Verzeichnis von Verarbeitungstätigkeiten
Vollständige Dokumentation aller Datenverarbeitungen gemäß Art. 30 DSGVO für transparente und rechtskonforme Datenverarbeitung.
Verarbeitungstätigkeiten
Detaillierte Auflistung aller Datenverarbeitungen in der Kanzlei
VVT-001Mandatsbetreuung und Rechtsberatung
Erbringung anwaltlicher Dienstleistungen
Datenkategorien
- Stammdaten (Name, Adresse, Kontaktdaten)
- Vertragsdaten (Mandate, Vereinbarungen)
- Kommunikationsdaten (E-Mails, Briefe, Telefonate)
- Rechtsdokumente (Verträge, Schriftsätze, Urteile)
- Zahlungsdaten (Rechnungen, Bankverbindungen)
Empfänger
- Gerichte und Behörden (bei Vertretung)
- Gegenseite und deren Anwälte
- Sachverständige und Gutachter
- Steuerberater (bei steuerrelevanten Mandaten)
Drittländer
Keine regelmäßige Übermittlung
Speicherdauer
10 Jahre nach Mandatsende (§ 50 BRAO)
Rechtsgrundlage
Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)
Technische Maßnahmen
- Verschlüsselte Datenübertragung (TLS 1.3)
- Passwortgeschützte Systeme
- Firewall und Virenschutz
- Regelmäßige Backups
Organisatorische Maßnahmen
- Anwaltliche Schweigepflicht
- Zugriffskontrolle
- Mitarbeiterschulungen
- Datenschutz-Folgenabschätzung
VVT-002Website-Betrieb und Kontaktformulare
Bereitstellung der Website und Kontaktmöglichkeiten
Datenkategorien
- Kontaktdaten (Name, E-Mail, Telefon)
- Technische Daten (IP-Adresse, Browser, OS)
- Nutzungsdaten (besuchte Seiten, Verweildauer)
- Formularinhalte (Nachrichten, Anfragen)
Empfänger
- Hosting-Provider (Hetzner Online GmbH)
- E-Mail-Provider (Postmark/SMTP)
- Website-Analyse-Tools (Google Analytics)
Drittländer
USA (Google Analytics) - EU-US Data Privacy Framework
Speicherdauer
Kontaktdaten: 3 Jahre, Log-Dateien: 7 Tage
Rechtsgrundlage
Art. 6 Abs. 1 lit. f DSGVO (berechtigte Interessen)
Technische Maßnahmen
- HTTPS-Verschlüsselung
- Content Security Policy
- Rate Limiting
- Bot-Schutz (Honeypot)
Organisatorische Maßnahmen
- Datenschutz by Design
- Minimale Datenerhebung
- Regelmäßige Löschung
- Zugriffsprotokolle
VVT-003Newsletter und Marketing
Informationsversendung und Mandantenbetreuung
Datenkategorien
- E-Mail-Adresse
- Name (optional)
- Interessensgebiete
- Anmelde- und Bestätigungszeitpunkt
- IP-Adresse bei Anmeldung
Empfänger
- E-Mail-Provider (Postmark)
- Newsletter-Tool (falls verwendet)
Drittländer
Keine
Speicherdauer
Bis zum Widerruf der Einwilligung
Rechtsgrundlage
Art. 6 Abs. 1 lit. a DSGVO (Einwilligung)
Technische Maßnahmen
- Double-Opt-In Verfahren
- Verschlüsselte Übertragung
- Sichere Token-Generierung
- Automatische Löschung bei Abmeldung
Organisatorische Maßnahmen
- Einwilligungsnachweis
- Widerrufsmöglichkeit
- Transparente Information
- Regelmäßige Bereinigung
VVT-004Buchhaltung und Abrechnung
Rechnungsstellung und steuerliche Pflichten
Datenkategorien
- Rechnungsadresse
- Bankverbindung
- Steuerliche Daten
- Zahlungshistorie
- Kostenvoranschläge
Empfänger
- Steuerberater
- Finanzamt
- Banken (bei Lastschrift)
- Rechtsschutzversicherungen
Drittländer
Keine
Speicherdauer
10 Jahre (§ 147 AO)
Rechtsgrundlage
Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtung)
Technische Maßnahmen
- Verschlüsselte Datenspeicherung
- Sichere Übertragung
- Backup-Systeme
- Zugriffskontrolle
Organisatorische Maßnahmen
- Steuerrechtliche Aufbewahrung
- Vier-Augen-Prinzip
- Revisionsprotokoll
- Datenschutz-Schulungen
Auftragsverarbeiter (Art. 28 DSGVO)
Externe Dienstleister mit Auftragsverarbeitungsverträgen
| Dienstleister | Service | Standort | Datenarten | Schutzmaßnahmen | Vertrag |
|---|---|---|---|---|---|
Hetzner Online GmbH ISO 27001, TISAX | Website-Hosting | Deutschland (EU) | Website-Daten, Log-Dateien, Backup-Daten | EU-Datenschutzrecht, AV-Vertrag | Auftragsverarbeitungsvertrag vorhanden |
Postmark (Wildbit LLC) SOC 2 Type II, GDPR-konform | E-Mail-Versendung | USA | E-Mail-Adressen, E-Mail-Inhalte, Versandstatistiken | EU-US Data Privacy Framework, Standardvertragsklauseln | Data Processing Agreement (DPA) |
Google Ireland Limited ISO 27001, SOC 2 | Website-Analyse (Google Analytics) | Irland (EU) / USA | Nutzungsdaten, IP-Adressen (anonymisiert), Browser-Daten | EU-US Data Privacy Framework, IP-Anonymisierung | Google Ads Data Processing Terms |
Microsoft Ireland Operations Ltd ISO 27001, SOC 2, EU Model Clauses | Office 365 (E-Mail, Dokumente) | Irland (EU) | E-Mails, Dokumente, Kalenderdaten, Kontakte | EU-Datenschutzrecht, Microsoft DPA | Microsoft Online Services DPA |
Speicherfristen und Löschkonzept
Mandatsdaten
Alle mandatsbezogenen Dokumente und Korrespondenz
Rechtsgrundlage: § 50 BRAO (Anwaltliche Aufbewahrungspflicht)
Buchhaltungsunterlagen
Rechnungen, Belege, Buchungsunterlagen
Rechtsgrundlage: § 147 AO (Steuerrechtliche Aufbewahrung)
Einwilligungsnachweise
Consent-Protokolle, DOI-Bestätigungen
Rechtsgrundlage: Art. 7 Abs. 1 DSGVO (Nachweispflicht)
Website-Logs
Server-Logs, Zugriffsprotokolle, Fehler-Logs
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (IT-Sicherheit)
Newsletter-Daten
E-Mail-Adressen, Anmeldedaten, Versandstatistiken
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung)
Betroffenenrechte
Datenschutz-Folgenabschätzung
Risikobewertung
Für alle Verarbeitungstätigkeiten wurde eine Datenschutz-Folgenabschätzung durchgeführt:
Schutzmaßnahmen
- • Anwaltliche Schweigepflicht (§ 43a BRAO)
- • Ende-zu-Ende Verschlüsselung
- • Zugriffskontrolle und Berechtigungskonzept
- • Regelmäßige Sicherheitsaudits
Monitoring
- • Kontinuierliche Überwachung der Systeme
- • Incident Response Verfahren
- • Regelmäßige Datenschutz-Reviews
- • Mitarbeiterschulungen
Verantwortlicher und Kontakt
Verantwortlicher
Kanzlei Mustermann
Rechtsanwalt Max Mustermann
Maximilianstraße 1
80539 München
Aufsichtsbehörde
Bayerisches Landesamt für Datenschutzaufsicht
Promenade 18
91522 Ansbach
RoPA als PDF herunterladen
Laden Sie das vollständige Verzeichnis von Verarbeitungstätigkeiten als PDF herunter.
Letzte Aktualisierung: 9. Oktober 2025
Version 1.0 | Nächste Überprüfung: 9.10.2026