Daten­schutz: Zen­tra­le An­for­de­run­gen – Do­ku­men­ta­ti­on und Nachweisführung

Die An­for­de­run­gen der Da­ten­­­schutz-Grun­d­­ver­­or­d­­nung (DS-GVO) gelten fort­lau­fend und un­ab­hän­gig davon, ob ope­ra­ti­ve Abläufe stabil, aus­ge­las­tet oder im Wandel sind. Ein Aspekt wird dabei häufig un­ter­schätzt: Daten­schutz ist nicht allein eine Frage von Maß­nah­men, sondern auch eine Frage der be­last­ba­ren Do­ku­men­ta­ti­on.

Die Re­chen­schafts­pflicht gemäß Art. 5 Abs. 2 DSGVO ver­pflich­tet Un­ter­neh­men dazu, je­der­zeit nach­wei­sen zu können, dass ge­eig­ne­te tech­ni­sche und or­ga­ni­sa­to­ri­sche Maß­nah­men (TOM) um­ge­setzt wurden und auch „gelebt“ werden.

In der Praxis zeigt sich re­gel­mä­ßig, dass weniger die fach­li­che Um­set­zung als viel­mehr die un­voll­stän­di­ge oder ver­al­te­te Do­ku­men­ta­ti­on zu Risiken führt. Selbst gut auf­ge­stell­te Un­ter­neh­men geraten in eine Ri­si­ko­si­tua­ti­on, wenn Nach­wei­se fehlen, nicht aktuell sind oder nicht ein­deu­tig den je­wei­li­gen Ver­ar­bei­tungs­tä­tig­kei­ten zu­ge­ord­net werden können. Un­voll­stän­di­ge Do­ku­men­ta­ti­on ist dabei kein De­tail­the­ma, sondern ein we­sent­li­cher Be­stand­teil der Com­pli­ance und un­mit­tel­bar haftungsrelevant.

Zudem besteht die Pflicht, diese Nach­wei­se nicht nur ge­gen­über den Auf­sichts­be­hör­den be­reit­zu­hal­ten, sondern auch ge­gen­über Auf­trag­ge­bern, etwa im Rahmen von Auf­trags­ver­ar­bei­tun­gen, Zer­ti­fi­zie­run­gen, Aus­schrei­bun­gen oder Due-Di­­li­­gence-Prü­­fun­­gen. Feh­len­de Trans­pa­renz oder lü­cken­haf­te Un­ter­la­gen führen hier schnell zu Rück­fra­gen, Ver­zö­ge­run­gen oder Vertrauensverlust.

Ein wei­te­rer zen­tra­ler Faktor ist die re­gel­mä­ßi­ge und früh­zei­ti­ge Ein­bin­dung der Da­ten­schutz­be­auf­trag­ten. Die Über­wa­chung der ge­trof­fe­nen Maß­nah­men, deren Be­wer­tung gemäß Art. 32 DSGVO sowie die Prüfung der do­ku­men­tier­ten Pro­zes­se sind fort­lau­fen­de Auf­ga­ben. Wird der DSB erst im An­lass­fall oder punk­tu­ell hin­zu­ge­zo­gen, fehlen häufig re­le­van­te In­for­ma­tio­nen, die sich rück­wir­kend nicht mehr zu­ver­läs­sig her­stel­len lassen. Kon­ti­nui­tät ist hier essenziell.

Vor diesem Hin­ter­grund sollten Un­ter­neh­men re­gel­mä­ßig drei zen­tra­le Prüf­punk­te betrachten:

1. Sind die tech­ni­schen und or­ga­ni­sa­to­ri­schen Maß­nah­men konkret, an­ge­mes­sen und nach­weis­bar umgesetzt?

Der so­ge­nann­te state of the art („Stand der Technik“) ist ein dy­na­mi­scher Maßstab, der re­gel­mä­ßig über­prüft werden muss. All­ge­mei­ne „TOM-Listen“ oder sta­ti­sche Maß­nah­men­ka­ta­lo­ge reichen nicht aus, wenn Ver­ar­bei­tungs­tä­tig­kei­ten un­ter­schied­li­che Risiken aufweisen.

We­sent­lich ist der do­ku­men­tier­te Nachweis,

• dass Maß­nah­men ri­si­ko­ba­siert aus­ge­wählt wurden,
• dass sie den je­wei­li­gen Ver­ar­bei­tungs­vor­gän­gen zu­ge­ord­net sind und
• dass ihre Ak­tua­li­tät fort­lau­fend – und folg­lich auch deren Ein­hal­tung – über­prüft wird.

Diese Nach­wei­se müssen auch ge­gen­über Auf­trag­ge­bern, z.B. bei Auf­trags­ver­ar­bei­tungs­ver­hält­nis­sen, schlüs­sig dar­stell­bar sein.

2. Ist die Re­chen­schafts­pflicht voll­stän­dig erfüllt und be­last­bar dokumentiert?

Die Auf­sichts­be­hör­den und auch Ver­trags­part­ner prüfen nicht nur, ob Maß­nah­men exis­tie­ren, sondern ob und wie deren Um­set­zung do­ku­men­tiert ist.
Un­ter­neh­men sollten si­cher­stel­len, dass

• das Ver­zeich­nis der Ver­ar­bei­tungs­tä­tig­kei­ten (VVT) voll­stän­dig, kon­sis­tent und aktuell ist,
• Mit­ar­bei­ter­schu­lun­gen do­ku­men­tiert und Teil­nah­me­be­le­ge nach­voll­zieh­bar ab­ge­legt sind,
• interne Da­ten­schutz­pro­zes­se und Be­rech­ti­gungs­kon­zep­te klar be­schrie­ben sind und
• alle re­le­van­ten Un­ter­la­gen re­gel­mä­ßig über­prüft und ak­tua­li­siert wurden.

3. Sind Zu­stän­dig­kei­ten, Abläufe und Kon­troll­me­cha­nis­men klar de­fi­niert und dokumentiert?

Rechts­kon­for­me Da­ten­schutz­or­ga­ni­sa­ti­on setzt eine klare Auf­ga­ben­ver­tei­lung und trans­pa­ren­te Abläufe voraus. Dies umfasst sowohl die ope­ra­ti­ve Um­set­zung als auch Kon­trol­len, Es­ka­la­ti­ons­we­ge und Verantwortlichkeiten.

Eine funk­tio­nie­ren­de Da­ten­schutz­or­ga­ni­sa­ti­on ge­währ­leis­tet, dass

• Fristen ein­ge­hal­ten werden,
• Nach­wei­se je­der­zeit ver­füg­bar sind und
• interne sowie externe An­for­de­run­gen struk­tu­riert erfüllt werden können.

Fazit

Da­ten­­­schutz-Com­­pli­­an­ce beruht auf drei Säulen:

• an­ge­mes­se­ne Maßnahmen,
• be­last­ba­re Nach­wei­se und
• eine kon­ti­nu­ier­li­che Ein­bin­dung des Datenschutzbeauftragten.

Eine re­gel­mä­ßi­ge Über­prü­fung der Do­ku­men­ta­ti­on, der Pro­zes­se und der Nach­wei­se schafft Trans­pa­renz, mi­ni­miert Risiken und stellt sicher, dass Un­ter­neh­men sowohl ge­gen­über Auf­sichts­be­hör­den als auch ge­gen­über Auf­trag­ge­bern je­der­zeit aus­­­kunfts- und nach­weis­fä­hig sind.

Sie haben Fragen zur Um­set­zung in Ihrem Un­ter­neh­men oder suchen pra­xis­na­he Un­ter­stüt­zung im Daten­schutz und Com­­pli­­an­ce-Ma­­na­ge­­ment? Wir stehen Ihnen mit Er­fah­rung und Ex­per­ti­se zur Seite – spre­chen Sie uns gerne an: consulting@AdOrgaSolutions.de.