Die Datenschutz-Grundverordnung (DSGVO) bietet eine Reihe von Instrumenten, die Unternehmen intern einsetzen können, um die Datensicherheit zu gewährleisten. Es ist auch vorgesehen, diese Maßnahmen zu dokumentieren. Aber wo finde ich eine Datenschutzdokumentation?
Wenn personenbezogene Daten von Dritten (Bewerbern, Kunden, Arbeitnehmern oder Partnern) verarbeitet werden, d. h. erhoben, gespeichert oder weiterverarbeitet werden, muss der Verarbeiter, in diesem Fall das Unternehmen, in der Lage sein, die Rechtmäßigkeit der Verarbeitung im Falle einer Anfechtung nachzuweisen.
Bei Datenschutzdokumenten ist dies einfach und unkompliziert. Einige der in der DSGVO festgelegten Regeln für die Datenschutzdokumentation gelten für eine Vielzahl von Unternehmen.
Zu den wichtigsten Rechenschafts- und Dokumentationspflichten gehören Vorlagen für die Datenschutzdokumentation.
Die allgemeine Rechenschaftspflicht und die Pflicht zur Offenlegung von Beweisen (Artikel 5 Absatz 2, Artikel 24 DSGVO) müssen von der verantwortlichen Person des Unternehmens umgesetzt werden. Rechenschaftspflicht bedeutet, dass die Einhaltung der DSGVO nachgewiesen werden kann.
Die folgenden Punkte sind für Unternehmen sehr wichtig:
Eine Dokumentation der Löschungen ist nicht erforderlich, aber sinnvoll, wenn Dritte, ehemalige Mitarbeiter oder Verbraucher von ihrem Recht auf Vergessenwerden Gebrauch machen (gem. Art. 17 DSGVO). Außerdem sollten Unternehmen mit vielen Standorten in verschiedenen Ländern sicherstellen, dass die internen Datenschutzanforderungen jederzeit eingehalten werden (gemäß Art. 47 Abs. 1, 2 DSGVO).
Ein klares Datenschutzmanagement garantiert, dass alle entwickelten Unterlagen an einem Ort zugänglich sind. Wenn die Aufsichtsbehörde beispielsweise anklopft, um zu sehen, ob die DSGVO-Standards eingehalten werden, haben die Unternehmen alle Beweise an einem Ort. Ein gut organisiertes Unternehmen hat einen direkten positiven Einfluss auf die Zusammenarbeit mit den Aufsichtsbehörden. Allerdings müssen nur die Nachweise vorgelegt werden, die ausdrücklich angefordert werden, und nicht alle.
Konsequenzen: Was passiert, wenn diese Pflichten nicht eingehalten werden?
Unternehmen sollten sich nach bestem Wissen und Gewissen an die Dokumentationspflicht der Datenschutz-Grundverordnung halten, denn die Nichteinhaltung kann schwerwiegende Konsequenzen nach sich ziehen. Die Bandbreite der Folgen ist groß und reicht von einer Verwarnung bis zu einer siebenstelligen Geldstrafe (bis zu 20 Millionen Euro gemäß Art. 84 Abs. 5 Buchstabe a) DSGVO).
Im Zweifelsfall sollte frühzeitig ein externer Datenschutzexperte hinzugezogen werden, um nicht aus Unwissenheit Schaden im eigenen Unternehmen anzurichten. Der Einsatz einer geeigneten Software ist der einfachste Weg, den Datenschutz zu dokumentieren. Denn ob die Datenschutzdokumentationspflicht online oder offline erfüllt wird, bleibt dem Unternehmen überlassen.