DSGVO – Wie Dokumentationsarbeit deutlich begrenzen, ohne die Datenschutz-Grundverordnung (DSGVO) zu verletzen

Der Datenschutz ist in den letzten Jahren, vor allem durch die Einführung der Datenschutzgrundverordnung enorm gestärkt worden. Das ist gerade für Unternehmen mit einem entsprechenden hohen Aufwand verbunden. Sei es, wenn es um die Maßnahmen zum Datenschutz geht, aber auch deren Dokumentationsarbeit. Nachfolgend kann man in diesem kleinen Ratgeber verschiedene Tipps finden, wie man den Aufwand der Dokumentationsarbeit begrenzen kann.

 

Die Vorteile sehen der Datenschutz-Dokumentation

Bevor wir auf die einzelnen Tipps eingehen, sollte man zum Datenschutz und deren Dokumentationsarbeit noch ein wichtiger Punkt beachten. Ohne Zweifel ist die Dokumentationsarbeit ein Aufwand für Unternehmen. Doch man sollte bei der Dokumentationsarbeit nicht nur den Aufwand bei der Datenschutz-Dokumentation sehen. Sondern ein Dokumentationsnachweis von Maßnahmen im Datenschutz ist auch mit Vorteilen für Unternehmen verbunden. Zum einen sorgt die Dokumentationsarbeit für eine Rechtssicherheit. Da man immer einen Nachweis hat, was gerade bei Verletzungen wie einer Datenpanne wichtig sein kann. Basierend auf der Dokumentationsarbeit hat man nicht nur einen lückenlosen Nachweis, sondern kann darauf jederzeit auch Schwachstellen in den ergriffenen Maßnahmen zum Datenschutz im eigenen Unternehmen erkennen. Damit kann man seinen Datenschutz verbessern und das Risiko einer Datenpanne mindern. Zudem vermeidet es aber auch unnötige Maßnahmen, wenn man beispielsweise gar keine Lücke hat.

Ein Dokumentationsnachweis vom Datenschutz ist mit einem zeitlichen und auch mit einem finanziellen Aufwand verbunden. Zudem wird der Datenschutz ohnehin schon als Einschränkung empfunden. Da man beispielsweise Daten nicht uneingeschränkt nutzen kann. Gerade dieses Zusammenspiel sorgt für keinen guten Stand vom Datenschutz. Doch man sollte diesen und die Dokumentationsarbeit nicht nur als Nachteil sehen, sondern auch die Vorteile.

Warum notwendig Die Rechenschaftspflicht

Die Dokumentationsarbeit wird von den Unternehmen oftmals so verstanden, dass alles dokumentiert werden muss, sollte es mal zu einer Datenpanne und Kontrolle durch die Aufsichtsbehörden für Datenschutz kommen. Doch stimmt das auch?

Grundsätzlich muss man verstehen, was das Ziel der Dokumentationspflicht aus der DSGVO ist, wie die Verordnung zum Datenschutz kurz abgekürzt wird. Die Dokumentationsarbeit ist eine Rechenschaftspflicht, die aufzeigen soll, ob personenbezogene Daten ordnungsgemäß verarbeitet worden sind. Dazu gehören auch Punkte wie die Risikoanalyse zur Nutzung von Daten und die Datenschutz-Folgenabschätzung. Auch diese Tätigkeiten und daraus ableitende Maßnahmen müssen dokumentiert werden. Wenn jetzt personenbezogene Daten verarbeitet werden, erfolgt die Erstellung von einem Verzeichnis. Aus einem solchen Verarbeitungsverzeichnis von Verarbeitungstätigkeiten kann man wesentliche Punkte, wie Zeitpunkt der Verarbeitung oder vorliegen von Einwilligungen dokumentieren. Doch nur mit einem Verzeichnis von Verarbeitungstätigkeiten ist nach Vorgaben der Aufsichtsbehörden, die Dokumentationspflicht nicht erfüllt. Nicht alles, wie die Datenschutz-Folgenabschätzung DSFA muss gesondert dokumentiert werden.

Vorgabe der Aufsichtsbehörden zur Dokumentationspflicht

Wie schon erwähnt, ist die Dokumentationsarbeit als Nachweis eine Rechenschaftspflicht. Der Europäische Datenschutzbeauftragte stellt dazu klar: Die Dokumentationsarbeit ist als Rechenschaftspflicht notwendig, um technische und organisatorische Maßnahmen im Datenschutz nachvollziehen zu können. Anhand der Dokumentationsarbeit muss auch die Wirkung der Maßnahmen erkennbar sein. Die Dokumentationsarbeit fängt bei der Erfassung der Daten und Einwilligung an, deren Speicherung, Verarbeitung und möglichen Datenschutzverletzungen wie eine Datenpanne. Die Dokumentationsarbeit kann dabei auch umfassen, wie und wann der Datenschutzbeauftragte eingebunden war in die Abläufe in einem Unternehmen. Eine Dokumentationsarbeit vom Datenschutz in einem Unternehmen muss angemessen sein. Was nicht von den Aufsichtsbehörden erwartet wird, ist ein großes Lager an Akten zum Datenschutz.

Erwartung: angemessene Dokumentation

Eine Aufsichtsbehörde möchte einen schnellen Überblick zum Zustand vom Datenschutz in einem Unternehmen haben. Dazu gehört zum Beispiel das schnelle erkennen, was für IT-Systeme & IT-Komponenten im Unternehmen eingesetzt werden. Dabei spielen dann viele technische Details eine Rolle, wie VPN-Endpunkte, Switches, aber auch die Verwendung von Server, Firewall und Clients. Neben einer Übersicht, ist bei der Dokumentationsarbeit auch die Auswertung dieser Systeme wichtig. Und nicht zu vergessen sind bei den Systemen auch vorhandene Konzepte. Sei es zu einem Backup bei einem Datenverlust und Konzepte zur Analyse und Sicherheit. Bei letzterem geht es nicht nur um die sichere Speicherung der Daten, sondern auch um den Zugriff. Dabei geht es wesentlich darum, wer Zugriff auf die Daten hat. Da Mitarbeiter mit Daten in einem Unternehmen arbeiten, müssen diese in Sachen Datenschutz und dem ordnungsgemäßen Umgang geschult werden. Auch die Schulung der Mitarbeiter zum Datenschutz muss dokumentiert werden und gehört zur Dokumentationsarbeit in einem Unternehmen.

Wie anhand der Ausführungen deutlich wird, kommt einiges an Dokumentationsarbeit zum Datenschutz zusammen. Doch eine Dokumentationsarbeit erfolgt nicht nur für Aufsichtsbehörden, sondern auch für ein Unternehmen selbst. Gerade für eine IT-Abteilung und einen Datenschutzbeauftragten, liefert der Dokumentationsnachweis viele wichtige Informationen und Erkenntnisse.

Wichtig: Doppelaufwand vermeiden

Grundsätzlich ist die Dokumentationsarbeit in einem Unternehmen nicht fremd. Vieles muss dokumentiert werden im betrieblichen Alltag. Das gilt auch für Bereiche wie Marketing. Dokumentationsarbeit ist in Unternehmen auch nicht fremd, wenn es um das Qualitätsmanagement von Leistungen und Produkten geht, Doch alle diese Bereiche sollte man nicht isoliert bei der Dokumentationsarbeit betrachten. Sondern immer als Unternehmen prüfen, wo es Synergien gibt. Und damit, wo man als Unternehmen die Dokumentationsarbeit miteinander verbinden kann. Der Vorteil dabei, es kann den Aufwand der Dokumentationsarbeit reduzieren.

Fazit

Man sollte immer wieder die Vorteile einer Dokumentation nicht unterschätzen. Und diese hervorheben. Die Dokumentationsarbeit ist durchaus aufwendig, wie sich gezeigt hat. Sie kann für Rechtssicherheit bei Kontrollen durch die Aufsichtsbehörde sorgen und wenn es zu einer Datenpanne kommt. Es erleichtert das Erkennen von Mängel beim Datenschutz und zeigt auf, wo ein Handlungsbedarf besteht. Das gilt beispielsweise auch, wenn es um das Backup der Daten geht. Schließlich haben Daten heute einen hohen Wert. Jeder Verlust von Daten, kann in einem Unternehmen für hohe Schäden sorgen. Alles in allem, ist der Datenschutz und die damit verbundene Dokumentationsarbeit ein wichtiger Teil einer guten Unternehmensführung. Und so sollte diese Aufgabe auch verstanden werden.

Beratung über Max2-Consulting GmbH:

Max2-Consulting GmbH bietet Datenschutzlösungen für alle Unternehmen. Der Gründer und Geschäftsführer ist TÜV-geprüfter Datenschutzauditor, Datenschutzbeauftragter (IHK) und außerdem als Datenschutzberater tätig.

Haben Sie Fragen, wir helfen gerne: https://datenschutzbeauftragter-dsgvo.com/

 

Weiterlesen …

 

DSGVO: Verarbeitungsverzeichnis – wichtige Tipps und Infos

 

DSGVO – ISO 27701 Die Norm zum Nachweis der Einhaltung datenschutzrechtlicher Vorschriften veröffentlicht