Verzeichnis von Verarbeitungstätigkeiten: Praxisleitfaden für SaaS-Teams

Ein Verzeichnis von Verarbeitungstätigkeiten, oft ROPA oder Artikel-30-Verzeichnis genannt, ist das operative Inventar dafür, wie ein SaaS-Unternehmen personenbezogene Daten verarbeitet. Es sollte zeigen, welche Verarbeitung existiert, warum sie stattfindet, wer beteiligt ist, welche Daten genutzt werden, wohin sie gehen, wie lange sie gespeichert werden und welche Sicherheitsmaßnahmen greifen.

Das Ziel ist nicht eine Tabelle, die nur Legal versteht. Das Ziel ist ein lebendes Verzeichnis, das Produkt, Security, Legal, Operations und Führung nutzen können, wenn Kunden Fragen stellen, Audits Nachweise verlangen, eine Aufsichtsbehörde das Verzeichnis anfordert oder ein Team einen neuen Workflow starten will.

Nach Artikel 30 DSGVO haben Verantwortliche und Auftragsverarbeiter eigene Dokumentationspflichten. Verantwortliche dokumentieren detaillierter, weil sie Zwecke und Mittel bestimmen. Auftragsverarbeiter dokumentieren die Kategorien der Verarbeitung für ihre Kunden. Das Verzeichnis muss schriftlich, auch elektronisch, geführt und der Aufsichtsbehörde auf Anfrage verfügbar gemacht werden.

Warum ROPA praktisch wichtig ist

Teams scheitern selten am Begriff Artikel 30. Sie scheitern daran, dass Verarbeitung über Produktspezifikationen, CRM, Support, Anbieterunterlagen, Analytics, Infrastrukturdiagramme, Security Tickets und Teamwissen verteilt ist.

Ein gutes Verzeichnis beantwortet Fragen wie: Welche Systeme verarbeiten Admin-Daten? Welche Anbieter erhalten Endnutzer-IDs? Welche Workflows übertragen Daten außerhalb des EWR? Welche Aktivitäten beruhen auf Vertrag, Einwilligung, berechtigtem Interesse oder rechtlicher Pflicht? Welche Retention gilt für Logs, Tickets, Billing, Telemetrie und Backups?

ROPA unterstützt auch Privacy Notices, Datenminimierung, Data Protection by Design, DPIAs, Vendor Reviews und Security-Kontrollen. Es ist der Ort, an dem operative Fakten überprüfbar werden.

Was ein SaaS-ROPA enthalten sollte

Erfassen Sie eine Verarbeitungstätigkeit pro sinnvollem Geschäfts- oder Produktprozess, nicht pro Datenbanktabelle. Beispiele sind Account-Erstellung, Authentifizierung, Billing, Support, Security Logging, Produktanalytics, Marketing Newsletter, Incident Response, Customer Success oder Hosting-Subprozessoren.

Jeder Eintrag sollte Aktivitätsname und Owner, Rolle als Verantwortlicher oder Auftragsverarbeiter, Zweck, Rechtsgrundlage oder Kundenanweisung, Kategorien betroffener Personen, Datenkategorien, Systeme, Anbieter, Empfänger, Transfers, Retention, Sicherheitsmaßnahmen, verknüpfte Nachweise sowie Review-Datum enthalten.

So wird das Verzeichnis ein Arbeitsindex. Product erkennt, ob ein Launch eine bestehende Verarbeitung ändert. Security prüft, ob Kontrollen zur Sensitivität passen. Legal aktualisiert Notices. Compliance beantwortet Kunden- und Auditfragen ohne jedes Mal neu zu recherchieren.

Aufbau ohne Beratungsprojekt

Beginnen Sie mit den wichtigsten Aktivitäten: Authentifizierung, Account Management, Billing, Support, Produktanalytics, Security Monitoring, Sales und Marketing, Vendor Management und Customer Success. Führen Sie kurze Data-Mapping-Sessions durch: Was löst die Aktivität aus? Welche personenbezogenen Daten entstehen? Welche Systeme und Rollen haben Zugriff? Welche Anbieter sind beteiligt? Wie lange werden Daten gespeichert? Welche Nachweise belegen die Kontrolle?

Prüfen Sie die Antworten gegen echte Systeme: Identity Provider, Data Warehouse, CRM-Felder, Support-Queues, Subprozessoren, Retention-Einstellungen, Security-Kontrollen und Produktkonfiguration. ROPA wird stärker, wenn es Realität abbildet.

Ownership, Review und Nachweise

ROPA braucht einen zentralen Owner und Activity Owner für einzelne Einträge. Der zentrale Owner hält Format, Review-Kalender und Qualitätsstandard. Activity Owner bestätigen, ob ihre Workflows korrekt sind.

Nutzen Sie Trigger statt nur jährlicher Reviews: neue Features, Anbieterwechsel, neue Datenkategorien, Retention-Änderungen, neue Märkte, geänderte Subprozessoren, DPIAs oder Privacy-Notice-Updates. Höher riskante Aktivitäten wie Analytics, AI, Security Monitoring und Integrationen brauchen engere Reviews.

Einträge sollten auf Nachweise verweisen: Produktspezifikationen, Data Maps, DPAs, Subprozessorenlisten, Access Reviews, Retention-Konfigurationen, Security-Kontrollen, DPIAs, Privacy Notices oder Tickets zu umgesetzten Maßnahmen. So können Kunden-, Audit- und Behördenfragen aus denselben Fakten beantwortet werden.

Häufige Fehler

Häufige Fehler sind ein zu systemzentriertes Verzeichnis, vergessene Auftragsverarbeiter-Rollen, vage Empfänger und Transfers, veraltete Einträge sowie ein Verzeichnis ohne Verbindung zu Nachweisen. Ein Datenbankinventar erklärt selten Zweck, Empfänger, Retention, Rechtsgrundlage oder betroffene Personen.

FAQ

Was sollten Teams verstehen?

ROPA ist ein operatives Inventar personenbezogener Verarbeitung, nicht nur eine juristische Tabelle. Es verbindet Aktivitäten mit Ownern, Zwecken, Datenkategorien, Empfängern, Retention, Sicherheitsmaßnahmen und Nachweisen.

Warum ist ROPA wichtig?

Es gibt SaaS-Teams eine verlässliche Grundlage für Privacy Notices, Vendor Reviews, Audits, Kundenfragebögen, Security Controls, Datenminimierung und Launch Readiness.

Was ist der größte Fehler?

Das Verzeichnis als einmaliges Compliance-Artefakt statt als lebenden Workflow zu behandeln.