Datenschutzdokumentation

Warum müssen die getroffenen Datenschutzmaßnahmen dokumentiert werden?

Die Datenschutz-Grundverordnung (DSGVO) verlangt an vielen Stellen, nicht zuletzt bei den getroffenen technischen und organisatorischen Maßnahmen nach Art. 32 DSGVO (siehe auch Art. 5 Abs. 2 und Art. 25 DSGVO), dass diese Maßnahmen auch nachgewiesen werden können.

Das betrifft u.a. die folgenden Bereiche:

• Sensibilisierung und Schulung der Beschäftigten (Durchführung und Strategie der Schulungen (vgl. Art. 39 Abs. 1 lit. b); 28. Abs. 3 lit. h); 24 Abs. 1 DSGVO)
• Verpflichtung zur Vertraulichkeit der Beschäftigten (zumindest bei Auftragsverarbeitern, vgl. 28. Abs. 3 lit. b);  DSGVO)
• Dokumentation der datenschutzrelevanten Geschäftsprozessen im Verzeichnis der Verarbeitungstätigkeiten
• Für die Verarbeitung personenbezogener Daten sind Löschfristen zu definieren und dokumentieren (Art. 13 Abs. 2 lit. a), Art. 5 Abs. 1 lit. c) DSGVO).
• Dokumentation durchgeführter Datenschutz-Folgenabschätzungen und in den Fällen, in denen keine DSFA notwendig ist die Dokumentation der Schwellenwertabschätzung bzw. der Datenschutzrisikobewertung
• Dokumentation der Interessenabwägung bei den Verarbeitungszwecken, die mittels eines berechtigten Interesses nach Art. 6 Abs. lit. f) DSGVO erfolgten, da diese nach Art. 13 Abs. 1 lit d) DSGVO anzugeben sind.
• Dokumentation der Risikoabwägung im Falle von Datenpannen nach Art. 33, 34 DSGVO und ggf. der Meldung oder Nichtmeldung eines Vorgangs.
• Dokumentation der getroffenen technischen und organisatorischen Maßnahmen (Art. 5 Abs. 1 lit. f), Art. 24 Abs. 1  DSGVO.
• Dokumentation der Maßnahmen hinsichtlich datenschutzfreundlicher Voreinstellungen und Technikgestaltung, Art. 25 DSGVO in Rahmen der Softwareentwicklung und der Softwarekonfiguration.
• Vorgänge im Zusammenhang mit Betroffenenrechten, z.B. Auskunftsersuchen nach Art. 15 DSGVO, sind aus Rechtfertigungsgründen zu archivieren.
• Einwilligungen sind aus Haftungsgründen zu archivieren.
• Verträge mit Dienstleistern, die personenbezogene Daten verarbeiten und bei denen dies nicht nur eine reine Begleiterscheinung ist, sind entsprechend Art. 28 DSGVO zu ergänzen und im Vertragsarchiv zu archivieren. Ferner ist das Verzeichnis der Verarbeitugnstätigkeiten nach Art. 28 Abs. 2 DSGVO einzufordern und zu archivieren (vgl Art. 30 Abs. 2, Art. 29 Abs. 4 DSGVO).
• Regelmäßige Kontrollen der Dienstleister sind zu dokumentieren Art. 28 Abs. 1, Abs. 3 lit. h) DSGVO.
• Meldung des Datenschutzbeauftragten gegenüber der Aufsichtsbehörde.

Die Nachweispflichten aus Art. 5 Abs. 2 DSGVO machen im Grunde, wenn man das Thema wirklich ernst nimmt, eine umfangreiche Dokumentation und regelmäßige Aktualisierung der Dokumentation zu einer Vielzahl von Einzelanforderungen aus der DSGVO erforderlich. Ohne Richtlinien oder Prozess- und Verfahrensbeschreibungen inklusive zugehöriger Aufzeichnungen und Protokolle ist dies kaum zu gewährleisten. Ein gutes Beispiel ist z.B. die zwingende Erforderlichkeit der Umsetzung von Löschfristen aus Art. 5 Abs. 1 lit. e) DSGVO in Form eines natürlich - je nach Unternehmensgröße - mehr oder weniger umfangreichen Löschkonzepts mit der Definition von Löschfristen und der anschließenden Kontrolle und Erstellung von Löschprotokollen, wie man es z.B. von einem Auftragsverarbeiter (aber nicht nur von diesen) nach Art. 28 DSGVO erwarten kann. Einzelheiten zum Thema Löschkonzept finden Sie hier.

Sofern entsprechende Maßnahmen dokumentiert wurden, sind diese natürlich in einem nächsten Schritt auch regelmäßig zu überprüfen. regelmäßig erfolgt das im Rahmen von Datenschutzkontrollen / Datenschutzaudits. Falls Sie dazu weiter Informationen benötigen, schauen Sie doch mal in der Rubrik Datenschutzaudtis oder im Newsbereich.

Wie können wir Sie dabei unterstützen?

Wir können Ihnen für Ihre Unternehmensgröße abgestimmte, praktische Vorschläge machen, wie eine solche Datenschutzdokumentation im Rahmen Ihres Datenschutzmanagement-Systems aussehen muss.

Die betrifft natürlich auch die am Anfang für jedes Unternehmen oder jede soziale Einrichtung zu erstellenden Verzeichnisse der Verarbeitungstätigkeiten sowie einer dokumentierenden Datenschutz Risikoabwägung oder möglicherweise sogar einer Datenschutz-Folgenabschätzung (Art. 35 DSGVO), sofern Sie davon betroffen sind. Dabei versuchen wir gerade am Anfang die Angelegenheit so einfach wie möglich für unsere Mandanten zu gestalten, damit Sie so schnell wie möglich zu ersten Ergebnissen kommen können. Wir verfolgen hier einen risikobasierten Ansatz.

Und natürlich unterstützen wir Sie dann auch bei der Erfassung und Konkretisierung Ihrer Dokumentation und stehen für den weiteren Prozess gerne als Ansprechpartner zur Verfügung.