Dokumentationspflichten unter der DSGVO

Fachbeitrag

Verantwortliche werden unter der Datenschutz-Grundverordnung (DSGVO) mit einem Dickicht an Vorgaben zu Dokumentations- und Rechenschaftspflichten konfrontiert. Wir beleuchten, welche wesentlichen Aspekte im Blick zu behalten sind.

Rechenschaftspflichten als Teil der Datenschutzorganisation

In Art. 5 Abs. 2 DSGVO wird der Grundsatz der „Rechenschaftspflicht“ definiert. Hiernach gilt, dass Verantwortliche für die Einhaltung bestimmter Datenschutzgrundsätze (aus Art. 5 Abs.1 DSGVO) verantwortlich sind und deren Einhaltung nachweisen (können) müssen. Art. 24 Abs.1 DSGVO greift diese Pflicht auf, indem weiter präzisiert wird, dass Verantwortliche in der Pflicht stehen, den Nachweis dafür zu erbringen, dass die Datenverarbeitung DSGVO-gemäß erfolgt.

Verantwortliche und Auftragsverarbeiter stehen damit in der Pflicht, im Zweifel die Rechtmäßigkeit der Datenverarbeitung nachzuweisen. Dies können sie jedoch nur, indem sie ihren Rechenschafts- und Nachweispflichten hinreichend nachkommen.

Wie weit die allgemeinen Rechenschafts- und Nachweispflichten gehen, ist im Einzelnen umstritten, da es hier keine festen Grenzen gibt. Klar ist jedoch auch, dass großer Ehrgeiz bei der Dokumentation aller datenschutzrelevanten Vorgänge auch zu einem hohen Dokumentations- bzw. Verwaltungsaufwand führt. Im schlimmsten Fall hemmt oder verhindert dieser Geschäftsprozesse und zukünftige Vorhaben, da sie mit einem Wust an Bürokratie einhergehen dürften.

Neben den allgemeinen Rechenschafts- und Nachweispflichten aus Art. 5 Abs. 2, 24 DSGVO enthält die DSGVO zahlreiche eigenständige Dokumentationspflichten. Zu der wohl bekanntesten Dokumentationspflicht gehört die Pflicht zur Führung von Verarbeitungsverzeichnissen nach Art. 30 DSGVO.

Die Erfüllung der Rechenschaftspflichten ist ohne eine effektive Datenschutzorganisation kaum denkbar: Was hilft es Auftragsverarbeitungsverträge zu Nachweiszwecken abzulegen, wenn niemand mehr sagen kann, wer dafür zuständig ist und wo genau die Verträge überhaupt abgelegt wurden. In der Praxis gehen Datenschutzorganisation und lückenlose Dokumentation Hand in Hand.

Bußgelder und Schadensersatz aufgrund fehlender Dokumentation

Der Verstoß gegen Rechenschaftspflichten durch mangelnde Dokumentation bleibt auf Dauer nicht folgenlos.

Gem. Art. 31 DSGVO werden Verantwortliche und Auftragsverarbeiter verpflichtet, auf Anfrage mit der Aufsichtsbehörde bei der Erfüllung ihrer Aufgaben zusammenzuarbeiten und gem. Art. 58 Abs.1 lit. a) und e) DSGVO alle Informationen bereitzustellen, die für die Erfüllung ihrer Aufgaben erforderlich sind. Kommt man solchen aufsichtsbehördlichen Aufforderungen nicht nach, weil man keinerlei Dokumentation zu den zugrundeliegenden Verarbeitungsvorgängen hat, kann die nicht ausreichende oder gänzlich ausgebliebene Informationserteilung bußgeldbewährt sein (bei Verstößen gegen Art. 31 DSGVO nach Art. 83 Abs. 4 DSGVO und bei Verstößen gegen Art. 58 Abs.1 lit. a) und e) DSGVO nach Art. 83 Abs. 5 DSGVO). Aus diesem Umstand kann sich für Betroffene unter Umständen auch eine prekäre Situation ergeben, welche wir im Beitrag Selbstbelastungsfreiheit vs. Mitwirkungspflicht beim Datenschutzverstoß näher beleuchtet haben.

Andere Verstöße gegen Dokumentationspflichten, wie etwa aus Art. 30 DSGVO (Erstellung von Verarbeitungsverzeichnissen) oder Art. 33 Abs. 5 DSGVO (Dokumentation eines Datenschutzvorfalls), können sogar direkt bußgeldbewährt sein (vgl. Art. 83 Abs. 4 lit. a) DSGVO).

Darüber hinaus kann eine lückenhafte Dokumentation der Datenverarbeitung ein Einfallstor für eine erfolgreiche Schadensersatzklage aufgrund eines materiellen oder immateriellen Schadens durch einen DSGVO-Verstoß sein.

Gem. Art. 82 Abs. 3 DSGVO muss der Verantwortliche oder Auftragsverarbeiter den Nachweis fehlenden Verschuldens führen. Eine fehlende Dokumentation wird dies unmöglich machen. Kann der Verantwortliche, etwa durch hinreichende Dokumentation nachweisen, dass er sämtliche Sicherheitsmaßnahmen definiert und auch eingesetzt hat (Art. 32 DSGVO) und kam es dennoch zu einem unbefugten Datenzugriff, wird es hingegen an einem Verschulden fehlen.

Die Nachweispflichten im Einzelnen

Im Folgenden sollen die wichtigsten Dokumentationspflichten aufgeführt werden, um die Rechtmäßigkeit der Verarbeitung gegenüber Betroffenen und Aufsichtsbehörden sicherstellen und nachweisen zu können. Diese Auflistung erhebt keinen Anspruch auf Vollständigkeit, sondern soll eine Übersicht verschaffen, welche Dokumentationen unbedingt vorhanden und abrufbar sein sollten. Die Dokumentation sollte in einer Ordnerstruktur oder in einer Datenschutzmanagement-Software abgelegt werden. Mittlerweile gibt es dafür eine Vielzahl von Anbietern auf dem Markt.

Verarbeitungsverzeichnis anfertigen

Eine ganz wesentliche Dokumentationspflicht mit der hoffentlich schon alle Unternehmen in Berührung gekommen sind, ergibt sich aus Art. 30 DSGVO: Die Pflicht zur Erstellung von Verarbeitungsverzeichnissen. Abs. 1 enthält die Dokumentationsvorgaben für Verantwortliche und aus Abs. 2 ergeben sich die Dokumentationsvorgaben für Auftragsverarbeiter. Der Inhalt ist gesetzlich in Art. 30 Abs. 2 DSGVO vorgegeben.

Der DSK hat eine Ausfüllhilfe, sowie Muster für Verantwortliche und für Auftragsverarbeiter veröffentlicht. Wenn möglich, sollte im Rahmen der Erstellung der Verarbeitungsverzeichnisse auch eine allgemeine Beschreibung der technisch- und organisatorischer Maßnahmen stattfinden (Art. 30 Abs. 1 lit. g) DSGVO).

Zwar ist dies in Art. 30 DSGVO nicht explizit normiert, jedoch sollte der Verantwortliche, soweit eine Datenverarbeitung auf das berechtigte Interesse gem. Art. 6 Abs.1 lit.f) DSGVO gestützt wird, die erforderliche Interessenabwägung in irgendeiner Form dokumentieren (vgl. hierzu Art. 13 Abs. 1 lit. d) DSGVO). Hier bietet es sich an, die Abwägung für solche Datenverarbeitungen im dazu passenden Verarbeitungsverzeichnis zu dokumentieren.

Dokumentation von Datenpannen

Es sollte ein fester Meldeprozess definiert werden, wie im Fall einer Datenpanne die Meldung gegenüber der Aufsichtsbehörde gem. Art. 33 DSGVO und ggf. Mitteilung gegenüber den Betroffenen nach Art. 34 DSGVO umgesetzt werden kann.

Die DSGVO nimmt die Verantwortlichen hinsichtlich erforderlicher Dokumentationen jedoch noch weiter in die Pflicht. Gem. Art. 33 Abs. 5 DSGVO muss der Verantwortliche die Verletzungen des Schutzes personenbezogener Daten einschließlich aller im Zusammenhang mit der Verletzung des Schutzes personenbezogener Daten stehenden Fakten, von deren Auswirkungen und der ergriffenen Abhilfemaßnahmen, dokumentieren. Nach Art. 33 Abs. 5 S. 2 DSGVO soll diese Dokumentation der Aufsichtsbehörde die Überprüfung der Einhaltung der Bestimmungen des Art. 33 DSGVO ermöglichen.

Wird die Entscheidung getroffen, bei einer Datenschutzverletzung keine Meldung an die Aufsichtsbehörde zu tätigen, sind die Gründe für den Verzicht der Meldung ebenfalls zu dokumentieren.

Datenschutz-Folgenabschätzungen bzw. sonstige Risikoabschätzungen

Neben der Pflicht zur Dokumentation durch Erstellung von Verarbeitungsverzeichnissen, ist die Erstellung von Datenschutz-Folgenabschätzungen (DSFA) der zweite große Bereich, in dem die DSGVO eine zwingende Dokumentation vorschreibt. Zumindest soweit denn eine DSFA durchgeführt werden muss. Dies folgt aus Erwägungsgrund 90 der DSGVO. Demnach dient die DSFA dazu, die Einhaltung der DSGVO nachweisen zu können, womit die DSFA dem gesetzgeberischen Willen nach auch den Dokumentationszwecken dient.

Zur Erstellung einer DSFA eignet sich das Tool „PIA“ (Privacy Impact Assessment) der französischen Aufsichtsbehörde CNIL, das von ihr frei zur Verfügung gestellt wird. Wird keine DSFA durchgeführt, sind die Gründe hierfür ebenfalls zu dokumentieren. Generell sollten alle Risikoabschätzungen dokumentiert werden.

Datenschutzrichtlinie / Datenschutz-Policy

Die DSGVO fordert zwar nicht explizit das Vorhandensein einer unternehmensweiten Datenschutzrichtlinie, jedoch wird ein effektives Datenschutzmanagement-System ohne eine dokumentierte, und für Mitarbeiter abrufbare Datenschutzrichtlinie, die eine Orientierung über unternehmensinterne Verfahren und Prozesse gibt, nur schwer umzusetzen sein. In der Datenschutzrichtlinie können die unternehmensweiten Datenschutzgrundsätze, zu denen sich das Unternehmen verpflichtet, sowie wichtige Regelungen zur Umsetzung von Betroffenenrechten und dem Verhalten bei Datenpannen definiert werden.

Vertragsmanagement / Auftragsverarbeitung

Die Mehrzahl der Datenverarbeitungen eines Unternehmens werden auf Verträgen beruhen (Art. 6 Abs.1 lit. b DSGVO). Schon wegen der allgemeinen Rechenschaftspflicht gem. Art. 5 Abs. 2 DSGVO, wonach der Verantwortliche im Zweifel Rechenschaft darüber ablegen muss, dass durchgeführte Datenverarbeitungen rechtmäßig sind, gebietet es sich, geschlossene Verträge zu dokumentieren und sicher aufzubewahren. Dies gilt besonders für Auftragsverarbeitungsverträge gem. Art. 28 DSGVO.

Löschkonzept

Auch ist es mit Blick auf die Löschpflicht des Verantwortlichen gem. Art. 17 DSGVO erforderlich, ein Löschkonzept verfügbar zu halten, aus welchem sich zumindest die Grundsätze der im Unternehmen praktizierten Löschungsroutinen widerspiegeln.

intersoft consulting services AG

Als Experten für Datenschutz, IT-Sicherheit und IT-Forensik beraten wir deutschlandweit Unternehmen. Informieren Sie sich hier über unser Leistungsspektrum:

Externer Datenschutzbeauftragter

2 Kommentare zu diesem Beitrag

  1. Müssen auf Datenschutz-Folgenabschäzungen für alte Verfahren gemacht werden? Wie weit muss man bzw sollte man zurückgehen?
    Besten Dank!

    • Die DSFA sollte auch für bestehende Verarbeitungen (nachträglich) durchgeführt werden, soweit durch eine zu einem früheren Zeitpunkt eingeführte Verarbeitung ein hohes Risiko für die Betroffenen begründet. Aufgrund des risikobasierten Ansatzes der DSGVO wird es keine Rolle spielen, wie lange die Einführung der risikoreichen Datenverarbeitung her ist.

      Die Art.29-Datenschutzgruppe geht im überarbeiteten Working-Paper 248 vom 04.10.2017 ebenfalls davon aus, dass die DSFA nicht nur für die Einführung von Verarbeitungen nach der Anwendbarkeit der DSGVO (also ab dem 25.05.2018) gilt.

      Die Aufsichtsbehörden orientieren sich gerne an den Empfehlungen der Art. 29-Datenschutzgruppe, da es sich hierbei um ein unabhängiges Beratungsgremium der Europäischen Kommission in Fragen des Datenschutzes handelt.

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.