Werden personenbezogene Daten Dritter (Bewerber, Kunden, Mitarbeiter oder Partner) verarbeitet – das heißt erhoben, gespeichert oder weiterverarbeitet – dann muss der Verarbeitende, in diesem Fall das Unternehmen, im Zweifel die Rechtmäßigkeit der Verarbeitung nachweisen können. Dies geht einfach und übersichtlich mit einer Datenschutzdokumentation. Ein paar der Datenschutz-Dokumentationspflichten, die in der DSGVO vorgesehen sind, betreffen dabei besonders viele Unternehmen.
Übersicht: Die Wichtigsten Rechenschafts- und Dokumentationspflichten inkl. Muster für die Datenschutz-Dokumentation
Die allgemeine Rechenschafts- und Nachweispflicht (Art. 5 Abs. 2, 24 DSGVO) muss vom jeweiligen Verantwortlichen im Unternehmen umgesetzt werden. Rechenschaftspflicht bedeutet, dass die Einhaltung der DSGVO nachgewiesen werden können muss. Vor allem folgende Punkte sind für Unternehmen von großer Bedeutung:
Pflicht zur Führung von Verarbeitungsverzeichnissen (VVT) (Art. 30 DSGVO): Ein Verzeichnis von Verarbeitungstätigkeiten muss angelegt werden, wenn personenbezogene Daten Dritter verarbeitet werden. Alle Bestandteile des Verzeichnisses von Verarbeitungstätigkeiten sind ausführlich hier zu finden.
Auftragsverarbeitungsvertrag (AV-Vertrag): Wenn Unternehmen personenbezogene Daten zur Verarbeitung an Dritte weitergeben, so muss mit diesem Dritten ein sogenannter AV-Vertrag geschlossen werden, um die personenbezogenen Daten zu schützen. Beispielsweise bei der Verwendung von Google Analytics ist ein solcher AV-Vertrag mit Google abzuschließen. Ein Muster für einen Auftragsverarbeitungsvertrag gibt’s hier.
Technische und organisatorische Maßnahmen (TOM): TOM befassen sich insbesondere mit der technischen Voreinstellung, damit ein angemessener Datenschutz im Unternehmen gewährleistet werden kann. Die technischen und organisatorischen Maßnahmen umfassen von kontrollierten Zugangskontrollen zum Bürogebäude bis zur Pseudonymisierung und Verschlüsselung personenbezogener Daten ein großes Bündel an Maßnahmen. Hier sind die wichtigsten Maßnahmen, die es im technischen und organisatorischen Bereich zu beachten gibt, nachzulesen und hier gibt es ein Dokumentations-Muster für technische und organisatorische Maßnahmen.
Datenschutz-Folgeabschätzung: werden besonders sensible Daten verarbeitet, muss vorher vom Verantwortlichen das Risiko und deren Folgen für die Betroffenen evaluiert und dokumentiert werden. Alles, was bei einer DSFA als Datenschutz Dokumentationspflicht beachtet werden muss, ist hier zu finden.
Meldung des Datenschutzbeauftragten: Sobald ein Unternehmen einen (externen) Datenschutzbeauftragten bestellt, muss diese Bestellung schriftlich erfolgen und bei der Aufsichtsbehörde gemeldet werden. Ein Muster für die Bestellung eines Datenschutzbeauftragten gibt es hier.
Nachweis von Mitarbeiterschulungen: Nicht nur neue, auch bestehende Mitarbeiter müssen regelmäßig im Datenschutz geschult werden. So werden Datenschutzpannen vorgebeugt und Mitarbeiter für potenzielle Gefahren sensibilisiert.
Dokumentation eines Datenschutzvorfalls (Art. 33 Abs. 5 DSGVO): Tritt eine Datenschutzpanne im Unternehmen ein, muss diese innerhalb von 72 Stunden gemeldet werden. Dabei ist es irrelevant, ob es sich um ein in der U-Bahn vergessenes Laptop handelt oder um einen gehackten Geschäftsaccount. Übrigens wird es von den Aufsichtsbehörden wohlwollend zur Kenntnis genommen, wenn Unternehmen zeitnah auf Datenschutzvorfälle reagieren. Sollte eine Datenschutzpanne eintreten, hilft dieser Leitfaden übersichtlich und schnell weiter.
Nicht vorgeschrieben, aber durchaus sinnvoll ist zudem eine Dokumentation der ausgeführten Löschungen, sofern Außenstehende, Ex-Mitarbeiter oder Kunden von ihrem Recht auf Vergessenwerden (nach Art. 17 DSGVO) Gebrauch machen. Zudem sollten Unternehmen mit mehreren Standorten in verschiedenen Ländern sicherstellen, dass die internen Datenschutzvorschriften verbindlich an allen Standorten eingehalten werden (nach Art. 47 Abs.1, 2 DSGVO).
Wichtig: Datenschutz-Dokumentation-Muster von 2018 können, gerade wenn sie vor Mai letzten Jahres angefertigt wurden, nicht mehr gültig sein. Unbedingt Updaten und neue Datenschutzdokumentationsvorlagen verwenden!
Ein übersichtliches Datenschutzmanagement sorgt dabei dafür, dass alle erstellten Dokumentationen zentral an einem Ort zu finden sind. Klopft wirklich einmal die Aufsichtsbehörde an die Türe, etwa um zu überprüfen, ob die Vorgaben der DSGVO eingehalten werden, haben die Unternehmen alle Nachweise zentral an einem Ort griffbereit. Ein gut organisiertes und kooperatives Unternehmen beeinflusst die Zusammenarbeit mit der Aufsichtsbehörde meist direkt positiv. Vorgelegt werden müssen allerdings nur jene Nachweise, nach denen konkret gefragt wird und keineswegs pauschal alle.
Konsequenzen: Was passiert bei Missachtung dieser Pflichten?
Unternehmen sollten dieser Dokumentationsplicht nach der Datenschutzgrundverordnung nach bestem Wissen korrekt nachkommen, denn eine Missachtung kann enorme Konsequenzen haben. Von der Abmahnung bis hin zum siebenstelligen Bußgeld (nach Art. 84 Abs. 5 Buchst. a) DSGVO bist zu 20 Millionen Euro) ist die Bandbreite der Konsequenzen enorm groß. Im Zweifel sollte vorher ein externer Datenschutzexperte hinzugezogen werden, um dem eigenem Unternehmen nicht aus Unwissenheit zu schaden. Am leichtesten ist die Datenschutz Dokumentation mittels einer entsprechenden Software, wie etwa proliance360. Denn ob die Datenschutz Dokumentationspflicht online oder offline erfolgt, bleibt den Unternehmen überlassen.
Autorin: Kathrin Strauß
Artikel veröffentlicht am: 05. August 2019