Anwenderhandbuch

1. Einführung

Der DatGuard ist ein praxisorientiertes Datenschutzmanagementsystem (DSMS), das speziell für kleine und mittlere Unternehmen (KMU) entwickelt wurde. Es unterstützt Organisationen dabei, die Anforderungen der DSGVO und des BDSG effizient und rechtskonform umzusetzen.

Funktionsumfang

2. Erste Schritte

2.1 Anmeldung

2.2 Ersteinrichtung

Beim allerersten Start erscheint der Ersteinrichtungsassistent (/first-run). Dieser führt Sie durch:

1. Angabe des Unternehmensnamens und der Adresse
2. Festlegung des Datenschutzbeauftragten (DSB): Name, E-Mail, Telefon
3. Wahl der Sprache (Deutsch / Englisch)

2.3 Einrichtungsassistent

Nach der Ersteinrichtung steht unter Assistent (/assistant) ein schrittweiser Assistent zur Verfügung, der die initiale Befüllung der wichtigsten Datenschutzdokumente begleitet.

2.4 Teamauswahl

Das System arbeitet mit Mandanten (Teams). In der oberen Navigationsleiste kann zwischen Teams gewechselt werden, sofern Sie mehreren Teams angehören.

3. Dashboard

Das Dashboard (/dashboard) ist die Startseite und bietet eine Übersicht über:

• Offene Aufgaben mit Fälligkeit
• Zuletzt bearbeitete VVT-Einträge
• Aktuelle Datenschutzvorfälle
• Statistiken zu allen Modulen (Anzahl aktiver Einträge)
• Schnellzugriff auf häufig genutzte Funktionen

4. Verarbeitungsverzeichnis (VVT)

Das Verarbeitungsverzeichnis dokumentiert alle Verarbeitungstätigkeiten gemäß Art. 30 DSGVO.

4.1 VVT-Übersicht

Unter /vvt werden alle aktiven Einträge tabellarisch angezeigt mit Nummer, Name, zugewiesener Person, Status und Datum.

4.2 Neuen VVT erstellen (9-Schritte-Wizard)

4.3 Versionierung

Beim Bearbeiten eines VVT-Eintrags wird automatisch eine neue Revision erstellt. Die Versionshistorie bleibt vollständig erhalten.

4.4 Schwellwertanalyse (DSFA-Screening)

Im VVT-Detailbereich kann unter Schwellwertanalyse geprüft werden, ob eine vollständige DSFA erforderlich ist. Geprüft werden:

• Art. 35 Abs. 3 DSGVO-Kriterien (a, b, c)
• 9 WP248-Kriterien des Europäischen Datenschutzausschusses
• LDI-Positivliste (7 Positionen)

4.5 Export

4.6 Freigabe & Dokumente

Über Freigeben wird der genehmigende Benutzer und das Datum gespeichert. Zusätzlich können beliebige Dokumente (Einwilligungsformulare, Datenschutzhinweise etc.) hochgeladen werden.

5. Technische und Organisatorische Maßnahmen (TOM)

Die TOM-Verwaltung dokumentiert alle Maßnahmen nach Art. 32 DSGVO.

5.1 TOM erstellen

Unter /tom → Neuer Eintrag – Felder: Name, Kategorie, Beschreibung, Zuständige Person, Status.

5.2 TOM-Kategorien

5.3 Freigabe

TOM-Einträge können über Freigeben genehmigt werden. Benutzer und Datum werden gespeichert.

6. TOM-Audit

Der TOM-Audit dient der regelmäßigen Überprüfung der umgesetzten Maßnahmen.

Unter /audit-tom → Neuer Eintrag: Audit-Titel, Beschreibung, Status, Prüfziele, Abteilungen, zugewiesene Person, Datum. Nach Durchführung können Prüfergebnisse und Folgemaßnahmen erfasst werden.

7. Datentransfers & Auftragsverarbeitungen

Dokumentiert alle Datenweitergaben an Dritte sowie AVV gemäß Art. 28 DSGVO.

7.1 Datentransfer erfassen

Unter /data-transfers → Neuer Eintrag:

• Empfänger aus dem Kontaktbuch wählen
• Typ: Auftragsverarbeitung (AVV) oder sonstige Weitergabe
• Rechtsgrundlage der Übermittlung
• Status des Vertrags
• Drittlandtransfer: Zielland und Schutzmaßnahme (z. B. EU-SCC)
• Verknüpfung mit VVT und Software

7.2 Auftragsverarbeitungen

Unter /auftragsverarbeitungen gefilterte Ansicht mit ausschließlich AVV-Einträgen.

8. Datenschutzvorfälle

Dokumentation von Datenpannen nach Art. 33 DSGVO.

8.1 Vorfall erfassen

Unter /incidents → Neuer Eintrag:

• Titel, Beschreibung, Zeitpunkt des Vorfalls und der Entdeckung
• Betroffene Personengruppen und Datenkategorien
• Schweregrad und Risikobewertung
• Sofortmaßnahmen und geplante Gegenmaßnahmen
• Meldepflicht an Aufsichtsbehörde (ja/nein)
• Zugewiesene Person

9. Löschfristen

Verwaltung des Löschkonzepts nach Art. 17 DSGVO.

Unter /retention-policies → Neuer Eintrag: Bezeichnung, Datenkategorie(n), Aufbewahrungsfrist (Dauer + Einheit), Startzeitpunkt, Löschmethode, Rechtsgrundlage für Aufbewahrung.

10. Software

Bestandsverzeichnis aller IT-Systeme, mit denen personenbezogene Daten verarbeitet werden.

10.1 Software erfassen

Unter /software → Neuer Eintrag: Name, Beschreibung, Version, Hersteller, Hosting-Art (On-Premise / SaaS / Cloud), verarbeitete Datenkategorien, Status.

10.2 VVT-Verknüpfung

Software kann direkt einem oder mehreren VVT-Einträgen zugeordnet werden, um die Beziehung transparent zu machen.

10.3 Konfigurationen

Zu jeder Software können technische Konfigurationen (z. B. Serveradressen, Backup-Einstellungen) dokumentiert werden.

11. Kontakte

Adressbuch für Auftragsverarbeiter, Behörden, Dienstleister etc.

Unter /contacts → Neuer Kontakt: Organisation, Ansprechpartner (Name, E-Mail, Telefon), Adresse, Typ, Notizen.

Kontakte können in Datentransfers und Betroffenenanfragen als Empfänger ausgewählt werden.

12. Betroffenenanfragen

Verwaltung von Anfragen betroffener Personen gemäß Art. 15–22 DSGVO.

12.1 Anfrage erfassen

Unter /client-requests → Neue Anfrage:

12.2 Bearbeitung

• Interne Kommentare zum Bearbeitungsverlauf hinzufügen
• Dokumente hochladen (Ausweiskopie, Auskunftsschreiben)
• Status: Offen → Geschlossen

13. Datenschutz-Folgenabschätzung (DSFA)

Pflichtinstrument nach Art. 35 DSGVO bei Verarbeitungen mit hohem Risiko.

13.1 Wann ist eine DSFA erforderlich?

Eine DSFA ist erforderlich, wenn die Schwellwertanalyse im VVT ergibt, dass:

• Kriterien nach Art. 35 Abs. 3 DSGVO erfüllt sind, oder
• Mindestens 2 der 9 WP248-Kriterien zutreffen, oder
• Die Verarbeitung auf der LDI-Positivliste steht

13.2 DSFA erstellen

Unter /dpia → Neue DSFA: Verknüpfung mit VVT, Beschreibung der Verarbeitungsvorgänge, Notwendigkeit und Verhältnismäßigkeit, Risikobeschreibung, Maßnahmen zur Risikominderung, zugewiesene Person, Freigabe.

14. Aufgaben

Internes To-Do-System für datenschutzrelevante Aufgaben.

Unter /tasks → Neue Aufgabe: Titel, Beschreibung, Fälligkeitsdatum, Priorität (Niedrig / Mittel / Hoch), zugewiesene Person.

Aufgaben können in der Übersicht per Checkbox als erledigt markiert werden. Das Abschlussdatum wird automatisch gesetzt.

15. Berichte

Unter /berichte können alle wichtigen Datenschutzdokumente als PDF exportiert werden.

16. Einstellungen

Unter /settings werden Organisations- und DSB-Daten gepflegt, die in allen Exporten erscheinen.

16.1 Organisationsdaten

Unternehmensname, Adresse (Straße, PLZ, Ort, Land), E-Mail.

16.2 Datenschutzbeauftragter (DSB)

Anrede, Titel, Name, E-Mail, Telefon.

16.3 Sprache & Impressum

Sprache umschalten (Deutsch / Englisch). Impressum kann aktiviert und befüllt werden.

16.4 Personengruppen

Unter /person-groups: Verwaltung der verfügbaren Personengruppen (z. B. Mitarbeiter, Kunden, Bewerber).

16.5 Datenkategorien

Unter /data-categories: Verwaltung der Datenkategorien (z. B. Kontaktdaten, Gesundheitsdaten, Finanzdaten).

17. Benutzerverwaltung

Nur für Systemadministratoren verfügbar.

17.1 Benutzer anlegen

Unter /admin/users → Neuer Benutzer: Name, E-Mail, Passwort, Aktiv/Inaktiv, Systemadministrator (Ja/Nein).

17.2 Benutzer deaktivieren

Deaktivierte Benutzer können sich nicht mehr anmelden und werden in keinen Abläufen mehr berücksichtigt.

17.3 Einladungslinks

Über Einladung generieren (/teams/{team}/invite) wird ein Link erstellt, über den sich neue Benutzer registrieren und dem Team beitreten können.

18. Rollenverwaltung

Granulare Zugriffskontrolle auf Modulebene für jedes Team.

18.1 Systemrollen

18.2 Eigene Rolle erstellen

Unter /teams/{team}/roles → Neue Rolle:

18.3 Module in der Berechtigungsmatrix

19. Teamverwaltung

Jedes Team ist ein eigenständiger Mandant mit vollständig isolierten Daten.

19.1 Team erstellen

Unter /teams → Neues Team: Teamname eingeben. Das Konto wird automatisch als Administrator zugewiesen.

19.2 Mitglieder verwalten

Unter /teams/{team}/members:

• Hinzufügen: E-Mail eingeben, Rolle zuweisen
• Rolle ändern: Dropdown-Auswahl
• Entfernen: Aus dem Team ausschließen

19.3 Team wechseln

In der Navigation über das Team-Menü zwischen zugewiesenen Teams wechseln.

20. Berechtigungsübersicht

* Nur für Systemadministratoren (is_admin = true). Die Konfiguration kann per Rollenverwaltung individuell angepasst werden.

Anhang A – Glossar

Anhang B – Wichtige DSGVO-Fristen