Die datenschutzrechtliche Dokumentation ist verpflichtend für alle Unternehmen. Die Datenschutzgrundverordnung (DSGVO) stellt umfassende Dokumentationspflichten über bestimmte Vorgänge im Unternehmen an den Verantwortlichen. Hierdurch wird die Nachweispflicht aus der DSGVO erfüllt.

Diese können zum einen explizite rechtliche Vorgaben sein wie bspw. das Führen eines Verzeichnisses aller Verarbeitungstätigkeiten. Zum anderen ergeben sich eine Vielzahl an impliziten datenschutzrechtlichen Dokumentationspflichten, die im Falle einer Prüfung durch die Aufsichtsbehörden dem Nachweis der Einhaltung der Vorgaben aus der DSGVO dienen.

Die Verpflichtung zur Erstellung und datenschutzrechtlichen Dokumentation der relevanten Prozesse liegt beim Unternehmen. Als externer Datenschutzbeauftragter unterstützen wir Sie hierbei vollumfänglich, sodass Sie rechtlich auf der sicheren Seite sind.

Um Ihrer Nachweis- und Rechenschaftspflicht nach Art. 5 DSGVO nachzukommen, benötigen Sie eine Dokumentation Ihrer Datenschutzaktivitäten im Unternehmen.

Nur durch eine lückenlose Dokumentation können Sie sich und Ihr Unternehmen im Falle von Datenschutzverstößen entlasten und nachweisen, dass Sie alle gesetzlich vorgeschriebenen Schritte eingehalten haben.

Im Falle einer Kontrolle durch die Aufsichtsbehörde können Nachweise verlangt werden. Diese bestehen in der Regel aus dem Verzeichnis der Verarbeitungstätigkeiten (VVT), den technischen und organisatorischen Maßnahmen (TOM), Auftragsverarbeitungsverträgen und ggf. Protokollen für Interessenabwägungen.

• Rechenschaftspflicht (Art. 5 DSGVO)
• Rechtmäßigkeit der Verarbeitung (Art. 6 DSGVO)
• Einwilligungen (Art. 7, 8 DSGVO)
• Besondere Kategorien personenbezogener Daten (Art. 9 DSGVO)
• Informationspflichten (Art. 13. DSGVO)
• Technische und organisatorische Maßnahmen (Art. 24, 25 DSGVO)
• Auftragsverarbeitung (Art. 28 DSGVO)
• Verzeichnis von Verarbeitungstätigkeiten (Art. 30 DSGVO)
• Datenschutz-Folgenabschätzung (Art. 35 DSGVO)
• Benennung eines Datenschutzbeauftragten (Art. 37 DSGVO)
• Datenübermittlung in Drittländer (Art. 44 – 50 DSGVO)

Die DSGVO fordert für eine Reihe von Vorgängen und Prozessen in Ihrem Unternehmen eine detaillierte Dokumentation.

Zur datenschutzrechtlichen Dokumentation gehören:

• Verzeichnis der Verarbeitungstätigkeiten (VVT)
• Technische und organisatorische Maßnahmen (TOM)
• Datenschutz-Richtlinien, Arbeitsanweisungen und Prozessvorgaben
• Dokumentation von Einwilligungen
• Dokumentation von Interessensabwägungen
• Datenschutzerklärungen und -informationen
• Dokumentation von internen Prozessen zur Bearbeitung von Betroffenenanfragen
• Dokumentation der Benennung und Nachweis der Tätigkeit eines Datenschutzbeauftragten
• Nachweis über geeignete Maßnahmen zur Übermittlung von Daten in Drittländer

Gemäß Art. 30 DSGVO muss jedes Unternehmen eine schriftliche Dokumentation aller Verfahren oder Prozesse führen, bei denen personenbezogene Daten verarbeitet werden. Zur Datenschutz-Dokumentation gehört somit vor allem das VVT.

Die folgenden Punkte müssen zwingend in einem VVT enthalten sein:

• Name und Kontaktdaten des Verantwortlichen
• Zwecke der Verarbeitung (für jeden einzelnen Prozess)
• Beschreibung der Kategorien personenbezogener Daten
• Kategorien von Empfängern, denen die personenbezogenen Daten zugänglich werden
• Übermittlungen von personenbezogenen Daten in Drittländer (alle Länder außerhalb EU/EWR)
• Fristen für die Löschung der verschiedenen Datenkategorien
• Beschreibung der technischen und organisatorischen Maßnahmen

Die TOM sind als Ergänzung zu den VVT zu sehen und befassen sich mit der Sicherheit der Verarbeitung von personenbezogenen Daten. Sie gehören als zweiter großer Teil zum obligatorischen Teil der datenschutzrechtlichen Dokumenation.

Bestimmte Inhalte müssen als Mindestanforderung in einer datenschutzrechtlichen TOM-Dokumentation enthalten sein:

• Pseudonymisierung und Verschlüsselung personenbezogener Daten
• Sicherstellung der Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste
• Schnelle Wiederherstellung von personenbezogenen Daten bei einem physischen oder technischen Zwischenfall
• Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung

Datenschutzbehörden können Unternehmen entweder nach Eingang einer Beschwerde, bei offensichtlichen Datenschutzverstößen, nach Datenpannen oder im Rahmen einer Zufallsauswahl überprüfen.

Unternehmen werden durch die Behörden aufgefordert alle datenschutzrechtlichen Dokumente und Nachweise zu übersenden, sodass die Behörde aus der Ferne die Datenschutzkonformität überprüfen kann. Im Regelfall wird zumindest das Verzeichnis der Verarbeitungstätigkeiten (VVT) angefordert.

Die Fragen zur Datenschutz-Dokumentation beziehen sich beispielsweise auf Datenschutzkonzepte, konkrete Fragen zu verwendeter Software, Mitarbeiterschulungen, Interessensabwägungen oder Löschkonzepten und müssen üblicherweise innerhalb eines kurzen Zeitraums an die Behörde übermittelt werden.

Mit Hilfe eines funktionierenden Datenschutzmanagementsystems (DSMS) lassen sich derartige Anfragen von Behörden zeitsparend und vollumfänglich beantworten.