Kategorien für Datenschutzdokumente

Vorschlag zur Benennung und Kategorisierung aller Datenschutzdokumente in einem Unternehmen

Blog_Datenschutz_Castle_960x540-11_vadim-sherbakov-d6ebY-faOO0-unsplash

Allgemein bekannt sind zwei Dinge zum Thema Datenschutz in Unternehmen.

Jeder Unternehmer muss sich:

um das Thema kümmern und
dafür sorgen, dass eine ganze Reihe von Dokumenten erstellt – und „ordentlich“ abgelegt werden.

Alternativ zur Dokumentation durch einen Datenschutzbeauftragten oder in einem kostenpflichtigen Datenschutzmanagementsystem, biete ich hier eine einfache Empfehlung zur Einteilung notwendiger Dokumente in neun Kategorien (A-I). Durch eine entsprechende Benennung der Dokumente erhält man einen gut zu pflegenden Dokumentensatz, der ohne den Einsatz besonderer Software trotzdem für ein gutes Maß an Transparenz sorgt.

An zentraler Stelle auf einem Netzlaufwerk im Unternehmen soll ein Ordner erstellt werden, in dem alle Dokumente, die den Datenschutz betreffen direkt abgelegt werden. Dies betrifft eigene Textdokumente, Formulare, Internetseiten oder Arbeitsmappen sowie auch Kopien von Dokumenten Dritter.

Durch voranstellen von initialen Großbuchstaben und Unterstrichen am Anfang eines jeden Dateinamens werden die Dokumente sortiert dargestellt. Weitere Abkürzungen, Datumsangaben oder laufende Nummern erlauben eine differenziertere Sortierung innerhalb der Kategorien. Ein doppelter Unterstrich nach dem Initial kennzeichnet ein Deckblatt, welches man so aufbereiten kann, dass es auch eine gedruckte Fassung in einem Aktenordner mit strukturiert.

Beispiel

A_ A__Index.docx (Trenner, bzw. Deckblatt, falls die Dokumente auch in Papierform gepflegt werden)

A_Inhaltsbeschreibung-Über_das_Unternehmen_und_seine_Haltung.docx

A_Allgemeine_Datenschutzerklärung.pdf

Oft gibt es ein zentrales Datenschutzdokument auf der Website eines Unternehmens, in dem man sich bemüht, auf möglichst viele Anforderungen der DSGVO einzugehen. Das wäre ein guter Platz dafür.
Ggf. kann man auch andere Dokumente hier ablegen, die keiner klaren Kategorie zugeordnet werden können.

B_ B__Deckblatt-Verzeichnis_von_Verarbeitungstätigkeiten.docx

B_VVT100_Verantwortlicher.docx

B_VVT110_Bewerbermanagement.docx

B_VVT120_Mitarbeiterverwaltung.docx

B_VVT130_Kundenverwaltung.docx

B_VVT210_Websitehosting.docx

Dies entspricht den Anforderungen nach einem Verzeichnis von Verarbeitungstätigkeiten aus Art. 30 (1) a) bis g) der DSGVO.
Allgemeingültige Informationen (Verantwortlicher, Datenschutzbeauftragter) kann man in einem ersten Dokument (VVT100) pflegen.
Die einzelnen Tätigkeiten kann man dann in einzelne Dokumente aufteilen (VVT110_.., VVT120_.., …) oder ggf. in einer Tabelle übersichtlicher pflegen, je nach Umfang und Bedeutung.

C_ C__Deckblatt-Technische_und_Organisatorische_Maßnahmen.docx

C_TOM100_Allgemeine_Maßnahmen.docx

C_TOM110_Besondere_Maßnahmen_im_Bewerbermanagement.docx

Im Allgemeinen gibt es ein Dokument mit Beschreibungen der getroffenen Maßnahmen, entsprechend den Anforderungen aus Art. 32 der DSGVO – Sicherheit der Verarbeitung und § 64 BDSG – Anforderungen an die Sicherheit der Datenverarbeitung.
Diese Maßnahmen sind allgemein als TOMs (Technische und organisatorische Maßnahmen) bekannt.
Ggf. bietet es sich an, neben den allgemeinen TOMs auch für jede Tätigkeit ein spezifisches Dokument für die Sicherheit zu erstellen, z.B. VVT140 -> TOM140.

D_ D__Deckblatt-Verzeichnis_aller_Partnerunternehmen.doc

D__Liste_aller_Dienstleister_und_Partner.xlsx

Die meisten Unternehmer unterschätzen die Anzahl der Partner und Dienstleister, die mit Personendaten in Berührung kommen können. Daher empfehle ich so eine Liste, damit man sich an dieser orientieren kann, um nachzuhalten, mit wem tatsächlich eine AV-Vereinbarung getroffen werden muss.
Beispiele sind Telekommunikationsunternehmen, Hosting Provider, Marketingpartner, IT-Dienstleister, Subunternehmer, Personalvermittler und Steuerberater.
Am Ende sollte in einer Spalte nachgehalten werden, ob eine AVV getroffen werden muss und in einer weiteren, ob tatsächlich auch eine vorliegt.

E_ E__Deckblatt-Verträge_zur_Auftragsverarbeitung_mit_Dritten.doc

E_AVV_2018_05_01_Telekom-Mobilfunk.pdf

E_AVV_2018_06_01_Strato-Webhosting.pdf

E_AVV_2018_09_01_Newsletter2Go.pdf

E_AVV_2019_03_01_Microsoft-Office365.pdf

E_AVV_2020_04_02_Zendesk-Helpdesk.pdf

E_AVV_2020_05_02_Systemhaus-Meier.pdf

Diese Dokumente sollten, entsprechend der Liste unter D_ und den Anforderungen an eine vertragliche Bindung von Auftragsverarbeitern laut Art.28 (3) der DSGVO, nachgehalten werden.

F_ F__Deckblatt-Interne_Richtlinien_und_Arbeitsanweisungen.doc

F_2018_07_01_Interne_Richtlinien_zum_Datenschutz.pdf

F_2018_08_01_Vorlage-Sideletter_zum_Arbeitsvertrag_Personalmitarbeiter.pdf

F_2019_01_01_Arbeitsanweisung-Videoüberwachungssystem.pdf

F_2020_02_01_Arbeitsanweisung-Helpdeskmitarbeiter.pdf

F_2020_07_01_Hinweise_zum_sicheren_arbeiten_am_Computer.pdf

Anweisungen um u. a. Art. 32 (4) DSGVO gerecht zu werden.

G_ G__Deckblatt-Informationen_zu_Datenverarbeitungsverfahren.doc

G_2020_01_Hinweis_zur_Nutzung_von_Videoüberwachung_Werksgelände.pdf

G_2020_01_DS-Information_für_Mitarbeiter.pdf

G_2020_05_DS-Information_Websitenutzung_Logonly.pdf

Falls die Verarbeitung auf der Grundlage berechtigten Interesses (Art. 6 (1) f) DSGVO) erfolgt, benötigt man keine Einverständniserklärung, aber die betroffene Person muss trotzdem zum Zeitpunkt der Erhebung über diese – und die Rechtsgrundlage informiert werden. (Art. 13 DSGVO)

H_ H__Deckblatt-Formular_für_Einverständniserklärungen.doc

H_2019_05_DS-Einverständniserklärung_Newsletter.pdf

H_2020_01_DS-Einverständniserklärung_Umfrage-Gewinnspiel.pdf

H_2020_05_DS-Einverständniserklärung_Webshop_Werbepartner.pdf

Kann sich der Verantwortliche nicht auf berechtigtes Interesse berufen, benötigt er eine Einverständniserklärung (Opt-in) der betroffenen Person. (Art. 6 (1) a) DSGVO)

I_ I__Deckblatt-Sonstige_Dokumente_und_Korrespondenz.doc

I_2018_04_01_Meldung_des_neuen_Datenschutzbeauftragten_beim_LDI-NRW.pdf