Dokumentationspflichten der DSGVO

Wer muss die DSGVO Dokumentationspflichten umsetzen?

Um die Vorschriften der DSGVO zu erfüllen, muss jedes Unternehmen seine Datenschutzmaßnahmen und Verarbeitungstätigkeiten umfassend dokumentieren. Ganz unabhängig davon wie groß oder klein ein Unternehmen ist oder wie viele Mitarbeiter dieses beschäftigt.

Das klingt zunächst nach einer umfangreichen und eher lästiger Pflicht, bildet aber tatsächlich das Rückgrat der Datenschutzorganisation. Ein durchaus nicht zu verachtender Nebeneffekt ist, dass die Dokumentation im Zusammenhang mit der DSGVO für Ordnung sorgt. Denn im Zuge der Datenschutz Dokumentation, fassen Verantwortliche die Prozesse der Unternehmen einzeln an und können diese parallel optimieren.

Müssen Unternehmen unter 250 Mitarbeitern dokumentieren?

Das bloße Veröffentlichen einer Datenschutzerklärung auf der Website des Unternehmens reicht dagegen nicht aus, auch wenn manche Firmenvertreter fälschlicherweise dieser Ansicht sind. Wer keine Dokumentationen durchführt, dem droht bei einer Überprüfung durch die Aufsichtsbehörden ein Bußgeld.

Oftmals argumentieren Unternehmen, dass Artikel 30 Absatz 5 der DSGVO besagt, dass diese Pflicht nicht für Unternehmen oder Einrichtungen gilt, die weniger als 250 Mitarbeiter beschäftigen. Der Artikel besagt aber auch, dass dies nur der Fall ist, wenn die Verarbeitung von personenbezogenen Daten nur gelegentlich erfolgt. In der Praxis gilt aber eine Verarbeitung schon als regelmäßig, wenn bspw. die Daten von Mitarbeitern des Unternehmens am Computer verarbeitet werden.

Tatsächlich konfrontiert die DSGVO die für die Datenverarbeitung Verantwortlichen mit zahlreichen Vorgaben zu Dokumentations- und Rechenschaftspflichten. In der Praxis wird die Erstellung der Dokumentation meist vom dafür qualifizierten Mitarbeiter im Unternehmen, nämlich dem Datenschutzbeauftragten, übernommen. Softwarebasiert können Datenschutzbeauftragte bei der Dokumentation viel Zeit sparen.

Welche Rolle spielt die Datenschutzorganisation bei der Umsetzung der Dokumentationspflichten der DSGVO?

Die Erfüllung dieser Pflichten ist ohne eine effektive Datenschutzorganisation kaum möglich. So muss zum Beispiel das Ablagesystem für Verträge so eingerichtet sein, dass erforderliche Dokumente schnell gefunden werden. In der Praxis gehen daher Datenschutzorganisation und lückenlose Dokumentation Hand in Hand.

Nach Artikel 5 DSGVO hat der Verantwortliche die Pflicht dafür, dass wichtige Grundsätze für die Verarbeitung personenbezogener Daten eingehalten werden. Dazu zählen zum Beispiel die Zweckbindung, Datenminimierung und Transparenz. Diesen Nachweis kann er mit einer angemessenen Dokumentation führen. Gemäß Artikel 24 DSGVO muss der Verantwortliche durch technische und organisatorische Maßnahmen den Nachweis dafür erbringen, dass die Datenverarbeitung im Einklang mit der DSGVO erfolgt. Wie weit die Rechenschafts- und Nachweispflichten im Einzelnen gehen, ist allerdings umstritten.

Was genau umfasst die Datenschutz-Dokumentation?

Neben diesen allgemeinen Rechenschafts- und Nachweispflichten enthält die DSGVO viele andere Dokumentationspflichten. Die wohl bekannteste ist die Führung des Verzeichnis für Verarbeitungstätigkeiten gemäß Artikel 30 DSGVO. Die Verarbeitungstätigkeiten müssen die wesentlichen Angaben der jeweiligen Verarbeitung enthalten. Dazu zählen unter anderem der Zweck der Verarbeitung sowie die Kategorien der Betroffenen, der Daten und ihrer Empfänger.

Ein weiterer wichtiger Bereich, in dem die DSGVO eine Dokumentation vorschreibt, ist die Erstellung von Datenschutz-Folgenabschätzungen. Das folgt aus Erwägungsgrund 90 der DSGVO. Danach dient die Abschätzung dazu, die Einhaltung der DSGVO nachweisen zu können.