Eine Datenschutzverwaltung nach DSGVO – Vor und Nachteile einer komplexen Lösung

Vorausgefüllte Vorlagen vom Datenschutz-Auditor (TÜV-geprüft)

Eine Datenschutzverwaltung oder ein Datenschutzsystem wird nur selten als wichtiger Bestandteil der DSGVO wahrgenommen. Auch im Gesetzestext selbst steht nichts direkt über ein solches System, dennoch kann die Notwendigkeit durchaus aus den Erwägungsgründen und durch Interpretation des Gesetzes abgeleitet werden. Insgesamt ist ein systematischer Ansatz beim Datenschutz durchaus zu begrüßen. Dieser Artikel soll beleuchten, ob Sie eine komplexe Datenschutzverwaltung benötigen oder ob diese Ihnen nicht sogar schaden kann.

Was ein Datenschutzsystem ist

In der DSGVO und ihren Erwägungsgründen ist mehrfach von einer fairen und transparenten Verarbeitung die Rede. Gemeinhin wird angenommen, dass dies vor allem dann gut möglich ist, wenn der Verantwortliche, also der Unternehmer, eine Datenschutzverwaltung eingeführt hat, also ein System besitzt, nach dem die Datenverarbeitung in geordneten Bahnen erfolgt.

Es geht also darum, eine systematische und transparente Erfassung aller datenschutzrelevanten Bausteine zu etablieren.

Konkret schreibt dafür das Gesetz wichtige Bausteine vor, wie das Verzeichnis von Verarbeitungstätigkeiten inkl. Risikoanalyse oder die technischen und organisatorischen Maßnahmen. Diese sind auch oft ausreichend, doch gerade für größere Unternehmen kann sich auch ein umfangreicheres System anbieten.

Bestandteile einer Datenschutzverwaltung oder eines Datenschutzsystems

Für ein gutes System, in dem datenschutzrelevante, unternehmensinterne Vorgänge erfasst werden können, gibt es einige Pflichtbestandteile und einige Bestandteile, welche unter Umständen nur bei großen Unternehmen zur Pflicht werden.

Eine Datenschutzverwaltung läuft ggf. nicht auf allen Rechnern.

Das Verzeichnis von Verarbeitungstätigkeiten

Dies ist das wohl bekannteste Dokumentationsinstrument nach DSGVO. Hier werden alle datenschutzrelevanten Verarbeitungstätigkeiten erfasst, beschrieben und deren Auswirkungen auf den Betroffenen erklärt.

Die technischen und organisatorischen Maßnahmen (TOM)

Hier werden die Maßnahmen festgehalten, welche die datenschutzrelevanten Verarbeitungstätigkeiten schützen sollen, z.B. vor Verlust oder Entwendung.

Risikoanalyse oder Datenschutzfolgenabschätzung

Hier soll das Risiko für den Betroffenen eingeschätzt werden und ggf. eine Abschätzung der Folgen vorgenommen werden.

Auftragsverarbeiter und -verarbeitungen

Es geht darum, ausgelagerte Datenverarbeitungen zu erfassen und ein gewisses Schutzniveau mit Hilfe von Verträgen zu gewährleisten. Darüber hinaus müssen eigene Verarbeitungen auch dort erfasst werden.

Datenschutzkonzept

Das Konzept soll zusammenfassen, wie der Datenschutz im Unternehmen eingehalten wird und wo die betreffenden Dokumentationen dazu abgelegt sind. Es kann als Endpunkt der Dokumentation gesehen werden.

Situationsbezogene Bestandteile

Dies sind Bestandteile, die je nachdem, ob Sie im Unternehmen auftreten, relevant werden. Es ist grundsätzlich ratsam, dafür einen Prozess vorzubereiten und vorzuhalten, falls der „Ernstfall“ eintritt. Die Bestandteile sind Betroffenenanfragen (also z.B. Löschanfragen oder Auskunftsersuchen) und Datenpannen (Erfassung von ggf. meldepflichtigen Datenpannen, wie Datenverlust oder -veröffentlichung).

Komplexe Lösung: Datenschutzverwaltung.

Gegebenenfalls optionale Bestandteile

Diese Bestandteile können den Datenschutz im Unternehmen kompliziert machen, weil dann dort alle Komponenten, die in irgendeiner Weise mit personenbezogenen Daten in Berührung kommen, erfasst werden müssen. Besonders für kleinere Betriebe mit wenigen Datenverarbeitungsanlagen und Mitarbeitern, kann diese Dokumentation obsolet sein. Darüber hinaus, ist dies nicht explizit verlangt und kann bei einer Prüfung zu einem tiefen Einblick in den internen Aufbau des Unternehmens führen.

Es handelt sich um folgende Bestandteile:

  • Standorte & Abteilungen
  • Mitarbeiter bzw. Mitarbeitergruppen
  • Software & Hardware
  • Dateien & Dokumente

Eine Datenschutzverwaltung nach DSGVO in Excel erstellen

Für diese ganzen Dokumentationspflichten in Verbindung mit der Datenschutz-Grundverordnung bietet sich eine Excel Tabelle an, in der z.B. pro Tabellenblatt ein Element abgefragt wird und die dafür relevanten Daten abgespeichert werden.

Es können z.B. Hardwarekonfigurationen oder Mitarbeitergruppen erfasst werden. Das Gesetz erlaubt es explizit, dies rein elektronisch zu führen. Außerdem können die Pflichtbestandteile, wie Verzeichnis von Verarbeitungstätigkeiten oder TOM in Excel erfasst werden.

Screenshot Datenschutzverwaltung

Erfinden Sie das Rad nicht neu, mit unserer Excel-Tabelle erwerben Sie über 80 vorgefertigte Verfahren, direkt zum Übernehmen. Über 100 TOMs erlauben Ihnen alles zu erfassen, was für Ihre IT-Infrastruktur wichtig sein könnte.

Sollten Sie nur die Pflichtbestandteile abhaken wollen, erwerben Sie den Schritt für Schritt Generator zur Erstellung Ihrer Dokumente.

Fazit: Eine Datenschutzverwaltung kann sinnvoll sein, allerdings nicht für jede Betriebsgröße

Ob Sie nun ein komplettes System für Ihren Datenschutz im Unternehmen benötigen oder die Pflichtdokumente vorhalten, hängt von Ihrer individuellen Situation und Ihrer Risikoaffinität ab. Ihre Komplette IT-Infrastruktur in einem Programm zu hinterlegen kann extrem aufwändig und besonders bei kleinen Unternehmen dem berühmten “mit Kanonen auf Spatzen schießen” gleichkommen.

Vorausgefüllte Vorlagen vom Datenschutz-Auditor (TÜV-geprüft)

Quellen

https://dsgvo-gesetz.de/art-30-dsgvo/
https://dsgvo-gesetz.de/erwaegungsgruende/nr-39/
https://dsgvo-gesetz.de/erwaegungsgruende/nr-78/

Über den Autor: Oliver Engel - Datenschutzexperte und Gründer von dsgvo-vorlagen.de

Oliver Engel ist ein erfahrener Datenschutzexperte und der Gründer von dsgvo-vorlagen.de. Als ausgebildeter Datenschutzbeauftragter (IHK) und Datenschutzauditor (TÜV) hat er es sich zur Aufgabe gemacht, Unternehmern praktische Tools für ihre DSGVO-Dokumentation zur Verfügung zu stellen. Seine Vorlagen basieren auf jahrelanger Erfahrung und sind tausendfach im Einsatz erprobt.

Mit seinem Hintergrund als externer Datenschutzbeauftragter, Autor eines Fachbuchs zur DSGVO und Dozent für Digitalisierung versteht Oliver Engel die Herausforderungen, vor denen Unternehmen beim Thema Datenschutz stehen. Sein Ziel ist es, mit benutzerfreundlichen, praxisorientierten Lösungen zu helfen, Dokumentations- und Rechenschaftspflichten effizient zu erfüllen.

Als Mitglied im Berufsverband der Datenschutzbeauftragten Deutschlands (BvD) e.V. bleibt Oliver Engel stets auf dem neuesten Stand der Entwicklungen im Datenschutzrecht. Seine Expertise hilft Unternehmen, ihren Datenschutz unkompliziert und effektiv umzusetzen.

Weitere Fachbeiträge zum Thema Datenschutz

Schaubild zur Definition von Künstlicher Intelligenz und ihrer Bedeutung für Unternehmen

Künstliche Intelligenz (KI) und DSGVO – Datenschutz beachten

In einer Welt, in der Künstliche Intelligenz (KI) zunehmend Einzug in den Unternehmensalltag hält, stehen Organisationen vor der Herausforderung, innovative Technologien zu nutzen und gleichzeitig den Datenschutz zu wahren. Dieser Artikel bietet einen umfassenden Überblick über die Schnittstelle von KI und Datenschutz, speziell zugeschnitten auf die Bedürfnisse von Unternehmen, die KI-Anwendungen einsetzen oder einsetzen möchten. ... Weiterlesen
USB Stick Nahaufnahme.

Muster für eine Risikoanalyse nach DSGVO

Bei der Risikoanalyse nach DSGVO gibt es einige wichtige Punkte zu beachten. Grundsätzlich ist zwischen der Datenschutz-Folgenabschätzung an sich und der Notwendigkeit (Risikoanalyse) dieser, zu unterscheiden. Denn oft verarbeiten Unternehmen gar keine Daten, die einer DSFA bedürfen. Dann muss aber trotzdem dokumentiert werden, dass es keiner DSFA bedarf (Negativ-Einschätzung). Dieser Artikel soll zeigen, wie man ... Weiterlesen
Was Selbstständige und Freiberufler nach DSGVO zu beachten haben. Rechte Pflichten und weiteres.

Datenschutz für kleine Unternehmen, Einzelunternehmer und Selbstständige

Die Datenschutz-Grundverordnung stärkt den Stellenwert personenbezogener Daten von Verbrauchern und sichert ein europaweit einheitliches Datenschutzniveau. Ihnen werden umfangreiche Informationsrechte über die Verarbeitung ihrer Daten zugesprochen. Für kleine Unternehmen bedeutet dies eine zusätzlich Belastung. Viele Unternehmen, insbesondere kleinere, sind von der Vielzahl der neuen Pflichten überfordert- auch in Anbetracht der enormen Strafen bei einer Missachtung der ... Weiterlesen

DSGVO in 2023 Neuerungen und Änderungen

Die DSGVO in 2023 bringt nur wenige Neuerungen und Änderungen bzgl. DSGVO und Datenschutz allgemein, über die Sie aber trotzdem informiert sein sollten. Dieser Artikel wagt einen Ausblick und fasst die wichtigsten Punkte für 2023 zusammen. InhalteDas neue DSG in der Schweiz tritt ab 1. September 2023 in Kraft.KI-Richtlinie der EUNeuer Rechtsrahmen zur Übermittlung von ... Weiterlesen
Wie ein Webseiten Cehck nach DSGVO gemacht wird.

DSGVO Webseiten Check und Audit inkl. Checkliste

Eine Website nach DSGVO konform zu betreiben ist für Unternehmer, Selbstständige oder gar Privatleute ein unsicheres Unterfangen. Cookies, Drittanbieteranfragen, Kontaktformulare und SSL-Verschlüsselung, dies sind nur einige wenige Stichpunkte, welche bei einem DSGVO Webseiten Check zu beachten sind. Dieser Artikel soll Ihnen zeigen, auf welche Punkte Sie allgemein achten sollten und noch einige spezielle Themen behandeln, ... Weiterlesen

Das große DSGVO Abkürzungsquiz

Hätten Sie es gewusst?

Nur für kurze Zeit!

DSGVO-Checkliste kostenlos*

Erstellt vom Datenschutzauditor (TÜV) inkl. Linksammlung zur DSGVO.

*Begrenzte Aktion, Normalpreis 49€ Netto