Die Dokumentation für die DSGVO für 2022 in Word oder Excel zu erstellen kann sinnvoll sein, wenn man sich von Cloud Lösungen unabhängig machen möchte und ggf. im eigenen Stil tätig werden möchte. Dieser Artikel soll zeigen, wie Sie ein Verzeichnis von Verarbeitungstätigkeiten in Word erstellen können. Darüber hinaus wird gezeigt, wie Sie weitere Dokumentationen integrieren können.
Inhalte
- Die Struktur der Datenschutzdokumentation in Word (z.B. Verzeichnis von Verarbeitungstätigkeiten)
- Das Verzeichnis von Verarbeitungstätigkeiten (Verarbeitungsverzeichnis) in Word erstellen
- Technische und Organisatorische Maßnahmen in Word erfassen
- Risikoanalyse oder Datenschutzfolgenabschätzung
- Weitere Bestandteile des Datenschutzmanagements
- Muster für ein Verzeichnis von Verarbeitungstätigkeiten und für die Datenschutzdokumentation als Download
- Fazit
- Quellen
Die Struktur der Datenschutzdokumentation in Word (z.B. Verzeichnis von Verarbeitungstätigkeiten)
Der große Vorteil von Dokumentationen, die direkt in Word oder Excel erstellt werden, liegt darin, dass sie schnell geändert werden können und an eigene Bedürfnisse angepasst werden können. Die Nachteile liegen vor allem darin, dass Updates unter Umständen nicht automatisch eingespielt werden und selber recherchiert werden müssen.
Im Folgenden sollen die einzelnen Dokumentationen aufgezählt werden. Für eine Übersicht, wie dies in Excel gemacht werden kann, verweise ich auf meinen Artikel.
Grundsätzlich sollten Sie sich vorab Gedanken machen, welche Anforderungen an ein solches Dokument gestellt werden, sowohl gesetzlich, als auch praktisch. Die folgenden Punkte sollten Sie beachten:
- Sind alle gesetzlichen Pflichtbestandteile enthalten?
- Wie gestalte ich die Vorlage so, dass eine Behörde oder ein Prüfer gut damit umgehen kann?
- Bei interner und externer Nutzung (z.B. bei einem externen Datenschutzbeauftragten), wie kann ich sicherstellen, dass die Daten richtig eingetragen werden?
- Welche Maßnahmen zur Versionierung oder Revisionssicherheit ergreife ich?
- Wo lege ich das Muster und die ausgefüllte Vorlage ab und wer wird genau damit arbeiten?
Wenn Sie sich über diese Punkte klar werden, werden Sie mit hoher Wahrscheinlichkeit eine Word Vorlage bauen, welche Sie auch später noch verwenden können. Unsere vorausgefüllte Vorlage umfasst über 300 Seiten inkl. über 100 vordefinierter Verfahren und 100 technischer und organisatorischen Maßnahmen (TOMs).
Das Verzeichnis von Verarbeitungstätigkeiten (Verarbeitungsverzeichnis) in Word erstellen
Es bietet sich an, das Verzeichnis von Verarbeitungstätigkeiten auf mehrere Blätter aufzuteilen, in dem jede Tätigkeit einer einzelnen Tabelle zugeordnet wird. Damit behält man am besten den Überblick und kann über Verweise direkt vom Inhaltsverzeichnis zur Verarbeitungstätigkeit springen. Nicht benötigte Verarbeitungstätigkeiten können so auch schnell gelöscht werden.
Das zugehörige Hauptblatt sollte allgemeine Unternehmensinformationen und eine Versionshistorie enthalten.
Sie sollten nun durch Ihr Unternehmen gehen und alle Tätigkeiten, die eine datenschutzrechtliche Relevanz für Ihr Unternehmen haben, durchgehen und notieren. Anschließend befüllen Sie Ihre Dokumentation mit den gesetzlichen Inhalten.
Die genauen Inhalte können Sie hier finden, trotzdem soll diese Liste eine kurze Zusammenfassung geben:
- Namen und Kontaktdaten des Verantwortlichen.
- Die Zwecke der Verarbeitung, also das “wieso” der Verarbeitung.
- Eine Beschreibung der Kategorien von Betroffenen und deren personenbezogenen Daten.
- Ein Beispiel für Kategorien personenbezogener Daten kann z.B. “Arbeitnehmerstammdaten” oder “Adressdaten” sein.
- Ein Beispiel für Kategorien von Betroffenen kann z.B. “Bewerber” oder “Kunden” sein.
- Es müssen Kategorien von Empfängern der Daten angegeben werden, also z.B. “Steuerberater”.
- Informationen zur Übermittlung in Drittstaaten, also z.B. den USA.
- Löschfristen für die verarbeiteten Daten.
- Beschreibung der technischen und organisatorischen Maßnahmen.
- Die Rechtsgrundlage der Verarbeitung, also z.B. “berechtigtes Interesse”.
Dies sind die gesetzlichen Mindestbestandteile. In der Praxis ergeben sich allerdings einige Zusatzangaben, wie z.B. die Verantwortlichkeiten innerhalb des Unternehmens oder der Beginn der Verarbeitung. Die oben genannten Angaben lassen sich gut in ein Word-Dokument überführen oder in eine Excel-Tabelle übertragen.
Technische und Organisatorische Maßnahmen in Word erfassen
Die DSGVO sieht vor, dass auch Maßnahmen zur Sicherheit der Verarbeitung festgehalten werden. Deswegen darf auch diese Dokumentation in Ihrer Vorlage nicht fehlen.
Hierzu habe ich bereits einen ausführlichen Artikel geschrieben. Das TOM Muster in Word können Sie allerdings gerne hier herunterladen.
Grundsätzlich müssen die Maßnahmen angemessen sein. Ein Bäcker muss weniger in seine Sicherheitstechnik investieren als z.B. eine Arztpraxis. Ein Grundstandard sollte aber immer vorhanden sein, wie die Verwendung von Passwörtern oder die Wahl eines sicheren Hosters.
Viele Unternehmen haben bereits ausreichende Sicherheitsmaßnahmen implementiert, diese aber nur noch nicht dokumentiert. Ein TOM-Fragenkatalog kann Ihnen dabei helfen, die Maßnahmen einfach und lückenlos zu dokumentieren.
Risikoanalyse oder Datenschutzfolgenabschätzung
Ein wichtiger Part der Hand in Hand mit den zwei oben genannten Dokumentation geht, ist die Risikoanalyse und die daraus ggf. folgende Datenschutzfolgenabschätzung.
Die Risikoanalyse sollte direkt im Verzeichnis von Verarbeitungstätigkeiten unter jede Verarbeitung notiert werden. Eine ausführliche Anleitung finden Sie hier.
Dabei sind folgende Punkte auszufüllen:
- Schätzen Sie den Schutzbedarf ein, also wie sensibel sind die Daten eigentlich?
- Schätzen Sie die Eintrittswahrscheinlichkeit, wie wahrscheinlich ist ein Diebstahl oder ein Verlust?
- Entspricht die Verarbeitung den von der „Datenschutzgruppe nach Artikel 29“ (G29) festgelegten Kriterien?
Nach der Einschätzung können Sie nun feststellen, ob eine Datenschutzfolgenabschätzung notwendig ist oder nicht. Dies ist regelmäßig der Fall, wenn mittels Risikoanalyse der Schluss erfolgt ist, dass ein hohes Risiko besteht.
Weitere Bestandteile des Datenschutzmanagements
Über die oben genannten Dokumentationen hinaus, welche als große Pflichtbestandteile gesehen werden können, gibt es noch viele weitere Formblätter und Tabellen, welche direkt in einer Word-Datei untergebracht werden könnten.
Im folgenden werden diese kurz aufgezählt.
- Erfassung von Auftragsverarbeitern und eigene Auftragsverarbeitungen.
- Betroffenenanfragen die das Unternehmen erreichen.
- Verletzung des Schutzes personenbezogener Daten (Erfassung von Datenpannen)
- Erstellung des Datenschutzkonzeptes, also die Zusammenfassung des Datenschutzmanagementsystems
- Verwaltung der datenschutzrelevanten Infrastruktur (z.B. Standorte, Hardware, Software, Mitarbeiter usw.).
Muster für ein Verzeichnis von Verarbeitungstätigkeiten und für die Datenschutzdokumentation als Download
Im Folgenden können Sie das Inhaltsverzeichnis der Vorlage kostenlos herunterladen, welche angeboten wird. Daran können Sie sich bei der Erstellung orientieren und wissen, was in der Kaufversion auf Sie zukommt.
Fazit
Sein komplettes Datenschutzmanagement unabhängig von Cloud Lösungen in einem Dokument zu haben, hat viele Vorteile. Eine fertig erstellte Dokumentation kann lange dauern, dann muss sie allerdings nur noch aktualisiert werden, was den Aufwand rechtfertigt.