Dokumentationspflichten der DSGVO

Wer muss die DSGVO Dokumentationspflichten umsetzen?

Um die Vorschriften der DSGVO zu erfüllen, muss jedes Unternehmen seine Datenschutzmaßnahmen und Verarbeitungstätigkeiten umfassend dokumentieren. Ganz unabhängig davon wie groß oder klein ein Unternehmen ist oder wie viele Mitarbeiter dieses beschäftigt.

Das klingt zunächst nach einer umfangreichen und eher lästiger Pflicht, bildet aber tatsächlich das Rückgrat der Datenschutzorganisation. Ein durchaus nicht zu verachtender Nebeneffekt ist, dass die Dokumentation im Zusammenhang mit der DSGVO für Ordnung sorgt. Denn im Zuge der Datenschutz Dokumentation, fassen Verantwortliche die Prozesse der Unternehmen einzeln an und können diese parallel optimieren.

Auch Unternehmen unter 250 Mitarbeitern müssen dokumentieren

Das bloße Veröffentlichen einer Datenschutzerklärung auf der Website des Unternehmens reicht dagegen nicht aus, auch wenn manche Firmenvertreter fälschlicherweise dieser Ansicht sind. Wer keine Dokumentationen durchführt, dem droht bei einer Überprüfung durch die Aufsichtsbehörden ein Bußgeld.

Oftmals argumentieren Unternehmen, dass Artikel 30 Absatz 5 der DSGVO besagt, dass diese Pflicht nicht für Unternehmen oder Einrichtungen gilt, die weniger als 250 Mitarbeiter beschäftigen. Der Artikel besagt aber auch, dass dies nur der Fall ist, wenn die Verarbeitung von personenbezogenen Daten nur gelegentlich erfolgt. In der Praxis gilt aber eine Verarbeitung schon als regelmäßig, wenn bspw. die Daten von Mitarbeitern des Unternehmens am Computer verarbeitet werden.

Tatsächlich konfrontiert die DSGVO die für die Datenverarbeitung Verantwortlichen mit zahlreichen Vorgaben zu Dokumentations- und Rechenschaftspflichten. In der Praxis wird die Erstellung der Dokumentation meist vom dafür qualifizierten Mitarbeiter im Unternehmen, nämlich dem Datenschutzbeauftragten, übernommen. Softwarebasiert können Datenschutzbeauftragte bei der Dokumentation viel Zeit sparen.

Welche Rolle spielt die Datenschutzorganisation?

Die Erfüllung dieser Pflichten ist ohne eine effektive Datenschutzorganisation kaum möglich. So muss zum Beispiel das Ablagesystem für Verträge so eingerichtet sein, dass erforderliche Dokumente schnell gefunden werden. In der Praxis gehen daher Datenschutzorganisation und lückenlose Dokumentation Hand in Hand.

Nach Artikel 5 DSGVO hat der Verantwortliche die Pflicht dafür, dass wichtige Grundsätze für die Verarbeitung personenbezogener Daten eingehalten werden. Dazu zählen zum Beispiel die Zweckbindung, Datenminimierung und Transparenz. Diesen Nachweis kann er mit einer angemessenen Dokumentation führen. Gemäß Artikel 24 DSGVO muss der Verantwortliche durch technische und organisatorische Maßnahmen den Nachweis dafür erbringen, dass die Datenverarbeitung im Einklang mit der DSGVO erfolgt. Wie weit die Rechenschafts- und Nachweispflichten im Einzelnen gehen, ist allerdings umstritten.

Was genau umfasst die Datenschutz-Dokumentation?

Neben diesen allgemeinen Rechenschafts- und Nachweispflichten enthält die DSGVO viele andere Dokumentationspflichten. Die wohl bekannteste ist die Führung des Verzeichnis für Verarbeitungstätigkeiten gemäß Artikel 30 DSGVO. Die Verarbeitungstätigkeiten müssen die wesentlichen Angaben der jeweiligen Verarbeitung enthalten. Dazu zählen unter anderem der Zweck der Verarbeitung sowie die Kategorien der Betroffenen, der Daten und ihrer Empfänger.

Ein weiterer wichtiger Bereich, in dem die DSGVO eine Dokumentation vorschreibt, ist die Erstellung von Datenschutz-Folgenabschätzungen. Das folgt aus Erwägungsgrund 90 der DSGVO. Danach dient die Abschätzung dazu, die Einhaltung der DSGVO nachweisen zu können.

Sie wollen Ihr Risiko minimieren und den Datenschutz automatisiert und angeleitet umsetzen? Informieren Sie sich über die Features der Robin Data Software oder über die Bestellung unserer qualifizierten Datenschutzbeauftragten.

Wie gehen Aufsichtsbehörden mit der Datenschutz-Dokumentation um?

Gemäß Artikel 33 Absatz 5 DSGVO muss der Verantwortliche die Verletzungen des Schutzes personenbezogener Daten dokumentieren. Das ist für die Aufsichtsbehörde eine wichtige Grundlage bei ihrer Prüfung, ob die Meldung der Datenschutzverletzung ordnungsgemäß erfolgt ist. Ferner ist es im Hinblick auf die Löschpflicht des Verantwortlichen nach Artikel 17 DSGVO nötig, ein Löschkonzept verfügbar zu halten, in dem die Grundsätze der im Unternehmen praktizierten Löschroutinen niedergelegt sind.

Ein weiteres Element der Dokumentation ist die Anlage technischer und organisatorischer Maßnahmen (TOM). Sie umfassen Instrumente und Anwendungen, mit denen Datensicherheit und Datenschutz gewährleistet werden. Dazu zählen beispielsweise die Kontrolle des Zugangs, der Weitergabe und der Verfügbarkeit.

Neben drohenden Bußgeldern kann eine nicht existente oder lückenhafte Dokumentation dazu führen, dass Schadenersatzklagen wegen eines Verstoßes gegen die DSGVO erfolgreich sind. Denn nach Artikel 82 III DSGVO muss der Verantwortliche oder Auftragsverarbeiter den Nachweis fehlenden Verschuldens führen. Die Dokumentation kann also dem Unternehmen viel Geld sparen.

Nadine Porrmann
Neueste Anzeigen von Nadine Porrmann (Alle anzeigen)

Das könnte Sie auch interessieren:

Informationspflichten der DSGVOBild von Gerd Altmann auf Pixabay 

Informationspflicht der DSGVO

Erfahren Sie wie Sie Ihre Informationspflichten erfüllen und welche konkreten neun Punkte Sie beachten müssen.
DokumentationspflichtenPhoto by Scott Graham on Unsplash

Dokumentationspflichten der DSGVO

Dokumentationspflichten der DSGVO: Jedes Unternehmen muss Datenschutz-Maßnahmen dokumentieren. Doch was genau muss dokumentiert werden?
BetroffenenrechtePhoto by Bill Oxford on Unsplash

Betroffenenrechte in der Datenschutzgrundverordnung

Die DSGVO stärkt Betroffenenrechte. Was sollten Unternehmen beachten? Wie sind Betroffnenanfragen zu bearbeiten? Jetzt informieren und Bußgelder vermeiden!