Datenschutz-Akademie » Datenschutz-Wiki » Dokumentationspflichten der DSGVO

Zwei Datenschutzbeauftragte setzen die Dokumentationspflichten der DSGVO um

Dokumentationspflichten der DSGVO

Wer muss die DSGVO Dokumentationspflichten umsetzen?

Um die Vorschriften der DSGVO zu erfüllen, muss jedes Unternehmen seine Datenschutzmaßnahmen und Verarbeitungstätigkeiten umfassend dokumentieren. Ganz unabhängig davon wie groß oder klein ein Unternehmen ist oder wie viele Mitarbeiter dieses beschäftigt.

Das klingt zunächst nach einer umfangreichen und eher lästiger Pflicht, bildet aber tatsächlich das Rückgrat der Datenschutzorganisation. Ein durchaus nicht zu verachtender Nebeneffekt ist, dass die Dokumentation im Zusammenhang mit der DSGVO für Ordnung sorgt. Denn im Zuge der Datenschutz Dokumentation, fassen Verantwortliche die Prozesse der Unternehmen einzeln an und können diese parallel optimieren.

Müssen Unternehmen unter 250 Mitarbeitern dokumentieren?

Das bloße Veröffentlichen einer Datenschutzerklärung auf der Website des Unternehmens reicht dagegen nicht aus, auch wenn manche Firmenvertreter fälschlicherweise dieser Ansicht sind. Wer keine Dokumentationen durchführt, dem droht bei einer Überprüfung durch die Aufsichtsbehörden ein Bußgeld.

Oftmals argumentieren Unternehmen, dass Artikel 30 Absatz 5 der DSGVO besagt, dass diese Pflicht nicht für Unternehmen oder Einrichtungen gilt, die weniger als 250 Mitarbeiter beschäftigen. Der Artikel besagt aber auch, dass dies nur der Fall ist, wenn die Verarbeitung von personenbezogenen Daten nur gelegentlich erfolgt. In der Praxis gilt aber eine Verarbeitung schon als regelmäßig, wenn bspw. die Daten von Mitarbeitern des Unternehmens am Computer verarbeitet werden.

Tatsächlich konfrontiert die DSGVO die für die Datenverarbeitung Verantwortlichen mit zahlreichen Vorgaben zu Dokumentations- und Rechenschaftspflichten. In der Praxis wird die Erstellung der Dokumentation meist vom dafür qualifizierten Mitarbeiter im Unternehmen, nämlich dem Datenschutzbeauftragten, übernommen. Softwarebasiert können Datenschutzbeauftragte bei der Dokumentation viel Zeit sparen.

Welche Rolle spielt die Datenschutzorganisation bei der Umsetzung der Dokumentationspflichten der DSGVO?

Die Erfüllung dieser Pflichten ist ohne eine effektive Datenschutzorganisation kaum möglich. So muss zum Beispiel das Ablagesystem für Verträge so eingerichtet sein, dass erforderliche Dokumente schnell gefunden werden. In der Praxis gehen daher Datenschutzorganisation und lückenlose Dokumentation Hand in Hand.

Nach Artikel 5 DSGVO hat der Verantwortliche die Pflicht dafür, dass wichtige Grundsätze für die Verarbeitung personenbezogener Daten eingehalten werden. Dazu zählen zum Beispiel die Zweckbindung, Datenminimierung und Transparenz. Diesen Nachweis kann er mit einer angemessenen Dokumentation führen. Gemäß Artikel 24 DSGVO muss der Verantwortliche durch technische und organisatorische Maßnahmen den Nachweis dafür erbringen, dass die Datenverarbeitung im Einklang mit der DSGVO erfolgt. Wie weit die Rechenschafts- und Nachweispflichten im Einzelnen gehen, ist allerdings umstritten.

Was genau umfasst die Datenschutz-Dokumentation?

Neben diesen allgemeinen Rechenschafts- und Nachweispflichten enthält die DSGVO viele andere Dokumentationspflichten. Die wohl bekannteste ist die Führung des Verzeichnis für Verarbeitungstätigkeiten gemäß Artikel 30 DSGVO. Die Verarbeitungstätigkeiten müssen die wesentlichen Angaben der jeweiligen Verarbeitung enthalten. Dazu zählen unter anderem der Zweck der Verarbeitung sowie die Kategorien der Betroffenen, der Daten und ihrer Empfänger.

Ein weiterer wichtiger Bereich, in dem die DSGVO eine Dokumentation vorschreibt, ist die Erstellung von Datenschutz-Folgenabschätzungen. Das folgt aus Erwägungsgrund 90 der DSGVO. Danach dient die Abschätzung dazu, die Einhaltung der DSGVO nachweisen zu können.

Datenschutz-Audit

Regelmäßige Überprüfungen Ihres Datenschutz-Management-Systems tragen zur Optimierung Ihrem Datenschutz bei. Mittels eines DSMS-Audits wird der aktuelle Stand Ihres Datenschutz-Managements von unseren TÜV / DEKRA zertifizierten Beratern in Ihrem Unternehmen analysiert und dokumentiert. Offene Maßnahmen werden erfasst, priorisiert und in einem konkreten Maßnahmenplan festgehalten. Informieren Sie sich über Vorteile, Ablauf und Kosten mit Robin Data.

Wie gehen Aufsichtsbehörden mit den Dokumentationspflichten um?

Gemäß Artikel 33 Absatz 5 DSGVO muss der Verantwortliche die Verletzungen des Schutzes personenbezogener Daten dokumentieren. Das ist für die Aufsichtsbehörde eine wichtige Grundlage bei ihrer Prüfung, ob die Meldung der Datenschutzverletzung ordnungsgemäß erfolgt ist. Ferner ist es im Hinblick auf die Löschpflicht des Verantwortlichen nach Artikel 17 DSGVO nötig, ein Löschkonzept verfügbar zu halten, in dem die Grundsätze der im Unternehmen praktizierten Löschroutinen niedergelegt sind.

Ein weiteres Element der Dokumentation ist die Anlage technischer und organisatorischer Maßnahmen (TOM). Sie umfassen Instrumente und Anwendungen, mit denen Datensicherheit und Datenschutz gewährleistet werden. Dazu zählen beispielsweise die Kontrolle des Zugangs, der Weitergabe und der Verfügbarkeit.

Neben drohenden Bußgeldern kann eine nicht existente oder lückenhafte Dokumentation dazu führen, dass Schadenersatzklagen wegen eines Verstoßes gegen die DSGVO erfolgreich sind. Denn nach Artikel 82 III DSGVO muss der Verantwortliche oder Auftragsverarbeiter den Nachweis fehlenden Verschuldens führen. Die Dokumentation kann also dem Unternehmen viel Geld sparen.

Ulrich Hottelet

Das könnte Sie auch interessieren:

Technisch organisatorische Maßnahmen (TOMs)

Alle Informationen zu den Technisch Organisatorischen Maßnahmen nach DSGVO. Was müssen Verantwortliche bei der Umsetzung und Dokumentation beachten?

Auftragsverarbeitungsvertrag DSGVO-konform erstellen

Alle Informationen zum Auftragsverarbeitungsvertrag nach DSGVO. Was müssen Verantwortliche bei der Erstellung und Verwaltung beachten?

Microsoft 365: DSGVO-konformer Einsatz im Unternehmen

Kann Microsoft Office 365 DSGVO-konform eingesetzt werden? Wir zeigen wie die Konfiguration dem Datenschutz entspricht.