Beim Datenschutz ist die Dokumentation von großer Bedeutung. Die Dokumente sind ein wichtiger Bestandteil des Datenschutzkonzepts und dienen als Nachweise zur Rechenschaftspflicht der Verantwortlichen Stelle. Unternehmen unterliegen der Verpflichtung, eine Dokumentation zu erstellen und diese griffbereit zu haben - auch um für Datenschutzkontrollen gewappnet zu sein.
Datenschutz professionell dokumentiert
Ohne angemessene Dokumentation ist der Datenschutz lückenhaft. Wir unterstützen Unternehmen bei der Erstellung und Pflege aller notwendigen Datenschutzdokumente.
Notwendigkeit der Dokumentation
Das Spektrum an Datenschutzdokumenten ist breit gefächert. Welche einzelnen Dokumente ein Unternehmen nachweisen muss, ist von der individuellen Datenschutzsituation abhängig.
Gleich aus zwei Gründen kommt der Dokumentation eine große Bedeutung zu:
- Datenschutzkontrollen
Anhand der Dokumentation können die Sachbearbeiter der zuständigen Aufsichtsbehörde gut nachvollziehen, ob und wie der Datenschutz in einer Organisation gelebt wird. - Internes Nachschlagewerk
Stakeholder, wie z.B. der Datenschutzbeauftragte oder Verantwortliche aus den Fachabteilungen, finden in der Dokumentation präzise Antworten auf zahlreiche ihrer Fragen.
Sollte die Dokumentation unvollständig sein, könnte dies gemäß DSGVO als Datenschutzverstoß gewertet werden und sogar zur Verhängung eines Bußgeldes führen. Deshalb ist es entscheidend, dass alle notwendigen Dokumente existieren und sich auf dem aktuellen Stand befinden.
Welche wesentlichen Dokumente gibt es für den Datenschutz?
Es folgt eine Übersicht der am häufigsten erstellten Dokumente und Nachweise.
- Verzeichnis von Verarbeitungstätigkeiten
Eine interne Auflistung aller automatisierten Verarbeitungstätigkeiten personenbezogener Daten, die sowohl vom Verantwortlichen als auch vom Auftragsverarbeiter zu führen ist (Art. 30 DSGVO). Das Verzeichnis ist zentraler Bestandteil einer strukturierten Datenschutzdokumentation und besonders für Datenschutz-Kontrollen ein wichtiges Instrument. Es ist auf Verlangen der Aufsichtsbehörde vorzulegen. - Datenschutzkonzept/-richtlinie
Ein umfassendes Dokument, das als Zusammenfassung über alle Maßnahmen des Datenschutzes und über die Rechtmäßigkeit der jeweiligen Datenverarbeitungen informiert. Es nimmt eine zentrale Rolle im Datenschutzmanagement ein. - Prozess und Nachweis zur Durchführung von Datenschutzfolgeabschätzungen
Eine vorhergehende dokumentierte Prüfung beabsichtigter Datenverarbeitungen, die ein hohes Risiko für die bürgerlichen Freiheitsrechte zur Folge haben können, insbesondere beim Einsatz neuer Technologien oder großer Datenmengen. - Datenschutzhinweise
Informieren darüber, in welchem Rahmen eine Datenverarbeitung stattfindet, d.h. wie die Daten erhoben und verarbeitet werden. Entsprechende Datenschutz Dokumente sind nicht nur auf Webseiten zu finden, sondern häufig auch Bestandteil von Vertriebs- und Vertragsunterlagen. - Relevante Betriebsvereinbarungen
Werden mit Mitarbeitern – z.B. als Bestandteil von Arbeitsverträgen – getroffen, um sicherzustellen, dass die Verarbeitung von personenbezogenen Mitarbeiterdaten rechtmäßig erfolgt. Ergänzend können weitere Vereinbarungen getroffen werden, die beispielsweise nur Mitarbeiter einer bestimmten Abteilung zu unterzeichnen haben. - Verpflichtung auf die Vertraulichkeit
Mitarbeiter, die im Rahmen ihrer Tätigkeit personenbezogene Daten verarbeiten, sollten auf Verschwiegenheit verpflichtet werden. Dies geschieht, indem sie eine Vertraulichkeitsvereinbarung unterzeichnen. - Vereinbarungen zur Auftragsverarbeitung
Es gibt Unternehmen, die personenbezogene Daten von externen Partnern verarbeiten lassen. Auftragsverarbeitungen sind vertraglich zu regeln. Das Vertragswerk legt die Rechte und Pflichten beider Parteien (Auftraggeber und Auftragsverarbeiter) fest. - Dokumentation technisch-organisatorischer Maßnahmen (TOM)
Dokumentation von Maßnahmen, die den Schutz der Verarbeitung personenbezogener Daten gewährleisten sollen.
Verantwortung der Dokumentation
Angesichts der vielen Arten von Dokumenten muss die Verantwortlichkeit nicht zwangsläufig bei nur einer Person liegen. Schlussendlich kommt es darauf an, welche Regelung im Unternehmen getroffen wird. Die Erstellung obliegt auch nicht ausschließlich dem Datenschutzbeauftragten – er hat lediglich sicherzustellen, dass alle erforderlichen Dokumente existieren. Dementsprechend ist es möglich, dass er die Erstellung der Datenschutz Dokumentation koordiniert und zugleich Verantwortliche innerhalb der Organisation bestimmt.
In der Praxis ist der Datenschutzbeauftragte bei der Erstellung von Datenschutz Dokumenten zumeist intensiv eingebunden. Zahlreiche Dokumente erstellt er selbst oder arbeitet eng mit den Mitarbeitern der Fachabteilungen zusammen. Letztere haben dann dafür Sorge zu tragen, dass die Mitglieder ihrer Abteilungen die erforderlichen Dokumente zur Hand haben oder gar unterzeichnen. Zudem ist es in bestimmten Bereichen empfehlenswert, auch die Geschäftsführung einzubeziehen, um Auswirkungen des Datenschutzes auf geschäftliche Prozesse frühzeitig zu erkennen.
Was sollte im Datenschutzkonzept stehen?
Zunächst ist anzumerken, dass der Begriff „Datenschutzkonzept“ nicht das Gesamtkonzept meint, welches den vollständigen Datenschutz innerhalb des Unternehmens regelt. Vielmehr handelt es sich hierbei um eines von mehreren bedeutsamen Dokumenten. Wie zuvor erläutert, informiert es über die Rechtmäßigkeit der Verarbeitung von personenbezogenen Daten innerhalb der jeweiligen Organisation.
Beim eigentlichen Gesamtkonzept (am besten auf einem Datenschutz-Managementsystem basierend) ist die Ausgestaltung essentiell. Das Konzept muss optimal auf die individuelle Situation abgestimmt sein – nur so lässt sich eine vollständige Absicherung entwickeln. Folglich empfiehlt es sich nicht, sich im Internet auf die Suche nach solchen Konzepten zu begeben und zu versuchen, diese zu kopieren.
Für professionelles und rechtssicheres Handeln, sollten zunächst die relevanten Bereiche im Unternehmen identifiziert werden, um darauf basierend ein maßgeschneidertes Konzept zum Datenschutz zu entwickeln.
Wir unterstützen Sie bei Erstellung und Pflege Ihrer Datenschutz-Dokumente
Ob Verzeichnis von Verarbeitungstätigkeiten, Datenschutzkonzept oder Vereinbarungen zur Auftragsverarbeitung, einige Datenschutzdokumente sind unverzichtbar. Sie müssen griffbereit vorliegen, um die datenschutzrechtlichen Vorgaben der DSGVO zu erfüllen.
Es spielt keine Rolle, ob Sie beim Datenschutz ganz am Anfang stehen und eine vollständige Dokumentation erarbeiten möchten oder ob Fachfragen zu konkreten Dokumenten bestehen. Gerne stehen wir Ihnen bei der Dokumentation Ihres Datenschutzes zur Seite.
Vereinbaren Sie ein Gespräch zur kostenlosen Erstberatung. Wir erläutern gerne, wie unser Team Sie beim Aufbau und der Pflege Ihrer Dokumente im Datenschutz unterstützen kann und welche Vorteile sich daraus für Ihr Unternehmen ergeben. Wir freuen uns auf Ihre Anfrage.
Nehmen Sie Kontakt auf
Für Ihre Fragen rund um Datenschutz und Informationssicherheit stehen wir Ihnen gern zur Verfügung. Sie erreichen uns unter 0800-5600831 (gebührenfrei) oder über unser Kontaktformular.
– André Beaujean, Vertrieb Mein-Datenschutzbeauftragter.de