Die datenschutzrechtliche Dokumentation ist verpflichtend für alle Unternehmen. Die Datenschutzgrundverordnung (DSGVO) stellt umfassende Dokumentationspflichten über bestimmte Vorgänge im Unternehmen an den Verantwortlichen. Hierdurch wird die Nachweispflicht aus der DSGVO erfüllt.
Diese können zum einen explizite rechtliche Vorgaben sein wie bspw. das Führen eines Verzeichnisses aller Verarbeitungstätigkeiten. Zum anderen ergeben sich eine Vielzahl an impliziten datenschutzrechtlichen Dokumentationspflichten, die im Falle einer Prüfung durch die Aufsichtsbehörden dem Nachweis der Einhaltung der Vorgaben aus der DSGVO dienen.
Die Verpflichtung zur Erstellung und datenschutzrechtlichen Dokumentation der relevanten Prozesse liegt beim Unternehmen. Als externer Datenschutzbeauftragter unterstützen wir Sie hierbei vollumfänglich, sodass Sie rechtlich auf der sicheren Seite sind.
Um Ihrer Nachweis- und Rechenschaftspflicht nach Art. 5 DSGVO nachzukommen, benötigen Sie eine Dokumentation Ihrer Datenschutzaktivitäten im Unternehmen.
Nur durch eine lückenlose Dokumentation können Sie sich und Ihr Unternehmen im Falle von Datenschutzverstößen entlasten und nachweisen, dass Sie alle gesetzlich vorgeschriebenen Schritte eingehalten haben.
Im Falle einer Kontrolle durch die Aufsichtsbehörde können Nachweise verlangt werden. Diese bestehen in der Regel aus dem Verzeichnis der Verarbeitungstätigkeiten (VVT), den technischen und organisatorischen Maßnahmen (TOM), Auftragsverarbeitungsverträgen und ggf. Protokollen für Interessenabwägungen.
Die DSGVO fordert für eine Reihe von Vorgängen und Prozessen in Ihrem Unternehmen eine detaillierte Dokumentation.
Zur datenschutzrechtlichen Dokumentation gehören:
Gemäß Art. 30 DSGVO muss jedes Unternehmen eine schriftliche Dokumentation aller Verfahren oder Prozesse führen, bei denen personenbezogene Daten verarbeitet werden. Zur Datenschutz-Dokumentation gehört somit vor allem das VVT.
Die folgenden Punkte müssen zwingend in einem VVT enthalten sein:
Die TOM sind als Ergänzung zu den VVT zu sehen und befassen sich mit der Sicherheit der Verarbeitung von personenbezogenen Daten. Sie gehören als zweiter großer Teil zum obligatorischen Teil der datenschutzrechtlichen Dokumenation.
Bestimmte Inhalte müssen als Mindestanforderung in einer datenschutzrechtlichen TOM-Dokumentation enthalten sein:
Datenschutzbehörden können Unternehmen entweder nach Eingang einer Beschwerde, bei offensichtlichen Datenschutzverstößen, nach Datenpannen oder im Rahmen einer Zufallsauswahl überprüfen.
Unternehmen werden durch die Behörden aufgefordert alle datenschutzrechtlichen Dokumente und Nachweise zu übersenden, sodass die Behörde aus der Ferne die Datenschutzkonformität überprüfen kann. Im Regelfall wird zumindest das Verzeichnis der Verarbeitungstätigkeiten (VVT) angefordert.
Die Fragen zur Datenschutz-Dokumentation beziehen sich beispielsweise auf Datenschutzkonzepte, konkrete Fragen zu verwendeter Software, Mitarbeiterschulungen, Interessensabwägungen oder Löschkonzepten und müssen üblicherweise innerhalb eines kurzen Zeitraums an die Behörde übermittelt werden.
Mit Hilfe eines funktionierenden Datenschutzmanagementsystems (DSMS) lassen sich derartige Anfragen von Behörden zeitsparend und vollumfänglich beantworten.