What is a Records of Processing Activities (RoPA) under GDPR?

A Records of Processing Activities is a mandatory register under GDPR Article 30 that documents every processing activity involving personal data. Each entry must include the processing purpose, categories of data subjects and data, recipients, transfer details, retention periods, and security measures. Both controllers and processors must maintain their own records. Supervisory authorities can request the register at any time during an audit or investigation.

How do you conduct data mapping for GDPR compliance?

Data mapping starts with structured interviews across every department that handles personal data, from HR and marketing to IT and customer support. For each team, document what personal data they collect, where it is stored, who can access it, how long it is kept, and which vendors or systems process it. Trace the full lifecycle from collection through storage, sharing, and deletion. The resulting map forms the foundation for the Article 30 register and reveals gaps in data governance.

Datenzuordnung und Verarbeitungsaufzeichnungen

Build an Article 30 processing register from scratch.

What Is Datenzuordnung und Verarbeitungsaufzeichnungen?

Aufzeichnungen über Verarbeitungsaktivitäten (RoPA) sind eine obligatorische Dokumentation, die gemäß Artikel 30 der DSGVO für jede Organisation mit 250 oder mehr Mitarbeitern oder jede Organisation, die Verarbeitungen durchführt, die nicht gelegentlich erfolgen, besondere Datenkategorien umfassen oder ein Risiko für betroffene Personen darstellen, erforderlich ist. In der Praxis benötigt nahezu jede Organisation, die personenbezogene Daten verarbeitet, diese Aufzeichnungen. In dieser Übung müssen Sie ein Verarbeitungsregister für ein mittelgroßes Unternehmen von Grund auf erstellen. Sie beginnen mit der Durchführung von Data-Mapping-Interviews mit Abteilungsleitern, um herauszufinden, welche personenbezogenen Daten jedes Team sammelt, warum sie diese sammeln, wo sie gespeichert werden, an wen sie weitergegeben werden und wie lange sie aufbewahrt werden. Die Herausforderung besteht darin, dass keine einzelne Person in einer Organisation das Gesamtbild kennt. Das Marketing verwendet einen Satz Tools, die Personalabteilung einen anderen, der Kundensupport einen dritten und die Finanzabteilung verfügt über eigene Systeme. Ihre Aufgabe ist es, diese fragmentierten Datenströme zu einem kohärenten Register zu verbinden. Die Übung deckt alle gemäß Artikel 30 Absatz 1 für die Verantwortlichen erforderlichen Bereiche ab: Verarbeitungszwecke, Kategorien betroffener Personen und personenbezogener Daten, Kategorien von Empfängern, internationale Übermittlungen, Aufbewahrungsfristen und eine allgemeine Beschreibung der Sicherheitsmaßnahmen. Sie werden auch üben, diese Aufzeichnungen auf dem neuesten Stand zu halten, da ein Register, das die Datenströme des letzten Jahres widerspiegelt, eine Compliance-Verpflichtung darstellt. Organisationen, die genaue Verarbeitungsaufzeichnungen führen, lösen DSARs schneller, führen reibungslosere DSFAs durch und zeigen bei Audits Verantwortung. In der Übung lernen Sie, ein lebendiges Dokument statt eines einmaligen Compliance-Artefakts zu erstellen.

What You'll Learn in Datenzuordnung und Verarbeitungsaufzeichnungen

Führen Sie abteilungsübergreifende Datenzuordnungsinterviews durch, um alle Aktivitäten zur Verarbeitung personenbezogener Daten zu ermitteln
Erstellen Sie Artikel 30(1)-konforme Aufzeichnungen, die Zwecke, Datenkategorien, Empfänger, Übermittlungen und Aufbewahrung dokumentieren
Ordnen Sie Datenflüsse zwischen internen Systemen und externen Prozessoren zu, um undokumentierte Weitergabe zu identifizieren
Richten Sie einen Wartungsprozess ein, der die Aufzeichnungen der Verarbeitungsaktivitäten bei Systemänderungen auf dem neuesten Stand hält
Nutzen Sie das Verarbeitungsregister als operatives Tool, das DSAR-Antworten, DPIAs und Prüfungsvorbereitung beschleunigt

Datenzuordnung und Verarbeitungsaufzeichnungen — Training Steps

Einführung

Als Gesundheitsorganisation, die sensible Patientendaten verarbeitet, ist die Führung genauer Aufzeichnungen über Verarbeitungsaktivitäten nicht optional – sie ist eine gesetzliche Anforderung gemäß Artikel 30 der DSGVO. Heute beginnt Ihr jährlicher ROPA-Review. Die Aufsichtsbehörde hat eine verstärkte Kontrolle von Gesundheitsorganisationen angekündigt und Sie müssen sicherstellen, dass jede Verarbeitungsaktivität ordnungsgemäß dokumentiert wird.
Artikel 30 Anforderungen

Gemäß Artikel 30 der DSGVO müssen Verantwortliche schriftliche Aufzeichnungen führen, die Folgendes enthalten: Name und Kontaktdaten des Verantwortlichen Zwecke der Verarbeitung Kategorien betroffener Personen und personenbezogener Daten Kategorien von Empfängern Übermittlungen in Drittländer (falls vorhanden) Aufbewahrungsfristen Technische und organisatorische Sicherheitsmaßnahmen Gesundheitsdaten erhöhen die Komplexität – Sie müssen auch Rechtsgrundlagen dokumentieren zur Verarbeitung von Gesundheitsdaten besonderer Kategorie gemäß Artikel 9.
Öffnen des Datenflussdiagramms

Sie öffnen das Data Governance Portal, um auf das Datenflussdiagramm-Tool zuzugreifen. Dieses Portal ermöglicht Ihnen die Visualisierung aller Datenverarbeitungsaktivitäten bei Meridian Healthcare – jedes System, das personenbezogene Daten verarbeitet, den Datenfluss zwischen ihnen und die Rechtsgrundlage für jede Verarbeitungsaktivität.
Das Diagramm verstehen

Das Datenflussdiagramm zeigt alle an der Verarbeitung personenbezogener Daten bei Meridian Healthcare beteiligten Stellen. Jeder Knoten repräsentiert ein System, eine Person oder eine Organisation. Die Linien zwischen den Knoten zeigen, wie Daten fließen. Unterschiedliche Farben kennzeichnen unterschiedliche Arten von Entitäten: Blau – betroffene Personen (Patienten) Grün – Verantwortliche (Ihre Systeme) Orange – Auftragsverarbeiter (Dritte, die in Ihrem Namen handeln) Lila – Dritte (unabhängige Empfänger)
Identifizierung der betroffenen Person

Jeder ROPA-Eintrag beginnt mit der Identifizierung der betroffenen Personen. Im Gesundheitswesen sind Patienten die primären Datensubjekte. Sie müssen dokumentieren, welche Kategorien personenbezogener Daten Sie von ihnen sammeln, und sicherstellen, dass Sie für jede Kategorie über eine gültige Rechtsgrundlage verfügen.
Patientendatenkategorien

Der Patientenknoten zeigt die Kategorien der erfassten personenbezogenen Daten an: Identitätsdaten (Name, Geburtsdatum, Personalausweis) Kontaktdaten (Adresse, Telefon, E-Mail) Gesundheitsakten – Daten besonderer Kategorien Versicherungsinformationen Gesundheitsakten erfordern eine bestimmte Rechtsgrundlage gemäß Artikel 9 – eine Standardeinwilligung oder ein berechtigtes Interesse reichen für Daten besonderer Kategorien nicht aus.
Verfolgung der Datenerfassung

Sie müssen dokumentieren, wie Patientendaten in Ihre Organisation gelangen. Es gibt zwei primäre Sammelstellen: das Patientenportal für die Registrierung und Einwilligung und die direkte klinische Aufnahme für Gesundheitsakten. Jeder Einstiegspunkt benötigt eine dokumentierte Rechtsgrundlage und einen dokumentierten Zweck.
Dokumentation der Patientenregistrierung

Die erste zu dokumentierende Verarbeitungsaktivität ist die Patientenregistrierung. Wenn Patienten über das Portal Konten erstellen, erfassen Sie Identitäts- und Kontaktdaten und erfassen ihre Einwilligungspräferenzen. Die rechtlichen Grundlagen sind: Einwilligung – für Marketingkommunikation Vertrag – für die Leistungserbringung Aufbewahrung: Dauer der Patientenbeziehung plus 10 Jahre für Krankenaktenpflichten.
Hervorheben der Registrierungsaktivität

Die Verarbeitungsaktivität „Patientenregistrierung“ ist jetzt hervorgehoben. Dies ist ein wichtiger ROPA-Eintrag, da er die Einwilligungsdatensätze erstellt, die die nachgelagerte Verarbeitung unterstützen. Ohne ordnungsgemäße Registrierungsunterlagen können Sie nicht nachweisen, dass eine gültige Einwilligung eingeholt wurde.
Klinische Pflegeverarbeitung

Die zentrale Verarbeitungstätigkeit in jeder Gesundheitsorganisation ist die Bereitstellung klinischer Versorgung. Hierbei handelt es sich um die Verarbeitung spezieller Gesundheitsdaten – Diagnosen, Behandlungen, Rezepte und klinische Notizen. Rechtsgrundlage ist die medizinische Notwendigkeit gemäß Artikel 9 Absatz 2 Buchstabe h, der die für die medizinische Diagnose oder Behandlung erforderliche Verarbeitung zulässt.

What Is Datenzuordnung und Verarbeitungsaufzeichnungen?

What You'll Learn in Datenzuordnung und Verarbeitungsaufzeichnungen

Datenzuordnung und Verarbeitungsaufzeichnungen — Training Steps

Einführung

Artikel 30 Anforderungen

Öffnen des Datenflussdiagramms

Das Diagramm verstehen

Identifizierung der betroffenen Person

Patientendatenkategorien

Verfolgung der Datenerfassung

Dokumentation der Patientenregistrierung

Hervorheben der Registrierungsaktivität

Klinische Pflegeverarbeitung