Datenschutzrechtliche Dokumentationspflicht

Beginnen wir mit dem Offensichtlichen, der sogenannten „Exkulpation“ – also der Selbstentlastung vom Vorwurf des Verschuldens. Nur wenn eine vollständige Dokumentation aller datenschutzrechtlicher Belange vorhanden ist, können Sie im Falle eines Sicherheitsvorfalls (Datenpanne, Data Breach) nachweisen, dass Sie alles Mögliche unternommen haben, um den Vorfall zu verhindern. Früher war es üblich, dass man Ihnen ein schuldhaftes Verhalten nachweisen musste. Heutzutage müssen Sie beweisen, dass Sie unschuldig sind. Die Nachweispflicht hat sich also umgekehrt.

Zudem weisen Sie mit einer vollständigen Dokumentation die Rechtmäßigkeit Ihrer Verarbeitungen nach. Diese darf und kann jederzeit von der für Sie zuständigen Aufsichtsbehörde und von Partnern im Rahmen der Auftragsverarbeitung geprüft werden.

Zugegeben, die Dokumentationspflichten sind vielfältig. Umso wichtiger, zielgerichtet an das Thema heranzutreten und der Pflicht effizient nachkommen. Zu den absoluten Klassikern der Dokumentationen zählen:

Form und Inhalt sind in der DSGVO klar vorgegeben. So muss ein Verzeichnis von Verarbeitungstätigkeiten mindestens folgende Punkte enthalten:

Darüber hinaus ergibt es jedoch Sinn, dass Verzeichnis von Verarbeitungstätigkeiten um weitere Inhalte zu ergänzen. So ist das Dokumentieren der Rechtsgrundlage sinnig, da diese Information an anderen Stellen benötigt wird (z.B. beim Einhalten der Informations- oder Auskunftspflichten).

Die technisch-organisatorischen Maßnahmen ergänzen das Verzeichnis von Verarbeitungstätigkeiten. Doch auch für die Durchführung von Datenschutz-Folgenabschätzungen werden die Informationen benötigt. Ihr Inhalt ist ebenfalls geregelt und umfasst folgende Informationen:

Viele Prozesse finden nicht mehr in der eigenen Organisation statt, sondern werden an Dienstleister ausgelagert. Meist sind diese Dienste kostengünstiger und effizienter. Sind personenbezogene Daten im Spiel, gilt es geeignete Verträge zu schließen, die die Rechte und Pflichten beider Parteien festlegen. Sogenannte Verträge zur Auftragsverarbeitung sind dabei jedoch nur ein Aspekt. Verantwortliche Stellen müssen zudem regelmäßig überprüfen, ob die technisch-organisatorischen Maßnahmen des Auftragnehmers wirklich eingehalten werden („Auftragskontrolle“). Selbstverständlich sind die Ergebnisse zu dokumentieren.

Individueller und zum Teil auch komplizierter wird es bei speziellen Dokumentationspflichten. Diese sind nicht so standardisiert, wie die „Klassiker“ und orientieren sich eher an den individuellen Gegebenheiten in der Organisation. Hierzu zählen:

Um Ihre Datenschutzorganisation nachweisen zu können, ist diese schriftlich zu dokumentieren. Ob klassisch in einem Aktenordner oder mittels modernerer, digitaler Software-Produkte bleibt Ihnen überlassen. Viel wichtiger ist, dass Ihre Datenschutzorganisation nicht nur auf dem Papier existiert, sondern in Ihrer Organisation umgesetzt wird.

Wie bei vielen anderen innerbetrieblichen Prozessen gilt auch beim Datenschutz: einmal jährlich sollte das Datenschutzkonzept auf Aktualität geprüft und ggf. angepasst werden.

Selbstverständlich sind Änderungen, z.B. bei den Verarbeitungstätigkeiten, der technisch-organisatorischen Maßnahmen oder der Auftragsverarbeiter auch innerhalb des Jahres zu dokumentieren. Das jährliche Review dient der Vervollständigung fehlender Informationen.