Teil 2 – Dokumentationspflichten der DSGVO

In dieser Lektion möchte ich dir aufzeigen, was für Dokumentationen du bezüglich deines Datenschutzes anlegen und abheften solltest. Dabei geht es hauptsächlich darum, dass du bei Nachfrage einer Prüfstelle intern Zugriff auf einen Ordner hast, in dem alle wichtigen Datenschutzdokumentationen auf einen Blick abgeheftet sind.

Die Aufgaben dieser Lektion haben also weniger damit zu tun, dass du bei Spreadmind bist, sondern sind von jedem durchzuführen, den die DSGVO betrifft und da gehören Spreadmind Autoren als Betreiber eines Online Business auf jeden Fall auch dazu.

1. Dein Verzeichnis von Verarbeitungstätigkeiten

In deinem Verzeichnis von Verarbeitungstätigkeiten erfasst du alle Verarbeitungen in deinem Unternehmen, es ist das zentrale Dokument deiner Datenschutz-Dokumentation.

Dieses Verzeichnis muss von Unternehmen laut DSGVO zwar erst ab 250 Mitarbeitern angelegt werden. Allerdings wird auch erwähnt, dass Unternehmen die personenbezogenen Daten regelmäßig verarbeiten ebenfalls dazu verpflichtet sind. Aus meiner Sicht fallen da Betreiber eines Online Business auch darunter, weil wir im Prinzip täglich personenbezogene Daten über unsere Webseite verarbeiten.

Verarbeitungstätigkeiten sind letztendlich die Prozesse in deinem Unternehmen, bei denen Daten erfasst, gespeichert und verarbeitet werden. Stelle dir dazu folgende Fragen:

Woher kommen deine Daten (z.B. über deine Spreadmind Website oder werden sie dir telefonisch oder als Email übersandt oder bekommst du sie über ein zusätzliches Tool)?

Was machst du mit Ihnen (Auftrag generieren in einem Tool, Rechnung schreiben, Newsletter versenden)?

Machst du das händisch oder über ein Tool?

Wenn du diese Dinge aufschreibst, denke immer auch daran, eine Liste mit verwendeten Tools anzulegen und dir zu überlegen, was das Tool macht und wo die Daten gespeichert sind.

Was passiert mit den Daten, wenn sie nicht mehr gebraucht werden?

Wann werden diese gelöscht?

Über all diese Fragen lohnt es sich Gedanken zu machen und diese auch schriftlich festzuhalten.

Zitat von unserer Gastexpertin Jasmin Lieffering aus ihrem Gastartikel auf claudiaeasymarketing.com

2. Technische und organisatorische Maßnahmen

Deine technischen und organisatorischen Maßnahmen dokumentieren, welche technischen Maßnahmen du getroffen hast, um die Sicherheit der Daten und deren Verarbeitung zu gewährleisten.

Hierbei geht es um so Punkte wie:

  • Vertraulichkeit (Art. 32 Abs. 1 lit. b DS-GVO)
  • Integrität (Art. 32 Abs. 1 lit. b DS-GVO)
  • Verfügbarkeit und Belastbarkeit (Art. 32 Abs. 1 lit. b DS-GVO)
  • Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung (Art. 32 Abs. 1 lit. d DS-GVO; Art. 25 Abs. 1 DS-GVO)

 

3. Risikoanalyse

Die Risikoanalyse gibt dir Informationen darüber, ob eine Datenschutz-Folgenabschätzung notwendig ist oder nicht. Nehme dazu am besten dein Verzeichnis von Verarbeitungstätigkeiten aus Schritt 1 zur Hand und schätze ob, ob es bei diesen jeweils Risiken zur Datenschutzverletzung gibt.

4. Auftragsverarbeiter

Erstelle ein Dokument in dem du auflistest, mit welchen Anbietern du zusammenarbeitest, die personenbezogene Daten deiner Kunden, Lieferanten etc. in deinem Auftrag verarbeiten. Als Betreiber einer Spreadmind Webseite sind das in jedem Fall wir, die Spreadmind GmbH und ziemlich sicher auch dein Webhostinganbieter, bei dem du deine Domain bzw. dein E-Mail-Konto liegen hast. Mehr dazu in Teil 3 dieses DSGVO Online Kurses.

Wenn du darüber hinaus noch weitere Tools und Anbieter nutzt, solltest du auch mit diesen einen Vertrag zur Auftragsverarbeitung abschließen. Auch dazu mehr in Teil 3.

 

5. Datenschutz Konzept

Wenn du mit den oberen Schritten fertig bist, stellst du abschließend ein Datenschutzkonzept auf. Es dient auch gleichzeitig als Checkliste, ob du alle Maßnahmen durchgeführt hast, die wichtig sind. Das Datenschutzkonzept kann gleichzeitig als Abschluss deiner Dokumentation gesehen werden.

 

Was machst du das nun konkret? Meine Empfehlung:

Da es mir persönlich ziemlich schwer gefallen ist, diese Dokumente zu erstellen, weil es so wenig greifbar ist, habe ich mir selbst für diese Dokumentationen den Zugang zu einem Generator gekauft, mit dessen Hilfe ich alle oben genannten Dokumente innerhalb von 3-4 Stunden erstellt hatte.

Davor habe ich tagelang recherchiert, bin aber auf keinen grünen Zweig gekommen, weil ich mir nie sicher war, was ganz konkret in diesen Dokumentationen drin stehen sollte. Mit Hilfe dieses Generators wurden diese Dokumente automatisch auf Grund meiner Antworten auf ganz konkrete Fragen erstellt.

Dabei hat mir am meisten geholfen, dass das meiste schon vorausgefüllt war und zu 90% auf meinen Fall gepasst hat.

Auch wenn der Zugang zum Generator 165 € netto kostet, war es mir das auf jeden Fall wert. Es hat mir enorm viel Arbeit und Zeit erspart und vor allen Dingen mehr Sicherheit gegeben.

Falls dich das interessiert, findest du den DSGVO Dokumenationsgenerator hier.

Alternative:

Alternativ empfehle ich dir, nochmal den oben verlinkten Gastartikel von Jasmin Lieffering durchzulesen und die Dokumente nach bestem Wissen und Gewissen zusammen zutragen.

Dabei können dir folgende Informationen und Muster-Vorlagen eine große Hilfe sein:

Muster: Verzeichnis von Verarbeitungstätigkeiten

Informationen zu Technischen und Organisatorischen Maßnahmen (TOM) 

Informationen zur Erstellung einer Risikoanalyse auf Basis des Verzeichnisses von Verarbeitungstätigkeiten 

Tipp zur Erstellung eines Dokuments über Auftragsverarbeiter: Erstelle dazu einfach eine Exceltabelle in der du auflistest, mit welchen Anbietern du zusammenarbeitest, die Daten deiner Kunden in deinem Auftrag verarbeiten. Ich habe dazu eine Tabelle nach folgendem Schema angelegt:


Muster: Datenschutzkonzept