Dokumentationspflicht nach BDSG und DSGVO

Dokumentation im Datenschutz

| Autor / Redakteur: Oliver Schonschek / Peter Schmitz

Egal ob mit Hilfe eines Datenschutz-Tools oder mit einem selbst entworfenen Datenschutzbericht. Die Dokumentation des Datenschutzes hilft Unternehmen dabei, die Datenschutzmaßnahmen regelmäßig auf Erfolg zu prüfen.
Egal ob mit Hilfe eines Datenschutz-Tools oder mit einem selbst entworfenen Datenschutzbericht. Die Dokumentation des Datenschutzes hilft Unternehmen dabei, die Datenschutzmaßnahmen regelmäßig auf Erfolg zu prüfen. (Bild: geralt - Pixabay / CC0)

Die nach Bundesdatenschutzgesetz (BDSG) und Datenschutz-Grundverordnung (DSGVO) verpflichtend geforderte Dokumentation der Datenschutzmaßnahmen klingt nach Ballast und lästiger Pflicht, in Wirklichkeit aber stellt sie das Rückgrat der Datenschutzorganisation dar. Verschiedene Tools bieten sich als Unterstützung an.

Viele Unternehmen kommen leider zu spät zu der Erkenntnis, dass die Dokumentation der ergriffenen Maßnahmen entscheidend ist für die Compliance. Kommt es zu einem Audit zum Beispiel im Rahmen einer Zertifizierung, kann die fehlende Dokumentation zu einem echten Problem werden. Im Fall eines IT-Sicherheitsvorfalles kann das Fehlen einer Dokumentation der IT-Sicherheitsmaßnahmen ernste Folgen haben, wenn es um Haftung oder Bußgelder geht.

Auch im Datenschutz spielt die Dokumentation eine herausragende Rolle. Das beginnt bereits bei der Datenschutzerklärung für die Website eines Unternehmens, die im Telemediengesetz (§ 13 TMG) gefordert wird. Datenschutzbeauftragte tun zudem gut daran, die Erfüllung ihrer Aufgaben zu dokumentieren, wie zum Beispiel die Überwachung der ordnungsgemäßen Anwendung der Datenverarbeitungsprogramme, mit deren Hilfe personenbezogene Daten verarbeitet werden, und die Schulung der Personen, die bei der Verarbeitung personenbezogener Daten tätig sind, wie es das Bundesdatenschutzgesetz (BDSG) beschreibt.

Die Ergebnisse des TÜV SÜD Datenschutzindikators zeigen: Die Dokumentation im Datenschutz muss deutlich besser werden.
Die Ergebnisse des TÜV SÜD Datenschutzindikators zeigen: Die Dokumentation im Datenschutz muss deutlich besser werden. (Bild: TÜV SÜD AG)

Ebenfalls gesetzlich gefordert ist eine Übersicht über die Verfahren der Verarbeitung personenbezogener Daten, man spricht auch von dem Verfahrensverzeichnis. Die dort notwendigen Angaben sollten nicht halbherzig gemacht werden, denn die Aufsichtsbehörden haben darauf bei ihren Prüfungen verstärkt ein Auge. Wie die Ergebnisse des TÜV SÜD Datenschutzindikators (DSI) zeigen, verfügen mehr als zwei Drittel der beim DSI befragten Unternehmen weder über ein öffentliches Verfahrensverzeichnis noch über eine aktuelle interne Verarbeitungsübersicht.

Notwendig sind saubere Dokumentationen im Datenschutz aber auch für die Erfüllung der Betroffenenrechte (Auskunftsrechte der Betroffenen), als Basis der Auskunft. Nicht zuletzt im Fall einer Datenpanne ist es wichtig, die ergriffenen Maßnahmen umfassend darstellen zu können (Informationspflicht bei unrechtmäßiger Kenntniserlangung von Daten).

Datenschutz-Grundverordnung erfordert ebenfalls Nachweise

Nicht nur das Bundesdatenschutzgesetz, sondern auch die vor uns liegende Datenschutz-Grundverordnung (DSGVO) betont die Bedeutung der Dokumentation. Ausdrücklich heißt es dort zum Beispiel: „Der Verantwortliche dokumentiert Verletzungen des Schutzes personenbezogener Daten einschließlich aller im Zusammenhang mit der Verletzung des Schutzes personenbezogener Daten stehenden Fakten, von deren Auswirkungen und der ergriffenen Abhilfemaßnahmen. Diese Dokumentation muss der Aufsichtsbehörde die Überprüfung der Einhaltung der Bestimmungen ermöglichen.“

Artikel 30 DSGVO widmet sich gezielt dem „Verzeichnis von Verarbeitungstätigkeiten“, und auch in Zukunft ist es wichtig, die Erfüllung der „Aufgaben des Datenschutzbeauftragten“ zu dokumentieren. Im Fall einer Auftragsverarbeitung sind Nachweise der Datenschutzmaßnahmen weiterhin Pflicht: „Der Vertrag zur Auftragsverarbeitung sieht insbesondere vor, dass der Auftragsverarbeiter dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der in diesem Artikel niedergelegten Pflichten zur Verfügung stellt“, so die DSGVO.

Datenschutz-Tools können Unterstützung leisten

Die notwendige Dokumentation bedeutet Aufwand. Auf dem Markt gibt es eine Reihe von Datenschutz-Tools, die bei der Dokumentation der Datenschutzmaßnahmen unterstützen können, bei der Erstellung einer Datenschutzerklärung, mit Checklisten bei der Prüfung der vorhandenen technisch-organisatorischen Maßnahmen und bei Aufbau und Pflege eines Verfahrensverzeichnisses. Je nach Tool ist der Umfang der Unterstützung unterschiedlich, ebenso die Unternehmensbereiche, die in den Checklisten behandelt werden. Beispielhaft für solche Tools seien Datenschutz Assistent, dsbAssist, DocSetMinder und Dateneule genannt.

Welches Tool jeweils hilfreich und ausreichend ist, kommt auf das eigene Unternehmen an, zum Beispiel auf die Bereiche, die dokumentiert werden sollen. Dateneule zum Beispiel hält einen Fragenkatalog zu den Themenbereichen Marketing, Personalmanagement, Website, Geschäftspartner, Systemadministration und bauliche Maßnahmen bereit. Durch Beantwortung der Fragen entsteht damit eine Datenschutzdokumentation, zudem können Verfahrensverzeichnis und Datenschutzerklärung mit dem Tool entwickelt werden.

Bei der Wahl des Tools sollten Unternehmen darauf achten, ob neben den aktuellen Datenschutzvorgaben auch die kommende Datenschutz-Grundverordnung bereits unterstützt wird, da deren Umsetzung nun ansteht.

Dokumentation hilft bei der Optimierung des Datenschutzes

Ob mit Hilfe eines Datenschutz-Tools oder auf Basis eines selbst entworfenen Datenschutzberichtes, die Dokumentation des Datenschutzes hilft Unternehmen bei der zentralen Aufgabe, die Datenschutzmaßnahmen regelmäßig auf Erfolg zu überprüfen. Unter anderem fordert die DSGVO ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.

Die Checklisten und Verzeichnisse können Unternehmen als internen Prüfungsleitfaden nutzen, für das eigene Datenschutz-Audit. Ebenfalls zu empfehlen ist ein genauer Blick auf die Audit-Fragebögen (pdf), die zum Beispiel das Bayerische Landesamt für Datenschutzaufsicht veröffentlicht hat. Hier erkennt man schnell, wie häufig nach einer vorhandenen Datenschutzdokumentation oder schriftlichen Festlegung gefragt wird. Fehlanzeige ist nicht zu empfehlen, in Zeiten der kommenden Datenschutz-Grundverordnung und steigender Bußgelder (pdf) noch weniger als heute.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44341809 / Compliance und Datenschutz )