Unser Service:

Datenschutzrechtliche Dokumentation

Erfüllung der umfangreichen Dokumentationspflichten wie z.B. Verzeichnis der Verarbeitungstätigkeiten (VVT), technische und organisatorische Maßnahmen (TOM) etc.

Warum die Datenschutz-Dokumentation wichtig für Ihr Unternehmen ist

Die datenschutzrechtliche Dokumentation ist verpflichtend für alle Unternehmen. Die Datenschutzgrundverordnung (DSGVO) stellt umfassende Dokumentationspflichten über bestimmte Vorgänge im Unternehmen an den Verantwortlichen. Hierdurch wird die Nachweispflicht aus der DSGVO erfüllt.

Diese können zum einen explizite rechtliche Vorgaben sein wie bspw. das Führen eines Verzeichnisses aller Verarbeitungstätigkeiten. Zum anderen ergeben sich eine Vielzahl an impliziten datenschutzrechtlichen Dokumentationspflichten, die im Falle einer Prüfung durch die Aufsichtsbehörden dem Nachweis der Einhaltung der Vorgaben aus der DSGVO dienen.

Die Verpflichtung zur Erstellung und datenschutzrechtlichen Dokumentation der relevanten Prozesse liegt beim Unternehmen. Als externer Datenschutzbeauftragter unterstützen wir Sie hierbei vollumfänglich, sodass Sie rechtlich auf der sicheren Seite sind.

Wozu benötigen Sie eine Datenschutz-Dokumentation?

Um Ihrer Nachweis- und Rechenschaftspflicht nach Art. 5 DSGVO nachzukommen, benötigen Sie eine Dokumentation Ihrer Datenschutzaktivitäten im Unternehmen.

Nur durch eine lückenlose Dokumentation können Sie sich und Ihr Unternehmen im Falle von Datenschutzverstößen entlasten und nachweisen, dass Sie alle gesetzlich vorgeschriebenen Schritte eingehalten haben.

Im Falle einer Kontrolle durch die Aufsichtsbehörde können Nachweise verlangt werden. Diese bestehen in der Regel aus dem Verzeichnis der Verarbeitungstätigkeiten (VVT), den technischen und organisatorischen Maßnahmen (TOM), Auftragsverarbeitungsverträgen und ggf. Protokollen für Interessenabwägungen.

Welche Vorgaben zur Dokumentation gibt die DSGVO?

  • Rechenschaftspflicht (Art. 5 DSGVO)
  • Rechtmäßigkeit der Verarbeitung (Art. 6 DSGVO)
  • Einwilligungen (Art. 7, 8 DSGVO)
  • Besondere Kategorien personenbezogener Daten (Art. 9 DSGVO)
  • Informationspflichten (Art. 13. DSGVO)
  • Technische und organisatorische Maßnahmen (Art. 24, 25 DSGVO)
  • Auftragsverarbeitung (Art. 28 DSGVO)
  • Verzeichnis von Verarbeitungstätigkeiten (Art. 30 DSGVO)
  • Datenschutz-Folgenabschätzung (Art. 35 DSGVO)
  • Benennung eines Datenschutzbeauftragten (Art. 37 DSGVO)
  • Datenübermittlung in Drittländer (Art. 44 – 50 DSGVO)

Was gehört alles zur datenschutzrechtlichen Dokumentation?

Die DSGVO fordert für eine Reihe von Vorgängen und Prozessen in Ihrem Unternehmen eine detaillierte Dokumentation.

Zur datenschutzrechtlichen Dokumentation gehören:

  • Verzeichnis der Verarbeitungstätigkeiten (VVT)
  • Technische und organisatorische Maßnahmen (TOM)
  • Datenschutz-Richtlinien, Arbeitsanweisungen und Prozessvorgaben
  • Dokumentation von Einwilligungen
  • Dokumentation von Interessensabwägungen
  • Datenschutzerklärungen und -informationen
  • Dokumentation von internen Prozessen zur Bearbeitung von Betroffenenanfragen
  • Dokumentation der Benennung und Nachweis der Tätigkeit eines Datenschutzbeauftragten
  • Nachweis über geeignete Maßnahmen zur Übermittlung von Daten in Drittländer

Was ist der Mindestinhalt des Verzeichnisses der Verarbeitungstätigkeiten (VVT) als Teil der Datenschutz-Dokumentation?

Gemäß Art. 30 DSGVO muss jedes Unternehmen eine schriftliche Dokumentation aller Verfahren oder Prozesse führen, bei denen personenbezogene Daten verarbeitet werden. Zur Datenschutz-Dokumentation gehört somit vor allem das VVT.

Die folgenden Punkte müssen zwingend in einem VVT enthalten sein:

  • Name und Kontaktdaten des Verantwortlichen
  • Zwecke der Verarbeitung (für jeden einzelnen Prozess)
  • Beschreibung der Kategorien personenbezogener Daten
  • Kategorien von Empfängern, denen die personenbezogenen Daten zugänglich werden
  • Übermittlungen von personenbezogenen Daten in Drittländer (alle Länder außerhalb EU/EWR)
  • Fristen für die Löschung der verschiedenen Datenkategorien
  • Beschreibung der technischen und organisatorischen Maßnahmen

Was ist der Mindestinhalt der technischen und organisatorischen Maßnahmen (TOM) als Teil der Datenschutz-Dokumentation?

Die TOM sind als Ergänzung zu den VVT zu sehen und befassen sich mit der Sicherheit der Verarbeitung von personenbezogenen Daten. Sie gehören als zweiter großer Teil zum obligatorischen Teil der datenschutzrechtlichen Dokumenation.

Bestimmte Inhalte müssen als Mindestanforderung in einer datenschutzrechtlichen TOM-Dokumentation enthalten sein:

  • Pseudonymisierung und Verschlüsselung personenbezogener Daten
  • Sicherstellung der Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste
  • Schnelle Wiederherstellung von personenbezogenen Daten bei einem physischen oder technischen Zwischenfall
  • Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung

Welche Nachweise fordert die Aufsichtsbehörde im Rahmen einer Überprüfung?

Datenschutzbehörden können Unternehmen entweder nach Eingang einer Beschwerde, bei offensichtlichen Datenschutzverstößen, nach Datenpannen oder im Rahmen einer Zufallsauswahl überprüfen.

Unternehmen werden durch die Behörden aufgefordert alle datenschutzrechtlichen Dokumente und Nachweise zu übersenden, sodass die Behörde aus der Ferne die Datenschutzkonformität überprüfen kann. Im Regelfall wird zumindest das Verzeichnis der Verarbeitungstätigkeiten (VVT) angefordert.

Die Fragen zur Datenschutz-Dokumentation beziehen sich beispielsweise auf Datenschutzkonzepte, konkrete Fragen zu verwendeter Software, Mitarbeiterschulungen, Interessensabwägungen oder Löschkonzepten und müssen üblicherweise innerhalb eines kurzen Zeitraums an die Behörde übermittelt werden.

Mit Hilfe eines funktionierenden Datenschutzmanagementsystems (DSMS) lassen sich derartige Anfragen von Behörden zeitsparend und vollumfänglich beantworten.

Wir unterstützen Sie bei der Erstellung, Anpassung und Überprüfung Ihrer datenschutzrechtlichen Dokumentation.

Wir freuen uns darauf, Sie kennenzulernen.

    Ihre persönlichen Daten werden ausschließlich zur Bearbeitung Ihrer Anfrage genutzt. Weitere Informationen finden Sie in unserer Datenschutzerklärung.

    Oder rufen Sie uns an

    +49 (0) 89 215 281 07

    Unsere Services
    als externer DSB

    Wir unterstützen Startups, kleine Unternehmen und Mittelständler als externer Datenschutzbeauftragter.

    Benennung als externer Datenschutzbeauftragter

    Für viele Unternehmen besteht die Pflicht, einen Datenschutzbeauftragten zu benennen. Gerne beraten wir Sie, ob dies auf Sie zutrifft.

    Datenschutz-Audit

    Als externer DSB führen wir mit Ihnen eine Risikoanalyse durch, um Lücken zu erkennen. Sie erhalten einen konkreten Maßnahmenplan mit praxisnahen Tipps.

    Mitarbeiterschulungen durch Ihren externen DSB

    Schulungen, E-Learning und Workshops für Mitarbeiter, Ableitungsleiter und Geschäfts-führung zu den Anforderungen des Datenschutzrechts.

    Datenschutzrechtliche Dokumentation

    Erfüllung der umfangreichen Dokumentationspflichten wie z.B. Verzeichnis der Verarbeitungstätigkeiten (VVT), technische und organisatorische Maßnahmen (TOM) etc.

    Datenschutz-Folgenabschätzung (DSFA)

    Wir beraten Sie als externer DSB bei der Durchführung einer DSFA. Diese Risikoanalyse ist in bestimmten Fällen vorgeschrieben.

    Regelmäßige Datenschutz-Updates

    Sie bleiben immer auf dem neuesten Stand über die aktuellsten Entwicklungen zum Thema Datenschutz und Informationssicherheit.

    Datenschutzerklärungen

    Erfüllung Ihrer Informations-pflichten gegenüber Webseiten-besuchern, Kunden, Mitarbeitern, Geschäftspartnern und Lieferanten.

    Privacy by Design & Default

    Wir begleiten Sie bei der datenschutzkonformen Gestaltung Ihrer Systeme, Dienstleistungen, Produkte und Prozesse.

    Datenschutzmanagement-system (DSMS)

    Gemeinsam mit Ihnen erstellen wir Ihr internes DSMS, das alle implementierten Regelungen, Prozesse, Dokumente und Maßnahmen umfasst.
    PrivacyPoint
    star-halffile-emptylicensebookchart-barsrocketredomagnifierpointer-right