wenn ein Anbieter den Subprozessoren oder die Hosting-Region wechselt, zeigt ROPA an, welche Verarbeitungsaktivitäten betroffen sind.

Wartungsrhythmus

Überprüfen Sie den ROPA, wann immer Sie eine neue Funktion starten, einen Anbieter hinzufügen, die Aufbewahrung ändern, einen neuen Markt betreten, Tracking einführen oder eine neue Datenkategorie verarbeiten. Planen Sie mindestens eine vierteljährliche Überprüfung der Produkt-, Technik-, Rechts-, Sicherheits- und Betriebsabläufe ein.

Ein veralteter ROPA kann schlimmer sein als ein unvollständiger, da er falsches Vertrauen schafft. Halten Sie die Einträge kurz genug, um sie zu pflegen, aber detailliert genug, damit eine Aufsichtsbehörde, ein Prüfer oder ein neuer Mitarbeiter die Verarbeitung verstehen kann.

Für datenschutzorientierte Analysen sollte das ROPA eines Ihrer stärksten Dokumente sein. Es kann zeigen, dass Sie die Erfassung absichtlich eingeschränkt, unnötige Identifikatoren vermieden, die Aufbewahrung kurz gehalten und ein Messmodell gewählt haben, das die Benutzer respektiert und dem Unternehmen dennoch nützliche Erkenntnisse liefert.

Ein Beispieleintrag für die Analyse ROPA

Ein nützlicher Analyseeintrag könnte lauten: „Messung des Website-Publikums zur Verbesserung öffentlicher Seiten und Kampagnenleistung.“ Betroffene Personen sind Besucher. Datenkategorien sind Seiten-URL nach Parameterentfernung, Referrer, Kampagnen-Tags, Geräteklasse, Land, Browser und Conversionsereignissen. Empfänger sind die internen Marketing- und Produktteams sowie der Analytics-Prozessor. Die Aufbewahrungsdauer beträgt 13 Monate für aggregierte Berichte und kürzer für Rohereignisse, sofern Rohereignisse vorhanden sind.

Fügen Sie die Rechtsgrundlage, das Cookie- oder Speicherverhalten, den Übertragungsmechanismus und den Eigentümer hinzu. Beachten Sie auch die Ausschlüsse: keine Werbeprofilierung, keine Benutzer-IDs, kein vollständiger IP-Speicher, keine Formularfelderfassung und keine Analyse sensibler Routen. Diese negativen Aussagen sind wichtig, weil sie bewusste Grenzen aufzeigen und nicht nur fehlende Dokumentation.

ROPA Wartungscheckliste

Machen Sie den Analytics-Eintrag ROPA spezifisch: Zweck, Rechtsgrundlage, Besucherkategorien, Ereignisfelder, Kennungen, Cookies oder Speicherung, Empfänger, Subprozessoren, Hosting-Standort, Aufbewahrung, Übertragungen und Löschvorgang. Vermeiden Sie vage Bezeichnungen wie „Analysedaten“.

Aktualisieren Sie den Datensatz, wenn sich ein Tag, ein Ereignis, ein Anbieter, eine Einwilligungsregel, ein Aufbewahrungszeitraum oder ein Datenziel ändert. Ein ROPA ist nur dann sinnvoll, wenn er mit dem übereinstimmt, was der Browser und das Backend tatsächlich senden.

ROPA mit technischem Nachweis verbinden

Ein ROPA sollte nicht nur aus Interviews entstehen. Vergleichen Sie den Eintrag mit technischen Belegen: Browser-Netzwerkprotokolle, Tag-Manager-Konfiguration, Datenbanktabellen, Subprozessorlisten, Consent-Protokolle, Aufbewahrungseinstellungen und Exportjobs. Wenn der ROPA sagt, dass Analytics keine vollständigen URLs speichert, muss ein Test zeigen, dass Query-Strings tatsächlich bereinigt werden.

Für Website-Analytics lohnt sich ein kleiner Nachweisordner pro Quartal: Screenshot oder Export der geladenen Skripte, Liste der gesendeten Eventfelder, Consent-Test vor Akzeptanz und nach Ablehnung, aktueller Vendor-Vertrag und Retention-Einstellung. Das macht den ROPA belastbar, wenn ein Auditor, Kunde oder interner Sicherheitsreview fragt, ob die Dokumentation der echten Verarbeitung entspricht.