Datenschutz im Unternehmen – Analog oder digital?

Ja, die Datenschutzgrundverordnung (DSGVO) enthält eine Vielzahl von Regelungen. Gleichzeitig bemerken Verantwortliche dennoch oft, dass die Regelungen nicht eindeutig genug sind. Da hilft dann oftmals allerdings der Blick in die Erwägungsgründe oder das Bundesdatenschutzgesetz (BDSG). Aber selbst dann gibt es weiterhin bestehende offene Fragen. Eine dieser ist oftmals: Wie muss der Datenschutz in der Einrichtung umgesetzt werden? Muss alles analog vorliegen oder ist es in digitaler Form ausreichend?

Nachweispflicht nach Art. 5 Abs. 2 DSGVO

Zuallererst ist zu erwähnen, dass den Verantwortlichen einer Einrichtung, die personenbezogene Daten verarbeitet, eine Nachweispflicht trifft. Den genauen Wortlaut finden wir in Art. 5 Abs. 2 DSGVO: „Der Verantwortliche ist für die Einhaltung des Absatzes 1 verantwortlich und muss dessen Einhaltung nachweisen können („Rechenschaftspflicht“).“ Abs. 1 dieses Artikels bezieht sich auf die Grundsätze der Verarbeitung personenbezogener Daten. – Mehr dazu in unserem Beitrag hier. – Um die Einhaltung der DSGVO nachweisen zu können, muss ein Verantwortlicher etwas schriftlich festhalten. Dies ist schon auch deswegen wichtig, da bestimmte Dokumentationen zum Datenschutz für die Beschäftigten jederzeit zugänglich sein müssen (Leitlinie zum Datenschutz, Richtlinie zum Passwortgebrauch, Richtlinie zum Umgang mit mobilen Arbeitsgeräten, Richtlinie zur Arbeit im Homeoffice etc.).

Verantwortung des Verantwortlichen nach Art. 24 DSGVO

Hier geht die DSGVO auf die Verantwortung ein, die den Verantwortlichen, der personenbezogene Daten verarbeitet, trifft. Demnach hat der Verantwortliche technische und organisatorische Maßnahmen zum Schutz und zur Sicherheit der personenbezogenen Daten zu implementieren. Auch hier wird erwähnt, dass er dies nachweisen können muss (Art. 24 Abs. 1 S. 1 DSGVO).

Verzeichnis von Verarbeitungstätigkeiten nach Art. 30 DSGVO

Schauen wir uns zuerst die Definition eines Verzeichnisses nach dem Duden an. Dieser sagt zusammengefasst, dass ein Verzeichnis eine schriftliche Aufstellung mehrerer zusammengehörender Dinge, eine listenmäßige Zusammenstellung von etwas oder ein Ordner ist.

Gemäß Art. 30 Abs. 1 S. 1 DSGVO hat ein Verantwortlicher ein Verzeichnis von Verarbeitungstätigkeiten zu führen. – Mehr zum Verzeichnis von Verarbeitungstätigkeiten können Interessierte in unserem gleichnamigen Beitrag hier nachlesen. – Also auch hier finden wir den Hinweis auf ein schriftliches Dokument.

Durchführung einer Datenschutz-Folgenabschätzung nach Art. 35 DSGVO

Art. 35 DSGVO geht näher auf die Gegebenheiten ein, wann eine Datenschutz-Folgenabschätzung (DSFA) durchzuführen und was dabei zu beachten ist und welche Rolle die Datenschutzaufsichtsbehörden dabei spielen. Art. 35 Abs. 7 DSGVO erläutert, was eine DSFA enthalten muss. Hier finden wir ebenfalls einen indirekten Hinweis auf eine schriftliche Form.

Erste Schlussfolgerung: Schriftliche Dokumentation

An mehreren Stellen der DSGVO finden wir demnach Hinweise darauf, dass zumindest gewisse Dokumentationen der DSGGO schriftlich erfolgen müssen. Das gesamte Datenschutz-Management einer Einrichtung ist ineinander verzweigt. Je nach Aufbau dessen kann ein Verantwortlicher gegebenenfalls auf ein bestimmtes anderes Dokument verweisen. Somit muss er nicht zwangsläufig wichtige Erklärungen und Erläuterungen etc. erneut niederschreiben, die er eventuell schon in einem anderen Dokument eingehend betrachtet hat. Das Wort „schriftlich“ kommt explizit in der DSGVO an nur wenigen Stellen vor. Aufgrund der „Verzweigung“ der Dokumente untereinander und auch um etwaigen Anfragen Betroffener oder der Datenschutzaufsichtsbehörde rasch und innerhalb der Fristen nachkommen zu können, empfehlen wir, alle Dokumente zum Datenschutz schriftlich festzuhalten.

Analog oder digital?

In der DSGVO finden sich keine Hinweise darauf, wie ein Verantwortlicher die Dokumentation zum Nachweis der Einhaltung der DSGVO zu führen hat. Demnach können Verantwortliche bisher davon ausgehen, dass sie selbst entscheiden können, wie sie die Dokumentation umsetzen. Wichtig ist, dass es eine Dokumentation zur Implementation von Maßnahmen zum Datenschutz und zur -sicherheit in einer Einrichtung gibt. Dies bedeutet u. a., es müssen eine Leitlinie zum Datenschutz und zur -sicherheit und Richtlinien existieren. Vertraulichkeitsverpflichtungen sind zu treffen sowie gegebenenfalls Einwilligungen einzuholen. Auch ist auf den eventuell notwendigen Abschluss datenschutzrechtlich notwendiger Verträge zu achten. Technische und organisatorische Maßnahmen sind zu implementieren. Ein Verantwortlicher muss ein Verzeichnis von Verarbeitungstätigkeiten führen (siehe Art. 30 Abs. 5 DSGVO und ErwG 13) usw.

Fazit

Egal, ob ein Verantwortlicher entscheidet, sein Datenschutz-Management-System digital oder analog zu organisieren. Zu führen und aktuell zu halten ist es in jedem Fall. Bei Bedarf muss er dies nachweisen können. Kommt es zu einer Anfrage einer betroffenen Person oder einen Datenschutzvorfall, ist es unabdinglich, dass er zügig, innerhalb der vorgegebenen Fristen reagieren kann.

Wir besitzen die Erfahrung und die Expertise, Ihnen dabei helfen zu können. So können Sie Ihre Hauptaufmerksamkeit auf Ihr Tagesgeschäft lenken, während wir Ihnen bei der Implementation Ihres Datenschutz-Management-Systems zur Seite stehen und Sie beraten. Kontaktieren Sie uns dazu heute – wir erstellen für Sie ein unverbindliches Angebot.