Verzeichnis von Verarbeitungstätigkeiten in Excel erstellen (mit Muster)

Viele Unternehmen wollen ein Verzeichnis von Verarbeitungstätigkeiten in Excel aufstellen bzw. pflegen, um den Anforderungen an den Datenschutz gerecht zu werden. Dieser Artikel soll Ihnen eine Möglichkeit zeigen, wie ein Verfahrensverzeichnis in Excel führbar ist.

In diesem Artikel erfahren Sie:

• Was die gesetzlichen Vorgaben bzgl. Format sind (darf man das Verarbeitungsverzeichnis überhaupt in Excel erstellen?),
• Wie Sie Ihr Verzeichnis richtig strukturieren, um Ihnen viel Arbeit zu ersparen,
• Was weitere Bestandteile sind, die über das Verzeichnis von Verarbeitungstätigkeiten hinaus gehen,
• Wie Sie alles in einer Vorlage finden.

Welches Format ein Verzeichnis von Verarbeitungstätigkeiten haben sollte

Über den grundsätzlichen Aufbau habe ich bereits einen ausführlichen Artikel geschrieben: Bestandteile eines Verfahrensverzeichnisses nach DSGVO. Grundsätzlich ist zu beachten, dass die gesetzlich erforderlichen Inhalte nach Datenschutz-Grundverordnung und neuem BDSG geliefert werden. Dafür sollten genügend Einträge angelegt werden, die dann so ausgefüllt werden, dass alle Informationen enthalten sind.

Grundsätzlich erlaubt das Gesetz ausdrücklich, dass das Verzeichnis von Verarbeitungstätigkeiten auch elektronisch geführt werden kann:

Das in den Absätzen 1 und 2 genannte Verzeichnis ist schriftlich zu führen, was auch in einem elektronischen Format erfolgen kann.

Art. 30 (3) DSGVO.

Damit steht einer Verwendung von Excel (von Seiten der Datenschutzgesetzgebung) nichts im Wege.

Zu beachten ist hier allerdings, dass das Verzeichnis auf Anfrage den Behörden zur Verfügung gestellt werden soll. Dies bedeutet, dass die Excel Datei gut lesbar sein muss und so aufgebaut sein sollte, dass eine Behörde damit umgehen kann. Achten Sie also auch auf die praktischen Komponenten bei der Erstellung und fragen Sie sich, ob Sie die Datei z.B. problemlos drucken oder in ein PDF umwandeln könnten. Mittlerweile sind auch schon Richtlinien der Behörden aufgetaucht, die ein revisionssicheres Format vorschreiben, also sollten sie zur Sicherheit das Verzeichnis immer auch ausdrucken und unterschreiben.

Verarbeitungsverzeichnis Muster in Excel erstellen

Es bietet sich an, genau eine Datei zu haben, die Hauptblatt, Verzeichnis der Verarbeitungstätigkeiten, allgemeine technische und organisatorische Maßnahmen (TOM) und Datenschutz-Folgenabschätzung  bzw. Risikobeurteilung enthält. Diese sollten allerdings alle in verschiedenen Tabellenblättern (Tabs) sein, um die Übersichtlichkeit zu wahren. Zusätzlich sollte ein Tabellenblatt mit Informationen zur Revision, zum Inhaber und sonstigen Angaben zur Datei enthalten sein. Zudem ist es auch wichtig, eine Versionierung einzuführen, also zumindest nach jeder Änderung des Verzeichnisses, diese unter einem neuen Namen abzulegen.

Über diese Standard Dokumentationen hinaus, sollten Sie auch eine Tabelle mit DSGVO-relevanter Software bzw. Hardware integrieren und Mitarbeiter und Auftragsverarbeiter erfassen. Nur so behalten Sie den Überblick über Ihr Datenschutzmanagement.

Wichtige Punkte für Ihr Verzeichnis von Verarbeitungstätigkeiten in Excel

Bevor Sie die Vorlage erstellen, sollten Sie sich über folgende Punkte Gedanken machen:

• Was sind die Pflichtbestandteile?
• Wie gliedere ich die Vorlage so, dass sie ein Externer (z.B. Behörde) gut lesen kann? (Geben Sie Ihre Vorlage z.B. einem Kollegen und fragen Sie ihn, ob er versteht, worum es geht)
• Wie gestalte ich die Eingabe der Daten möglichst einfach? (z.B. Können sich wiederholende Elemente einfach kopiert werden?)
• Wie garantiere ich eine sinnvolle Versionierung und eine Revisionssicherheit? (z.B. durch Ablage im Dokumentenmanagementsystem)
• Wo lege ich das Verzeichnis ab und wer wird damit arbeiten? (z.B. Ablage auf einem Netzwerklaufwerk)
• Gibt es sinnvolle Verknüpfungen und Automatisierungen?

Wenn Sie sich darüber im Klaren sind, können Sie sich sicher sein, eine Vorlage zu erstellen, die Ihnen auch in Zukunft noch Ihre Arbeit erleichtert. Legen Sie diese am besten auf einem geteilten Laufwerk oder in der Cloud ab, damit auch mehrere Bearbeiter möglich sind. So können Sie leicht Aufgaben zuweisen, ohne die Datei per E-Mail herum zu schicken.

Das Hauptblatt

Geben Sie hier alle Pflichtangaben an, welche Sie hier finden können. Arbeiten Sie diese am besten in Listenform ab. Arbeiten Sie bei den Adressdaten (z.B. des Verantwortlichen oder des Datenschutzbeauftragten) mit klar abgegrenzten Feldern, also z.B. Verantwortlicher: Muster GmbH, wobei “Muster GmbH” in Grau gehalten werden kann. Somit ist auf einen Blick ersichtlich, welche Felder ausgefüllt werden müssen. Dies erleichtert die Arbeit ungemein bei Änderungen.

Bei den Ausführungen zu allgemeiner Datensicherheit, Löschfristen oder Drittstaatenübermittlung sollten Sie Ihre internen Richtlinien niederschreiben. Seien Sie so allgemein wie nötig, aber so spezifisch wie möglich. Diese Angaben sollten für alle folgenden Verarbeitungstätigkeiten passen.

Das Verzeichnis der Verarbeitungstätigkeiten

Hier werden die eigentlichen Verfahren erfasst. Wie man eine Verarbeitungstätigkeit erkennt und was diese ausmacht, erfahren Sie in diesem Artikel: Verarbeitungstätigkeiten nach EU-Datenschutz-Grundverordnung.

Geben Sie jedem Verfahren eine laufende Nummer, so haben Sie die Möglichkeit, auf einzelne Verfahren mit Hilfe der Nummer zu verweisen.

Die Bestandteile schreiben Sie am besten in die Kopfzeile der Excel-Datei genauso wie die Bezeichnung des Verfahrens, der Name der eingesetzten Tools oder Dienstleistung, das Datum des Beginns der Nutzung des Verfahrens, das Datum der letzten Überprüfung des Verfahrens usw. .

Im nächsten Schritt sollten Sie überlegen, ob sie einzelne Bestandteile schneller befüllen können, wenn Sie Dropdowns benutzen. So können Sie z.B. einige Abteilungen vorher festlegen und diese dann einfach per Dropdown auswählen. Darüber hinaus, können Sie z.B. bei den Betroffenen häufig auftretende Betroffenenkreise mit Hilfe von Kreuzen kennzeichnen, anstatt diese immer wieder auszuschreiben.

Gehen Sie nun die Verfahren in Ihrem Unternehmen durch, Überlegen Sie sich, wo persönliche Daten verarbeitet werden und welche Abteilungen involviert sind. Befüllen Sie nun Ihre Vorlage und versuchen Sie zu jedem Punkt Informationen zu erhalten. Dies kann lange dauern, planen Sie genügend Zeit ein, am Ende muss der Verantwortliche für die Richtigkeit gerade stehen!

Besonderes Wissen ist insbesondere bei den Punkten Zulässigkeit der Datenerhebung, -verarbeitung und -nutzung (Rechtsgrundlage), Übermittlung in Drittstaaten, spezielle Löschfristen und spezielle technische und organisatorische Maßnahmen nötig. Sie sollten Sich überlegen eine Vorlage zu nutzen, die Ihnen die Kategorisierung abnimmt oder aber einen Berater engagieren. Besonders bei der Rechtsgrundlage „berechtigtes Interesse“, sollte die Interessenabwägung direkt im Verzeichnis abgehandelt werden.

TOM direkt mit dem Verzeichnis von Verarbeitungstätigkeiten dokumentieren

Das nächste Tabellenblatt sollte die allgemeinen technischen und organisatorischen Maßnahmen (TOM) dokumentieren. Dies ist kein offizieller Bestandteil des Verzeichnisses, sollte aber dennoch dokumentiert werden und ist thematisch verwandt.

Diese können in Listenform gemäß Gesetz abgearbeitet werden:

[…] diese Maßnahmen schließen unter anderem Folgendes ein:

• die Pseudonymisierung und Verschlüsselung personenbezogener Daten;
• die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen;
• die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen;
• ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung. […]

Art. 32 (1) DSGVO.

Risikonalyse und Datenschutz-Folgenabschätzung (DSFS)

Auch die Risikoanalyse bzw. die folgende DSFS kann in Excel abgebildet werden, dazu bedarf es einer Verlinkung der dokumentierten Verfahren. Folgen Sie beim Vorgehen deshalb dem Artikel über die Risikoanalyse.

Sie könnten jedem Verfahren einfach eine Risikokategorie und Eintrittswahrscheinlichkeit zuordnen und dann ermitteln ob sie den Leitlinien der Art.-29-Gruppe zur Datenschutz-Folgenabschätzung (DSFA) entspricht oder nicht.

Auftragsverarbeiter

Den vollen Überblick über Ihren IST Stand beim Datenschutz erhalten Sie, in dem Sie auch Ihre Auftragsverarbeiter erfassen. Erfassen Sie, ob Sie den AV-Vertrag schon abgeschlossen haben, welche Kategorien der Auftragsverarbeiter erfasst und ob Daten in Drittländer abfließen. Auch die Kontaktdaten des Auftragsverarbeiters sollten Sie festhalten, wenn Sie z.B. eine Löschanfrage durchsetzen wollen.

Löschkonzept in das Verzeichnis von Verarbeitungstätigkeiten integrieren

Auch das Löschkonzept kann direkt in die Datei integriert werden. Da es sich auch hier um eine Liste handelt bietet sich dieses Vorgehen an. Wie Sie ein Löschkonzept erstellen erfahren Sie hier.

Weitere Bestandteile, die direkt in die Excel Datei integriert werden können

Nun können noch weitere Bestandteile direkt abgetragen werden. Hier ist allerdings wichtig, dass diese nicht an eine Behörde geschickt werden. Diese dienen eher der Umsetzung eines Datenschutzmanagementsystems.

• Erfassung von Betroffenenanfragen
• Tracking von Datenpannen
• Datenschutzkonzept
• Standorte, Mitarbeiter, Dateien sowie Hard- und Software mit Bezug zu personenbezogenen Daten
• Erfassen aller Einwilligungen von Kunden bzw. Nutzern
• Nachweis von Schulungen

In eigener Sache: Die Excel Vorlage, die alle Punkte abdeckt

Es kann schwer sein, ein Verzeichnis von Verarbeitungstätigkeiten zu erstellen, wenn man vorher keine Datenschutzerfahrung gesammelt hat. Ich habe in meiner Praxis als Datenschutzbeauftragter eine eigene Excel Vorlage erstellt, welche ich hier anbiete. Sie deckt die oben genannten Forderungen ab und hat zu jedem Verfahren Voreinstellungen, die es auch für rechtlich nicht versierte Nutzer einfach macht, sie zu befüllen.

Quellen

https://dsgvo-gesetz.de/art-30-dsgvo/