Eine Datenschutzverwaltung oder ein Datenschutzsystem wird nur selten als wichtiger Bestandteil der DSGVO wahrgenommen. Auch im Gesetzestext selbst steht nichts direkt über ein solches System, dennoch kann die Notwendigkeit durchaus aus den Erwägungsgründen und durch Interpretation des Gesetzes abgeleitet werden. Insgesamt ist ein systematischer Ansatz beim Datenschutz durchaus zu begrüßen. Dieser Artikel soll beleuchten, ob Sie eine komplexe Datenschutzverwaltung benötigen oder ob diese Ihnen nicht sogar schaden kann.
Inhalte
Was ein Datenschutzsystem ist
In der DSGVO und ihren Erwägungsgründen ist mehrfach von einer fairen und transparenten Verarbeitung die Rede. Gemeinhin wird angenommen, dass dies vor allem dann gut möglich ist, wenn der Verantwortliche, also der Unternehmer, eine Datenschutzverwaltung eingeführt hat, also ein System besitzt, nach dem die Datenverarbeitung in geordneten Bahnen erfolgt.
Es geht also darum, eine systematische und transparente Erfassung aller datenschutzrelevanten Bausteine zu etablieren.
Konkret schreibt dafür das Gesetz wichtige Bausteine vor, wie das Verzeichnis von Verarbeitungstätigkeiten inkl. Risikoanalyse oder die technischen und organisatorischen Maßnahmen. Diese sind auch oft ausreichend, doch gerade für größere Unternehmen kann sich auch ein umfangreicheres System anbieten.
Bestandteile einer Datenschutzverwaltung oder eines Datenschutzsystems
Für ein gutes System, in dem datenschutzrelevante, unternehmensinterne Vorgänge erfasst werden können, gibt es einige Pflichtbestandteile und einige Bestandteile, welche unter Umständen nur bei großen Unternehmen zur Pflicht werden.
Das Verzeichnis von Verarbeitungstätigkeiten
Dies ist das wohl bekannteste Dokumentationsinstrument nach DSGVO. Hier werden alle datenschutzrelevanten Verarbeitungstätigkeiten erfasst, beschrieben und deren Auswirkungen auf den Betroffenen erklärt.
Die technischen und organisatorischen Maßnahmen (TOM)
Hier werden die Maßnahmen festgehalten, welche die datenschutzrelevanten Verarbeitungstätigkeiten schützen sollen, z.B. vor Verlust oder Entwendung.
Risikoanalyse oder Datenschutzfolgenabschätzung
Hier soll das Risiko für den Betroffenen eingeschätzt werden und ggf. eine Abschätzung der Folgen vorgenommen werden.
Auftragsverarbeiter und -verarbeitungen
Es geht darum, ausgelagerte Datenverarbeitungen zu erfassen und ein gewisses Schutzniveau mit Hilfe von Verträgen zu gewährleisten. Darüber hinaus müssen eigene Verarbeitungen auch dort erfasst werden.
Datenschutzkonzept
Das Konzept soll zusammenfassen, wie der Datenschutz im Unternehmen eingehalten wird und wo die betreffenden Dokumentationen dazu abgelegt sind. Es kann als Endpunkt der Dokumentation gesehen werden.
Situationsbezogene Bestandteile
Dies sind Bestandteile, die je nachdem, ob Sie im Unternehmen auftreten, relevant werden. Es ist grundsätzlich ratsam, dafür einen Prozess vorzubereiten und vorzuhalten, falls der „Ernstfall“ eintritt. Die Bestandteile sind Betroffenenanfragen (also z.B. Löschanfragen oder Auskunftsersuchen) und Datenpannen (Erfassung von ggf. meldepflichtigen Datenpannen, wie Datenverlust oder -veröffentlichung).
Gegebenenfalls optionale Bestandteile
Diese Bestandteile können den Datenschutz im Unternehmen kompliziert machen, weil dann dort alle Komponenten, die in irgendeiner Weise mit personenbezogenen Daten in Berührung kommen, erfasst werden müssen. Besonders für kleinere Betriebe mit wenigen Datenverarbeitungsanlagen und Mitarbeitern, kann diese Dokumentation obsolet sein. Darüber hinaus, ist dies nicht explizit verlangt und kann bei einer Prüfung zu einem tiefen Einblick in den internen Aufbau des Unternehmens führen.
Es handelt sich um folgende Bestandteile:
- Standorte & Abteilungen
- Mitarbeiter bzw. Mitarbeitergruppen
- Software & Hardware
- Dateien & Dokumente
Eine Datenschutzverwaltung nach DSGVO in Excel erstellen
Für diese ganzen Dokumentationspflichten in Verbindung mit der Datenschutz-Grundverordnung bietet sich eine Excel Tabelle an, in der z.B. pro Tabellenblatt ein Element abgefragt wird und die dafür relevanten Daten abgespeichert werden.
Es können z.B. Hardwarekonfigurationen oder Mitarbeitergruppen erfasst werden. Das Gesetz erlaubt es explizit, dies rein elektronisch zu führen. Außerdem können die Pflichtbestandteile, wie Verzeichnis von Verarbeitungstätigkeiten oder TOM in Excel erfasst werden.
Erfinden Sie das Rad nicht neu, mit unserer Excel-Tabelle erwerben Sie über 80 vorgefertigte Verfahren, direkt zum Übernehmen. Über 100 TOMs erlauben Ihnen alles zu erfassen, was für Ihre IT-Infrastruktur wichtig sein könnte.
Sollten Sie nur die Pflichtbestandteile abhaken wollen, erwerben Sie den Schritt für Schritt Generator zur Erstellung Ihrer Dokumente.
Fazit: Eine Datenschutzverwaltung kann sinnvoll sein, allerdings nicht für jede Betriebsgröße
Ob Sie nun ein komplettes System für Ihren Datenschutz im Unternehmen benötigen oder die Pflichtdokumente vorhalten, hängt von Ihrer individuellen Situation und Ihrer Risikoaffinität ab. Ihre Komplette IT-Infrastruktur in einem Programm zu hinterlegen kann extrem aufwändig und besonders bei kleinen Unternehmen dem berühmten “mit Kanonen auf Spatzen schießen” gleichkommen.
Quellen
https://dsgvo-gesetz.de/art-30-dsgvo/
https://dsgvo-gesetz.de/erwaegungsgruende/nr-39/
https://dsgvo-gesetz.de/erwaegungsgruende/nr-78/