Dokumentationspflichten

Nachweispflichten unter der DSGVO

Warum muss dokumentiert werden?

  • Nachweis der Einhaltung bestimmter Datenschutzgrundsätze
  • Wenn ein Datenschutzvorfall gemeldet wurde, soll die Dokumentation ermöglichen, dass die Meldung auf ihre sachliche Richtigkeit geprüft werden kann, um gegebenenfalls aufsichtsrechtliche oder sanktionsrechtliche Maßnahmen einzuleiten.
  • Wenn der Verantwortliche aufgrund eines zu geringen Risikos von einer Meldung abgesehen hat, ergibt sich durch die Dokumentation die Möglichkeit für Aufsichtsbehörden, die Richtigkeit der Wertung zu überprüfen.

Im Zweifel stehen Verantwortliche und Auftragsverarbeiter in der Pflicht, die Rechtmäßigkeit der Datenverarbeitung nachzuweisen. Die ist nur möglich, wenn sie ihrer Dokumentationspflicht ausreichend nachkommen. Ein Missachten der Dokumentationspflicht kann mit Bußgeldern sanktioniert werden.

Was muss dokumentiert werden?

Verantwortliche sind verpflichtet, schriftlich oder elektronisch Verzeichnisse zu führen, in denen folgendes dokumentiert wird:

  • Kontaktdaten des Verantwortlichen
  • Kontaktdaten des Vertreters des Verantwortlichen
  • Kontaktdaten des Datenschutzbeauftragten
  • Zweck der Verarbeitung personenbezogener Daten
  • Beschreibung der Kategorien von
    o betroffenen Personen
    o personenbezogenen Daten
    o Dritten, die personenbezogene Daten empfangen
  • Übermittlung von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation
  • Nennung des betreffenden Drittlands oder der betreffenden internationalen Organisation
  • Fristen für die Löschung der Datenkategorien
  • Beschreibung der technischen und organisatorischen Maßnahmen

Verarbeitungsverzeichnis

Im Verarbeitungsverzeichnis sind alle wesentlichen Angaben zur Datenverarbeitung eines Unternehmens zu machen. Welche genauen Anforderungen an das Verzeichnis gestellt werden und wie es geführt werden muss, erläutern wie hier.

Auftragsverarbeitung

Im Auftragsverarbeitungsvertrag werden geschlossene Verträge dokumentiert und aufbewahrt. Dies dient ebenfalls dazu, im Zweifel nachweisen zu können, dass die Datenverarbeitung rechtmäßig durchgeführt wird.

Datenschutzverletzungen

Wenn eine Verletzung des Schutzes von personenbezogenen Daten vorliegt und sich daraus ein Risiko für die Rechte und Freiheiten des Betroffenen ergeben, ist dem Verantwortlichen durch die DSGVO auferlegt, diesen Vorfall der Aufsichtsbehörde zu melden.

Neben der Pflicht zur Meldung einer Verletzung des Schutzes personenbezogener Daten, hat der Verantwortliche auch eine Dokumentationspflicht. Es müssen die Verletzungen des Schutzes personenbezogener Daten beschrieben werden.

Zudem sind die Auswirkungen und die ergriffenen Maßnahmen zu beschreiben. Wird eine Datenschutzverletzung nicht bei der Aufsichtsbehörde gemeldet, ist der Grund für den Verzicht ebenfalls zu dokumentieren.

Sie möchten einen Datenschutzvorfall melden? Das können Sie hier tun.

Datenschutz-Folgenabschätzung

Muss eine Datenschutz-Folgenabschätzung (DSFA) durchgeführt werden, schreibt die DSGVO auch in diesem Bereich eine Dokumentation vor. Wann Sie eine DSFA durchführen müssen, können Sie hier nachlesen.

Schreiben Sie uns:
0251 29794740 Schreiben Sie uns Remote-Desktop download