Datenschutzmanagementsystem
mit Word und Excel erstellen

Seit 2018 gilt in der EU die Datenschutzgrundverordnung (DSGVO). Damit sind Unternehmen in Deutschland dazu verpflichtet, eine DSGVO-konforme Datenverarbeitung zu gewährleisten. Dazu gehört auch ein effizientes Datenschutzmanagementsystem (DSMS). Ein solches System ist zwar nicht von der DSGVO vorgeschrieben, aber dennoch essenziell für eine organisierte Datenverarbeitung in einem Unternehmen. Denn ohne strukturierte Prozesse kann die Einhaltung der DSGVO nur schwerlich garantiert werden. Ein Datenschutzmanagementsystem legt fest, wie der Datenschutz in einem Unternehmen abzulaufen hat und wer sich um welche Schritte kümmert. Aber wie genau kann ein Datenschutzmanagementsystem erstellt werden?

So simpel es scheint: Für die Erstellung eines Datenschutzmanagementsystems ist nicht unbedingt eine spezielle Software notwendig. Auch ein so universell ausgerichtetes Programm wie Microsoft Office ist ausreichend. Die Office-Datei sollte im Hauptblatt, im Verarbeitungsverzeichnis und im TOM die nachfolgenden Informationen beinhalten.

Das Hauptblatt sollte die Angaben zum Datenschutzbeauftragten umfassen.
Auch interne Vorgaben durch den Verantwortlichen, sprich dem Geschäftsführer, in Bezug auf die DSGVO sollten im Hauptblatt angegeben sein. Dazu eignet sich ein Word-Dokument sehr gut.

Das Verarbeitungsverzeichnis gibt an, wann, vom wem und auf welche Weise Daten verarbeitet wurden. So können Unternehmen den Regeln der DSGVO, genauer gesagt der Auskunftspflicht, nachkommen. Gerade Excel eignet sich besonders gut, um eine strukturierte Übersicht über die Verarbeitung von Daten liefern zu können. In den Spalten kann zum Beispiel vermerkt werden:

• Die Art der Datenverarbeitung
• Die betreffenden personenbezogenen Daten
• Das Datum der letzten Verarbeitung
• Der Mitarbeiter, der die Daten zuletzt bearbeitet hat, sowie die zugehörige Abteilung
• Der Speicherort, falls relevant
• Die Angabe der jeweils geltenden Rechtsgrundlagen, Aufbewahrungsfristen und Löschfristen
• Das genutzte Tool, falls relevant

Empfehlenswert ist es auch, jede Datenverarbeitung mit einer Nummer wie bei einem Beleg zu versehen. Mit einer Excel-Liste, die die entsprechenden Angaben beinhaltet, kommt ein Unternehmen automatisch der Dokumentationspflicht der DSGVO nach.

Eine Datenschutzfolgenabschätzung ist notwendig, um das Risiko einer Verletzung der Rechte und Freiheiten Betroffener durch die Verarbeitung personenbezogener Daten festzustellen und entsprechend reagieren zu können. Eine sorgfältige Dokumentation der Verarbeitungsvorgänge ist die Grundlage für eine effiziente Datenschutzfolgenabschätzung. Sie ermöglicht die Risikoanalyse und verhindert, dass Lücken und Fehler in der Dokumentation zu Sicherheitsrisiken führen.

Für eine Datenschutzfolgenabschätzung lässt sich eine Excel-Liste anwenden, in der die Verarbeitungsvorgänge dokumentiert werden Auch die Datenschutzfolgenabschätzung selbst kann aufgrund der Übersichtlichkeit in Excel dokumentiert werden. Wird mit einem Tool als Datenschutzmanagementsystem gearbeitet, können meist entsprechende Dateien im Excel-Format importiert werden.

Die Abkürzung TOM beschreibt die technischen und organisatorischen Maßnahmen im Rahmen eines DSMS. Diese Maßnahmen werden getroffen, um zu verhindern, dass Unbefugte an Daten gelangen und diese einsehen können. TOM sieht auch Maßnahmen vor, die vorgeben, wie Verantwortliche reagieren sollen, falls es zu einem Datenschutzverstoß oder Sicherheitsvorfall kommen sollte. Dazu gehören auch technische Maßnahmen wie Verschlüsselungen oder die Pseudonymisierung personenbezogener Daten. In einer Excel können alle Verarbeitungsvorgänge übersichtlich einer technischen und/oder organisatorischen Maßnahme zum Datenschutz zugeordnet werden.

An der Verarbeitung von personenbezogenen Daten und der Umsetzung von datenschutzrechtlichen Maßnahmen sind in der Regel mehrere Mitarbeiter beteiligt. Als Verantwortliche müssen auch die Geschäftsführung und der Datenschutzbeauftragte Einblick in die entsprechenden Dokumente des Datenschutzmanagementsystems haben. Werden Word oder noch besser Excel zur Dokumentation von Verarbeitungsvorgängen oder TOM genutzt, sollten daher alle beteiligten Personen Zugriff auf die Dateien haben. Dafür eignen sich Apps und Cloud-Dienste wie Google Drive, Microsoft Teams oder Dropbox. So können alle Mitarbeiter bei der Verarbeitung von Daten die Dateien entsprechend aktualisieren und die neuesten Änderungen sind für jeden einsehbar. Zudem erhalten Mitarbeiter unkompliziert Zugriff auf vorgenommene und für sie relevante Maßnahmen zur Umsetzung der DSGVO, die vom Datenschutzbeauftragten in Word oder Excel eingetragen wurden. Eine Alternative zu einem DSMS mit Word oder Excel ist eine Software wie Intervalid. Diese bietet den Vorteil einer zentralen Speicherung aller Daten und einer fortwährenden Aktualisierung.

Tipp: Damit Ihre Mitarbeiter mit den Ihnen zur Verfügung gestellten Dokumenten des DSMS auch etwas anfangen können, müssen sie bezüglich der Regelungen der DSGVO aufgeklärt werden. Damit jeder Mitarbeiter weiß, wie eine DSGVO-konforme Datenverarbeitung bei den Prozessen des Unternehmens abzulaufen hat, lohnt sich die Durchführung einer Mitarbeiterschulung.

Bei der Erstellung eines DSMS gibt es Vieles zu beachten. Für Mitarbeiter, die hauptsächlich mit anderen Aufgaben ausgelastet sind, ist es nur schwer möglich, das dafür notwendige Fachwissen mitzubringen und eine kontinuierliche Einhaltung der DSGVO zu gewährleisten. Die meisten Unternehmen in Deutschland sind jedoch zur Ernennung eines Datenschutzbeauftragten verpflichtet. Um personale Ressourcen zu schonen, lohnt sich die Beauftragung eines externen statt eines internen Datenschutzbeauftragten. Damit steht Ihr Unternehmen außerdem auf der sicheren Seite, denn der externe DSB bringt ausreichend Fachwissen und Erfahrung mit, um eine DSGVO-konforme Datenverarbeitung in Ihrem Unternehmen zu gewährleisten. Der externe DSB unterstützt Sie bei der Entwicklung und Implementierung eines Datenschutzmanagementsystems nach den Vorgaben der DSGVO. Wenn Sie bereits ein DSMS haben, können Sie Ihrem externen Datenschutzbeauftragten Zugriff auf die entsprechenden Word-Dateien oder Excel-Dateien geben. Der externe Datenschutzbeauftragte evaluiert Ihre Prozesse und Maßnahmen, optimiert diese gegebenenfalls und stellt eine kontinuierliche Optimierung sicher, damit der Datenschutz in Ihrem Unternehmen gewährleistet ist.