INFORMATIONEN

Ein Überblick über die wichtigsten Dokumentations- und Rechenschaftspflichten der DSGVO

Die Datenschutz-Grundverordnung (DSGVO) bietet eine Reihe von Instrumenten, die Unternehmen intern einsetzen können, um die Datensicherheit zu gewährleisten. Es ist auch vorgesehen, diese Maßnahmen zu dokumentieren. Aber wo finde ich eine Datenschutzdokumentation?

Wenn personenbezogene Daten von Dritten (Bewerbern, Kunden, Arbeitnehmern oder Partnern) verarbeitet werden, d. h. erhoben, gespeichert oder weiterverarbeitet werden, muss der Verarbeiter, in diesem Fall das Unternehmen, in der Lage sein, die Rechtmäßigkeit der Verarbeitung im Falle einer Anfechtung nachzuweisen.

Bei Datenschutzdokumenten ist dies einfach und unkompliziert. Einige der in der DSGVO festgelegten Regeln für die Datenschutzdokumentation gelten für eine Vielzahl von Unternehmen.

Zu den wichtigsten Rechenschafts- und Dokumentationspflichten gehören Vorlagen für die Datenschutzdokumentation.

Die allgemeine Rechenschaftspflicht und die Pflicht zur Offenlegung von Beweisen (Artikel 5 Absatz 2, Artikel 24 DSGVO) müssen von der verantwortlichen Person des Unternehmens umgesetzt werden. Rechenschaftspflicht bedeutet, dass die Einhaltung der DSGVO nachgewiesen werden kann.

Die folgenden Punkte sind für Unternehmen sehr wichtig:

  • Pflicht zur Aufbewahrung von Verarbeitungsverzeichnissen (Artikel 30 DSGVO): Wenn personenbezogene Daten Dritter verarbeitet werden, muss ein Verzeichnis der Verarbeitungstätigkeiten geführt werden.
  • Ein Vertrag zur Datenverarbeitung: Wenn Organisationen personenbezogene Daten zur Verarbeitung an Dritte weitergeben, muss mit dem Dritten ein Vertrag zur Sicherung der personenbezogenen Daten abgeschlossen werden.
  • Technische und organisatorische Maßnahmen (TOM): TOM konzentriert sich auf die technischen Voreinstellungen, um einen effektiven Datenschutz im Unternehmen zu gewährleisten. Von geregelten Zugangskontrollen zum Bürogebäude bis hin zur Pseudonymisierung und Verschlüsselung personenbezogener Daten decken die technischen und organisatorischen Maßnahmen ein breites Spektrum an Themen ab.
  • Bei der Verarbeitung hochsensibler Daten müssen das Risiko und die Auswirkungen auf die betroffenen Personen zunächst vom Verantwortlichen bewertet und dokumentiert werden. Alles, was bei einer Datenschutzfolgenabschätzung beachtet werden muss, um die Datenschutzdokumentationspflicht zu erfüllen, finden Sie hier.
  • Benachrichtigung des Datenschutzbeauftragten: Die Bestellung eines (externen) Datenschutzbeauftragten durch ein Unternehmen muss schriftlich erfolgen und der Aufsichtsbehörde so schnell wie möglich gemeldet werden.
  • Nachweise für die Schulung des Personals: Sowohl neue als auch bestehende Mitarbeiter müssen regelmäßig in Sachen Datenschutz geschult werden. Dadurch werden Verstöße gegen die Datensicherheit vermieden und die Mitarbeiter für potenzielle Bedrohungen sensibilisiert.
  • Dokumentation einer Datenschutzverletzung (Artikel 33 Absatz 5 DSGVO): Wenn die Organisation eine Verletzung der Datensicherheit erleidet, muss dies innerhalb von 72 Stunden gemeldet werden. Dabei spielt es keine Rolle, ob es sich um einen in der U-Bahn vergessenen Laptop oder ein kompromittiertes Geschäftskonto handelt. Darüber hinaus nehmen Aufsichtsbehörden wahr, wenn Organisationen schnell auf Datensicherheitsprobleme reagieren.
  • Eine Dokumentation der Löschungen ist nicht erforderlich, aber sinnvoll, wenn Dritte, ehemalige Mitarbeiter oder Verbraucher von ihrem Recht auf Vergessenwerden Gebrauch machen (gem. Art. 17 DSGVO). Außerdem sollten Unternehmen mit vielen Standorten in verschiedenen Ländern sicherstellen, dass die internen Datenschutzanforderungen jederzeit eingehalten werden (gemäß Art. 47 Abs. 1, 2 DSGVO).

    Ein klares Datenschutzmanagement garantiert, dass alle entwickelten Unterlagen an einem Ort zugänglich sind. Wenn die Aufsichtsbehörde beispielsweise anklopft, um zu sehen, ob die DSGVO-Standards eingehalten werden, haben die Unternehmen alle Beweise an einem Ort. Ein gut organisiertes Unternehmen hat einen direkten positiven Einfluss auf die Zusammenarbeit mit den Aufsichtsbehörden. Allerdings müssen nur die Nachweise vorgelegt werden, die ausdrücklich angefordert werden, und nicht alle.

    Konsequenzen: Was passiert, wenn diese Pflichten nicht eingehalten werden?

    Unternehmen sollten sich nach bestem Wissen und Gewissen an die Dokumentationspflicht der Datenschutz-Grundverordnung halten, denn die Nichteinhaltung kann schwerwiegende Konsequenzen nach sich ziehen. Die Bandbreite der Folgen ist groß und reicht von einer Verwarnung bis zu einer siebenstelligen Geldstrafe (bis zu 20 Millionen Euro gemäß Art. 84 Abs. 5 Buchstabe a) DSGVO).

    Im Zweifelsfall sollte frühzeitig ein externer Datenschutzexperte hinzugezogen werden, um nicht aus Unwissenheit Schaden im eigenen Unternehmen anzurichten. Der Einsatz einer geeigneten Software ist der einfachste Weg, den Datenschutz zu dokumentieren. Denn ob die Datenschutzdokumentationspflicht online oder offline erfüllt wird, bleibt dem Unternehmen überlassen.