DSGVO-konforme Prozessdokumentation: Schritt für Schritt
Art. 30 verlangt ein Verzeichnis der Verarbeitungstätigkeiten. Wie du DSGVO-Prozesse mit BPMN dokumentierst und Audits bestehst.
Warum Prozessdokumentation zur DSGVO-Pflicht wird
Art. 30 DSGVO verpflichtet jede Organisation mit mehr als 250 Mitarbeitern, ein Verzeichnis der Verarbeitungstätigkeiten (VVT) zu führen. Bei sensiblen Daten gilt die Pflicht auch darunter. Art. 17 regelt das Recht auf Löschung. Art. 5 Abs. 2 enthält die Rechenschaftspflicht: Du musst DSGVO-Konformität nicht nur leben, sondern belegen können.
Seit 2025 nehmen unangekündigte Kontrollen durch Aufsichtsbehörden zu. Wer auf Excel-Listen und veraltete Word-Dokumente verweist, hat ein Problem. Ein BPMN-Diagramm zeigt auf einen Blick, welche Daten wohin fließen, wer Zugriff hat und wann gelöscht wird.
Was ein DSGVO-konformes Prozessdiagramm enthalten muss
Der 5-Schritte-Ansatz
Schritt 1-2: Inventar und Datenflüsse
Liste alle Prozesse mit personenbezogenen Daten auf (typisch 30-50 Verarbeitungstätigkeiten). Formuliere dann jeden Datenfluss in natürlicher Sprache: “Wenn ein Kunde ein Support-Ticket eröffnet, erfasst der First-Level-Support Name, E-Mail und Problembeschreibung.”
Schritt 3: BPMN-Diagramm generieren
Aus der Beschreibung generierst du ein BPMN-Diagramm. Die KI erkennt Akteure (Swimlanes), Entscheidungspunkte (Gateways) und Zeitabhängigkeiten (Timer-Events). Das Ergebnis besprichst du mit dem Fachbereich und dem Datenschutzbeauftragten.
Schritt 4: Löschprozesse ergänzen
Ergänze konkrete Fristen im Diagramm. Ein typisches Pattern: Nach Ablauf der Aufbewahrungsfrist startet ein Lösch-Sub-Prozess, der die Löschung in allen Systemen dokumentiert.
Schritt 5: Review-Zyklus
Jedes Diagramm wird mindestens jährlich geprüft und bei Änderungen sofort aktualisiert. Versionierung hält den Audit-Trail lückenlos.
Häufige Fehler in der Praxis
Warum ein europäisches Tool wichtig ist
DSGVO-konforme Prozessdokumentation auf einem Server außerhalb der EU ist ein Widerspruch. Procevia hostet alle Daten in der EU (AWS Paris). Die KI-Verarbeitung läuft über Mistral AI, ebenfalls in Paris. Keine Drittlandübermittlung, kein KI-Training mit Nutzerdaten. Details im Trust Center.
Praxis-Beispiel: Löschanfrage nach Art. 17
Ergebnis: Ein BPMN-Diagramm mit vier Swimlanes (Nutzer, DSB, Fachbereich, IT), zwei Exclusive Gateways und einem klaren Sequenzfluss. Exportiert als PDF ist es ein auditierbares Dokument.
Nächster Schritt
Probiere es mit deinem eigenen Datenschutzprozess. Im kostenlosen Free-Plan kannst du sofort starten. Wer die BPMN-Notation besser verstehen will, liest den BPMN Symbole Guide.
Jordanis Kleinöder Stafidis ist Gründer und Geschäftsführer der Procevia GmbH. Als ISO 27001 Lead Auditor verbindet er Informationssicherheit mit praxistauglicher Prozessdokumentation.