DS-GVO – Dokumentationspflichten
Verantwortliche haben nach der DS-GVO eine Rechenschaftspflicht in der sie nachweisen müssen, dass die Datenschutzgrundsätze eingehalten werden und die Datenverarbeitung DS-GVO-konform erfolgt. Um im Zweifelsfall ihrer Rechenschafts- und Nachweispflicht nachkommen zu können, ist eine entsprechende Dokumentation erforderlich.
Die wichtigsten Dokumentationspflichten, haben wir hier aufgelistet:
Verarbeitungsverzeichnis:
Die Erstellung eines Verarbeitungsverzeichnisses ist für alle Verantwortlichen und Auftragsverarbeiter eine Pflicht, die sich aus Art. 30 der DS-GVO ergibt. Hier muss nachgewiesen werden, dass die Datenschutzgrundsätze erfüllt werden. Dazu gehört auch, dass geeignete technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten ergriffen werden und diese regelmäßig zu überprüfen und zu aktualisieren. Am Besten wird die Rechtsgrundlage auf die sich die Verarbeitung stützt gleich mit dokumentiert.
Einwilligungs-Management:
Ist für die Datenverarbeitung eine Einwilligung erforderlich, muss diese durch eine unmissverständliche Willensbekundung erfolgen (Text, E-Mail, Fax) oder durch elektronische Einwilligung per Mausklick. In jedem Fall ist eine Widerrufserklärung erforderlich in der der Betroffene darüber informiert wird, dass einer Verarbeitung jederzeit widersprochen werden kann. Eine entsprechende Dokumentation darüber ist nach Art. 7 DS-GVO erforderlich und muss nachgewiesen werden können. Alte rechtswirksame Einwilligungen bleiben zwar wirksam, müssen aber ebenfalls nachgewiesen werden können.
Kinder ab 16 Jahren dürfen zwar eine Einwilligung erklären, allerdings ist dazu die Zustimmung der Eltern erforderlich. Dies haben Verantwortliche zu prüfen und nachzuweisen.
Datenpannen:
Im Falle einer Datenpanne sollte ein Meldeprozess implementiert werden, damit klar ist wer zu informieren ist und wer die Panne gegenüber der Aufsichtsbehörde und den Betroffenen entsprechend Art. 33, 34 DS-GVO meldet. In der Regel übernimmt dies der Datenschutzbeauftragte bzw. wenn keiner benannt wurde die Geschäftsleitung. Wird durch die Datenpanne keine Verletzung des Datenschutzes erkannt (z.B. die Daten auf dem gestohlenen Mobilgerät verschlüsselt sind), muss keine Meldung an die Aufsichtsbehörde erfolgen. Die Panne selbst ist allerdings zu dokumentieren.
Datenschutz-Folgenabschätzung:
Verantwortliche und Auftragsverarbeiter sind dazu verpflichtet zu prüfen, welche Risiken eine Verarbeitung von personenbezogenen Daten für die Betroffenen hat. Dies kann durch eine Datenschutz-Folgenabschätzung entsprechend Erwägungsgrund 90 DS-GVO erfolgen und schreibt zwingend eine Dokumentation vor. Wird keine Analyse durchgeführt, sind die Gründe dafür ebenfalls zu dokumentieren.
Auftragsverarbeitung:
Wer Dienstleister damit beauftragt Aufgaben zu übernehmen, die die Verarbeitung von personenbezogenen Daten erfordert, benötigt einen Vertrag. Dieser soll sicherstellen, das die personenbezogenen Daten nur nach ihren Weisungen und nur zum Zwecke der Vertragserfüllung verarbeitet werden. Damit kann der Verantwortliche gegenüber der Datenschutzsaufsichtsbehörde nachweisen, dass der Beauftragte die Anforderungen der DS-GVO erfüllt. Eine Übersicht darüber, welche Dienstleister beauftragt wurden, hilft wenn Betroffene, einen Wiederspruch geltend machen oder das Recht auf Löschung in Anspruch nehmen.
Mitarbeiter:
Da Mitarbeiter auf Anweisung des Verantwortlichen die personenbezogenen Daten verarbeiten dürfen, sind entsprechende interne Datenschutzregelungen (Betriebsanweisung/Dienstanweisung) zu erstellen. Auch wenn private Arbeitgeber nach der DS-GVO nicht mehr verpflichtet sind, die Mitarbeiter zur Verschwiegenheit zur verpflichten, ist es ratsam eine Verschwiegenheitserklärung unterschreiben zu lassen und die Mitarbeiter im erforderlichen Umfang im Datenschutz zu schulen.
Löschkonzept:
Ist ein Zweck für die Verarbeitung von personenbezogenen Daten erfüllt oder macht ein Betroffener sein Recht auf Löschung geltend, sind diese zu löschen. Ausnahmen bilden die gesetzlichen Aufbewahrungsfristen oder wenn andere zwingend schutzwürdige Gründe angegeben werden können. Daher ist es sinnvoll ein Löschkonzept zu etablieren, aus dem hervorgeht wie lange bestimmte Daten aufbewahrt werden müssen und dies zu dokumentieren. Wer personenbezogene Daten an Dritte zur Auftragsverarbeitung weitergibt oder im Internet veröffentlicht, sollte festhalten an wen welche Daten weitergegeben wurden, um diese bei Bedarf löschen zu können.
Zertifizierungen:
Zertifizierungen die von einer Datenschutzaufsicht genehmigt wurden, können als Nachweis herangezogen werde, dass die Vorgaben der DS-GVO eingehalten werden. Dies ist entsprechend zu dokumentieren.
Fazit:
Grundsätzlich gilt, was die Dokumentation angeht: „so wenig wie möglich – so viel wie nötig“. Denn die DS-GVO soll ein Unternehmen nicht lähmen, sondern Betroffene schützen. Dazu muss ein Unternehmen nachweisen können, dass es sich an die Datenschutzgrundsätze hält und alles getan hat um die Daten zu schützen.