Datenschutz-Dokumentation: Warum ein DSGVO-konformes Verhalten allein nicht vor Strafe schützt

2.1.19 - Datenschutzkonformes Verhalten in Ihrem Unternehmen ist wichtig. Der Gesetzgeber verlangt aber darüber hinaus von Ihnen, diese Praxis auf eine bestimmte Art und Weise zu dokumentieren. Wir geben Ihnen Tipps, wie das rechtssicher und zeitsparend gelingt.

Welche Herausforderungen gibt es bei der Dokumentation des Datenschutzes?

Es ist für Unternehmen schwer genug, Datenschutz in der Praxis zu etablieren. Vielfältige Anforderungen kommen auf die Geschäftsführung und die Mitarbeiter nicht nur einmalig, sondern fortlaufend zu: Nur um ein paar Beispiele zu nennen, ist etwa ein vollständiges Verzeichnis der Verarbeitungstätigkeiten zu erstellen und aktuell zu halten. Auftragsverarbeitungsvereinbarungen sind abzuschließen und zu überwachen. Technische und organisatorische Maßnahmen (TOM) zur Einhaltung von Mindestanforderungen müssen umgesetzt und immer wieder aktualisiert werden. Ihre Mitarbeiter sind hinsichtlich des Themas Datenschutz zu schulen – und zwar regelmäßig.

Ohne die richtige Dokumentation lässt sich Compliance nicht nachweisen

Wenn Sie sich in Ihrem Unternehmen bereits um alle Aspekte so kümmern, wie es der Gesetzgeber vorschreibt, machen Sie bereits vieles richtig. Ein datenschutzkonformes Verhalten in der unternehmerischen Praxis allein reicht jedoch nicht aus, denn die Umsetzung des Datenschutzes muss auch nachvollziehbar sein.
Ist die Datenschutzbehörde zur Prüfung bei Ihnen, müssen Sie zum einen nachweisen können, dass Sie die Anforderungen des Datenschutzes in konkreten Fällen erfüllen. Sie müssen allerdings ebenso belegen, dass diese Anforderungen laufend in der Unternehmenspraxis berücksichtigt wurden und immer noch werden. Sie sind also verpflichtet, den Anforderungen nicht nur punktuell, sondern strukturell zu genügen (so genannte „Rechenschaftspflicht“). All das ist von Ihnen so zu dokumentieren, dass es sich gegenüber der Datenschutzbehörde auch nachweisen lässt. Doch wie gelingt diese Dokumentation in der Praxis? Mit folgenden Tipps entgehen Sie verbreiteten Fallstricken und kommen Ihren Dokumentationspflichten so zeitsparend wie rechtssicher nach:

  • Speichern sie Alles an einem Ort! Wählen Sie einen zentralen Speicherort, an welchem Sie alle datenschutzrelevanten Dokumente verwahren. Bauen Sie keine komplizierte Speicherstruktur auf, bei der Sie auf verschiedene Speicherorte zurückgreifen. Und aufgepasst: Ähnlich den „Grundsätzen zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff“ (GoBD) sollte auch Ihre datenschutzrelevanten Dokumente wie Ihr Verzeichnis der Verarbeitungstätigkeiten dokumentiert werden. Wählen Sie als Speicherort also z.B. nicht die eigene PC- Festplatte, sondern nutzen sie hierfür Systeme, die eine versionierte Ablage ermöglichen. Doch auch die verschiedenen Versionen speichern Sie am besten an einem zentralen Ablageort. Das könnte z.B. innerhalb Ihres CRMs möglich sein. Auch einige Datenschutz-Management-Systeme stellen das sicher.
  • Bewahren Sie ältere Versionen auf! Ältere Versionen eines Dokumentes sollten Sie sicher verwahren. Denn nur so können Sie auch rückwirkend datenschutzrechtlich relevante Dokumente zur Prüfung durch Behörden vorlegen. Aber Vorsicht: Eine revisionssichere Speicherung der datenschutzrelevanten Dokumente, welche die verschiedenen Versionen übersichtlich zugänglich macht, ist ohne die Hilfe von Datenschutz-Management-Systemen in der Praxis kaum zu stemmen.
  • Dokumentieren Sie Schulungsmaßnahmen! Dokumente wie z.B. das Verzeichnis der Verarbeitungstätigkeit, das TOM oder Vereinbarungen zur Auftragsdatenverarbeitung haben die meisten Verantwortlichen auf dem Schirm. Aber achten Sie ebenso darauf, dass Sie die Durchführung von Datenschutzschulungen dokumentieren. Es empfiehlt sich eine Übersicht der einzelnen Schulungen anzulegen. Zudem sollte Sie für jeden Mitarbeiter je Schulung ein Teilnahmezertifikate ausstellen und diese ebenfalls geordnet ablegen.
  • Sichern Sie die Kommunikation! Wenn sich unternehmensfremde Personen an Sie wenden und die Auskunft oder Löschung ihrer Daten fordern, müssen Sie diesem Wunsch selbstverständlich nachkommen. Dies allein genügt jedoch nicht. Dokumentieren Sie die Kommunikation mit Dritten und gegebenenfalls auch den Löschungsvorgang. Im Idealfall bietet Ihr CRM-System bereits die Möglichkeit, den Austausch mit Dritten zu dokumentieren.
  • Behalten Sie neue Systeme im Blick! Wenn Sie neue Systeme, egal welcher Art, in Ihrem Unternehmen einführen, sollten Sie immer genau dokumentieren, wann und wie die Umstellung stattfand. Gibt es ein festes Datum, ab welchem das neue System ein altes ablöst? Oder findet die Umstellung sukzessive statt? Ist letzteres der Fall, sollte aus Ihrer Dokumentation auch klar hervorgehen, in welchen Etappen die Umstellung stattfand und wann die Umstellung komplett abgeschlossen ist.

Fazit

Den Anforderungen im Datenschutz in der unternehmerischen Praxis ebenso wie in der Dokumentation gerecht zu werden, ist eine Herausforderungen für alle Beteiligten. Wir hoffen, unsere Tipps helfen Ihnen dabei, dass Ihnen eine rechtssichere Dokumentation gelingt. Wenn Sie es gerne übersichtlich haben, Zeit sparen möchten und sich eine revisionssicheren, versionierte Dokumentation Ihrer Prozesse und Unterlagen wünschen, dann empfehlen wir Ihnen die Nutzung einer geeigneten Datenschutz-Management-Software. Mit unserem Compliance-Kit bieten wir Ihnen genau das. Neben einem übersichtlichen, versionierten Dokumenten-Management hilft Ihnen die Software mit zahlreichen weiteren nützlichen Features: So ist z.B. eine umfangreiche, webbasierte Datenschutz-Schulungs-Plattform angeschlossen, mit Hilfe derer alle Ihre Mitarbeiter (ebenfalls revisionssicher) geschult werden können – Teilnahmezertifikat inklusive.

JETZT INFORMIEREN

Sebastian Kraska Var2

Über den Autor - Rechtsanwalt Dr. Sebastian Kraska

Herr Dr. Sebastian Kraska gründete die IITR Datenschutz GmbH, die auf den Bereich des betrieblichen Datenschutzes spezialisiert ist und als Anbieter von Datenschutz-Management-Systemen mehr als 2.500 Unternehmen bei der Bewältigung datenschutzrechtlicher Anforderungen unterstützt.

Herr Dr. Kraska selbst ist als Rechtsanwalt ausschließlich im Datenschutzrecht sowie gemeinsam mit Regionalpartnern als externer Datenschutzbeauftragter tätig und betreut dabei Unternehmen und Behörden. Er ist zudem Beirat der Zeitschrift ZD des Beck-Verlages.

Jetzt beraten lassen

Rückrufservice

 

Beratung vereinbaren