Vorlage für ein Verzeichnis von Verarbeitungstätigkeiten in Word

Vorausgefüllte Vorlagen vom Datenschutz-Auditor (TÜV-geprüft)

Die Dokumentation für die DSGVO für 2022 in Word oder Excel zu erstellen kann sinnvoll sein, wenn man sich von Cloud Lösungen unabhängig machen möchte und ggf. im eigenen Stil tätig werden möchte. Dieser Artikel soll zeigen, wie Sie ein Verzeichnis von Verarbeitungstätigkeiten in Word erstellen können. Darüber hinaus wird gezeigt, wie Sie weitere Dokumentationen integrieren können.

Die Struktur der Datenschutzdokumentation in Word (z.B. Verzeichnis von Verarbeitungstätigkeiten)

Der große Vorteil von Dokumentationen, die direkt in Word oder Excel erstellt werden, liegt darin, dass sie schnell geändert werden können und an eigene Bedürfnisse angepasst werden können. Die Nachteile liegen vor allem darin, dass Updates unter Umständen nicht automatisch eingespielt werden und selber recherchiert werden müssen.

Im Folgenden sollen die einzelnen Dokumentationen aufgezählt werden. Für eine Übersicht, wie dies in Excel gemacht werden kann, verweise ich auf meinen Artikel.

Grundsätzlich sollten Sie sich vorab Gedanken machen, welche Anforderungen an ein solches Dokument gestellt werden, sowohl gesetzlich, als auch praktisch. Die folgenden Punkte sollten Sie beachten:

  • Sind alle gesetzlichen Pflichtbestandteile enthalten?
  • Wie gestalte ich die Vorlage so, dass eine Behörde oder ein Prüfer gut damit umgehen kann?
  • Bei interner und externer Nutzung (z.B. bei einem externen Datenschutzbeauftragten), wie kann ich sicherstellen, dass die Daten richtig eingetragen werden?
  • Welche Maßnahmen zur Versionierung oder Revisionssicherheit ergreife ich?
  • Wo lege ich das Muster und die ausgefüllte Vorlage ab und wer wird genau damit arbeiten?

Wenn Sie sich über diese Punkte klar werden, werden Sie mit hoher Wahrscheinlichkeit eine Word Vorlage bauen, welche Sie auch später noch verwenden können. Unsere vorausgefüllte Vorlage umfasst über 300 Seiten inkl. über 100 vordefinierter Verfahren und 100 technischer und organisatorischen Maßnahmen (TOMs).

Das Verzeichnis von Verarbeitungstätigkeiten (Verarbeitungsverzeichnis) in Word erstellen

Es bietet sich an, das Verzeichnis von Verarbeitungstätigkeiten auf mehrere Blätter aufzuteilen, in dem jede Tätigkeit einer einzelnen Tabelle zugeordnet wird. Damit behält man am besten den Überblick und kann über Verweise direkt vom Inhaltsverzeichnis zur Verarbeitungstätigkeit springen. Nicht benötigte Verarbeitungstätigkeiten können so auch schnell gelöscht werden.

Die gesamte Datenschutz Dokumentation kann in Word erstellt werden.

Das zugehörige Hauptblatt sollte allgemeine Unternehmensinformationen und eine Versionshistorie enthalten.

Sie sollten nun durch Ihr Unternehmen gehen und alle Tätigkeiten, die eine datenschutzrechtliche Relevanz für Ihr Unternehmen haben, durchgehen und notieren. Anschließend befüllen Sie Ihre Dokumentation mit den gesetzlichen Inhalten.

Die genauen Inhalte können Sie hier finden, trotzdem soll diese Liste eine kurze Zusammenfassung geben:

  • Namen und Kontaktdaten des Verantwortlichen.
  • Die Zwecke der Verarbeitung, also das “wieso” der Verarbeitung.
  • Eine Beschreibung der Kategorien von Betroffenen und deren personenbezogenen Daten.
    • Ein Beispiel für Kategorien personenbezogener Daten kann z.B. “Arbeitnehmerstammdaten” oder “Adressdaten” sein.
    • Ein Beispiel für Kategorien von Betroffenen kann z.B. “Bewerber” oder “Kunden” sein.
  • Es müssen Kategorien von Empfängern der Daten angegeben werden, also z.B. “Steuerberater”.
  • Informationen zur Übermittlung in Drittstaaten, also z.B. den USA.
  • Löschfristen für die verarbeiteten Daten.
  • Beschreibung der technischen und organisatorischen Maßnahmen.
  • Die Rechtsgrundlage der Verarbeitung, also z.B. “berechtigtes Interesse”.

Dies sind die gesetzlichen Mindestbestandteile. In der Praxis ergeben sich allerdings einige Zusatzangaben, wie z.B. die Verantwortlichkeiten innerhalb des Unternehmens oder der Beginn der Verarbeitung. Die oben genannten Angaben lassen sich gut in ein Word-Dokument überführen oder in eine Excel-Tabelle übertragen.

Technische und Organisatorische Maßnahmen in Word erfassen

Die DSGVO sieht vor, dass auch Maßnahmen zur Sicherheit der Verarbeitung festgehalten werden. Deswegen darf auch diese Dokumentation in Ihrer Vorlage nicht fehlen.
Hierzu habe ich bereits einen ausführlichen Artikel geschrieben. Das TOM Muster in Word können Sie allerdings gerne hier herunterladen.

Grundsätzlich müssen die Maßnahmen angemessen sein. Ein Bäcker muss weniger in seine Sicherheitstechnik investieren als z.B. eine Arztpraxis. Ein Grundstandard sollte aber immer vorhanden sein, wie die Verwendung von Passwörtern oder die Wahl eines sicheren Hosters.

Viele Unternehmen haben bereits ausreichende Sicherheitsmaßnahmen implementiert, diese aber nur noch nicht dokumentiert. Ein TOM-Fragenkatalog kann Ihnen dabei helfen, die Maßnahmen einfach und lückenlos zu dokumentieren.

Risikoanalyse oder Datenschutzfolgenabschätzung

Ein wichtiger Part der Hand in Hand mit den zwei oben genannten Dokumentation geht, ist die Risikoanalyse und die daraus ggf. folgende Datenschutzfolgenabschätzung.

Die Risikoanalyse sollte direkt im Verzeichnis von Verarbeitungstätigkeiten unter jede Verarbeitung notiert werden. Eine ausführliche Anleitung finden Sie hier.

Dabei sind folgende Punkte auszufüllen:

  • Schätzen Sie den Schutzbedarf ein, also wie sensibel sind die Daten eigentlich?
  • Schätzen Sie die Eintrittswahrscheinlichkeit, wie wahrscheinlich ist ein Diebstahl oder ein Verlust?
  • Entspricht die Verarbeitung den von der „Datenschutzgruppe nach Artikel 29“ (G29) festgelegten Kriterien?

Nach der Einschätzung können Sie nun feststellen, ob eine Datenschutzfolgenabschätzung notwendig ist oder nicht. Dies ist regelmäßig der Fall, wenn mittels Risikoanalyse der Schluss erfolgt ist, dass ein hohes Risiko besteht.

Weitere Bestandteile des Datenschutzmanagements

Über die oben genannten Dokumentationen hinaus, welche als große Pflichtbestandteile gesehen werden können, gibt es noch viele weitere Formblätter und Tabellen, welche direkt in einer Word-Datei untergebracht werden könnten.

Ein Verzeichnis von Verarbeitungstätigkeiten kann durchaus in Word erstellt werden.

Im folgenden werden diese kurz aufgezählt.

  • Erfassung von Auftragsverarbeitern und eigene Auftragsverarbeitungen.
  • Betroffenenanfragen die das Unternehmen erreichen.
  • Verletzung des Schutzes personenbezogener Daten (Erfassung von Datenpannen)
  • Erstellung des Datenschutzkonzeptes, also die Zusammenfassung des Datenschutzmanagementsystems
  • Verwaltung der datenschutzrelevanten Infrastruktur (z.B. Standorte, Hardware, Software, Mitarbeiter usw.).

Muster für ein Verzeichnis von Verarbeitungstätigkeiten und für die Datenschutzdokumentation als Download

Im Folgenden können Sie das Inhaltsverzeichnis der Vorlage kostenlos herunterladen, welche angeboten wird. Daran können Sie sich bei der Erstellung orientieren und wissen, was in der Kaufversion auf Sie zukommt.

Zum Download.

Fazit

Sein komplettes Datenschutzmanagement unabhängig von Cloud Lösungen in einem Dokument zu haben, hat viele Vorteile. Eine fertig erstellte Dokumentation kann lange dauern, dann muss sie allerdings nur noch aktualisiert werden, was den Aufwand rechtfertigt.

Vorausgefüllte Vorlagen vom Datenschutz-Auditor (TÜV-geprüft)

Quellen

https://dsgvo-gesetz.de/art-30-dsgvo/

https://dsgvo-gesetz.de/art-32-dsgvo/

Über den Autor: Oliver Engel - Datenschutzexperte und Gründer von dsgvo-vorlagen.de

Oliver Engel ist ein erfahrener Datenschutzexperte und der Gründer von dsgvo-vorlagen.de. Als ausgebildeter Datenschutzbeauftragter (IHK) und Datenschutzauditor (TÜV) hat er es sich zur Aufgabe gemacht, Unternehmern praktische Tools für ihre DSGVO-Dokumentation zur Verfügung zu stellen. Seine Vorlagen basieren auf jahrelanger Erfahrung und sind tausendfach im Einsatz erprobt.

Mit seinem Hintergrund als externer Datenschutzbeauftragter, Autor eines Fachbuchs zur DSGVO und Dozent für Digitalisierung versteht Oliver Engel die Herausforderungen, vor denen Unternehmen beim Thema Datenschutz stehen. Sein Ziel ist es, mit benutzerfreundlichen, praxisorientierten Lösungen zu helfen, Dokumentations- und Rechenschaftspflichten effizient zu erfüllen.

Als Mitglied im Berufsverband der Datenschutzbeauftragten Deutschlands (BvD) e.V. bleibt Oliver Engel stets auf dem neuesten Stand der Entwicklungen im Datenschutzrecht. Seine Expertise hilft Unternehmen, ihren Datenschutz unkompliziert und effektiv umzusetzen.

Weitere Fachbeiträge zum Thema Datenschutz

Schaubild zur Definition von Künstlicher Intelligenz und ihrer Bedeutung für Unternehmen

Künstliche Intelligenz (KI) und DSGVO – Datenschutz beachten

In einer Welt, in der Künstliche Intelligenz (KI) zunehmend Einzug in den Unternehmensalltag hält, stehen Organisationen vor der Herausforderung, innovative Technologien zu nutzen und gleichzeitig den Datenschutz zu wahren. Dieser Artikel bietet einen umfassenden Überblick über die Schnittstelle von KI und Datenschutz, speziell zugeschnitten auf die Bedürfnisse von Unternehmen, die KI-Anwendungen einsetzen oder einsetzen möchten. ... Weiterlesen
USB Stick Nahaufnahme.

Muster für eine Risikoanalyse nach DSGVO

Bei der Risikoanalyse nach DSGVO gibt es einige wichtige Punkte zu beachten. Grundsätzlich ist zwischen der Datenschutz-Folgenabschätzung an sich und der Notwendigkeit (Risikoanalyse) dieser, zu unterscheiden. Denn oft verarbeiten Unternehmen gar keine Daten, die einer DSFA bedürfen. Dann muss aber trotzdem dokumentiert werden, dass es keiner DSFA bedarf (Negativ-Einschätzung). Dieser Artikel soll zeigen, wie man ... Weiterlesen
Was Selbstständige und Freiberufler nach DSGVO zu beachten haben. Rechte Pflichten und weiteres.

Datenschutz für kleine Unternehmen, Einzelunternehmer und Selbstständige

Die Datenschutz-Grundverordnung stärkt den Stellenwert personenbezogener Daten von Verbrauchern und sichert ein europaweit einheitliches Datenschutzniveau. Ihnen werden umfangreiche Informationsrechte über die Verarbeitung ihrer Daten zugesprochen. Für kleine Unternehmen bedeutet dies eine zusätzlich Belastung. Viele Unternehmen, insbesondere kleinere, sind von der Vielzahl der neuen Pflichten überfordert- auch in Anbetracht der enormen Strafen bei einer Missachtung der ... Weiterlesen

DSGVO in 2023 Neuerungen und Änderungen

Die DSGVO in 2023 bringt nur wenige Neuerungen und Änderungen bzgl. DSGVO und Datenschutz allgemein, über die Sie aber trotzdem informiert sein sollten. Dieser Artikel wagt einen Ausblick und fasst die wichtigsten Punkte für 2023 zusammen. InhalteDas neue DSG in der Schweiz tritt ab 1. September 2023 in Kraft.KI-Richtlinie der EUNeuer Rechtsrahmen zur Übermittlung von ... Weiterlesen
Wie ein Webseiten Cehck nach DSGVO gemacht wird.

DSGVO Webseiten Check und Audit inkl. Checkliste

Eine Website nach DSGVO konform zu betreiben ist für Unternehmer, Selbstständige oder gar Privatleute ein unsicheres Unterfangen. Cookies, Drittanbieteranfragen, Kontaktformulare und SSL-Verschlüsselung, dies sind nur einige wenige Stichpunkte, welche bei einem DSGVO Webseiten Check zu beachten sind. Dieser Artikel soll Ihnen zeigen, auf welche Punkte Sie allgemein achten sollten und noch einige spezielle Themen behandeln, ... Weiterlesen

Das große DSGVO Abkürzungsquiz

Hätten Sie es gewusst?

Nur für kurze Zeit!

DSGVO-Checkliste kostenlos*

Erstellt vom Datenschutzauditor (TÜV) inkl. Linksammlung zur DSGVO.

*Begrenzte Aktion, Normalpreis 49€ Netto