Verzeichnis von Verarbeitungstätigkeiten in Excel erstellen (mit Muster)

Vorausgefüllte Vorlagen vom Datenschutz-Auditor (TÜV-geprüft)

Viele Unternehmen wollen ein Verzeichnis von Verarbeitungstätigkeiten in Excel aufstellen bzw. pflegen, um den Anforderungen an den Datenschutz gerecht zu werden. Dieser Artikel soll Ihnen eine Möglichkeit zeigen, wie ein Verfahrensverzeichnis in Excel führbar ist.

In diesem Artikel erfahren Sie:

  • Was die gesetzlichen Vorgaben bzgl. Format sind (darf man das Verarbeitungsverzeichnis überhaupt in Excel erstellen?),
  • Wie Sie Ihr Verzeichnis richtig strukturieren, um Ihnen viel Arbeit zu ersparen,
  • Was weitere Bestandteile sind, die über das Verzeichnis von Verarbeitungstätigkeiten hinaus gehen,
  • Wie Sie alles in einer Vorlage finden.

Welches Format ein Verzeichnis von Verarbeitungstätigkeiten haben sollte

Über den grundsätzlichen Aufbau habe ich bereits einen ausführlichen Artikel geschrieben: Bestandteile eines Verfahrensverzeichnisses nach DSGVO. Grundsätzlich ist zu beachten, dass die gesetzlich erforderlichen Inhalte nach Datenschutz-Grundverordnung und neuem BDSG geliefert werden. Dafür sollten genügend Einträge angelegt werden, die dann so ausgefüllt werden, dass alle Informationen enthalten sind.

Grundsätzlich erlaubt das Gesetz ausdrücklich, dass das Verzeichnis von Verarbeitungstätigkeiten auch elektronisch geführt werden kann:

Das in den Absätzen 1 und 2 genannte Verzeichnis ist schriftlich zu führen, was auch in einem elektronischen Format erfolgen kann.

Art. 30 (3) DSGVO.

Damit steht einer Verwendung von Excel (von Seiten der Datenschutzgesetzgebung) nichts im Wege.

Zu beachten ist hier allerdings, dass das Verzeichnis auf Anfrage den Behörden zur Verfügung gestellt werden soll. Dies bedeutet, dass die Excel Datei gut lesbar sein muss und so aufgebaut sein sollte, dass eine Behörde damit umgehen kann. Achten Sie also auch auf die praktischen Komponenten bei der Erstellung und fragen Sie sich, ob Sie die Datei z.B. problemlos drucken oder in ein PDF umwandeln könnten. Mittlerweile sind auch schon Richtlinien der Behörden aufgetaucht, die ein revisionssicheres Format vorschreiben, also sollten sie zur Sicherheit das Verzeichnis immer auch ausdrucken und unterschreiben.

Verarbeitungsverzeichnis Muster in Excel erstellen

Es bietet sich an, genau eine Datei zu haben, die Hauptblatt, Verzeichnis der Verarbeitungstätigkeiten, allgemeine technische und organisatorische Maßnahmen (TOM) und Datenschutz-Folgenabschätzung  bzw. Risikobeurteilung enthält. Diese sollten allerdings alle in verschiedenen Tabellenblättern (Tabs) sein, um die Übersichtlichkeit zu wahren. Zusätzlich sollte ein Tabellenblatt mit Informationen zur Revision, zum Inhaber und sonstigen Angaben zur Datei enthalten sein. Zudem ist es auch wichtig, eine Versionierung einzuführen, also zumindest nach jeder Änderung des Verzeichnisses, diese unter einem neuen Namen abzulegen.

Über diese Standard Dokumentationen hinaus, sollten Sie auch eine Tabelle mit DSGVO-relevanter Software bzw. Hardware integrieren und Mitarbeiter und Auftragsverarbeiter erfassen. Nur so behalten Sie den Überblick über Ihr Datenschutzmanagement.

Wichtige Punkte für Ihr Verzeichnis von Verarbeitungstätigkeiten in Excel

Bevor Sie die Vorlage erstellen, sollten Sie sich über folgende Punkte Gedanken machen:

  • Was sind die Pflichtbestandteile?
  • Wie gliedere ich die Vorlage so, dass sie ein Externer (z.B. Behörde) gut lesen kann? (Geben Sie Ihre Vorlage z.B. einem Kollegen und fragen Sie ihn, ob er versteht, worum es geht)
  • Wie gestalte ich die Eingabe der Daten möglichst einfach? (z.B. Können sich wiederholende Elemente einfach kopiert werden?)
  • Wie garantiere ich eine sinnvolle Versionierung und eine Revisionssicherheit? (z.B. durch Ablage im Dokumentenmanagementsystem)
  • Wo lege ich das Verzeichnis ab und wer wird damit arbeiten? (z.B. Ablage auf einem Netzwerklaufwerk)
  • Gibt es sinnvolle Verknüpfungen und Automatisierungen?

Wenn Sie sich darüber im Klaren sind, können Sie sich sicher sein, eine Vorlage zu erstellen, die Ihnen auch in Zukunft noch Ihre Arbeit erleichtert. Legen Sie diese am besten auf einem geteilten Laufwerk oder in der Cloud ab, damit auch mehrere Bearbeiter möglich sind. So können Sie leicht Aufgaben zuweisen, ohne die Datei per E-Mail herum zu schicken.

Statt auf Papier kann man das Verzeichnis von Verarbeitungstätigkeiten in Excel erstellen.

Das Hauptblatt

Geben Sie hier alle Pflichtangaben an, welche Sie hier finden können. Arbeiten Sie diese am besten in Listenform ab. Arbeiten Sie bei den Adressdaten (z.B. des Verantwortlichen oder des Datenschutzbeauftragten) mit klar abgegrenzten Feldern, also z.B. Verantwortlicher: Muster GmbH, wobei “Muster GmbH” in Grau gehalten werden kann. Somit ist auf einen Blick ersichtlich, welche Felder ausgefüllt werden müssen. Dies erleichtert die Arbeit ungemein bei Änderungen.

Bei den Ausführungen zu allgemeiner Datensicherheit, Löschfristen oder Drittstaatenübermittlung sollten Sie Ihre internen Richtlinien niederschreiben. Seien Sie so allgemein wie nötig, aber so spezifisch wie möglich. Diese Angaben sollten für alle folgenden Verarbeitungstätigkeiten passen.

Das Verzeichnis der Verarbeitungstätigkeiten

Hier werden die eigentlichen Verfahren erfasst. Wie man eine Verarbeitungstätigkeit erkennt und was diese ausmacht, erfahren Sie in diesem Artikel: Verarbeitungstätigkeiten nach EU-Datenschutz-Grundverordnung.

Geben Sie jedem Verfahren eine laufende Nummer, so haben Sie die Möglichkeit, auf einzelne Verfahren mit Hilfe der Nummer zu verweisen.

Die Bestandteile schreiben Sie am besten in die Kopfzeile der Excel-Datei genauso wie die Bezeichnung des Verfahrens, der Name der eingesetzten Tools oder Dienstleistung, das Datum des Beginns der Nutzung des Verfahrens, das Datum der letzten Überprüfung des Verfahrens usw. .

Im nächsten Schritt sollten Sie überlegen, ob sie einzelne Bestandteile schneller befüllen können, wenn Sie Dropdowns benutzen. So können Sie z.B. einige Abteilungen vorher festlegen und diese dann einfach per Dropdown auswählen. Darüber hinaus, können Sie z.B. bei den Betroffenen häufig auftretende Betroffenenkreise mit Hilfe von Kreuzen kennzeichnen, anstatt diese immer wieder auszuschreiben.

Gehen Sie nun die Verfahren in Ihrem Unternehmen durch, Überlegen Sie sich, wo persönliche Daten verarbeitet werden und welche Abteilungen involviert sind. Befüllen Sie nun Ihre Vorlage und versuchen Sie zu jedem Punkt Informationen zu erhalten. Dies kann lange dauern, planen Sie genügend Zeit ein, am Ende muss der Verantwortliche für die Richtigkeit gerade stehen!

Besonderes Wissen ist insbesondere bei den Punkten Zulässigkeit der Datenerhebung, -verarbeitung und -nutzung (Rechtsgrundlage), Übermittlung in Drittstaaten, spezielle Löschfristen und spezielle technische und organisatorische Maßnahmen nötig. Sie sollten Sich überlegen eine Vorlage zu nutzen, die Ihnen die Kategorisierung abnimmt oder aber einen Berater engagieren. Besonders bei der Rechtsgrundlage „berechtigtes Interesse“, sollte die Interessenabwägung direkt im Verzeichnis abgehandelt werden.

Serverraum in dem auch eine Excel-Vorlage nach DSGVO liegen kann

TOM direkt mit dem Verzeichnis von Verarbeitungstätigkeiten dokumentieren

Das nächste Tabellenblatt sollte die allgemeinen technischen und organisatorischen Maßnahmen (TOM) dokumentieren. Dies ist kein offizieller Bestandteil des Verzeichnisses, sollte aber dennoch dokumentiert werden und ist thematisch verwandt.

Diese können in Listenform gemäß Gesetz abgearbeitet werden:

[…] diese Maßnahmen schließen unter anderem Folgendes ein:

  • die Pseudonymisierung und Verschlüsselung personenbezogener Daten;
  • die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen;
  • die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen;
  • ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung. […]

Art. 32 (1) DSGVO.

Risikonalyse und Datenschutz-Folgenabschätzung (DSFS)

Auch die Risikoanalyse bzw. die folgende DSFS kann in Excel abgebildet werden, dazu bedarf es einer Verlinkung der dokumentierten Verfahren. Folgen Sie beim Vorgehen deshalb dem Artikel über die Risikoanalyse.

Sie könnten jedem Verfahren einfach eine Risikokategorie und Eintrittswahrscheinlichkeit zuordnen und dann ermitteln ob sie den Leitlinien der Art.-29-Gruppe zur Datenschutz-Folgenabschätzung (DSFA) entspricht oder nicht.

Auftragsverarbeiter

Den vollen Überblick über Ihren IST Stand beim Datenschutz erhalten Sie, in dem Sie auch Ihre Auftragsverarbeiter erfassen. Erfassen Sie, ob Sie den AV-Vertrag schon abgeschlossen haben, welche Kategorien der Auftragsverarbeiter erfasst und ob Daten in Drittländer abfließen. Auch die Kontaktdaten des Auftragsverarbeiters sollten Sie festhalten, wenn Sie z.B. eine Löschanfrage durchsetzen wollen.

Löschkonzept in das Verzeichnis von Verarbeitungstätigkeiten integrieren

Auch das Löschkonzept kann direkt in die Datei integriert werden. Da es sich auch hier um eine Liste handelt bietet sich dieses Vorgehen an. Wie Sie ein Löschkonzept erstellen erfahren Sie hier.

Weitere Bestandteile, die direkt in die Excel Datei integriert werden können

Nun können noch weitere Bestandteile direkt abgetragen werden. Hier ist allerdings wichtig, dass diese nicht an eine Behörde geschickt werden. Diese dienen eher der Umsetzung eines Datenschutzmanagementsystems.

In eigener Sache: Die Excel Vorlage, die alle Punkte abdeckt

Es kann schwer sein, ein Verzeichnis von Verarbeitungstätigkeiten zu erstellen, wenn man vorher keine Datenschutzerfahrung gesammelt hat. Ich habe in meiner Praxis als Datenschutzbeauftragter eine eigene Excel Vorlage erstellt, welche ich hier anbiete. Sie deckt die oben genannten Forderungen ab und hat zu jedem Verfahren Voreinstellungen, die es auch für rechtlich nicht versierte Nutzer einfach macht, sie zu befüllen.

Vorausgefüllte Vorlagen vom Datenschutz-Auditor (TÜV-geprüft)

Quellen

https://dsgvo-gesetz.de/art-30-dsgvo/

Über den Autor: Oliver Engel - Datenschutzexperte und Gründer von dsgvo-vorlagen.de

Oliver Engel ist ein erfahrener Datenschutzexperte und der Gründer von dsgvo-vorlagen.de. Als ausgebildeter Datenschutzbeauftragter (IHK) und Datenschutzauditor (TÜV) hat er es sich zur Aufgabe gemacht, Unternehmern praktische Tools für ihre DSGVO-Dokumentation zur Verfügung zu stellen. Seine Vorlagen basieren auf jahrelanger Erfahrung und sind tausendfach im Einsatz erprobt.

Mit seinem Hintergrund als externer Datenschutzbeauftragter, Autor eines Fachbuchs zur DSGVO und Dozent für Digitalisierung versteht Oliver Engel die Herausforderungen, vor denen Unternehmen beim Thema Datenschutz stehen. Sein Ziel ist es, mit benutzerfreundlichen, praxisorientierten Lösungen zu helfen, Dokumentations- und Rechenschaftspflichten effizient zu erfüllen.

Als Mitglied im Berufsverband der Datenschutzbeauftragten Deutschlands (BvD) e.V. bleibt Oliver Engel stets auf dem neuesten Stand der Entwicklungen im Datenschutzrecht. Seine Expertise hilft Unternehmen, ihren Datenschutz unkompliziert und effektiv umzusetzen.

Weitere Fachbeiträge zum Thema Datenschutz

Schaubild zur Definition von Künstlicher Intelligenz und ihrer Bedeutung für Unternehmen

Künstliche Intelligenz (KI) und DSGVO – Datenschutz beachten

In einer Welt, in der Künstliche Intelligenz (KI) zunehmend Einzug in den Unternehmensalltag hält, stehen Organisationen vor der Herausforderung, innovative Technologien zu nutzen und gleichzeitig den Datenschutz zu wahren. Dieser Artikel bietet einen umfassenden Überblick über die Schnittstelle von KI und Datenschutz, speziell zugeschnitten auf die Bedürfnisse von Unternehmen, die KI-Anwendungen einsetzen oder einsetzen möchten. ... Weiterlesen
USB Stick Nahaufnahme.

Muster für eine Risikoanalyse nach DSGVO

Bei der Risikoanalyse nach DSGVO gibt es einige wichtige Punkte zu beachten. Grundsätzlich ist zwischen der Datenschutz-Folgenabschätzung an sich und der Notwendigkeit (Risikoanalyse) dieser, zu unterscheiden. Denn oft verarbeiten Unternehmen gar keine Daten, die einer DSFA bedürfen. Dann muss aber trotzdem dokumentiert werden, dass es keiner DSFA bedarf (Negativ-Einschätzung). Dieser Artikel soll zeigen, wie man ... Weiterlesen
Was Selbstständige und Freiberufler nach DSGVO zu beachten haben. Rechte Pflichten und weiteres.

Datenschutz für kleine Unternehmen, Einzelunternehmer und Selbstständige

Die Datenschutz-Grundverordnung stärkt den Stellenwert personenbezogener Daten von Verbrauchern und sichert ein europaweit einheitliches Datenschutzniveau. Ihnen werden umfangreiche Informationsrechte über die Verarbeitung ihrer Daten zugesprochen. Für kleine Unternehmen bedeutet dies eine zusätzlich Belastung. Viele Unternehmen, insbesondere kleinere, sind von der Vielzahl der neuen Pflichten überfordert- auch in Anbetracht der enormen Strafen bei einer Missachtung der ... Weiterlesen

DSGVO in 2023 Neuerungen und Änderungen

Die DSGVO in 2023 bringt nur wenige Neuerungen und Änderungen bzgl. DSGVO und Datenschutz allgemein, über die Sie aber trotzdem informiert sein sollten. Dieser Artikel wagt einen Ausblick und fasst die wichtigsten Punkte für 2023 zusammen. InhalteDas neue DSG in der Schweiz tritt ab 1. September 2023 in Kraft.KI-Richtlinie der EUNeuer Rechtsrahmen zur Übermittlung von ... Weiterlesen
Wie ein Webseiten Cehck nach DSGVO gemacht wird.

DSGVO Webseiten Check und Audit inkl. Checkliste

Eine Website nach DSGVO konform zu betreiben ist für Unternehmer, Selbstständige oder gar Privatleute ein unsicheres Unterfangen. Cookies, Drittanbieteranfragen, Kontaktformulare und SSL-Verschlüsselung, dies sind nur einige wenige Stichpunkte, welche bei einem DSGVO Webseiten Check zu beachten sind. Dieser Artikel soll Ihnen zeigen, auf welche Punkte Sie allgemein achten sollten und noch einige spezielle Themen behandeln, ... Weiterlesen

Das große DSGVO Abkürzungsquiz

Hätten Sie es gewusst?

Nur für kurze Zeit!

DSGVO-Checkliste kostenlos*

Erstellt vom Datenschutzauditor (TÜV) inkl. Linksammlung zur DSGVO.

*Begrenzte Aktion, Normalpreis 49€ Netto