dataROPA — eine Software von

DSGVO-konform ohne Stress
Mit dataROPA wird dein Verarbeitungsverzeichnis zum Kinderspiel.
  • Alle Verarbeitungstätigkeiten übersichtlich an einem Ort
  • Vorlagen für verschiedene Branchen und Verarbeitungszwecke
  • Von Datenschutzanwälten erstellt
  • Transparente und faire Preisgestaltung
Jetzt Preise & Pakete entdecken
Titelbild Verarbeitungsverzeichnis

Wenn du personenbezogene Daten verarbeitest, musst du ein Verzeichnis von Verarbeitungstätigkeiten (auch Verarbeitungsverzeichnis) führen. Das bestimmt die Datenschutz-Grundverordnung (DSGVO) in Artikel 30. Dieses zentrale Dokument zeigt strukturiert alle Vorgänge auf, die personenbezogene Daten betreffen – und davon gibt es jede Menge: Betrieb einer Webseite, Social-Media-Kanäle, Kundenkorrespondenz, Newsletter-Versand, Bestellbearbeitung, Lohnbuchhaltung...
Auf Anforderung einer Aufsichtsbehörde musst du dein Verarbeitungsverzeichnis unverzüglich vorlegen, sonst drohen empfindliche Bußgelder.
Praktisch alle Unternehmen (auch Einzelunternehmer) benötigen ein Verarbeitungsverzeichnis. Mehr dazu hier. Dein Verarbeitungsverzeichnis dient auch dazu, die Auskunftspflicht zu erfüllen.

dataROPA: Deine Verarbeitungsverzeichnis-Profi-Software

Du ahnst bereits, wie zeitaufwändig und komplex die Erstellung und Pflege eines Verarbeitungsverzeichnisses sein kann. Die Erfüllung der strengen Anforderungen der DSGVO erfordert beträchtliche Ressourcen. Die kannst du besser investieren!

Hier kommt unsere Lösung: Unsere Verarbeitungsverzeichnis-Software dataROPA, entwickelt von erfahrenen Datenschutz-Anwälten, unterstützt dein Unternehmen bei der rechtskonformen Verarbeitung personenbezogener Daten. Und das schon ab 1 Euro pro Tag!

Deine Vorteile mit dataROPA

Rechtskonform nach DSGVO

Unsere Software hilft dir dabei, sämtliche Anforderungen an ein Verarbeitungsverzeichnis zu erfüllen. Es berücksichtigt die gesetzlichen Vorgaben und ermöglicht eine strukturierte Dokumentation deiner Verarbeitungstätigkeiten.

Zeit- und kostensparend

Dank vordefinierter Formulare und Vorlagen sparst du wertvolle Zeit und Ressourcen. Anlegen, speichern, duplizieren – mit wenigen Klicks ist dein Verzeichnis aktuell und vollständig.

Benutzerfreundlich und einheitlich

dataRopa bietet eine benutzerfreundliche Oberfläche, die eine einheitliche und transparente Verwaltung ermöglicht. Mehrere Benutzer können gleichzeitig darauf zugreifen und gemeinsam an der Pflege des Verzeichnisses arbeiten.

Exportfunktion für Datenschutzbehörden

Im Falle einer behördlichen Prüfung kannst du dein Verzeichnis einfach exportieren und der Datenschutzbehörde vorlegen. Damit bist du jederzeit auf Anfragen vorbereitet.

Expertise von Datenschutz-Anwälten

Unsere Verarbeitungsverzeichnis-Software wird von erfahrenen Datenschutz-Anwälten laufend weiterentwickelt. Du profitierst von praxiserprobtem Know-how und kannst dich auf juristische Expertise verlassen.

Automatisierte Compliance Prüfung

Sind alle Einträge korrekt? dataRopa überprüft deine Vorgänge und identifiziert etwaige Fehler oder fehlende Informationen automatisch. Die To-Do-Funktion zeigt dir genau, wo du Ergänzungen oder Korrekturen vornehmen musst.

Starte jetzt mit deinem Verarbeitungsverzeichnis!

Verarbeitungsverzeichnisse in Unternehmen: Oft ungenügend

Die strukturierte Darstellung aller Vorgänge beim Datenimport, bei der Verarbeitung im Unternehmen und beim Datenexport, die Erfassung aller beteiligten Dienstleister (Auftragsverarbeiter), Datenschutzmaßnahmen sowie die regelmäßige Pflege und Aktualisierung dieser Aufzeichnungen stellt Unternehmen vor große Herausforderungen. Musterformulare sind oft unübersichtlich. Das Ausfüllen ist mühselig und notwendige Aktualisierungen werden nicht gemacht, weil die Papiere im Schrank verstauben. Ein Problem, denn auf Anfrage müssen die Daten schnell vorliegen. Mehr dazu hier.

Strukturierte Aufzeichnungen auf Papier: Ein Ding der Unmöglichkeit!

Mit Musterformularen aus dem Internet ist eine kontinuierliche strukturierte Aufzeichnung der Verarbeitungstätigkeiten in den meisten Unternehmen kaum möglich. Die Zusammenhänge zwischen verarbeiteten Datenkategorien, betroffenen Personen, internen Zugriffberechtigten und externen Auftragsverarbeitern lassen sich auf Papier kaum sinnvoll darstellen. Zudem müssen alle Bestandteile des Verarbeitungsverzeichnisses regelmäßig aktualisiert werden. Zum Beispiel, wenn du einen neuen Lieferanten an Bord nimmst, eine neue Software integrierst oder einen Bestellprozess änderst.

Bereit, deinen Datenschutz zu verbessern?

dataROPA bietet dir eine benutzerfreundliche Oberfläche, um deinen Dokumentations- und Rechenschaftspflichten einfach nachzukommen. Wähle aus einer Fülle an Templates für viele Anwendungszwecke, erstellt von unseren erfahrenen Datenschutzanwälten. Speichere alle Verarbeitungsprozesse ohne großen Aufwand an einem zentralen Ort. Wir möchten, dass Datenschutz für dich zur Nebensache wird und du dich deinem Kerngeschäft widmen kannst.

Alles richtig? dataRopa prüft das für dich.

Datenschutz ist kompliziert und bei der Dokumentation von Verarbeitungsprozessen können schnell Fehler passieren. Mit unserer automatischen Compliance-Prüfung inklusive der praktischen To-Do-Funktion bist du auf der sicheren Seite.

dataRopa überprüft automatisch deine Verarbeitungsvorgänge und stellt sicher, dass sie nicht nur vollständig angelegt sind, sondern auch rechtskonform. Wenn es zu Widersprüchen kommt oder wichtige Angaben fehlen, erhältst du sofort einen Hinweis in deinem Dashboard zusammen mit einer konkreten Aufgabe.

Hier sind zwei Beispiele, wie unsere Verarbeitungsverzeichnis-Software dir helfen kann:

  • Beispiel 1: du möchtest einen Newsletter versenden, hast aber vergessen, einen Auftragsverarbeitungsvertrag (AVV) für den beauftragten Dienstleister anzulegen. Kein Problem! Unsere Software sagt dir direkt: “Im Vorgang Newsletter-Versand musst du noch die Daten des AVV eintragen.”
  • Beispiel 2: du hast einen Auftragsverarbeiter aus einem Land außerhalb der EU eingetragen, das nicht für den Datentransfer zugelassen ist. dataRopa informiert dich umgehend: “Nach La-La-Land solltest du derzeit keine personenbezogenen Daten übermitteln. Wir empfehlen, dass du einen anderen Auftragsverarbeiter wählst.”

Mit dataRopa hast du nicht nur eine effiziente Verwaltung deiner Vorgänge, sondern auch einen zuverlässigen Partner für die Einhaltung der Compliance-Anforderungen!

Funktionen: dataROPA im Überblick

  • Datenverarbeitungs-Vorgänge erstellen, bearbeiten, speichern, duplizieren
  • Stelle die Vorgänge aus einer Vielzahl von durchdachten Vorlagen zusammen.
  • Alle Vorlagen sind praxistauglich vorausgefüllt. Es fehlen nur noch die unternehmensspezifischen Details deiner internen Prozesse, die du schnell und einfach ergänzen kannst.
  • + über 150 häufig verwendete Auftragsverarbeiter bereits integriert (Webhoster, E-Mail-Provider, Newsletter-Services, Zeiterfassungs-, Rechnungs- und Steuertools etc.)
  • Support von unseren erfahrenen Datenschutzanwälten. du hast Fragen? Wir beraten unsere Mandanten kostenlos in Bezug auf die Nutzung unserer Software.
  • Konfigurierbare Exportfunktion für die schnelle Beantwortung von Behördenanfragen.
  • Vorlage und Anleitung für Auskunftsersuchen nach Artikel 15 DSGVO.
  • Compliance-Prüfung deiner Datenschutzvorgänge und To-Dos
  • Weitere Funktionen: Verwaltung von Benutzern, Betroffenen, Datenempfängern und Zugangsberechtigten. Schlagwörter für bessere Auffindbarkeit.

Für wen ist dataROPA geeignet?

Unsere Software ist geeignet für alle Unternehmen aller Branchen, die ein Verarbeitungsverzeichnis benötigen, zum Beispiel:

  • Unternehmen mit Bewerbermanagement
  • Unternehmen, die Mitarbeiter beschäftigen
  • Unternehmen, die Kundendaten verarbeiten
  • Unternehmen, die mit Lieferanten und Dienstleistern arbeiten
  • Unternehmen, die Logindaten und Accounts anbieten
  • Unternehmen, die Rechnungs- und Zahlungsdaten verarbeiten

Dazu gehören unter anderem Unternehmen aus den Bereichen:

  • Onlineshops, Versandhandel
  • Online-Dienstleister, Kursanbieter
  • Unternehmensberatung, Coaching
  • Softwareentwicklung, Internetagenturen, Werbebranche
  • Kultureinrichtungen, Sportvereine, Sprachschulen
  • Telekommunikation, Webhosting, E-Mail-Provider
  • und viele weitere

Unsicher, ob Dataropa für dich geeignet ist? Ruf uns an: (030) 3302 1975

Unser Ziel ist es, dass du so wenig Zeit wie möglich mit der Erstellung und Pflege deines Verarbeitungsverzeichnisses verbringen musst. Wir möchten dir das Kopfzerbrechen um Datenschutz ersparen, damit du dich auf dein Geschäft konzentrieren kannst. Daher haben wir eine Vielzahl von Vorlagen entwickelt, die du nutzen kannst. Diese werden regelmäßig ergänzt, um sicherzustellen, dass du alles hast, was du brauchst. Gleichzeitig gewährleisten wir mit dataROPA, dass du schnell und präzise auf Auskunftsersuchen von Betroffenen und auf Anfragen von Behörden reagieren kannst.

Dirk Adamaszek — Wegener & Adamaszek Rechtsanwälte

Ja, ich will es mir leicht machen!

Unsere Verarbeitungsverzeichnis-Software und die DSGVO

dataRopa bildet alle Anforderungen der DSGVO übersichtlich ab. Es bietet dir eine benutzerfreundliche Plattform, um sämtliche Verarbeitungstätigkeiten gemäß den gesetzlichen Vorgaben zu dokumentieren und aktuell zu halten. Halte die rechtlichen Anforderungen von Artikel 30 DSGVO und von Artikel 5 DSGVO belegbar ein – so kannst du dein Unternehmen vor rechtlichen Risiken schützen und das Vertrauen deiner Kunden in den Umgang mit ihren personenbezogenen Daten stärken.

Gesetzliche Grundlagen

Unsere Verarbeitungsverzeichnis-Software basiert auf den grundlegenden Prinzipien der Datenschutz-Grundverordnung (DSGVO), insbesondere auf Artikel 5 DSGVO und Artikel 30 DSGVO, die die rechtlichen Vorgaben für die Verarbeitung personenbezogener Daten definieren.

Artikel 30 DSGVO: Verzeichnis von Verarbeitungstätigkeiten

“Der Verantwortliche und der Auftragsverarbeiter führen ein Verzeichnis aller Kategorien von Verarbeitungstätigkeiten, die sie vornehmen.”

Dieser Artikel legt fest, dass sowohl der Verantwortliche für die Datenverarbeitung als auch die Auftragsverarbeiter (Artikel 28 DSGVO) ein Verzeichnis aller Verarbeitungstätigkeiten führen müssen. Dieses Verzeichnis muss wichtige Informationen wie Zwecke der Verarbeitung, betroffene Datenkategorien, betroffene Personengruppen und die Löschkonzepte mit den Löschfristen enthalten. Für besondere Kategorien von Daten – zum Beispiel Gesundheitsdaten – sind die Anforderungen an die Rechtmäßigkeit der Verarbeitung erhöht. Hier muss die Einwilligung der Betroffenen besonders sorgsam dokumentiert werden.
Unsere Verarbeitungsverzeichnis-Software unterstützt dich genau dabei, indem sie dir ermöglicht, alle relevanten Informationen gemäß den gesetzlichen Anforderungen zu dokumentieren und zu pflegen.

Artikel 5 DSGVO: Grundsätze für die Verarbeitung personenbezogener Daten

“Grundsätze für die Verarbeitung personenbezogener Daten – Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz.”

Artikel 5 der DSGVO definiert die Grundsätze für die Verarbeitung personenbezogener Daten, darunter Rechtmäßigkeit, Zweckbindung sowie Transparenz. Und genau das ermöglicht dataROPA, indem es eine rechtskonforme Dokumentation und transparente Verwaltung deiner Verarbeitungstätigkeiten ermöglicht.

Verarbeitungsverzeichnis Rakete

Coming soon...

Gehöre zu den ersten, die dataRopa zum einmaligen Startpreis erhalten. Wenn du zum Launch der Software benachrichtigt werden möchtest, trag bitte deine E-Mail-Adresse hier ein:


Dieses Bild enthält eine Ziffer für das Captcha. Bitte Captcha visuell lösen. + Dieses Bild enthält eine Ziffer für das Captcha. Bitte Captcha visuell lösen. =

Häufige Fragen

Ein Verarbeitungsverzeichnis ist eine systematische Darstellung all derjenigen Tätigkeiten, bei denen personenbezogene Daten in einem Unternehmen oder in einer sonstigen Einrichtung (z.B. in einem Verein) verarbeitet werden. Deshalb spricht Artikel 30 auch vom „Verzeichnis der Verarbeitungstätigkeiten“. Das Verarbeitungsverzeichnis hat das Ziel, alle Datenflüsse so übersichtlich darzustellen, dass jederzeit erkennbar ist, welche Kategorien von Daten (z.B. Namen oder Adressen) über welche betroffenen Personen (z.B. Kunden) erfasst, weiterverarbeitet und eventuell an Dritte weitergeleitet werden. Auch die Speicherdauer muss aus dem Verarbeitungsverzeichnis ersichtlich werden.

Das Verarbeitungsverzeichnis versetzt ein Unternehmen in die Lage, Auskunftsansprüche von Betroffenen zu erfüllen. Denn ohne einen systematischen Überblick aller Datenverarbeitungsvorgänge kann ein Unternehmen gar keine Auskunft erteilen. Außerdem dient das Verarbeitungsverzeichnis der Selbstkontrolle in einem Unternehmen, ob alle Datenverarbeitungsvorgänge rechtmäßig erfolgen, denn das Verzeichnis muss für jeden Verarbeitungsvorgang die passende Rechtsgrundlage nennen.

Die Datenschutzgrundverordnung geht in ihrem Artikel 30 davon aus, dass grundsätzlich „jeder Verantwortliche“ ein Verarbeitungsverzeichnis führen muss – in der Praxis also jedes Unternehmen und jede sonstige Einrichtung, die personenbezogene Daten verarbeitet.

Zwar gibt es eine Ausnahme für Unternehmen oder Einrichtungen, die weniger als 250 Mitarbeiter beschäftigten, wenn eine Datenverarbeitung „nur gelegentlich“ erfolgt. Aber diese Ausnahme greift in der Praxis so gut wie nie, denn auch kleine und mittlere Unternehmen verarbeiten in aller Regel Personendaten – sei es bei der Erfassung von Bestellungen, für die Erstellung von Lieferscheinen und Rechnungen, für Versandaufkleber, für die Buchhaltung und so weiter.

Nur soweit Personendaten in rein privatem Zusammenhang verarbeitet werden – zum Beispiel im privaten E-Mail-Verkehr – ist kein Verarbeitungsverzeichnis erforderlich.

Welche Informationen das Verarbeitungsverzeichnis enthalten muss, regelt Artikel 30 DSGVO in Absatz 1. Danach muss das Verzeichnis

  • alle Kategorien von verarbeiteten Daten benennen (z.B. Name, Anschrift)
  • die Kategorien der betroffenen Personen (z.B. Kunden, Lieferanten)
  • die Zwecke der Verarbeitung (z.B. Lieferung, Buchhaltung)
  • die konkrete Rechtsgrundlage für jeden einzelnen Verarbeitungsvorgang (z.B. Artikel 6 Absatz 1 Buchstabe b DSGVO)
  • die Kategorien von Empfängern, denen Daten offengelegt werden (z.B. Webhoster, E-Mail-Provider)
  • Erläuterungen zur Datenübermittlung ins Ausland
  • die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien
  • und eine Beschreibung der technischen und organisatorischen Maßnahmen zum Schutz der verarbeiteten Daten.

Das Verarbeitungsverzeichnis muss zu jeder Zeit einen vollständigen Überblick über alle Unternehmensvorgänge geben, bei denen personenbezogene Daten verarbeitet werden. Das betrifft auch jede Verarbeitung, die externe Dienstleister (Auftragsverarbeiter gemäß Artikel 28 DSGVO) erledigen. Wenn du beispielsweise eine Nutzungsanalyse deiner Webseite einführst, die Postablage oder die Arbeitszeiterfassung digitalisierst, eine neue Cloud-Software einführst oder einen IT-Dienstleister wechselst, musst du dein Verarbeitungsverzeichnis aktualisieren. Je nach Unternehmensgröße und Branche kann die Häufigkeit nötiger Aktualisierungen stark variieren. Erfahrungsgemäß solltest du dein Verfahrensverzeichnis mindestens einmal im Quartal auf Aktualität überprüfen.

Jede Einrichtung muss bereits ab der ersten Verarbeitung von personenbezogenen Daten über ein Verarbeitungsverzeichnis verfügen. Wenn du zum Beispiel eine Webseite betreibst, verarbeitest du – technisch zwingend – die IP-Adressen deiner Webseitenbesucher. Bereits mit dem Launch deiner Webseite benötigst du also ein Verarbeitungsverzeichnis. Auch dann, wenn du Mitarbeiter beschäftigst, brauchst du ein Verarbeitungsverzeichnis – denn darin musst du aufführen, welche Arten von Daten du über deine Mitarbeiter erfasst. Es gibt auch keine „Schonfrist“ für die Aktualisierung nach Änderungen in den Verarbeitungsvorgängen. Jede Änderung in den Unternehmensabläufen muss unverzüglich in das Verarbeitungsverzeichnis übernommen werden, wenn personenbezogene Daten berührt sind.

Wenn du kein Verarbeitungsverzeichnis führst, obwohl du dazu gemäß Artikel 30 DSGVO verpflichtet bist, kann dies zu einer empfindlichen Geldbuße führen. Die für den Datenschutz zuständigen Aufsichtsbehörden können Sanktionen verhängen, die in Artikel 83 DSGVO geregelt sind. Dabei sind die Behörden berechtigt, Geldbußen von bis zu 10 Millionen Euro oder bis zu 2% des gesamten weltweit erzielten Jahresumsatzes zu verhängen, je nachdem, welcher Betrag höher ist. Die Folgen eines fehlenden oder unvollständigen Verarbeitungsverzeichnisses können also sehr teuer werden.

Jede Datenschutzbehörde kann jederzeit die Vorlage deines Verarbeitungsverzeichnisses anfordern. Dann musst du das komplette Verzeichnis aller Datenverarbeitungsvorgänge unverzüglich liefern. Falls du dann noch kein fertiges Verarbeitungsverzeichnis hast, bleibt in der Praxis nicht genügend Zeit, um in einem solchen Fall erst mit der Erstellung zu beginnen. Um Bußgelder zu vermeiden, solltest du vorsorgen und das Verarbeitungsverzeichnis frühzeitig erstellen und immer auf dem aktuellen Stand halten.

Es kann auch vorkommen, dass ein Unternehmen, das mit dir zusammenarbeiten will, dein Verarbeitungsverzeichnis einsehen möchte. Häufig geschieht dies auf Anfrage des Datenschutzbeauftragten deines künftigen Geschäftspartners, um zu prüfen, ob du DSGVO-konform arbeitest und dein Geschäftspartner dir seine Daten anvertrauen kann. Der Nachweis, dass du datenschutzkonform arbeitest, kann so zum Entscheidungskriterium für deinen wirtschaftlichen Erfolg werden. Du zeigst professionelle Compliance, indem du deinen Geschäftspartnern auf Anfrage jederzeit dein Verarbeitungsverzeichnis zur Verfügung stellst.

Du als Unternehmen oder sonstige Einrichtung bist der Verantwortliche im Sinne der Datenschutzgrundverordnung für alle personenbezogenen Daten, die von deiner Einrichtung verarbeitet werden. Dabei muss die Datenverarbeitung nicht unbedingt nur innerhalb deiner Einrichtung stattfinden. In den meisten Fällen sind externe Dienstleister einbezogen, die einen Teil der Datenverarbeitung in deinem Auftrag übernehmen. Diese Dienstleister werden Auftragsverarbeiter genannt und sind in Artikel 28 DSGVO geregelt.

Zum Beispiel betreiben die wenigsten Unternehmen einen eigenen Web- oder E-Mail-Server in ihren Räumen, sondern greifen hierfür auf Webhoster und E-Mail-Provider zurück. Auch digitale Kalender, Cloudspeicher und Videokonferenzdienste werden typischerweise an Auftragsverarbeiter vergeben.
Da du also Daten mit deinen Auftragsverarbeitern austauschst, muss das Verarbeitungsverzeichnis diesen Datenaustausch widerspiegeln.

Du musst ein Verarbeitungsverzeichnis zwar erstellen und aktuell halten, aber nicht von dir aus an eine bestimmten Stelle melden. Nur auf Anfrage einer Datenschutz-Aufsichtsbehörde musst du das Verarbeitungsverzeichnis zur Verfügung stellen. Eventuell fragen Geschäftspartner dich nach deinem Verarbeitungsverzeichnis. In solchen Fällen kannst du frei entscheiden, ob du das Verzeichnis vorlegen möchtest.

Das Verarbeitungsverzeichnis muss zu jeder Zeit einen kompletten Überblick über sämtliche Datenverarbeitungen in deiner Einrichtung geben – unabhängig davon, wann du die Arbeitsabläufe eingeführt hast. Es müssen auch bereits beendete Verarbeitungsvorgänge abgebildet bleiben, wenn als deren Ergebnis noch Daten bestehen, die du weiter gespeichert hältst, zum Beispiel in einem Archiv oder als Backups.