Datenschutzdokumentation

Eine strukturierte Datenschutzdokumentation ist für Unternehmen unerlässlich, um die Einhaltung der Datenschutz-Grundverordnung (DSGVO) und des Bundesdatenschutzgesetzes (BDSG) nachweisen zu können. Sie hilft dabei, Transparenz zu schaffen, interne Prozesse zu verbessern und im Falle von Datenschutzverletzungen angemessen reagieren zu können. Besonders für kleine und mittlere Unternehmen (KMU) kann eine effiziente Dokumentation dazu beitragen, Risiken zu minimieren und Bußgelder zu vermeiden.
Die DSGVO verpflichtet Unternehmen in Art. 5 Abs. 2 DSGVO zur Rechenschaftspflicht. Das bedeutet, dass Unternehmen nachweisen müssen, dass sie die Datenschutzvorgaben einhalten. Dies geschieht unter anderem durch eine umfassende Datenschutzdokumentation.
Wichtige Dokumentationspflichten
- Datenschutzinformation: Eine Information für betroffene Personen über die Verarbeitung ihrer personenbezogenen Daten.
- Verzeichnis von Verarbeitungstätigkeiten (VVT): Eine Auflistung aller Prozesse, bei denen personenbezogene Daten verarbeitet werden.
- Auftragsverarbeitungsverträge (AVV): Verträge mit Dienstleistern, die personenbezogene Daten im Auftrag des Unternehmens verarbeiten.
- Datenschutz-Folgenabschätzung (DSFA): Eine Risikobewertung für Verarbeitungstätigkeiten, die voraussichtlich hohe Risiken für betroffene Personen bergen.
- Betroffenenanfragen: Nachweise zur Bearbeitung von Auskunfts- und Löschanfragen von Kunden oder Mitarbeitern
- Dokumentation von Datenschutzvorfällen: Erfassung und Bewertung von Datenschutzverletzungen sowie getroffene Gegenmaßnahmen.

1. Datenschutzinformation

Die Datenschutzinformation soll den Betroffenen transparent über die Verarbeitung seiner personenbezogenen Daten informieren. Diese Informationspflichten müssen im Zeitpunkt der Datenerhebung erfüllt werden.
Mitzuteilen sind insbesondere:
  • Name und Kontaktdaten des Verantwortlichen und falls vorhanden des Datenschutzbeauftragten
  • Zweck und Rechtsgrundlage der Datenverarbeitung
  • das berechtigte Interesse, falls die Verarbeitung darauf beruht
  • Empfänger oder Kategorien von Empfängern
  • geplante Speicherdauer oder Kriterien für die Festlegung der Speicherdauer
  • Betroffenenrechte
  • Informationen zur Datenübermittlung in ein Drittland und angewendete Schutzmaßnahmen (falls zutreffend)
Die Datenschutzinformationen müssen leicht zugänglich, verständlich und in klarer Sprache formuliert sein. Sie können beispielsweise in einer Datenschutzerklärung auf der Website, in Verträgen oder als gesonderte Informationsblätter bereitgestellt werden.

2. Verzeichnis von Verarbeitungstätigkeiten (VVT)

Das VVT soll alle Verarbeitungen personenbezogener Daten im Unternehmen erfassen. Der Thüringer Landesdatenschutzbeauftragte hält auf seiner Internetseite ein Muster eines VVTs bereit.
Das VVT sollte insbesondere folgende Informationen über die einzelnen Verarbeitungsvorgänge enthalten:
  • Name und Kontaktdaten des Verantwortlichen
  • Zweck der Verarbeitung
  • Kategorien betroffener Personen und Daten
  • Empfänger der Daten
  • Informationen zur Drittlandsübermittlung
  • Löschfristen und technische Schutzmaßnahmen

3. Auftragsverarbeitungsverträge (AVV)

Mit Auftragsverarbeitungsverträgen werden die Rechte und Pflichten im Verhältnis des Verantwortlichen und seines Dienstleisters geregelt. Der Auftragsverarbeitungsvertrag wird in der Regel als Ergänzung zum Hauptvertrag mit dem Dienstleister geschlossen.
In einem AVV werden insbesondere folgende Punkte geregelt:
  • Gegenstand und Dauer der Verarbeitung
  • Art und Zweck der Verarbeitung
  • Art der personenbezogenen Daten
  • Kategorien der betroffenen Personen
  • Rechte und Pflichten des Verantwortlichen
  • Pflichten des Auftragnehmers
  • Weisungsrecht des Verantwortlichen
  • Vertraulichkeitsverpflichtungen
  • Einsatz von Unterauftragnehmern
  • Maßnahmen zur Datensicherheit (TOMs)
Der Thüringer Landesdatenschutzbeauftragte hält auf seiner Internetseite ein Muster eines Auftragsverarbeitungsvertrages bereit.

4. Datenschutz-Folgenabschätzung (DSFA)

Eine DSFA ist eine Risikobeurteilung, um vor dem Einführen einer neuen Datenverarbeitung die Folgen für die Rechte des Betroffenen einzuschätzen. Sie ist dann erforderlich, wenn voraussichtlich ein hohes Risiko besteht
Mit der DSFA sollen die Risiken für die Betroffenen genau analysiert werden. Außerdem sollen Maßnahmen zur Minderung dieser Risiken gefunden werden.
Der Thüringer Landesdatenschutzbeauftragte hält auf seiner Internetseite ein Muster eines Auftragsverarbeitungsvertrages bereit.

5. Betroffenenanfragen

Machen Betroffene von Ihren Rechten Gebrauch, sollte die Bearbeitung dieser Anfragen genau dokumentiert werden, um im Falle einer Beschwerde bei der Datenschutzaufsichtsbehörde nachweisen zu können, dass man seinen gesetzlichen Pflichten nachgekommen ist. Insbesondere bei (berechtigten) Löschersuchen sollte das Gesuch, der Löschvorgang und die anschließende Bestätigung dokumentiert werden.

6. Dokumentation von Datenschutzvorfällen

Sollte es im Unternehmen zu einem Datenschutzvorfall kommen, sollte dieser ebenfalls genau dokumentiert werden. Folgende Informationen sollten dabei aufbewahrt werden:
  • Beschreibung des Vorfalls
  • Zeitpunkt der Entdeckung
  • Betroffene Datenkategorien
  • Ergriffene Maßnahmen
  • Meldung an die Aufsichtsbehörde (falls erforderlich)
  • ggf. Ableitungen für künftige Datenverarbeitungen

Fazit

Eine gut strukturierte Datenschutzdokumentation ermöglicht es, die Einhaltung der gesetzlichen Vorgaben nachzuweisen und Datenschutzrisiken zu minimieren. Pragmatische Lösungen und klare Prozesse helfen eine effiziente Dokumentation sicherzustellen.


Stand: 26. März 2025