Bestandteile einer Datenschutzdokumentation und eines Datenschutzmanagementsystem

In der Ära der digitalen Information und im Kontext der ständig wachsenden Bedeutung von Datenschutz, ist es für Unternehmen von entscheidender Bedeutung, eine umfassende und effektive Datenschutzdokumentation zu implementieren. Diese Dokumentation dient nicht nur der Einhaltung der gesetzlichen Anforderungen, insbesondere der Datenschutz-Grundverordnung (DSGVO), sondern stellt auch ein zentrales Werkzeug für das Risikomanagement und den Schutz personenbezogener Daten dar. In diesem Artikel werfen wir einen Blick auf die Schlüsselelemente einer solchen Datenschutzdokumentation, die das Herzstück eines jeden Datenschutzmanagementsystems bilden.

Hier finden Sie einen Auszug aus der meist ca. 250 Seiten umfassenden Dokumentation:

1. Verzeichnis von Verarbeitungstätigkeiten: Enthält Details zu Art, Zweck, Kategorien betroffener Personen und Daten, Empfänger der Daten, Übermittlung in Drittländer, Löschfristen und Maßnahmen zur Datensicherheit.
2. Datenschutz-Folgenabschätzung (DSFA): Bewertung der Datenschutzrisiken bei Verarbeitungstätigkeiten, die voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge haben.
3. Dokumentation der technischen und organisatorischen Maßnahmen (TOMs): Übersicht über Sicherheitsmaßnahmen zum Schutz personenbezogener Daten, inklusive Maßnahmen zur Datensicherheit und zum Datenschutz by Design und by Default.
4. Datenschutzrichtlinien und -verfahren: Schriftlich festgelegte Richtlinien und Verfahren für den Datenschutz, einschließlich der Umgangsweise mit personenbezogenen Daten und der Reaktion auf Datenschutzvorfälle.
5. Aufzeichnung von Datenschutzvorfällen: Protokolle über Sicherheitsvorfälle, die personenbezogene Daten betreffen, inklusive Details zum Vorfall, dessen Auswirkungen und den ergriffenen Maßnahmen.
6. Verträge und Vereinbarungen mit Auftragsverarbeitern: Dokumentation der Vereinbarungen mit Dienstleistern, die personenbezogene Daten im Auftrag verarbeiten, einschließlich der Sicherstellung der Einhaltung der DSGVO durch diese Dritten.
7. Nachweise der Einwilligung: Bei auf Einwilligung basierender Datenverarbeitung, Dokumentation der erteilten Einwilligungen, einschließlich Informationen, wann und wie diese Einwilligungen erteilt wurden.
8. Schulungs- und Bewusstseinsbildungsmaterialien: Nachweise über durchgeführte Schulungen zum Datenschutz für Mitarbeiter, sowie Informationsmaterialien, die im Unternehmen verteilt werden.
9. Datenschutzbezogene Korrespondenz: Aufbewahrung aller relevanten Korrespondenz, einschließlich Anfragen von betroffenen Personen und Antworten darauf, sowie Korrespondenz mit Aufsichtsbehörden.
10. Berichte und Analysen zum Datenschutz: Periodische Berichte über den Status des Datenschutzes im Unternehmen, einschließlich Bewertungen und Audits.
11. Datenschutzhandbuch: Ein zentrale Dienstvorschrift für Mitarbeiter, die detaillierte Anweisungen und Richtlinien zur Verarbeitung personenbezogener Daten enthält. Dieses Handbuch sollte Informationen über die Grundsätze der Datenverarbeitung, Verantwortlichkeiten im Unternehmen, Verfahrensweisen bei der Datenverarbeitung, Umgang mit Betroffenenrechten und Anleitungen zur Meldung von Datenschutzverletzungen umfassen. Es dient als Leitfaden für Mitarbeiter, um die Einhaltung der Datenschutzpraktiken im täglichen Betrieb sicherzustellen.
12. Verpflichtungen der Mitarbeiter und sonstiger Mitwirkender zur Vertraulichkeit und ggf. zur Verschwiegenheit: Dokumentation, die die Verpflichtung der Mitarbeiter und aller Personen, die im Unternehmen mit personenbezogenen Daten arbeiten, zur Einhaltung der Datenschutzgrundsätze und zur Wahrung der Vertraulichkeit festhält. Dies umfasst die schriftliche Verpflichtung auf das Datengeheimnis gemäß DSGVO sowie ggf. die Einhaltung der Verschwiegenheitspflichten nach § 203 StGB, insbesondere bei der Verarbeitung sensibler Daten. Die Dokumentation sollte auch die Schulungen und Unterweisungen beinhalten, die in diesem Zusammenhang durchgeführt werden, um sicherzustellen, dass alle Beteiligten die rechtlichen Anforderungen und ihre persönlichen Verantwortlichkeiten verstehen.
13. Nachweise zur Sicherheit der Verarbeitung gemäß Artikel 32 DSGVO: Dokumentation, die die umgesetzten Maßnahmen zur Sicherstellung der Sicherheit der Datenverarbeitung, sowohl intern als auch im Zusammenspiel mit externen Dienstleistern (Outsourcing), aufzeigt. Dies beinhaltet die Dokumentation der Implementierung von IT-Grundschutzkonzepten sowie Nachweise zur Basisabsicherung gemäß IT-Grundschutz, um zu belegen, dass die Sicherheit der Verarbeitung dem Stand der Technik entspricht. Die Dokumentation sollte Details zu technischen und organisatorischen Maßnahmen enthalten, wie z.B. Zugriffskontrollen, Verschlüsselung, Sicherheitsaudits, Incident-Management-Verfahren sowie Vereinbarungen und Kontrollen bezüglich der Datensicherheit bei der Nutzung von Dienstleistern. Ziel ist es, einen umfassenden Nachweis darüber zu führen, dass alle notwendigen Schritte unternommen wurden, um die Integrität, Vertraulichkeit und Verfügbarkeit personenbezogener Daten zu gewährleisten.
14. Dokumentation zur Umsetzung und Gewährleistung der Betroffenenrechte gemäß DSGVO: Eine umfassende Dokumentation, die darlegt, wie das Unternehmen die Rechte der betroffenen Personen gemäß der DSGVO umsetzt und gewährleistet. Dies schließt Verfahren zur Beantwortung von Anfragen betroffener Personen ein, wie das Recht auf Auskunft, Berichtigung, Löschung („Recht auf Vergessenwerden“), Einschränkung der Verarbeitung, Datenübertragbarkeit und Widerspruch gegen die Verarbeitung. Die Dokumentation sollte auch die internen Prozesse und Richtlinien umfassen, die sicherstellen, dass diese Anfragen innerhalb der gesetzlichen Fristen bearbeitet und erfüllt werden. Zusätzlich sollten Schulungsunterlagen und Kommunikationsmaterialien enthalten sein, die den Mitarbeitern helfen, diese Rechte zu verstehen und korrekt umzusetzen.