i-doit Data Privacy Add-on

Erfüllung der Dokumentationspflichten für die Datenschutzgrundverordnung (DSGVO) mit i-doit

22. February 2026

i-doit Privacy Add-on

Die EU-DSGVO bringt etliche neue Dokumentationserfordernisse mit sich. Etwa um der in Artikel 5 Absatz 2 geforderten `Rechenschaftspflicht (Accountability)` nachkommen zu können. Auch das in Artikel 30 vorgeschriebene `Verzeichnis von Verarbeitungstätigkeiten` ist letztlich eine Dokumentationsaufgabe.

Was liegt näher als diesen Dokumentationspflichten mit Hilfe eines Tools nachzukommen, das sich auf die IT-Dokumentation spezialisiert hat?

Mit dem i-doit Privacy Add-on wird i-doit um Objekttypen, Beziehungen und Rollen erweitert, um den Dokumentationspflichten, die Organisationen aus der DSGVO erwachsen, nachkommen zu können.

Nach der Installation des Add-ons existiert eine neue Ojekttypgruppe unterhalb der sich die Objekttypen befinden, die für die Datenschutz Dokumentation benötigt werden.

Objekttypgruppe und Objekttypen des i-doit Privacy Add-on
Objekttypgruppe und Objekttypen des i-doit Privacy Add-on

Verarbeitung

Die fertig dokumentierten Verarbeitungstätigkeiten finden sich im Objekttyp Verarbeitung. Wie unter i-doit üblich werden Objekttypen durch Kategorien ausgestaltet, die ihrerseits Attribute besitzen.

Übersichtsseite Verarbeitung
Übersichtsseite Verarbeitung

Allgemein

Die globale Kategorie Allgemein, nimmt die Bezeichnung und eine kurze Beschreibung der Verarbeitungstätigkeit auf.

Verarbeitung

In der Kategorie Verarbeitung werden die Basisinformationen dokumentiert:

  • Die Zwecke der Verarbeitung
  • Die Löschstrategie, beziehungsweise Aufbewahrungsfriesten
  • Der Schutzbedarf hinsichtlich der drei Sicherheitsziele Vertraulichkeit, Integrität und Verfügbarkeit
  • Die verwendeten IT-Services als Verbindung zur restlichen IT-Dokumentation

Datenkategoriezuweisung

Wie der Name schon vermuten lässt, handelt es sich bei dieser Kategorie vorwiegend um Zuweisungen von Objekten der Typen Datenkategorie, Kontakt und Datenübermittlung. Folgende Attribute stehen zur Verfügung:

  • Bezeichnung der Datenkategorie in der konkreten Verarbeitung
  • Zuweisung der betroffenen Personen
  • Zuweisung der Datenkategorien
  • Rechtsgrundlage für die Verarbeitung gemäß Artikel 6 oder 9 DSGVO
  • Freitext zur Dokumentation, welche Gesetze oder Interessen die Grundlage sind, wenn wenn als Rechtsgrundlage eine Rechtliche Verpflichtung oder ein überwiegendes Interesse des Verantwortlichen gewählt wurde
  • Zuweisung von Datenübermittungen, zur Dokumentation von Empfängern
  • Zuweisung von Kontakten, die Zugriff auf die Datenkategorie haben
  • Informationen darüber, ob die Daten bei den Betroffenen erhoben wurden
  • Falls die Datenkategorien nicht bei den Betroffenen erhoben wurden, die Herkunft der Daten

Kontaktzuweisung

Hier werden Kontakte wie der Verantwortliche im Sine der DSGVO, oder Auftragsverarbeitet, aber auch zuständige Personen, etwa für die Administration zugewiesen.

Datenschutzfolgenabschätzung

Die Kategorie Datenschutzfolgenabschätzung besteht nur aus einem Textfeld, in dem begründet wird, ob eine Datenschutzfolgenabschätzung gemacht werden muss und ein Zuweisungsfeld zu einer Datei die gegebenenfalls die eigentliche Datenschutzfolgenabschätzung beinhaltet.

Notfallplanzuweisung

Objekte des Typs Notfallplan werden hier zugewiesen. Zum Beispiel um das Vergehen bei der Meldung bei Verlust der Kontrolle über Daten zu regeln.

Sicherheitsmaßnahme

Unterhalb des Objekttyps Sicherheitsmaßnahme werden technische und organisatorische Maßnahmen dokumentiert, die einerseits die Einhaltung der Sicherheitsziele gewährleisten, aber auch sicherstellen, dass die Datenschutz Grundsätze gemäß Artikel 5 DSGVO eingehalten werden.

Allgemein

In der globalen Kategorie Allgemein, wird der Objekt Titel also die Bezeichnung der Maßnahme und eine allgemeine Beschreibung eingetragen.

Sicherheitsmaßnahme

Die Kategorie Sicherheitsmaßnahme nimmt die spezifischen Informationen für die einzelnen Maßnahmen auf.

Details zur Umsetzung

Dabei handelt es sich um Freitext, in dem beschrieben wird, wie die Maßnahme konkret in der Organisation umgesetzt wird.

Status der Umsetzung und Begründung

Das Attribut Status der Umsetzung wird durch ein Dialogfeld+ repräsentiert, das die vorausgefüllten Werte

  • In Planung
  • Nicht umgesetz
  • Teilweise umgesetzt
  • Umgesetzt

zur Verfügung stellt und den aktuellen Status der Umsetzung widerspiegelt.

Im Attribut Begründung wird begründet falls eine Maßnahme nicht umgesetzt wird.

Umsetzung

In den Attributen Umsetzung von und Umsetzung bis wird ein für die Umsetzung der Maßnahme verantwortlicher Kontakt zugewiesen und eingetragen, bis wann die Maßnahme umgesetzt werden soll.

Überprüfung

Um der Verpflichtung zur regelmäßgen Kontrolle der Maßnahmen und der Rechenschaftspflicht (Accountability) nachkommen zu können, werden mit den Attributen Nächste Überprüfung am, Überprüft von und Ergebnis der letzten Überprüfung Felder für die Planung, Durchführung und Dokumentation der regelmäßigen Überprüfungen zur Verfügung gestellt.

IT-Verbund

Die DSGVO fordert dass die getroffenen Maßnahmen zum Schutz der personenbezogenen Daten, dem Risiko das mit der Verarbeitung einhergeht entsprechen. Das bedeutet, dass für die Verabeitungstätigkeiten Risikomanagement auf Basis einer Risikoanalyse durchgeführt werden muss.

Da es sich dabei um einen recht aufwändigen Prozess handelt, bietet der Objekttyp IT-Verbund die Möglichkeit gleichartigen Verarbeitungstätigkeiten, für die vergleichbare Risiken bestehen , die mit den selben Maßnahmen gemanagt werden sollen.

Die Zuweisung der Verarbeitungstätigkeiten erfolgt in der Kategorie IT-Verbund.

Risikomanagement

Die Multi-Value-Kategorie Risikomanagement bietet die Möglichkeit auf Basis essentieller Bedrohungen eine Risikoanalyse durchzuführen und Objekte des Typs Maßnahmen zuzuweisen, mit denen Risiken behandelt werden.