Teil 2: Schritt für Schritt zum optimalen Verzeichnis nach DSGVO

Vorausgefüllte Vorlagen vom Datenschutz-Auditor (TÜV-geprüft)

Willkommen zum 2. Teil der Serie, wie Sie Ihr Verzeichnis von Verarbeitungstätigkeiten richtig erstellen.

Im letzten Beitrag habe ich Ihnen gezeigt, was Sie allgemein beim Aufbau beachten müssen und welche Gedanken Sie sich vorab machen sollten, hier kommen Sie zurück zum ersten Teil: Teil 1: Vorbereitung und grundsätzliche Elemente.

Heute gehen wir Schritt für Schritt den Prozess durch und erstellen ein Verzeichnis für die Muster GmbH.

Schritt 1: legen Sie ein Hauptblatt an

Das Hauptblatt soll Informationen, die eher selten verändert werden, und die Helfen, das vorliegende Verzeichnis zu verstehen.

Diese können sein:

  • Verantwortlicher für die Datenverarbeitung (Anschrift, Vertreter usw.)
  • Informationen zum Datenschutzbeauftragten, wenn anwendbar
  • Allgemeine Regeln zur Datensicherheit und Löschkonzept
  • Regelungen zur Bearbeitung und Revision (wer darf was ändern im Dokument)

In meiner Word Vorlage ist dies z.B. so gelöst (Auszug):

Das optimale Hauptblatt nach DSGVO.

Schritt 2: Identifizieren Sie Verarbeitungstätigkeiten

Gehen Sie durch Ihr Unternehmen und ermitteln Sie alle Prozesse, Tools und Personen, die ggf. mit personenbezogenen Daten zu tun haben könnten. Dokumentieren Sie alles und fassen Sie die gefunden Strukturen in geeignete Verarbeitungstätigkeiten zusammen. Hilfreich sind auch vorgefertigte Listen von typischen Tätigkeiten. Hier jetzt alles zu nennen sprengt den Rahmen des möglichen.

10 Beispiele für Tätigkeiten finden Sie im Fachbeitrag: Verarbeitungstätigkeiten nach DSGVO.

Schritt 3: Dokumentieren Sie Ihre Verarbeitungstätigkeiten in einem Verzeichnis

Am besten lässt sich die Dokumentation anhand eines Beispiels zeigen. Da jeder, der personenbezogene Daten verarbeitet auch Betroffenenrechte wahrnehmen muss, wird hier beispielhaft das Verfahren “Wahrung von Betroffenenrechten auf Anfrage nach Art. 15-18 DSGVO” durchleuchtet.

Die DSGVO gibt den Betroffenen von Datenverarbeitung eine Reihe von Rechten in Artikel 15 bis 18 DSGVO. Danach ist jedes Unternehmen dazu verpflichtet, eine solche Anfrage des Betroffenen beantworten. Diese Verarbeitungstätigkeit muss damit unbedingt in das Verzeichnis aufgenommen werden.

  • Name der Verarbeitungstätgkeit: “Wahrung von Betroffenenrechten auf Anfrage nach Art. 15-18 DSGVO”
  • Datum der letzten Überprüfung des Verfahrens: 01.01.2020.
  • Verantwortliche Abteilung innerhalb des Unternehmens: Kundensupport.
  • Zwecke der Verarbeitungstätigkeit: Wahrung von Betroffenenrechten nach DSGVO, Dokumentation der Einhaltung.
  • Typische Betroffenengruppen: Beschäftigte, Lieferanten, Kunden / Nutzer, Interessenten, Bewerber.
  • Typische Datenpunkte/ -kategorien: Name/ Vorname, Geburtsdatum, Geschlecht, Adresse, Kontaktdaten, Bankverbindung, Rechnungsdaten.
  • Typische Empfänger/ Kategorien von Empfängern: Weitere Mitarbeiter und Abteilungen des Unternehmens.
  • Zulässigkeit der Datenerhebung, -verarbeitung und -nutzung: Die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung notwendig (Art 6 (1) Buchst. c) DSGVO).
  • Interessenabwägung: Keine Interessenabwägung notwendig.
  • Transfer in Drittstaaten: Keine geplant oder erfolgt.
  • Spezielle Löschfristen: Keine, es gilt das unternehmensweit gültige Löschkonzept.
  • Spezielle technische und organisatorische Maßnahmen: Keine, es gelten die unternehmensweit gültigen technischen und organisatorischen Maßnahmen.

Schritt 4: Prüfung und Prozesse etablieren

Nach der Erstellung sollten Sie die Richtigkeit nochmals mit den Fachabteilungen prüfen oder selbst checken, wenn Sie Einzelkämpfer sind.

Im Anschluss sollten Sie das Dokument möglichst revisionssicher ablegen und speichern.

Etablieren Sie Prozesse, um Ihr Verzeichnis regelmäßig zu prüfen.

Prüfen Sie Ihr Verzeichnis regelmäßig, mindestens einmal pro Jahr sollten Sie die Angaben prüfen und anschließend eine neue Version erstellen.

Im nächsten Teil zeige ich Ihnen typische Fallstricke auf, die Ihnen helfen werden, die häufigsten Fehler nicht zu begehen.

Vorausgefüllte Vorlagen vom Datenschutz-Auditor (TÜV-geprüft)

Über den Autor: Oliver Engel - Datenschutzexperte und Gründer von dsgvo-vorlagen.de

Oliver Engel ist ein erfahrener Datenschutzexperte und der Gründer von dsgvo-vorlagen.de. Als ausgebildeter Datenschutzbeauftragter (IHK) und Datenschutzauditor (TÜV) hat er es sich zur Aufgabe gemacht, Unternehmern praktische Tools für ihre DSGVO-Dokumentation zur Verfügung zu stellen. Seine Vorlagen basieren auf jahrelanger Erfahrung und sind tausendfach im Einsatz erprobt.

Mit seinem Hintergrund als externer Datenschutzbeauftragter, Autor eines Fachbuchs zur DSGVO und Dozent für Digitalisierung versteht Oliver Engel die Herausforderungen, vor denen Unternehmen beim Thema Datenschutz stehen. Sein Ziel ist es, mit benutzerfreundlichen, praxisorientierten Lösungen zu helfen, Dokumentations- und Rechenschaftspflichten effizient zu erfüllen.

Als Mitglied im Berufsverband der Datenschutzbeauftragten Deutschlands (BvD) e.V. bleibt Oliver Engel stets auf dem neuesten Stand der Entwicklungen im Datenschutzrecht. Seine Expertise hilft Unternehmen, ihren Datenschutz unkompliziert und effektiv umzusetzen.

Weitere Fachbeiträge zum Thema Datenschutz

Schaubild zur Definition von Künstlicher Intelligenz und ihrer Bedeutung für Unternehmen

Künstliche Intelligenz (KI) und DSGVO – Datenschutz beachten

In einer Welt, in der Künstliche Intelligenz (KI) zunehmend Einzug in den Unternehmensalltag hält, stehen Organisationen vor der Herausforderung, innovative Technologien zu nutzen und gleichzeitig den Datenschutz zu wahren. Dieser Artikel bietet einen umfassenden Überblick über die Schnittstelle von KI und Datenschutz, speziell zugeschnitten auf die Bedürfnisse von Unternehmen, die KI-Anwendungen einsetzen oder einsetzen möchten. ... Weiterlesen
USB Stick Nahaufnahme.

Muster für eine Risikoanalyse nach DSGVO

Bei der Risikoanalyse nach DSGVO gibt es einige wichtige Punkte zu beachten. Grundsätzlich ist zwischen der Datenschutz-Folgenabschätzung an sich und der Notwendigkeit (Risikoanalyse) dieser, zu unterscheiden. Denn oft verarbeiten Unternehmen gar keine Daten, die einer DSFA bedürfen. Dann muss aber trotzdem dokumentiert werden, dass es keiner DSFA bedarf (Negativ-Einschätzung). Dieser Artikel soll zeigen, wie man ... Weiterlesen
Was Selbstständige und Freiberufler nach DSGVO zu beachten haben. Rechte Pflichten und weiteres.

Datenschutz für kleine Unternehmen, Einzelunternehmer und Selbstständige

Die Datenschutz-Grundverordnung stärkt den Stellenwert personenbezogener Daten von Verbrauchern und sichert ein europaweit einheitliches Datenschutzniveau. Ihnen werden umfangreiche Informationsrechte über die Verarbeitung ihrer Daten zugesprochen. Für kleine Unternehmen bedeutet dies eine zusätzlich Belastung. Viele Unternehmen, insbesondere kleinere, sind von der Vielzahl der neuen Pflichten überfordert- auch in Anbetracht der enormen Strafen bei einer Missachtung der ... Weiterlesen

DSGVO in 2023 Neuerungen und Änderungen

Die DSGVO in 2023 bringt nur wenige Neuerungen und Änderungen bzgl. DSGVO und Datenschutz allgemein, über die Sie aber trotzdem informiert sein sollten. Dieser Artikel wagt einen Ausblick und fasst die wichtigsten Punkte für 2023 zusammen. InhalteDas neue DSG in der Schweiz tritt ab 1. September 2023 in Kraft.KI-Richtlinie der EUNeuer Rechtsrahmen zur Übermittlung von ... Weiterlesen
Wie ein Webseiten Cehck nach DSGVO gemacht wird.

DSGVO Webseiten Check und Audit inkl. Checkliste

Eine Website nach DSGVO konform zu betreiben ist für Unternehmer, Selbstständige oder gar Privatleute ein unsicheres Unterfangen. Cookies, Drittanbieteranfragen, Kontaktformulare und SSL-Verschlüsselung, dies sind nur einige wenige Stichpunkte, welche bei einem DSGVO Webseiten Check zu beachten sind. Dieser Artikel soll Ihnen zeigen, auf welche Punkte Sie allgemein achten sollten und noch einige spezielle Themen behandeln, ... Weiterlesen

Das große DSGVO Abkürzungsquiz

Hätten Sie es gewusst?

Nur für kurze Zeit!

DSGVO-Checkliste kostenlos*

Erstellt vom Datenschutzauditor (TÜV) inkl. Linksammlung zur DSGVO.

*Begrenzte Aktion, Normalpreis 49€ Netto