IT- / Datenschutzrecht
ROPA nach Art. 30 DSGVO
anymize entfernt Mandanten-, Sub-Prozessor- und Mitarbeiter-Klarnamen sowie System- und Produktbezeichnungen automatisch aus dem Verzeichnis-Skelett, bevor es an GPT, Claude oder Gemini geht — und setzt sie nach der KI-Antwort wieder ein. So strukturieren Sie ein Art.-30-DSGVO-Verzeichnis von Verarbeitungstätigkeiten mit Subprozessor-Kette, Drittlandtransfer-Aufstellung und behördentauglicher Vorlage-Form, ohne § 43a BRAO oder § 203 StGB zu berühren.
Schwierigkeit: Fortgeschritten · Datenklasse: Mandantendaten · Letztes Review:
Zur Orientierung gedacht. Die anwaltliche Würdigung im Einzelfall bleibt selbstverständlich bei Ihnen — KI-Outputs sind vor jeder Verwendung zu prüfen. Mehr dazu am Ende.
Anwendungsbereich
Worum geht es hier?
Das Verzeichnis von Verarbeitungstätigkeiten (ROPA) ist die Pflicht-Dokumentation jedes Verantwortlichen und jedes Auftragsverarbeiters mit grundsätzlich mehr als 250 Beschäftigten — und bei jeder regelmäßigen Verarbeitung, jeder Art.-9-Datenverarbeitung und jeder Verarbeitung mit Risiko bereits darunter. Die acht Pflichtinhalte nach Art. 30 Abs. 1 für Verantwortliche und die sechs Pflichtinhalte nach Art. 30 Abs. 2 für Auftragsverarbeiter sind nicht verhandelbar. Wer ein ROPA-Skelett für einen Mandanten mit zehn bis dreißig Verarbeitungstätigkeiten manuell strukturiert, sitzt 6–12 Stunden am Tabellen-Setup. Mit anymize geht die pseudonymisierte Prozessbeschreibung an ein Frontier-Modell — Mandantenname, System- und Produktbezeichnungen, Sub-Prozessor-Identitäten verlassen das Haus nicht. Die juristische Einordnung der Rechtsgrundlagen (Art. 6, Art. 9), die Risiko-Klassifikation und die Vorlage-Strategie gegenüber der Aufsichtsbehörde bleiben anwaltliche Eigenleistung.
Für wen passt das?
Zielgruppe und Kontext
- Rolle
- Fachanwält:in für IT-Recht; externe:r Datenschutzbeauftragte:r mit anwaltlicher Beratungsfunktion; Inhouse-DSB bei Mandanten-Unternehmen ab 250 Beschäftigten; Compliance-orientierte:r Allround-Anwält:in bei KMU-Mandantschaft.
- Seniorität
- Berufserfahrung mittel — die ROPA-Strukturierung ist Routinetätigkeit, braucht aber bei Auftragsverarbeiter-ROPA mit Subprozessor-Kette, Drittlandtransfer-Anteil und Art.-9-Verarbeitungen den geübten Blick auf die Pflichtinhalte und auf die Vorlagepflicht nach Art. 30 Abs. 4.
- Kanzleigröße
- Einzelkanzlei mit Datenschutz-Fokus bis Großkanzlei mit Compliance-Praxis; Inhouse-DSB-Teams bei Mandanten-Konzernen. Der Effizienz-Hebel rechnet sich besonders beim Erst-Setup eines ROPA mit zehn bis dreißig Verarbeitungstätigkeiten oder bei der jährlichen Aktualisierung.
- Spezifische Kontexte
- Erstmaliges ROPA-Setup beim Mandanten (Aufsichtsbehörde-Anfrage, ISO-27001-Audit, Konzern-Akquisition); jährliche Pflicht-Aktualisierung des Verzeichnisses; Aufnahme einer neuen Verarbeitungstätigkeit (KI-Tool, Cloud-Migration, neue Kunden-Plattform); Zusammenführung der Verarbeitungsverzeichnisse mehrerer Konzerngesellschaften.
Die Situation in der Kanzlei
So bringen Sie Tempo und Sorgfalt zusammen
Art. 30 DSGVO ist nicht verhandelbar — und doch chronisch unter-dokumentiert. Die acht Pflichtinhalte nach Abs. 1 (Name und Kontaktdaten, Zwecke, Kategorien Betroffener und Daten, Empfänger, Drittlandtransfer, Löschfristen, TOMs) und die sechs Pflichtinhalte nach Abs. 2 für Auftragsverarbeiter werden in der Praxis oft unvollständig oder nicht konsistent erfasst. Aufsichtsbehörden ziehen nach Art. 30 Abs. 4 das Verzeichnis als ersten Schritt an. Wer ein ROPA-Skelett mit zehn bis dreißig Verarbeitungstätigkeiten manuell strukturiert, sitzt 6–12 Stunden am Tabellen-Setup. Wer ChatGPT oder Claude direkt nutzen würde, kommt in Minuten zur Struktur — verletzt aber § 43a BRAO und § 203 StGB, sobald Mandantenname, System- und Produktbezeichnungen sowie Sub-Prozessor-Identitäten das Haus verlassen. anymize löst genau diesen Konflikt: Mandantenname, Produkt- und System-Bezeichnungen, Sub-Prozessor-Identitäten und beteiligte Mitarbeitende werden vor dem KI-Aufruf zu Platzhaltern; die KI-Antwort kommt strukturiert zurück, anymize re-identifiziert. Die juristische Einordnung der Rechtsgrundlagen, die Art.-9-Ausnahmegrund-Prüfung und die TOMs-Würdigung bleiben anwaltliche Eigenleistung.
Was Sie davon haben
Zeit, Wert, Vertraulichkeit
Zeit pro ROPA-Skelett
~6 Std
Frontier-KI strukturiert die acht bzw. sechs Pflichtinhalte für zehn bis dreißig Verarbeitungstätigkeiten in unter 20 Minuten. Anwaltliche Rechtsgrundlagen-Prüfung und TOMs-Würdigung kommen wie gewohnt obendrauf.
Mehrwert pro ROPA
€ 1.200–2.400
Stundensatz IT-Recht (€ 250–450/h) angewandt auf 6 Stunden freigespielte Strukturierungs-Zeit. Bei Pauschal-Honorar für ROPA-Erstellung wird der Hebel zum Marge- und Durchsatz-Gewinn.
Vertraulichkeit
strukturell
anymize entfernt 40+ Kategorien personenbezogener Daten — Mandantenname, System- und Produktbezeichnungen, Sub-Prozessor-Identitäten, Mitarbeitende, IBANs — bevor der Text das Haus verlässt.
Erkennungsrate
>95 %
Dreifach geprüft (Algorithmus + zwei spezialisierte KI-Prüfungen). Restmenge kontrollieren Sie im Vorschau-Modus vor dem KI-Aufruf.
So gehen Sie vor
In 5 Schritten zum Antrag
Mandatskontext klären: Verantwortlicher- oder Auftragsverarbeiter-ROPA? Art.-30-Abs.-5-Ausnahme einschlägig (unter 250 Beschäftigte, keine Regel-Verarbeitung, kein Risiko, keine Art.-9-Daten)? Erfassen Sie alle bekannten Verarbeitungstätigkeiten — HR-Stammdaten, Lohnabrechnung, Kunden-CRM, Newsletter, Web-Tracking, Bewerberverwaltung, Auftragsverarbeitungs-Beziehungen — und kategorisieren Sie nach Geschäftsbereichen.
Sie
Art. 30 Abs. 1/2/5 Pflicht-Check
anymize anonymisiert automatisch. Über 40 Kategorien personenbezogener Daten — Mandantenname, Produkt- und System-Bezeichnungen, Sub-Prozessor-Identitäten, Abteilungs-Bezeichner, Mitarbeitende, IBANs — werden durch semantische Platzhalter ersetzt. Sie sehen die Vorschau vor dem KI-Aufruf. Bei Sub-Prozessor-Listen mit zehn oder mehr Einträgen empfehlen wir, einmal komplett zu prüfen.
anymize
§ 43a BRAO Verschwiegenheit · § 203 StGB
Frontier-KI strukturiert. Die pseudonymisierten Prozessbeschreibungen gehen an Ihr gewähltes Modell — GPT, Claude oder Gemini, alle in anymize verfügbar. Mit dem unten stehenden Prompt fragen Sie pro Verarbeitungstätigkeit die acht Pflichtinhalte nach Art. 30 Abs. 1 (bzw. die sechs nach Abs. 2 bei Auftragsverarbeiter-ROPA) als Tabellen-Eintrag ab, ergänzt um die Subprozessor-Kette und die Drittlandtransfer-Aufstellung.
GPT / Claude / Gemini in anymize
Strukturierung in Minuten
anymize re-identifiziert. Die KI-Antwort kommt mit Platzhaltern zurück; anymize setzt automatisch die Originaldaten wieder ein. Sie erhalten ein ROPA-Skelett, das Sie anwaltlich würdigen: Rechtsgrundlagen-Prüfung (Art. 6, Art. 9 Abs. 2 lit. a–j), TOMs-Plausibilität gegen DSK-OH Juni 2025, Drittlandtransfer-Plausibilität (SCC-Modul, TIA-Verweis), Vorlage-Strategie gegenüber der Aufsichtsbehörde.
anymize + Sie
Bidirektionale Anonymisierung · anwaltliche Wertung
Mandanten-Vorlage, DSB-Stellungnahme und Vorlage-Bereitschaft für die Aufsichtsbehörde. Das ROPA wird als lebendiges Dokument geführt — Sie vereinbaren mit der Mandantschaft den Aktualisierungs-Rhythmus (mindestens jährlich; bei wesentlichen Änderungen anlassbezogen). Bei Aufsichtsbehörden-Anfrage nach Art. 30 Abs. 4 kommt das ROPA in Vorlage-Form zum Einsatz.
Sie
Art. 30 Abs. 4 DSGVO · Rechenschaftspflicht Art. 5 Abs. 2
Womit Sie arbeiten
So setzen Sie anymize konkret ein
Was anymize tut
- Erkennt 40+ Kategorien personenbezogener Daten — Mandantenname, Produkt- und System-Bezeichnungen, Sub-Prozessor-Identitäten, Abteilungs-Bezeichner, Mitarbeitende, IBANs — mit über 95 % Erkennungsrate.
- Dreistufige Prüfung: Algorithmische Analyse, dann zwei spezialisierte KI-Prüfungen, die auch Kontext berücksichtigen (z. B. interne Abteilungs-Codes vs. allgemeine Begriffe).
- Bidirektionale Anonymisierung: Platzhalter werden eingesetzt, das Frontier-Modell antwortet mit Kontext, anymize re-identifiziert beim Empfang.
- Daten in deutschen Rechenzentren (Hetzner). Originaldokumente werden nicht gespeichert — nur die Zuordnung Platzhalter ↔ Klarname, mit Aufbewahrungsfrist nach Ihrer Wahl von 24 Stunden bis unbegrenzt.
Was Sie als Anwält:in tun
- Pflicht-Check Art. 30 Abs. 1/2/5 — gilt die Ausnahme nach Abs. 5 oder ist das ROPA Pflicht?
- Vorschau der Anonymisierung sichten — bei Sub-Prozessor-Listen mit zehn oder mehr Einträgen empfehlen wir, einmal komplett zu prüfen.
- Rechtsgrundlagen-Prüfung anwaltlich verantworten — die präzise Auswahl Art. 6 Abs. 1 lit. a–f bzw. Art. 9 Abs. 2 lit. a–j ist nicht KI-delegierbar.
- TOMs-Plausibilität gegen DSK-OH Juni 2025 würdigen — die KI listet die TOMs-Beschreibung, die Bewertung der Angemessenheit (Art. 32) bleibt anwaltlich.
- Vorlage-Strategie für die Aufsichtsbehörde abstimmen — Format, Detailtiefe, Begleitschreiben.
Daten-Input
Prozessbeschreibungen je Verarbeitungstätigkeit (Klartext, Word, Markdown), bestehende Verfahrensverzeichnisse (oft als Excel), Sub-Prozessor-Listen, AVV-Übersichten, DSB-Kontaktdaten und ggf. Drittland-Übersicht. anymize akzeptiert PDFs, Word-Dokumente, Markdown und Klartext.
Output-Kontrolle
Pseudonymisierter Text geht an die KI. Re-identifiziertes ROPA-Skelett kommt zurück. anymize selbst trifft keine inhaltlichen Aussagen — die Strukturierung leistet das Frontier-Modell, die Rechtsgrundlagen- und TOMs-Würdigung machen Sie.
Freigabeprozess
Sie behalten jederzeit die Hoheit: Pflicht-Check, Sichtung der Anonymisierung, Rechtsgrundlagen-Wertung, TOMs-Würdigung, Vorlage-Strategie — alles im üblichen Kanzlei-Workflow. anymize ist der Anonymisierungs-Layer, keine Workflow-Software und kein Ersatz für die anwaltliche Wertung.
Die KI-Anweisung
Prompt zum Kopieren
So nutzen Sie diesen Prompt:
1. Prozessbeschreibungen, bestehende Verfahrensverzeichnisse und Sub-Prozessor-Listen in anymize einfügen — die Anonymisierung läuft automatisch (Mandantenname, Produkt- und System-Bezeichnungen, Sub-Prozessor-Identitäten werden zu Platzhaltern).
2. Diesen Prompt kopieren und an die Prozessbeschreibungen anhängen.
3. In anymize unter „Tools → Reasoning“ auf „Thinking-Modus“ stellen, dann KI-Aufruf starten — der Output kommt re-identifiziert zurück.
4. Die mit [ANWALT-PRUEFUNG] und [SACHVERHALTS-KLAERUNG] markierten Stellen anwaltlich abarbeiten.
# Rolle
Du bist ROPA-Strukturierungs-Assistenz für eine IT-/Datenschutzrechts-Kanzlei.
Rechtsstand: <heutiges Datum — bitte aktuell ermitteln und hier einsetzen>.
# Aufgabe
Strukturiere für die vorgelegten Verarbeitungstätigkeiten ein
Verzeichnis nach Art. 30 DSGVO. Liefere zwei Abschnitte:
(1) Verantwortlicher-ROPA mit den acht Pflichtinhalten nach Abs. 1
und (2) Auftragsverarbeiter-ROPA mit den sechs Pflichtinhalten nach
Abs. 2 — sofern der Sachverhalt beide Rollen erfasst.
Liefere ein ROPA-Skelett in Vorlage-Form. Die anwaltliche Auswahl
der Rechtsgrundlage (Art. 6 Abs. 1 lit. a–f, Art. 9 Abs. 2 lit. a–j),
die TOMs-Angemessenheits-Bewertung und die Vorlage-Strategie sind
NICHT deine Aufgabe — markiere die entsprechenden Stellen mit
[ANWALT-PRUEFUNG].
# Inhalt
## Abschnitt 1 — Verantwortlicher-ROPA (Art. 30 Abs. 1)
Pro Verarbeitungstätigkeit eine Zeile mit folgenden Spalten:
1. Name der Verarbeitungstätigkeit
2. Name und Kontaktdaten Verantwortlicher (sowie ggf. gemeinsam
Verantwortliche / Vertreter / Datenschutzbeauftragter)
3. Zwecke der Verarbeitung
4. Kategorien betroffener Personen
5. Kategorien personenbezogener Daten (Art.-9-Daten gesondert markieren)
6. Rechtsgrundlage [ANWALT-PRUEFUNG — Art. 6 Abs. 1 lit. a–f /
bei Art.-9-Daten zusätzlich Art. 9 Abs. 2 lit. a–j]
7. Kategorien Empfänger (intern, extern, Auftragsverarbeiter,
öffentliche Stellen)
8. Drittlandtransfer (Drittland, SCC-Modul, TIA-Verweis,
ggf. EU-US-DPF — Status [ANWALT-PRUEFUNG])
9. Vorgesehene Löschfristen (Rohdaten, abgeleitete Daten)
10. Allgemeine Beschreibung der TOMs nach Art. 32 DSGVO
[ANWALT-PRUEFUNG — Angemessenheit nach DSK-OH Juni 2025]
## Abschnitt 2 — Auftragsverarbeiter-ROPA (Art. 30 Abs. 2)
Pro Auftragsverarbeitungs-Beziehung eine Zeile mit folgenden Spalten:
1. Name und Kontaktdaten Auftragsverarbeiter
2. Name und Kontaktdaten der Verantwortlichen, in deren Auftrag
verarbeitet wird (sowie Vertreter / DSB)
3. Kategorien von Verarbeitungen im Auftrag
4. Drittlandtransfer einschließlich Subprozessor-Kette
(Subprozessor-Name, Sitz, SCC-Modul, TIA-Verweis)
5. Allgemeine Beschreibung der TOMs nach Art. 32 DSGVO
6. Ggf. Hinweis auf Konzerngesellschafts-Strukturen
## Abschnitt 3 — Subprozessor-Kette
Tabelle mit Spalten: Auftragsverarbeiter | Subprozessor |
Sitz Drittland? | SCC-Modul | TIA vorhanden? | DPF-Status
[ANWALT-PRUEFUNG]
## Abschnitt 4 — Drittlandtransfer-Aufstellung
Tabelle mit Spalten: Verarbeitungstätigkeit | Empfänger |
Drittland | Rechtsgrundlage Transfer (Art. 45 / 46 / 49) |
Garantien (SCC, BCR, andere) | TIA dokumentiert?
[ANWALT-PRUEFUNG bei jeder Spalte mit DPF-Bezug]
## Abschnitt 5 — Vorlage-Bereitschaft Art. 30 Abs. 4
Hinweis auf Format und Detailtiefe für die Vorlage gegenüber der
Aufsichtsbehörde. Konkrete Vorlage-Strategie [ANWALT-PRUEFUNG].
# Format
Markdown. Tabellen für jeden Abschnitt. Wo Sachverhalt unklar:
Spalte "nicht erfasst" eintragen und [SACHVERHALTS-KLAERUNG]
markieren.
# Verbote
KEINE eigenständige Auswahl der Rechtsgrundlage.
KEINE TOMs-Angemessenheits-Bewertung.
KEINE DPF-Status-Behauptung ohne [ANWALT-PRUEFUNG].
KEINE Hochrechnung von "wahrscheinlichen" Verarbeitungstätigkeiten,
die der Sachverhalt nicht trägt.
KEINE Bezugnahme auf KI-Modell-Versionen oder Hersteller-Marketing.So sieht der Sachverhalt aus
Pseudonymisierter Eingabetext
Mandant (Verantwortlicher):
[[Unternehmensname-9a1c]], ca. 420 Beschäftigte,
Hauptsitz [[Adresse-9a1c]].
Datenschutzbeauftragter: [[Vorname-3f5d]] [[Nachname-3f5d]],
Kontakt [[Email-3f5d]].
Erfasste Verarbeitungstätigkeiten:
VT-01 — Personal-Stammdatenverwaltung
Zwecke: Lohnabrechnung, Sozialversicherungs-Meldungen, Personalakte.
Betroffene: Beschäftigte, ausgeschiedene Beschäftigte.
Daten: Stamm-, Vergütungs-, Sozialversicherungs-, Kontaktdaten,
Bankverbindungen ([[IBAN-9a1c]]).
System: HR-Plattform [[Produktname-7c2b]] (EU-Tenant).
Auftragsverarbeiter: [[Unternehmensname-7c2b]].
Drittlandtransfer: keiner bekannt.
Löschfristen: 10 Jahre nach Beendigung Beschäftigungsverhältnis
(§ 257 HGB / § 147 AO).
VT-02 — Bewerberverwaltung
Zwecke: Auswahl und Abschluss von Arbeitsverhältnissen.
Betroffene: Bewerbende.
Daten: Lebenslauf, Zeugnisse, Notizen aus Interview.
System: ATS-Plattform [[Produktname-ee0a]].
Auftragsverarbeiter: [[Unternehmensname-ee0a]] mit Sitz USA.
Drittlandtransfer: ja, SCC-Modul 2 vereinbart.
Löschfristen: 6 Monate nach Absage; bei Einwilligung in
Talent-Pool 24 Monate.
VT-03 — Kunden-CRM
Zwecke: Auftragsabwicklung, Service, Marketing-Kontakte.
Betroffene: Geschäftskunden-Ansprechpartner, Privatkunden.
Daten: Stamm-, Bestell-, Kommunikationsdaten.
System: CRM-Plattform [[Produktname-2d4f]].
Auftragsverarbeiter: [[Unternehmensname-2d4f]].
Subprozessor: [[Unternehmensname-4e7b]] (E-Mail-Versand,
Sitz EU).
Drittlandtransfer: keiner bekannt.
Löschfristen: 3 Jahre nach letztem Kundenkontakt;
handelsrechtliche und steuerliche Aufbewahrungsfristen
gehen vor.
VT-04 — Web-Tracking und Online-Marketing
Zwecke: Reichweiten-Analyse, Conversion-Tracking.
Betroffene: Website-Besuchende.
Daten: IP-Adressen, Cookie-IDs, Geräte-Fingerprints.
System: [[Produktname-b8c2]] (US-Anbieter).
Auftragsverarbeiter: [[Unternehmensname-b8c2]] mit Sitz USA.
Drittlandtransfer: ja, SCC-Modul 2 vereinbart.
Rechtsgrundlage: Einwilligung über Consent-Banner
(Art. 6 Abs. 1 lit. a DSGVO; § 25 TDDDG).
Löschfristen: 14 Monate.
Mandant (zusätzlich Auftragsverarbeiter-Rolle):
Bietet seinen Kunden ein gehostetes Portal [[Produktname-1d3e]].
Subprozessoren:
- [[Unternehmensname-7c2b]] (Hosting, Sitz EU)
- [[Unternehmensname-5a91]] (Backup-Storage, Sitz USA,
EU-US-DPF zertifiziert per Selbstauskunft)
Auftragsdaten: Stamm- und Bewegungsdaten der Endkunden
von Mandant-Kunden.So liefert anymize zurück
Der Antrags-Entwurf
# ROPA — Verzeichnis von Verarbeitungstätigkeiten
## Abschnitt 1 — Verantwortlicher-ROPA (Art. 30 Abs. 1)
| Nr. | Name VT | Verantwortlicher / DSB | Zwecke | Betroffene | Daten (Art. 9?) | Rechtsgrundlage | Empfänger | Drittland | Löschfrist | TOMs |
|---|---|---|---|---|---|---|---|---|---|---|
| VT-01 | Personal-Stammdaten | [[Unternehmensname-9a1c]] / DSB [[Vorname-3f5d]] [[Nachname-3f5d]] | Lohnabrechnung, SV-Meldung, Personalakte | Beschäftigte, Ausgeschiedene | Stamm-, Vergütungs-, SV-, Kontoverbindung; keine Art. 9 erkennbar | [ANWALT-PRUEFUNG] § 26 BDSG i. V. m. Art. 6 Abs. 1 lit. b/c DSGVO | HR-AV [[Unternehmensname-7c2b]] | keiner | 10 Jahre (§ 257 HGB / § 147 AO) | Standard-TOMs nach DSK-OH Juni 2025 [ANWALT-PRUEFUNG] |
| VT-02 | Bewerberverwaltung | [[Unternehmensname-9a1c]] / DSB wie oben | Auswahl Arbeitsverhältnis | Bewerbende | Lebenslauf, Zeugnisse, Interview-Notizen | [ANWALT-PRUEFUNG] § 26 BDSG / Art. 6 Abs. 1 lit. b DSGVO; Talent-Pool lit. a | ATS-AV [[Unternehmensname-ee0a]] | USA — SCC-Modul 2; TIA [ANWALT-PRUEFUNG] | 6 Monate / 24 Monate Talent-Pool | TOMs [ANWALT-PRUEFUNG] |
| VT-03 | Kunden-CRM | [[Unternehmensname-9a1c]] / DSB wie oben | Auftrag, Service, Marketing | Geschäfts- und Privatkunden | Stamm-, Bestell-, Kommunikation | [ANWALT-PRUEFUNG] Art. 6 Abs. 1 lit. b/f DSGVO | CRM-AV [[Unternehmensname-2d4f]]; Sub-AV [[Unternehmensname-4e7b]] | keiner | 3 Jahre; HGB/AO-Aufbewahrung geht vor | TOMs [ANWALT-PRUEFUNG] |
| VT-04 | Web-Tracking | [[Unternehmensname-9a1c]] / DSB wie oben | Reichweite, Conversion | Website-Besuchende | IP, Cookie-IDs, Fingerprints | Art. 6 Abs. 1 lit. a DSGVO; § 25 TDDDG-Einwilligung [ANWALT-PRUEFUNG Consent-Banner-Qualität] | Tracking-AV [[Unternehmensname-b8c2]] | USA — SCC-Modul 2; TIA und DPF-Status [ANWALT-PRUEFUNG] | 14 Monate | TOMs [ANWALT-PRUEFUNG] |
## Abschnitt 2 — Auftragsverarbeiter-ROPA (Art. 30 Abs. 2)
| Nr. | Name AV | Verantwortlicher (im Auftrag) / DSB | Kategorien Verarbeitungen | Drittland-Übersicht | TOMs |
|---|---|---|---|---|---|
| AV-01 | [[Unternehmensname-9a1c]] (Portal-Hosting für Kunden) | Mandant-Kunden (Verantwortliche) / DSB der Mandant-Kunden | Stamm- und Bewegungsdaten der Endkunden | siehe Subprozessor-Kette unten | Standard-TOMs nach DSK-OH Juni 2025 [ANWALT-PRUEFUNG] |
## Abschnitt 3 — Subprozessor-Kette
| Auftragsverarbeiter | Subprozessor | Sitz Drittland? | SCC-Modul | TIA vorhanden? | DPF-Status |
|---|---|---|---|---|---|
| [[Unternehmensname-9a1c]] (AV-01) | [[Unternehmensname-7c2b]] (Hosting) | EU | n. erf. | n. erf. | n. erf. |
| [[Unternehmensname-9a1c]] (AV-01) | [[Unternehmensname-5a91]] (Backup-Storage) | USA | Modul 3 | [ANWALT-PRUEFUNG] — keine TIA dokumentiert im Sachverhalt | Selbstauskunft DPF — [ANWALT-PRUEFUNG] gegen Verzeichnis prüfen |
| [[Unternehmensname-2d4f]] (CRM-AV) | [[Unternehmensname-4e7b]] (E-Mail-Versand) | EU | n. erf. | n. erf. | n. erf. |
## Abschnitt 4 — Drittlandtransfer-Aufstellung
| VT | Empfänger | Drittland | Rechtsgrundlage Transfer | Garantien | TIA dokumentiert? |
|---|---|---|---|---|---|
| VT-02 | [[Unternehmensname-ee0a]] | USA | Art. 46 Abs. 2 lit. c DSGVO | SCC-Modul 2 | [ANWALT-PRUEFUNG] |
| VT-04 | [[Unternehmensname-b8c2]] | USA | Art. 46 Abs. 2 lit. c DSGVO; DPF-Status zu prüfen | SCC-Modul 2; ggf. Art. 45 (DPF) | [ANWALT-PRUEFUNG] |
| AV-01-Sub | [[Unternehmensname-5a91]] | USA | Art. 46 Abs. 2 lit. c DSGVO; DPF-Status Selbstauskunft | SCC-Modul 3; ggf. Art. 45 (DPF) | [ANWALT-PRUEFUNG] — keine TIA im Sachverhalt |
## Abschnitt 5 — Vorlage-Bereitschaft Art. 30 Abs. 4
Das Verzeichnis ist in elektronischer Form vorzuhalten und der
Aufsichtsbehörde auf Anforderung vorzulegen. Empfehlung: Versions-
und Änderungs-Historie pflegen; Vorlage-Strategie [ANWALT-PRUEFUNG]
auf Vollständigkeit der TOMs-Beschreibung und der TIA-Dokumentation
prüfen, bevor eine Behördenanfrage angenommen wird.
[ANWALT-PRUEFUNG: Auswahl der Rechtsgrundlagen, Bewertung der TOMs-
Angemessenheit nach Art. 32 DSGVO und DPF-Status-Verifikation
erfolgen anwaltlich auf Basis dieser ROPA-Struktur.]Was das Berufsrecht verlangt
Pflichten — und wie anymize sie abdeckt
§ 43a BRAO Verschwiegenheit
Verzeichnisse von Verarbeitungstätigkeiten enthalten Mandanten-interne System- und Prozess-Informationen sowie Subprozessor-Beziehungen. anymize ersetzt 40+ Kategorien personenbezogener Daten durch Platzhalter, bevor irgendein KI-Anbieter den Text sieht. Mandantenname, Produkt- und System-Bezeichnungen, Sub-Prozessor-Identitäten — alles automatisch erkannt mit über 95 % Erkennungsrate.
§ 43e BRAO Auftragsverarbeitung
Sie schließen einen AVV mit anymize ab. Datenverarbeitung ausschließlich in deutschen Rechenzentren (Hetzner). Originaldokumente speichern wir nicht — nur die Zuordnung Platzhalter ↔ Originaldaten, mit Aufbewahrungsfrist nach Ihrer Wahl. Eine erfreuliche Selbstreferenz: Die Kanzlei strukturiert das Mandanten-ROPA mit demselben Werkzeug, das sie selbst nach § 43e BRAO einsetzt — und in das eigene Kanzlei-ROPA aufnimmt.
§ 203 StGB Geheimnisschutz
Indem Mandantenname, Produkt- und System-Bezeichnungen sowie Sub-Prozessor-Identitäten das Haus nicht verlassen, vermeiden Sie das Offenbarungsproblem grundsätzlich. Die anymize-Mitarbeitenden sind nach § 203 belehrt und sehen ohnehin nur die Zuordnungstabelle, nicht den Inhalt der Prozessbeschreibungen.
Art. 30 Abs. 1/2 Pflichtinhalte
Die acht Pflichtinhalte nach Abs. 1 und die sechs nach Abs. 2 sind nicht verhandelbar — sie sind DSGVO-Pflicht. Die KI strukturiert sie, der Anwalt prüft die Vollständigkeit. Häufige Lücken in der Praxis: Drittlandtransfer-Übersicht, TOMs-Beschreibung, Empfänger-Kategorien, ausgeschiedene Beschäftigte als Betroffenen-Kategorie.
Art. 30 Abs. 4 Vorlagepflicht
Die Aufsichtsbehörde kann das Verzeichnis jederzeit anfordern. Ein lückenhaftes oder veraltetes ROPA ist regelmäßig der erste Auslöser eines Aufsichtsverfahrens — und ein Indikator für die Aufsicht, dass die Rechenschaftspflicht (Art. 5 Abs. 2) im Übrigen ebenfalls fragil ist. Die Vorlage-Bereitschaft ist eine eigenständige Compliance-Aufgabe.
Art. 30 Abs. 5 — Ausnahme nur scheinbar
Die Ausnahme für Unternehmen unter 250 Beschäftigten greift nur bei gleichzeitig allen Negativ-Voraussetzungen: keine Regel-Verarbeitung, kein Risiko, keine Art.-9-Daten. In der Praxis greift die Ausnahme für KMU mit Beschäftigten, Kunden-CRM und Web-Tracking faktisch nie. Die KI markiert die Prüfung; die Klassifikation ist anwaltlich.
EU-US-DPF und Selbstauskunft
Eine Selbstauskunft des US-Subprozessors zur DPF-Zertifizierung reicht nicht — die Eintragung im offiziellen DPF-Verzeichnis ist zu verifizieren. Der Status ist seit Juli 2023 in Kraft, aber EuGH-Verfahren und NOYB-Beschwerden machen die Lage volatil. Die KI dokumentiert den Status zum Sachstand des Prompts; die Aktualität prüft die Kanzlei.
Datenschutz und Vertraulichkeit
So funktioniert das mit anymize
Die juristisch entscheidende Frage bei der ROPA-Strukturierung: Sieht der KI-Anbieter den Mandantennamen, die Produkt- und System-Bezeichnungen und die Sub-Prozessor-Identitäten? Antwort mit anymize: nein. Mandantenname, Produkt- und System-Bezeichnungen, Sub-Prozessor-Identitäten, Abteilungs-Bezeichner und beteiligte Mitarbeitende werden vor dem KI-Aufruf durch Platzhalter ersetzt; nach der KI-Antwort identifiziert anymize zurück. Verarbeitung in deutschen Rechenzentren (Hetzner), AVV nach Art. 28 DSGVO und § 43e BRAO ist Teil des Standardvertrags, Originaldokumente werden nicht gespeichert. Rechtsgrundlage Art. 6 Abs. 1 lit. b DSGVO (Mandatsvertrag); bei ROPAs zu Verarbeitungen mit Art.-9-Daten — etwa Gesundheits-Plattformen oder Beschäftigten-Gesundheitsdaten — zusätzlich Art. 9 Abs. 2 lit. f i.V.m. § 43a BRAO. Mandanten-Klarnamen werden aus dem KI-Kontext gehalten, was § 203 StGB strukturell entlastet. Die EDPB Opinion 28/2024 erkennt funktionale Anonymität gegenüber Cloud-Diensten an — anymize setzt diese funktionale Anonymität operativ um.
Was anymize konkret leistet
- Erkennt Mandantenname, Produkt- und System-Bezeichnungen, Sub-Prozessor-Identitäten, Mitarbeitende und IBANs mit über 95 % Genauigkeit.
- Ersetzt sie durch semantische Platzhalter, bevor die Prozessbeschreibungen an GPT, Claude oder Gemini gehen.
- Re-identifiziert die KI-Antwort automatisch — Sie sehen das ROPA-Skelett mit den richtigen Klarnamen zurück.
- Verarbeitung in deutschen Rechenzentren (Hetzner). AVV nach Art. 28 DSGVO mit § 43e BRAO-Erklärung im Standardvertrag.
- Originaldokumente werden nicht gespeichert — nur die Zuordnung Platzhalter ↔ Klarname, mit Aufbewahrungsfrist nach Ihrer Wahl von 24 Stunden bis unbegrenzt.
Sicherheitscheck vor der Einreichung
Was anymize liefert — was Sie souverän entscheiden
Vor dem KI-Aufruf
- Pflicht-Check Art. 30 Abs. 1/2/5 — Verantwortlicher-ROPA, Auftragsverarbeiter-ROPA oder beide?
- Prozessbeschreibungen vollständig — Zwecke, Betroffene, Daten, Empfänger, Drittland, Löschung erfasst?
- Subprozessor-Liste und AVV-Übersichten beigelegt?
- Anonymisierungs-Vorschau gesichtet — Produkt- und System-Identitäten vollständig anonymisiert?
Nach der KI-Antwort
- Re-Identifikation korrekt — alle Platzhalter zurückgesetzt?
- Alle acht Pflichtinhalte Abs. 1 bzw. sechs Pflichtinhalte Abs. 2 je Eintrag erfasst?
- Subprozessor-Kette vollständig und konsistent mit AV-Liste?
- Drittlandtransfer-Aufstellung mit Rechtsgrundlage und Garantien je Empfänger?
- [ANWALT-PRUEFUNG]-Markierungen anwaltlich abgearbeitet?
Vor der Mandanten-Vorlage
- Rechtsgrundlagen-Auswahl je VT anwaltlich verantwortet (Art. 6 / Art. 9 lit. a–j)?
- TOMs-Angemessenheit nach DSK-OH Juni 2025 gewürdigt?
- DPF-Status bei US-Subprozessoren gegen offizielles Verzeichnis verifiziert?
- Aktualisierungs-Rhythmus mit Mandantschaft vereinbart (mindestens jährlich)?
- Vorlage-Strategie für Art.-30-Abs.-4-Anfrage der Aufsicht abgestimmt?
Typische Fehlermuster — und wie anymize gegensteuert
- →KI behauptet eine Verarbeitungstätigkeit sei „nicht meldepflichtig“ — die Pflicht-Frage ist nicht „meldepflichtig“, sondern „im ROPA zu führen“. Begriffsverwechslung zurückweisen.
- →KI wählt eigenständig eine Rechtsgrundlage — der Prompt verbietet das, prüfen Sie die [ANWALT-PRUEFUNG]-Markierung.
- →KI vergisst die Subprozessor-Kette in der Drittlandtransfer-Aufstellung — gerade beim US-Backup-Storage hinter dem EU-Auftragsverarbeiter ist das ein häufiges Lücken-Muster.
- →KI dupliziert Verantwortlicher- und Auftragsverarbeiter-Rolle in einer Zeile — sauber trennen, weil die Pflichtinhalte unterschiedlich sind (Abs. 1 vs. Abs. 2).
- →KI listet TOMs nur als Bullet-Liste ohne Bezug zu DSK-OH Juni 2025 — die TOMs-Bewertung ist anwaltlich zu vertiefen.
Rechtsgrundlagen
Normen, Urteile, Belege
Primärnormen
- Verzeichnis von Verarbeitungstätigkeiten — Abs. 1, 2, 4, 5
- Rechenschaftspflicht
- Rechtmäßigkeit der Verarbeitung — lit. a–f
- Besondere Datenkategorien — Abs. 2 lit. a–j
- Auftragsverarbeitung
- Sicherheit der Verarbeitung — TOMs
- Drittlandtransfer
- Beschäftigtendatenschutz
- Einwilligung Endeinrichtungen — Web-Tracking
Berufsrechtliche Grundlagen
- Anwaltliche Verschwiegenheit
- Auftragsverarbeitung und IT-Auslagerung
- Verletzung von Privatgeheimnissen
Sekundärquellen
- Orientierungshilfe TOMs
- Auslegungspraxis und Aufsichtsbehörden-Erwartung
- AI-Verarbeitung und funktionale Anonymität
- ROPA-Anforderungen und Vorlage-Praxis
- Mandantentransparenz und KI-Einsatz
Stand: · Nächste Überprüfung:
Hinweis zur Nutzung
Zur Orientierung — nicht als Mandatsersatz
Diese Anleitung beschreibt einen Arbeitsablauf, den Sie mit anymize umsetzen können. Sie ist zur Orientierung gedacht und ersetzt weder die anwaltliche Würdigung im Einzelfall noch eine fachanwaltliche Prüfung. Welche Rechtsprechung einschlägig ist, wie der Sachverhalt rechtlich zu bewerten ist, welche Anträge in Ihrem konkreten Mandat richtig sind — das bleibt selbstverständlich bei Ihnen.
KI-Outputs müssen vor jeder Verwendung anwaltlich geprüft werden. Insbesondere Urteils-Aktenzeichen, Norm-Verweise und Fristen sind gegen Primärquellen zu verifizieren. anymize gewährleistet die Vertraulichkeit der Mandantendaten gegenüber dem KI-Anbieter; die fachliche Richtigkeit des Outputs liegt in Ihrer Verantwortung.
Jetzt starten.
14 Tage kostenlos testen.
Alle Modelle. Alle Features. Keine Kreditkarte.
Wir sind überzeugt von anymize. Und wir wissen: Bei einem KI-Werkzeug, das Mandanten-, Patienten- oder Mitarbeiter-Daten berührt, reicht ein Demo-Video nicht. Deshalb 14 Tage voller Zugang – alle Modelle, alle Features, keine Kreditkarte. Genug Zeit, um sicher zu sein, bevor du uns vertraust.
Dein KI-Arbeitsplatz wartet.