Eine Datenschutzverwaltung nach DSGVO – Vor und Nachteile einer komplexen Lösung

Eine Datenschutzverwaltung oder ein Datenschutzsystem wird nur selten als wichtiger Bestandteil der DSGVO wahrgenommen. Auch im Gesetzestext selbst steht nichts direkt über ein solches System, dennoch kann die Notwendigkeit durchaus aus den Erwägungsgründen und durch Interpretation des Gesetzes abgeleitet werden. Insgesamt ist ein systematischer Ansatz beim Datenschutz durchaus zu begrüßen. Dieser Artikel soll beleuchten, ob Sie eine komplexe Datenschutzverwaltung benötigen oder ob diese Ihnen nicht sogar schaden kann.

Tipp: Sie wollen vorausgefüllte Vorlagen und Ihre Dokumentation nach DSGVO abschließen?

Was ein Datenschutzsystem ist

In der DSGVO und ihren Erwägungsgründen ist mehrfach von einer fairen und transparenten Verarbeitung die Rede. Gemeinhin wird angenommen, dass dies vor allem dann gut möglich ist, wenn der Verantwortliche, also der Unternehmer, eine Datenschutzverwaltung eingeführt hat, also ein System besitzt, nach dem die Datenverarbeitung in geordneten Bahnen erfolgt.

Es geht also darum, eine systematische und transparente Erfassung aller datenschutzrelevanten Bausteine zu etablieren.

Konkret schreibt dafür das Gesetz wichtige Bausteine vor, wie das Verzeichnis von Verarbeitungstätigkeiten inkl. Risikoanalyse oder die technischen und organisatorischen Maßnahmen. Diese sind auch oft ausreichend, doch gerade für größere Unternehmen kann sich auch ein umfangreicheres System anbieten.

Bestandteile einer Datenschutzverwaltung oder eines Datenschutzsystems

Für ein gutes System, in dem datenschutzrelevante, unternehmensinterne Vorgänge erfasst werden können, gibt es einige Pflichtbestandteile und einige Bestandteile, welche unter Umständen nur bei großen Unternehmen zur Pflicht werden.

Laptop mit Diagrammen

Das Verzeichnis von Verarbeitungstätigkeiten

Dies ist das wohl bekannteste Dokumentationsinstrument nach DSGVO. Hier werden alle datenschutzrelevanten Verarbeitungstätigkeiten erfasst, beschrieben und deren Auswirkungen auf den Betroffenen erklärt.

Die technischen und organisatorischen Maßnahmen (TOM)

Hier werden die Maßnahmen festgehalten, welche die datenschutzrelevanten Verarbeitungstätigkeiten schützen sollen, z.B. vor Verlust oder Entwendung.

Risikoanalyse oder Datenschutzfolgenabschätzung

Hier soll das Risiko für den Betroffenen eingeschätzt werden und ggf. eine Abschätzung der Folgen vorgenommen werden.

Tipp: Sie wollen vorausgefüllte Vorlagen und Ihre Dokumentation nach DSGVO abschließen?

Auftragsverarbeiter und -verarbeitungen

Es geht darum, ausgelagerte Datenverarbeitungen zu erfassen und ein gewisses Schutzniveau mit Hilfe von Verträgen zu gewährleisten. Darüber hinaus müssen eigene Verarbeitungen auch dort erfasst werden.

Datenschutzkonzept

Das Konzept soll zusammenfassen, wie der Datenschutz im Unternehmen eingehalten wird und wo die betreffenden Dokumentationen dazu abgelegt sind. Es kann als Endpunkt der Dokumentation gesehen werden.

Situationsbezogene Bestandteile

Dies sind Bestandteile, die je nachdem, ob Sie im Unternehmen auftreten, relevant werden. Es ist grundsätzlich ratsam, dafür einen Prozess vorzubereiten und vorzuhalten, falls der „Ernstfall“ eintritt. Die Bestandteile sind Betroffenenanfragen (also z.B. Löschanfragen oder Auskunftsersuchen) und Datenpannen (Erfassung von ggf. meldepflichtigen Datenpannen, wie Datenverlust oder -veröffentlichung).

Zahlenkolonnen

Gegebenenfalls optionale Bestandteile

Diese Bestandteile können den Datenschutz im Unternehmen kompliziert machen, weil dann dort alle Komponenten, die in irgendeiner Weise mit personenbezogenen Daten in Berührung kommen, erfasst werden müssen. Besonders für kleinere Betriebe mit wenigen Datenverarbeitungsanlagen und Mitarbeitern, kann diese Dokumentation obsolet sein. Darüber hinaus, ist dies nicht explizit verlangt und kann bei einer Prüfung zu einem tiefen Einblick in den internen Aufbau des Unternehmens führen.

Es handelt sich um folgende Bestandteile:

  • Standorte & Abteilungen
  • Mitarbeiter bzw. Mitarbeitergruppen
  • Software & Hardware
  • Dateien & Dokumente

Eine Datenschutzverwaltung nach DSGVO in Excel erstellen

Für diese ganzen Dokumentationspflichten in Verbindung mit der DSGVO bietet sich eine Excel Tabelle an, in der z.B. pro Tabellenblatt ein Element abgefragt wird und die dafür relevanten Daten abgespeichert werden.

Es können z.B. Hardwarekonfigurationen oder Mitarbeitergruppen erfasst werden. Das Gesetz erlaubt es explizit, dies rein elektronisch zu führen. Außerdem können die Pflichtbestandteile, wie Verzeichnis von Verarbeitungstätigkeiten oder TOM in Excel erfasst werden.

Erfinden Sie das Rad nicht neu, mit unserer Excel-Tabelle erwerben Sie über 80 vorgefertigte Verfahren, direkt zum Übernehmen. Über 100 TOMs erlauben Ihnen alles zu erfassen, was für Ihre IT-Infrastruktur wichtig sein könnte.

Sollten Sie nur die Pflichtbestandteile abhaken wollen, erwerben Sie den Schritt für Schritt Generator zur Erstellung Ihrer Dokumente.

Fazit: Eine Datenschutzverwaltung kann sinnvoll sein, allerdings nicht für jede Betriebsgröße

Ob Sie nun ein komplettes System für Ihren Datenschutz im Unternehmen benötigen oder die Pflichtdokumente vorhalten, hängt von Ihrer individuellen Situation und Ihrer Risikoaffinität ab. Ihre Komplette IT-Infrastruktur in einem Programm zu hinterlegen kann extrem aufwändig und besonders bei kleinen Unternehmen dem berühmten “mit Kanonen auf Spatzen schießen” gleichkommen.

Tipp: Sie wollen vorausgefüllte Vorlagen und Ihre Dokumentation nach DSGVO abschließen?

Quellen

https://dsgvo-gesetz.de/art-30-dsgvo/
https://dsgvo-gesetz.de/erwaegungsgruende/nr-39/
https://dsgvo-gesetz.de/erwaegungsgruende/nr-78/