Beim Datenschutz ist die Dokumentation von großer Bedeutung. Die Dokumente sind ein wichtiger Bestandteil des Datenschutzkonzepts und dienen als Nachweise zur Rechenschaftspflicht der Verantwortlichen Stelle. Unternehmen unterliegen der Verpflichtung, eine Dokumentation zu erstellen und diese griffbereit zu haben - auch um für Datenschutzkontrollen gewappnet zu sein.

Notwendigkeit der Dokumentation

Das Spektrum an Datenschutzdokumenten ist breit gefächert. Welche einzelnen Dokumente ein Unternehmen nachweisen muss, ist von der individuellen Datenschutzsituation abhängig.

Gleich aus zwei Gründen kommt der Dokumentation eine große Bedeutung zu:

  • Datenschutzkontrollen
    Anhand der Dokumentation können die Sachbearbeiter der zuständigen Aufsichtsbehörde gut nachvollziehen, ob und wie der Datenschutz in einer Organisation gelebt wird.
  • Internes Nachschlagewerk
    Stakeholder, wie z.B. der Datenschutzbeauftragte oder Verantwortliche aus den Fachabteilungen, finden in der Dokumentation präzise Antworten auf zahlreiche ihrer Fragen.

Sollte die Dokumentation unvollständig sein, könnte dies gemäß DSGVO als Datenschutzverstoß gewertet werden und sogar zur Verhängung eines Bußgeldes führen. Deshalb ist es entscheidend, dass alle notwendigen Dokumente existieren und sich auf dem aktuellen Stand befinden.

Welche wesentlichen Dokumente gibt es für den Datenschutz?

Es folgt eine Übersicht der am häufigsten erstellten Dokumente und Nachweise.

  • Verzeichnis von Verarbeitungstätigkeiten
    Eine interne Auflistung aller automatisierten Verarbeitungstätigkeiten personenbezogener Daten, die sowohl vom Verantwortlichen als auch vom Auftragsverarbeiter zu führen ist (Art. 30 DSGVO). Das Verzeichnis ist zentraler Bestandteil einer strukturierten Datenschutzdokumentation und besonders für Datenschutz-Kontrollen ein wichtiges Instrument. Es ist auf Verlangen der Aufsichtsbehörde vorzulegen.
  • Datenschutzkonzept/-richtlinie
    Ein umfassendes Dokument, das als Zusammenfassung über alle Maßnahmen des Datenschutzes und über die Rechtmäßigkeit der jeweiligen Datenverarbeitungen informiert. Es nimmt eine zentrale Rolle im Datenschutzmanagement ein.
  • Prozess und Nachweis zur Durchführung von Datenschutzfolgeabschätzungen
    Eine vorhergehende dokumentierte Prüfung beabsichtigter Datenverarbeitungen, die ein hohes Risiko für die bürgerlichen Freiheitsrechte zur Folge haben können, insbesondere beim Einsatz neuer Technologien oder großer Datenmengen.
  • Datenschutzhinweise
    Informieren darüber, in welchem Rahmen eine Datenverarbeitung stattfindet, d.h. wie die Daten erhoben und verarbeitet werden. Entsprechende Datenschutz Dokumente sind nicht nur auf Webseiten zu finden, sondern häufig auch Bestandteil von Vertriebs- und Vertragsunterlagen.
  • Relevante Betriebsvereinbarungen
    Werden mit Mitarbeitern – z.B. als Bestandteil von Arbeitsverträgen – getroffen, um sicherzustellen, dass die Verarbeitung von personenbezogenen Mitarbeiterdaten rechtmäßig erfolgt. Ergänzend können weitere Vereinbarungen getroffen werden, die beispielsweise nur Mitarbeiter einer bestimmten Abteilung zu unterzeichnen haben.
  • Verpflichtung auf die Vertraulichkeit
    Mitarbeiter, die im Rahmen ihrer Tätigkeit personenbezogene Daten verarbeiten, sollten auf Verschwiegenheit verpflichtet werden. Dies geschieht, indem sie eine Vertraulichkeitsvereinbarung unterzeichnen.
  • Vereinbarungen zur Auftragsverarbeitung
    Es gibt Unternehmen, die personenbezogene Daten von externen Partnern verarbeiten lassen. Auftragsverarbeitungen sind vertraglich zu regeln. Das Vertragswerk legt die Rechte und Pflichten beider Parteien (Auftraggeber und Auftragsverarbeiter) fest.
  • Dokumentation technisch-organisatorischer Maßnahmen (TOM)
    Dokumentation von Maßnahmen, die den Schutz der Verarbeitung personenbezogener Daten gewährleisten sollen.

Verantwortung der Dokumentation

Angesichts der vielen Arten von Dokumenten muss die Verantwortlichkeit nicht zwangsläufig bei nur einer Person liegen. Schlussendlich kommt es darauf an, welche Regelung im Unternehmen getroffen wird. Die Erstellung obliegt auch nicht ausschließlich dem Datenschutzbeauftragten – er hat lediglich sicherzustellen, dass alle erforderlichen Dokumente existieren. Dementsprechend ist es möglich, dass er die Erstellung der Datenschutz Dokumentation koordiniert und zugleich Verantwortliche innerhalb der Organisation bestimmt.

In der Praxis ist der Datenschutzbeauftragte bei der Erstellung von Datenschutz Dokumenten zumeist intensiv eingebunden. Zahlreiche Dokumente erstellt er selbst oder arbeitet eng mit den Mitarbeitern der Fachabteilungen zusammen. Letztere haben dann dafür Sorge zu tragen, dass die Mitglieder ihrer Abteilungen die erforderlichen Dokumente zur Hand haben oder gar unterzeichnen. Zudem ist es in bestimmten Bereichen empfehlenswert, auch die Geschäftsführung einzubeziehen, um Auswirkungen des Datenschutzes auf geschäftliche Prozesse frühzeitig zu erkennen.

Mehr als nur Dokumentation

Neben der reinen Dokumentation müssen Unternehmen weitere wesentliche Elemente wie Policy, Verfahren, Arbeitsanweisung und Leitlinie berücksichtigen, die hierarchisch aufeinander aufbauen. Nur eine solche Struktur gewährleistet eine umfassende und effektive Umsetzung der Datenschutzanforderungen.

Mit der einmaligen Erstellung einer Datenschutzdokumentation ist es nicht getan, es bedarf eines Konzeptes, das

  • die fortlaufende Aktualität
  • Angemessenheit und
  • Wirksamkeit
sicherstellt. Nur so können Unternehmen den dynamischen Anforderungen des Datenschutzes gerecht werden.

Unsere Leistungen

Es spielt keine Rolle, ob Sie beim Datenschutz ganz am Anfang stehen und eine vollständige Dokumentation erarbeiten möchten oder ob Fachfragen zu konkreten Dokumenten bestehen. Gerne stehen wir Ihnen bei der Dokumentation Ihres Datenschutzes zur Seite.

Zur Gewährleistung der Aktualität unterstützen wir Sie gerne bei der Implementierung eines Datenschutzmanagementsystems, das die Datenverarbeitungsprozesse gemäß den Anforderungen der DSGVO dokumentiert. So behalten Sie jederzeit den Überblick über den Datenschutz und haben alle notwendigen Unterlagen griffbereit.

Wir bieten die Erstellung von Verfahrensanweisungen als Dienstleistung an. Darüber hinaus führen wir Workshops zur Dokumentation durch.

Wir unterstützen Sie bei Erstellung und Pflege Ihrer Datenschutz-Dokumente

Ob Verzeichnis von Verarbeitungstätigkeiten, Datenschutzkonzept oder Vereinbarungen zur Auftragsverarbeitung, einige Datenschutzdokumente sind unverzichtbar. Sie müssen griffbereit vorliegen, um die datenschutzrechtlichen Vorgaben der DSGVO zu erfüllen.

Vereinbaren Sie ein Gespräch zur kostenlosen Erstberatung. Wir erläutern gerne, wie unser Team Sie beim Aufbau und der Pflege Ihrer Dokumente im Datenschutz unterstützen kann und welche Vorteile sich daraus für Ihr Unternehmen ergeben. Wir freuen uns auf Ihre Anfrage.