Bedeutsamkeit der Datenschutzdokumentation

Die Datenschutzdokumentation spielt bei so manchem Verantwortlichen eine untergeordnete Rolle. Es gibt allerdings Situationen, in denen sich die Bedeutsamkeit der Datenschutzdokumentation dann doch offenbart. Welche Situationen sind das? Nun, das finden Sie heraus, indem Sie weiterlesen.

Überprüfung durch Datenschutzaufsichtsbehörden

Eine Datenschutzaufsichtsbehörde kann aufgrund eines Hinweises oder einer Beschwerde einer betroffenen Person, aus eigener Initiative oder aufgrund anderer Ereignisse eine Untersuchung bei einem Verantwortlichen veranlassen. Wonach die Datenschutzaufsichtsbehörde fragen würde, ist nicht mit Sicherheit zu sagen oder vorauszusehen, sofern es sich nicht gerade um eine bereits angekündigte und zwischen den Aufsichtsbehörden abgestimmte Prüfungskampagne handelt. Möglicherweise führt die Überprüfung eines Verarbeitungsvorganges zur Kontrolle weiterer Bereiche, in denen ein Verantwortlicher personenbezogene Daten verarbeitet. – Der Datenschutzaufsicht stehen umfangreiche Prüfungsrechte zu und den Verantwortlichen treffen Mitwirkungs- und Duldungspflichten. Mehr zu den Befugnissen der Datenschutzaufsichtsbehörden finden Sie auch in diesem Beitrag. – Was auch immer der Anlass einer Prüfung der Datenschutzaufsichtsbehörde ist, ist es empfehlenswert, die notwendigen Dokumente (z. B. des Verzeichnisses von Verarbeitungstätigkeiten, etwaige datenschutzrechtlich relevante Verträge gemäß Art. 28 Abs. 3 DSGVO oder Art. 26 DSGVO, ein Berechtigungskonzept etc.) in aktueller, vollständiger und nachvollziehbarer Form vorliegen zu haben. Dies gilt insbesondere, wenn die Prüfung nicht per Anschreiben und Fragebogen erfolgt, sondern vor Ort.

Betroffene, die von ihren Rechten Gebrauch machen

Eine betroffene Person hat die Hoheit über ihre Daten. Damit gehen bestimmte Rechte einher (siehe Kapitel 3 DSGVO). Bei der Ausübung ihrer Rechte kann sie gemäß Art. 15 – 22 DSGVO selbst aktiv werden. Nach Art. 12 Abs. 3 DSGVO hat ein Verantwortlicher die Anfrage einer betroffenen Person unverzüglich, binnen eines Monats – bei Ausnahmen längstens innerhalb von drei Monaten – zu beantworten. Idealerweise hat ein Verantwortlicher auch für ein etwaiges Auskunftsersuchen einer betroffenen Person eine vollständige und aktuelle Dokumentation zum Datenschutz. So weiß er, wo er die relevanten Informationen finden kann oder wessen Unterstützung er eventuell (intern oder von Dienstleistern) benötigt. Dabei hilft auch ein Berechtigungskonzept. Existiert ein Löschkonzept, kann ein Verantwortlicher der betroffenen Person problemlos Auskunft zur Aufbewahrungsdauer ihrer Daten liefern.

Vorgabe durch die DSGVO

Und zu guter Letzt gibt die DSGVO vor, dass ein Verantwortlicher in der Lage sein muss, nachzuweisen, dass er die Grundsätze der Verarbeitung von personenbezogenen Daten gemäß Art. 5 DSGVO einhält. – Unseren Beitrag zu den Grundsätzen finden Sie hier. – Die DSGVO listet nun in Art. 5 DSGVO nicht alle zu erstellenden Dokumente auf. Auch sagt sie nicht explizit, dass die Datenschutzdokumentation in Form eines bestimmten Dokumentes zu erstellen ist. Dies ergibt sich aus den einzelnen Grundsätzen selbst (Art. 5 Abs. 1 DSGVO) und auch aus der Nachweispflicht (Art. 5 Abs. 2 DSGVO). Um etwas nachweisen zu können, muss ein Verantwortlicher das Nachzuweisende festhalten, also dokumentieren und das beispielsweise in Form von Richtlinien, Handbüchern, Leitlinien etc.

Beispiel: Einhaltung des Grundsatzes der Rechtmäßigkeit, nach Treu und Glauben und Transparenz der Verarbeitung personenbezogener Daten

Wenn wir unsere Aufmerksamkeit beispielsweise auf den Grundsatz der „Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz“ (Art. 5 Abs. 1 lit. a) DSGVO) richten, denkt so mancher Verantwortlicher an die Datenschutzinformation gemäß Art. 13 DSGVO (auch Datenschutzhinweis oder Datenschutzerklärung [aus juristischer Sicht inkorrekt] genannt). Mithilfe der Datenschutzinformation kann ein Verantwortlicher die betroffene Person, deren personenbezogene Daten er verarbeitet, die Einzelheiten zur Verarbeitung zur Verfügung stellen. – Welche Informationen das sein müssen, erklären wir exemplarisch in unserem Beitrag „Datenschutzerklärungen auf Webseiten“, wobei wir betonen, dass es eine Datenschutzinformation nicht nur für Webseiten geben muss. – Die Datenschutzinformation dient dem Verantwortlichen also als Nachweis, dass er seiner Informationspflicht nachkommt.

Bedeutsamkeit der Datenschutzdokumentation

Die in diesem Beitrag genannten Dokumentationsanforderungen verdeutlichen, wie wichtig die Datenschutzdokumentation mit den Richtlinien, den Datenschutzinformationen, dem Verzeichnis von Verarbeitungstätigkeiten, den relevanten Konzepten, den Einwilligungen, den technischen und organisatorischen Maßnahmen etc. ist. Zum Teil mögen sie keine Außenwirkung haben, um beispielsweise beim Marketing und Vertrieb mit u. a. datenschutzkonformen Handeln zu überzeugen, aber fehlen sie beispielswiese bei einer Prüfung durch die Datenschutzaufsichtsbehörde, kann dies negative Folgen haben. Diese Folgen können Bußgelder oder auch eine Rufschädigung des Unternehmens sein. Von Betroffenen drohen ggf. Schadensersatzansprüche der Betroffenen oder Klagen. Vonseiten der Konkurrenz, aber auch der Betroffenen kann es zu Abmahnungen kommen.

Fazit

Wie dieser Beitrag zeigt, ist es wichtig, die Datenschutzdokumentation vollständig zu erstellen und bei Bedarf zu aktualisieren. Dass es Verantwortliche bevorzugen, ihrem Tagesgeschäft nachzugehen, ist nachvollziehbar. Um Sie bei der Erstellung der Dokumente zu unterstützen und Sie zu beraten, können Sie uns gern heranziehen. Kontaktieren Sie uns für ein kostenfreies Erstgespräch.