Die Datenschutz-Grundverordnung (DSGVO) betont die Verantwortlichkeit, die Unternehmen (auch „verantwortliche Stellen“ oder „Verantwortliche“ genannt) für die Einhaltung des Datenschutzes haben.
Unternehmen müssen nachweisen können, dass ihre Datenverarbeitung datenschutzkonform ist. Das soll durch umfangreiche Pflichten zur Dokumentation sichergestellt werden. Die Aufzeichnungen dienen als Nachweis gegenüber der Datenschutzaufsicht, bei gerichtlichen Kontrollverfahren oder für eine nachträgliche Information von Betroffenen. Eine erfolgreiche Umsetzung dieser Verpflichtung setzt die Entwicklung, Implementierung und Anwendung eines Datenschutz-Managementsystems voraus. Dabei müssen Verantwortliche eruieren, welche Dokumentationspflichten sie zu beachten haben. Außerdem müssen sie Umfang und Grenzen dieser Pflichten kennen und Prozesse einführen, die deren Einhaltung sicherstellen.
Die DSGVO kennt im Wesentlichen folgende Dokumentationspflichten:
- Art. 5 Abs. 2, Art. 24 Abs. 1 | Rechenschaftspflicht
- Art. 6 | Interessenabwägung, Zweckänderung
- Art. 7 | erteilte Einwilligungen
- Art. 8 | Einwilligung bei Kindern – Pflicht zur Altersverifikation
- Art. 12 ff. | Betroffenenrechte
- Art. 13, 14 | Erfüllung der Informationspflichten
- Art. 15 | Erfüllung der Auskunftsersuchen
- Art. 16 | Erfüllung des Rechts auf Berichtigung
- Art. 17 | Erfüllung des Rechts auf Löschung
- Art. 18 | Erfüllung des Rechts auf Einschränkung der Verarbeitung
- Art. 19 | Mitteilungspflicht an Dritte
- Art. 20 | Erfüllung des Rechts auf Datenübertragung (Datenportabilität)
- Art. 7 Abs. 3, Art. 13 Abs. 2, Art. 14 Abs. 2d | Widerruf einer Einwilligung
- Art. 21 | Ausübung des Widerspruchrechts
- Art. 24 | technisch-organisatorische Maßnahmen
- Art. 26 | Gemeinsame Verantwortliche (Joint Controllership)
- Art. 28 DSGVO | Vereinbarung über eine Auftragsverarbeitung (ADV)
- Art. 5 Abs. 1f, Art. 29, Art. 32 Abs. 4 | Beschäftigte als Weisungsempfänger, Verpflichtung zur Vertraulichkeit
- Art. 30 | Verzeichnis von Verarbeitungstätigkeiten
- Art. 32 DSGVO | Sicherheit der Verarbeitung
- Art. 33 | Meldung von Datenverletzungen
- Art. 34 | Meldung von Datenverletzungen an Betroffene
- Art. 35 | Datenschutz-Folgenabschätzung
- Art. 36 | vorherige Konsultation der Aufsicht
- Art. 37 | Benennung eines betrieblichen/behördlichen Datenschutzbeauftragten
- Art. 40 | Verhaltensregeln
- Art. 42 | Zertifizierung
- Art. 47 | verbindliche interne Datenschutzvorschriften
- Art. 49 Abs. 6 | Ausnahmen für bestimmte Fälle / Übermittlungen personenbezogener Daten an Drittländer oder an internationale Organisationen
Wer personenbezogene Daten verarbeitet, ist verantwortlich für die Einhaltung aller in der DSGVO aufgeführten Rechtsgrundsätze. Hierbei handelt es sich um folgende: Rechtmäßigkeit der Verarbeitung, Verarbeitung nach Treu und Glauben, Transparenz, Zweckmäßigkeit, Datenminimierung, Richtigkeit, Speicherbegrenzung, Integrität und Vertraulichkeit. Ein Verantwortlicher muss deren Einhaltung nachweisen können (sog. „Rechenschaftspflicht“). Ferner haben verantwortliche Stellen geeignete technische und organisatorische Maßnahmen zu ergreifen, um sicherzustellen und den Nachweis erbringen zu können, dass sie bei ihrer Datenverarbeitung vollumfänglich die DSGVO beachten. Zudem haben sie ergriffene Maßnahmen zu überprüfen und zu aktualisieren.
In der Praxis setzt man diese Pflicht über die Beschreibung einer Verarbeitung im sog. „Verzeichnis für Verarbeitungstätigkeiten“ um und ergänzt diese idealerweise um die Rechtsgrundlage, auf die die jeweilige Datenverarbeitung gestützt wird.
Ich möchte diesen Beitrag teilen