Datenschutzbeauftragte können ein Lied davon singen, wie herausfordernd es sein kann, den Überblick über die ständigen Veränderungen und Anforderungen im Bereich Datenschutz zu behalten. Auch fast 7 Jahre nach in Kraft treten der Datenschutzgrundverordnung (DSGVO) fühlen sich viele Unternehmen überfordert und wissen nicht, was sie alles dokumentieren müssen – besonders, wenn sie keinen Datenschutzbeauftragten bestellt haben. Die Wahrheit ist nämlich: Datenschutz betrifft alle Unternehmen und die Dokumentationspflichten sind ein zentraler Bestandteil der DSGVO.
Warum Dokumentation überhaupt so wichtig ist
Laut Artikel 5 Absatz 2 der DSGVO gilt das Prinzip der Rechenschaftspflicht. Das bedeutet, dass Unternehmen nicht nur sicherstellen müssen, dass sie datenschutzkonform arbeiten, sondern auch nachweisen können, dass sie dies tun. Und das funktioniert nur durch Dokumentation. Wenn etwas schiefgeht – sei es durch eine Beschwerde, eine Datenschutzverletzung oder eine Kontrolle – sind Unternehmen verpflichtet, darzulegen, welche Maßnahmen sie getroffen haben, um den Datenschutz sicherzustellen. Fehlt diese Dokumentation, wird es schnell problematisch. In der DSGVO gilt die sogenannte Beweislastumkehr, die besagt, dass nicht die Aufsichtsbehörden nachweisen müssen, dass gegen den Datenschutz verstoßen wurde, sondern das Unternehmen nachweisen muss, dass es datenschutzkonform gehandelt hat.
Das Verzeichnis von Verarbeitungstätigkeiten: Das Herzstück der Dokumentation
Das zentrale Element der Dokumentationspflicht nach der DSGVO ist das sogenannte Verzeichnis von Verarbeitungstätigkeiten gemäß Artikel 30 DSGVO. Dieses Verzeichnis ist im Grunde das Rückgrat des unternehmensinternen Datenschutzes, es listet auf, welche personenbezogenen Daten zu welchem Zweck verarbeitet werden, wer Zugriff hat, wie lange die Daten gespeichert werden und welche technischen und organisatorischen Maßnahmen getroffen wurden, um diese Daten zu schützen.
Oft höre ich den Einwand: „Wir sind ein kleines Unternehmen, wir müssen das doch gar nicht führen, wir haben unter 250 Mitarbeitende.“ Doch Vorsicht! Die Ausnahme in Artikel 30 Abs. 5 DSGVO gilt nur, wenn die Datenverarbeitung nicht regelmäßig erfolgt, kein Risiko für die Betroffenen besteht und keine besonderen Datenkategorien betroffen sind.
Und jetzt Hand aufs Herz: Welches Unternehmen verarbeitet nicht regelmäßig personenbezogene Daten? Allein die monatlichen Gehaltsabrechnungen für Beschäftigte bedeuten eine wiederkehrende Verarbeitung sensibler Daten, und zack, ist die Ausnahme dahin. Selbst das klassische Zwei-Personen-Unternehmen kommt hier in der Regel nicht drum herum.
In der Praxis bedeutet das für fast jedes Unternehmen, unabhängig von Größe oder Branche, die Verpflichtung zur vollständigen und jederzeit aktuellen Führung des Verarbeitungsverzeichnisses.
Was müssen Unternehmen dokumentieren?
Die DSGVO stellt klare Anforderungen an die Führung des Verarbeitungsverzeichnisses. Es ist mehr als nur das Auflisten der Verarbeitungstätigkeiten. Unternehmen müssen unter anderem folgende Punkte dokumentieren:
-
- Die Beschreibung der Verarbeitung: Handelt es sich zum Beispiel um die Verarbeitung Buchhaltung oder um das Facilitymanagement? Alleine die Beschreibung gibt schon eine Orientierung über die folgenden Paramater eines Verarbeitungsverzeichnisses.
- Zweck der Datenverarbeitung: Warum werden Daten erhoben und verarbeitet?
- Art der Datenverarbeitung: Werden die personenbezogenen Daten manuell verarbeitet oder mit einer Software, EDV-Anwendung? Wenn ja, was ist das für eine Anwendung oder welches Tool wird genutzt. Gibt es in diesem Zusammenhang Auftragsverarbeiter? Liegen Auftragsverarbeitungsverträge vor und sind die alle rechtmäßig gemäß Art. 28 DSGVO?
- Kategorien der betroffenen Personen und Daten: Welche Arten von Daten werden verarbeitet und wer ist davon betroffen?
- Empfänger der Daten: Wer bekommt Zugang zu den Daten, etwa Dienstleister oder Partnerunternehmen?
- Dauer der Speicherung: Wie lange werden die Daten aufbewahrt?
- Technische und organisatorische Maßnahmen: Welche Sicherheitsvorkehrungen werden getroffen, um die Daten zu schützen?
Das sind die wichtigsten Punkte. Dokumentation bedeutet also nicht nur, dass man Daten aufschreibt, sondern auch, dass der Datenschutz im Unternehmen aktiv und nachvollziehbar gestaltet wird.
Was wollen Aufsichtsbehörden sehen?
Bei einer Beschwerde oder einer Überprüfung durch die Datenschutzaufsichtsbehörden wird besonders auf eines geachtet: Nachweise. Das Verarbeitungsverzeichnis ist genau das Dokument, das Datenschutzaufsichtsbehörden bei einer Prüfung oder Beschwerde einsehen wollen.
Ohne eine ordentliche Dokumentation wird es schwierig, dem Vorwurf der Nichteinhaltung der DSGVO zu entkommen. Aufsichtsbehörden möchten in erster Linie sehen, dass das Unternehmen die Grundsätze des Datenschutzes verstanden hat und Maßnahmen ergriffen hat, um diese umzusetzen. Sie werden vor allem verlangen, dass alle Verarbeitungstätigkeiten detailliert aufgelistet sind und der Umgang mit den personenbezogenen Daten transparent dargestellt wird.
Kommen Bußgelder?
Ja, Bußgelder können verhängt werden, und sie sind nicht ohne. Die DSGVO sieht für Verstöße gegen die Dokumentationspflichten oder die mangelnde Rechenschaftspflicht Bußgelder von bis zu 20 Millionen Euro oder 4 % des weltweit erzielten Jahresumsatzes vor, je nachdem, welcher Betrag höher ist (Artikel 83 DSGVO). Das zeigt, wie ernst es genommen wird, wenn Unternehmen die Dokumentation und Nachweispflichten nicht erfüllen. Auch scheinbar kleinere Verstöße, wie das Nichtvorhandensein eines Verzeichnisses der Verarbeitungstätigkeiten, können teuer werden.
Vorteile: Prozessoptimierung und IT-Sicherheit stärken
Eine ordentliche Dokumentation ist nicht nur eine rechtliche Pflicht, sie bringt auch handfeste Vorteile für die Unternehmensinterne Prozessoptimierung. Wenn alle Verarbeitungsschritte gut dokumentiert sind, lässt sich schnell erkennen, wo Daten unnötig erhoben oder verarbeitet werden. Hierdurch können Prozesse gestrafft und datenschutzfreundlicher gestaltet werden. Zusätzlich trägt eine systematische Dokumentation zur IT-Sicherheit bei: Wenn klar ist, wer Zugang zu welchen Daten hat und welche Sicherheitsmaßnahmen getroffen wurden, kann das Risiko eines Datenverlusts oder -missbrauchs deutlich reduziert werden.
Dokumentation im Datenschutz ist keine optionale Nebensache. Sie ist ein unverzichtbarer Bestandteil einer professionellen, rechtssicheren Datenverarbeitung und verantwortungsvollen, starken Unternehmensführung.