Zum Hauptinhalt springen
CENEDRIL HANDBUCH
Zu Cenedril
Datenschutz-Assistent · Verarbeitungsverzeichnis

Verzeichnis von Verarbeitungstätigkeiten (ROPA) erstellen

Aktualisiert am 3 Min. Pro-Abo-Stufe In Cenedril öffnen

Ziel Ein Verzeichnis von Verarbeitungstätigkeiten nach Art. 30 DSGVO anlegen: Tätigkeiten erfassen, Rolle, Datenkategorien und Aufbewahrung dokumentieren und den Stand gegen die Assets abgleichen.

Im Datenschutz-Assistenten erstellen Sie unter Verzeichnis von Verarbeitungstätigkeiten den Nachweis nach Art. 30 DSGVO: Sie legen je Tätigkeit einen Eintrag an, bestimmen die Verarbeitungsrolle, dokumentieren Datenkategorien, Rechtsgrundlage und Aufbewahrung und ordnen die betroffenen Assets zu. Über den Reiter Abgleich mit Assets sehen Sie, wo das Verzeichnis noch Lücken hat. Beim Speichern werden die fertigen Tätigkeiten in die Aufzeichnungen übernommen.

Verzeichnis öffnen und vorbereiten

Verarbeitungsverzeichnis öffnen

Öffnen Sie den Datenschutz-Assistenten und wählen Sie den Schritt Verzeichnis von Verarbeitungstätigkeiten. Die Seite zeigt oben einen Statushinweis zum aktuellen Stand (Veröffentlicht, Entwurf oder neu) und darunter die aufklappbaren Handlungsempfehlungen.

Die ROPA-Seite mit den Reitern „Verarbeitungstätigkeiten“ und „Abgleich mit Assets“ sowie der Schaltfläche „Verarbeitungstätigkeit hinzufügen“.

Informationen einsammeln

Klappen Sie die Handlungsempfehlungen auf. Unter Schritt 1 finden Sie eine E-Mail-Vorlage, die Sie über die Schaltfläche kopieren und an jedes beteiligte Team senden können. Die zurückgemeldeten Angaben zu Zweck, Datenkategorien, Empfängern und Aufbewahrung übertragen Sie anschließend in das Formular.

Verarbeitungstätigkeit erfassen

Neue Tätigkeit anlegen

Bleiben Sie im Reiter Verarbeitungstätigkeiten und klicken Sie auf Verarbeitungstätigkeit hinzufügen. Beim ersten Eintrag nutzen Sie Erste Verarbeitungstätigkeit hinzufügen. Es öffnet sich das Formular Neue Verarbeitungstätigkeit.

Verarbeitungsrolle wählen

Wählen Sie ganz oben im Formular die Verarbeitungsrolle: Verantwortlicher, Gemeinsam Verantwortlicher, Auftragsverarbeiter oder Gemeinsamer Auftragsverarbeiter. Die Auswahl steuert, welche weiteren Felder erscheinen, etwa die Angabe der gemeinsam verantwortlichen Organisation oder des Auftraggebers.

Das Formular mit Verarbeitungsrolle, grundlegenden Informationen, Datenkategorien und Aufbewahrung.

Grundlegende Informationen eintragen

Tragen Sie unter Grundlegende Informationen den Name der Tätigkeit und eine kurze Beschreibung ein. Wählen Sie einen Datentyp, entweder aus den Voreinstellungen oder über Benutzerdefiniert mit eigenem Namen. Eine Voreinstellung schlägt Zweck, Empfänger und Aufbewahrung vor, alle Vorschläge bleiben überschreibbar. Formulieren Sie einen kurzen Zweck der Verarbeitung und wählen Sie über die Personen-Auswahl eine verantwortliche Person für diese Verarbeitungstätigkeit.

Datenkategorien festlegen

Wählen Sie unter Kategorien betroffener Personen, wessen Daten verarbeitet werden, etwa Kunden, Mitarbeitende oder Interessenten. Markieren Sie anschließend unter Kategorien personenbezogener Daten jede zutreffende Kategorie. Besondere Kategorien nach Art. 9 DSGVO sind gelb hervorgehoben. Das Anhaken einer solchen Kategorie setzt die Datenschutzklassifizierung automatisch auf Hoch und markiert die Tätigkeit als DSFA-pflichtig.

Rechtsgrundlage, Aufbewahrung und Assets ergänzen

Wählen Sie die Rechtsgrundlage für die Verarbeitung und tragen Sie unter Aufbewahrungsfrist ein, wie lange die Daten gespeichert werden. Ordnen Sie unter Zugehörige Assets die Systeme zu, in denen die Daten liegen. Ist das ISMS aktiv, können Sie die Tätigkeit zusätzlich mit einem Prozess aus Ihrem ISMS verknüpfen.

Tätigkeit bestätigen

Klicken Sie unten im Formular auf Verarbeitungstätigkeit bestätigen. Der Eintrag erscheint danach in der Liste mit Rolle, Datentyp und Risiko-Kennzeichen. Über Abbrechen verwerfen Sie die Eingabe. Wiederholen Sie das Anlegen für jede weitere Tätigkeit.

Lücken prüfen und speichern

Abgleich mit Assets prüfen

Wechseln Sie auf den Reiter Abgleich mit Assets. Cenedril zeigt zwei Panels: Personenbezogene Assets ohne Verarbeitungstätigkeit und Verarbeitungstätigkeiten ohne zugehörige Assets. Über Verarbeitungstätigkeit anlegen beziehungsweise Asset zuordnen springen Sie direkt zur Behebung der jeweiligen Lücke.

Der Abgleich listet personenbezogene Assets ohne Verarbeitungstätigkeit und Tätigkeiten ohne zugeordnetes Asset.

Verzeichnis speichern

Klicken Sie auf Speichern. Cenedril prüft die Einträge, übernimmt jede vollständige oder geänderte Tätigkeit in die Aufzeichnungen und führt Sie weiter zum Schritt Datenübermittlungen. Über Als Entwurf speichern sichern Sie den Zwischenstand, ohne die Tätigkeiten in die Aufzeichnungen zu übernehmen.

Ergebnis: Das Verzeichnis von Verarbeitungstätigkeiten ist nach Art. 30 DSGVO dokumentiert, jede Tätigkeit trägt Rolle, Datenkategorien und Aufbewahrung, der Abgleich mit den Assets zeigt keine offenen Lücken, und die fertigen Einträge liegen revisionssicher in den Aufzeichnungen.

Häufige Fragen

Was bedeutet die Rolle Verantwortlicher oder Auftragsverarbeiter?

Bestimmt Ihre Organisation allein Zweck und Mittel der Verarbeitung, wählen Sie „Verantwortlicher“. Entscheiden Sie gemeinsam mit einem Partner, wählen Sie „Gemeinsam Verantwortlicher“ und tragen Sie die Organisation ein. Führen Sie die Tätigkeit nur auf Weisung eines anderen aus, wählen Sie „Auftragsverarbeiter“ (oder „Gemeinsamer Auftragsverarbeiter“) und benennen Sie den Auftraggeber. Das Formular zeigt je nach Rolle die passenden Felder.

Wie dokumentiere ich besondere Datenkategorien nach Art. 9 DSGVO?

Markieren Sie unter „Kategorien personenbezogener Daten“ jede zutreffende Kategorie. Besondere Kategorien sind gelb hervorgehoben. Sobald Sie eine davon anhaken, setzt Cenedril die Datenschutzklassifizierung automatisch auf „Hoch“ und markiert die Tätigkeit als DSFA-pflichtig.

Wozu dient der Reiter „Abgleich mit Assets“?

Er zeigt zwei Lücken: personenbezogene Assets, die in keiner Verarbeitungstätigkeit auftauchen, und Verarbeitungstätigkeiten ohne zugehöriges Asset. Über die Schaltflächen springen Sie direkt zur passenden Tätigkeit oder legen aus einem Asset eine neue an. So bleibt das Verzeichnis lückenlos.

Kann ich eine Verarbeitungstätigkeit mit einem ISMS-Prozess verknüpfen?

Ja. Wenn das ISMS aktiv ist, bietet das Formular die Verknüpfung mit einem Prozess aus Ihrem ISMS an. Die Tätigkeit erhält dann ein Verknüpfungs-Kennzeichen, das anzeigt, ob der verbundene Prozess noch aktuell ist.

Was passiert beim Speichern des Verzeichnisses?

Mit „Speichern“ übernimmt Cenedril jede vollständige oder geänderte Tätigkeit als Eintrag in die Aufzeichnungen und führt Sie weiter zum nächsten Schritt, den Datenübermittlungen. Solange der Live-Modus aktiv ist, sichert Cenedril Ihre Eingaben zwischendurch automatisch als Entwurf.

Datenschutz-Assistent

Datenschutz-Kickstarter ausfüllen

So füllen Sie den Datenschutz-Kickstarter aus und lassen Cenedril aus Ihrer Unternehmensstruktur erste Entwürfe für Verarbeitungstätigkeiten, Assets und Datentransfers erzeugen.

Datenschutz-Assistent

Datenschutz-Folgenabschätzung (DSFA/DPIA) durchführen

So führen Sie in Cenedril eine Datenschutz-Folgenabschätzung für risikoreiche Verarbeitungstätigkeiten durch: von Notwendigkeit über Risikobewertung bis zur Konsultation.

Datenschutz-Assistent

Datentransfers & TOMs dokumentieren

So dokumentieren Sie interne und externe Datenübermittlungen mit Drittland-Garantien und ordnen jeder Verarbeitungstätigkeit die passenden technischen und organisatorischen Maßnahmen zu.