Datenschutzrechtliche Dokumentationspflicht
Datenschutzrechtliche Dokumentationen sind spätestens mit Einzug der DSGVO nicht mehr wegzudenken. Eine ganzheitliche Dokumentation dient Ihnen als Nachweis Ihrer datenschutzrechtlichen Bemühungen gegenüber Behörden, Lieferanten und sonstigen Stakeholdern.
Ihre Vorteile:
Überzeugen Sie sich von den Vorteilen einer Zusammenarbeit.
Praxisorientierte Herangehensweise
Wir erstellen in enger Absprache mit Ihnen datenschutzrelevante Informationen – individuell angepasst an Ihre Bedürfnisse.
Weltlicher und kirchlicher Datenschutz
Ob DSGVO, DSG-EKD oder KDG – unsere Ausarbeitungen orientieren sich an Ihrem Gesetz.
Interdisziplinäre Zusammenarbeit
Wir verbinden Recht und Technik und arbeiten mit Ihnen ganzheitliche Dokumente aus.
Datenschutzdokumentation
Beginnen wir mit dem Offensichtlichen, der sogenannten „Exkulpation“ – also der Selbstentlastung vom Vorwurf des Verschuldens. Nur wenn eine vollständige Dokumentation aller datenschutzrechtlicher Belange vorhanden ist, können Sie im Falle eines Sicherheitsvorfalls (Datenpanne, Data Breach) nachweisen, dass Sie alles Mögliche unternommen haben, um den Vorfall zu verhindern. Früher war es üblich, dass man Ihnen ein schuldhaftes Verhalten nachweisen musste. Heutzutage müssen Sie beweisen, dass Sie unschuldig sind. Die Nachweispflicht hat sich also umgekehrt.
Zudem weisen Sie mit einer vollständigen Dokumentation die Rechtmäßigkeit Ihrer Verarbeitungen nach. Diese darf und kann jederzeit von der für Sie zuständigen Aufsichtsbehörde und von Partnern im Rahmen der Auftragsverarbeitung geprüft werden.
Welche Dokumentationspflichten existieren?
Zugegeben, die Dokumentationspflichten sind vielfältig. Umso wichtiger, zielgerichtet an das Thema heranzutreten und der Pflicht effizient nachkommen. Zu den absoluten Klassikern der Dokumentationen zählen:
Das Verzeichnis von Verarbeitungstätigkeiten
Form und Inhalt sind in der DSGVO klar vorgegeben. So muss ein Verzeichnis von Verarbeitungstätigkeiten mindestens folgende Punkte enthalten:
Darüber hinaus ergibt es jedoch Sinn, dass Verzeichnis von Verarbeitungstätigkeiten um weitere Inhalte zu ergänzen. So ist das Dokumentieren der Rechtsgrundlage sinnig, da diese Information an anderen Stellen benötigt wird (z.B. beim Einhalten der Informations- oder Auskunftspflichten).
Technisch-organisatorische Maßnahmen (TOM)
Die technisch-organisatorischen Maßnahmen ergänzen das Verzeichnis von Verarbeitungstätigkeiten. Doch auch für die Durchführung von Datenschutz-Folgenabschätzungen werden die Informationen benötigt. Ihr Inhalt ist ebenfalls geregelt und umfasst folgende Informationen:
Auftragsverarbeitung
Viele Prozesse finden nicht mehr in der eigenen Organisation statt, sondern werden an Dienstleister ausgelagert. Meist sind diese Dienste kostengünstiger und effizienter. Sind personenbezogene Daten im Spiel, gilt es geeignete Verträge zu schließen, die die Rechte und Pflichten beider Parteien festlegen. Sogenannte Verträge zur Auftragsverarbeitung sind dabei jedoch nur ein Aspekt. Verantwortliche Stellen müssen zudem regelmäßig überprüfen, ob die technisch-organisatorischen Maßnahmen des Auftragnehmers wirklich eingehalten werden („Auftragskontrolle“). Selbstverständlich sind die Ergebnisse zu dokumentieren.
Individueller und zum Teil auch komplizierter wird es bei speziellen Dokumentationspflichten. Diese sind nicht so standardisiert, wie die „Klassiker“ und orientieren sich eher an den individuellen Gegebenheiten in der Organisation. Hierzu zählen:
Wir beraten Sie bundesweit und in allen Branchen, so wie es bereits unsere Kunden schätzen.
Wie muss ich dokumentieren?
Um Ihre Datenschutzorganisation nachweisen zu können, ist diese schriftlich zu dokumentieren. Ob klassisch in einem Aktenordner oder mittels modernerer, digitaler Software-Produkte bleibt Ihnen überlassen. Viel wichtiger ist, dass Ihre Datenschutzorganisation nicht nur auf dem Papier existiert, sondern in Ihrer Organisation umgesetzt wird.
Wie oft muss ich meine Dokumentation überprüfen?
Wie bei vielen anderen innerbetrieblichen Prozessen gilt auch beim Datenschutz: einmal jährlich sollte das Datenschutzkonzept auf Aktualität geprüft und ggf. angepasst werden.
Selbstverständlich sind Änderungen, z.B. bei den Verarbeitungstätigkeiten, der technisch-organisatorischen Maßnahmen oder der Auftragsverarbeiter auch innerhalb des Jahres zu dokumentieren. Das jährliche Review dient der Vervollständigung fehlender Informationen.
Sie haben Fragen zur datenschutzrechtlichen Dokumentationspflicht?
Kontaktieren Sie uns gerne, wenn Sie Fragen haben oder Unterstützung zum Thema datenschutzrechtliche Dokumentationspflicht benötigen. Unsere Experten stehen Ihnen jederzeit zur Verfügung. Informationen zum Umgang mit Ihren Daten können Sie unseren Datenschutzhinweisen entnehmen.