Rechenschaftspflicht erfüllen
Wenn sich Aufsichtsbehörden melden und Fragen zur Umsetzung des Datenschutzes stellen geht es häufig um die Erfüllung der Rechenschaftspflicht nach Artikel 5 Abs. 2 DSGVO. In Artikel 5 DSGVO steht: „Der Verantwortliche ist für die Einhaltung des Absatzes 1 verantwortlich und muss dessen Einhaltung nachweisen können“.
Im Gegensatz zum alten BDSG muss also seit Gültigkeit der DSGVO der Verantwortliche, d.h. das Unternehmen nachweisen, dass es den Datenschutz umgesetzt hat. Hier sind auf Anfrage der Aufsichtsbehörden Unterlagen beizubringen, die aufzeigen sollen, welche Maßnahmen ergriffen wurden.
Welche Dokumente sind sinnvoll?
In den folgenden Absätzen haben wir einige Unterlagen aufgeführt, die eine hohe Relevanz zur Erfüllung der Rechenschaftspflicht haben können. Je nach Unternehmensgröße kann es hier weitere Ergänzungen geben. Wichtig ist, dass nicht der Datenschutzbeauftragte diese Pflicht erfüllen muss, sondern das Unternehmen. In unserem Artikel über den Datenschutzkoordinator haben wir bereits erwähnt, dass dies eine operative Aufgabe ist, die ein Datenschutzkoordinator steuern bzw. durchführen könnte.
Ernennung eines Datenschutzbeauftragten
Auch wenn lt. DSGVO keine schriftliche Ernennung vorgesehen ist, empfehlen wir, eine offizielle Ernennung mit der Zustimmung des Datenschutzbeauftragten zu dokumentieren und hier die Aufgaben entsprechend Artikel 39 DSGVO zu beschreiben.
Bei der Ernennung sollte ebenfalls berücksichtigt werden, dass der ernannte Datenschutzbeauftragte eine entsprechend passende Qualifikation nachweisen kann (Artikel 37 Abs. 5 DSGV). Sofern kein Datenschutzbeauftragter benannt werden muss sollte diese Begründung ebenfalls vorbereitet werden.
Datenschutzhandbuch
In diesem sind wesentliche Regeln zum Datenschutz für alle Mitarbeiter hinterlegt. Dieses Handbuch kann aber auch aus Teildokumenten bestehen z.B. die Datenschutzleitlinie, die Datenschutzorganisation und Datenschutzrichtlinien.
Verfahren zum Datenschutz
Hier sollten alle Verfahren dokumentiert sein, die sich aus den Artikeln 15 ff, den Meldepflichten bei Datenschutzvorfällen nach Artikel 33 DSGVO und Artikel 34 DSGVO sowie der Datenschutzfolgeabschätzung nach Artikel 35 ergeben.
Verarbeitungsverzeichnis
Das Verarbeitungsverzeichnis ist eines der besten Dokumente, um eine Übersicht über den Datenschutz in einem Unternehmen zu erhalten. In diesem sind auch die technischen und organisatorischen Maßnahmen aufgeführt, die für die Verarbeitungen individuell oder grundsätzlich gelten. Wenn diese in einem eigenständigen Dokument gepflegt werden gehört dies immer zu dem Verarbeitungsverzeichnis. Sofern Sie Auftragsverarbeiter sind denken Sie bitte an das separat zu führende Verzeichnis nach Artikel 30 Abs. 2 DSGVO.
Einwilligungen
Sofern Einwilligungen für die Verarbeitung von Daten die Rechtsgrundlage bilden, dann sollten Sie wissen, wo diese Einwilligungen im Bedarfsfall verwahrt werden. Wichtig ist auf jeden Fall, dass Sie die Einwilligungen mindestens als Muster-Formulare der Aufsichtsbehörde bei Bedarf zur Verfügung stellen könnten.
AV-Verträge
Hier spielt erst einmal eine Rolle, ob ein AV-Vertrag abgeschlossen wurde. Deshalb empfehlen wir, im Verarbeitungsverzeichnis direkt auf Dienstleister und AV-Vertrag zu referenzieren. Bei Bedarf müssen auch diese der Aufsichtsbehörde vorgelegt werden, so dass es sehr sinnvoll ist, diese in einer eigenen Vertragsverwaltung zu archivieren.
Sensibilisierung / Schulungen Mitarbeiter
Es empfiehlt sich, Nachweise über Schulungen der Mitarbeiter, eine Verpflichtung auf Artikel 5 DSGVO im Arbeitsvertrag, verteilte Informationsbroschüren etc. vorzuhalten. Hier kann man Anleihen z.B. an der Dokumentation von Sicherheitsunterweisungen machen.
Weitere Dokumente
Ebenfalls hilfreich ist das Aufbewahren von folgenden Informationen zur Erfüllung der Rechenschaftspflicht:
- Tätigkeitsbericht des Datenschutzbeauftragten
- Prüfergebnis für eine Verarbeitung nach Artikel 6 lit. f DSGVO
- Dokumentierte Liste aller Fälle über die Ausübung von Betroffenenrechten
- Sicherheitsvorfälle
- Dokumentation eines Informationssicherheitssystems
- Audits
Bei Änderungen von Dokumenten ist es ebenfalls hilfreich, Versionsnummern zu verwenden und in einer Versionshistorie die Änderungen festzuhalten. So kann man die nach Artikel 32 Abs. 1 lit. d) DSGVO geforderte ständige Verbesserung ebenfalls einfach nachweisen.
Benötigen Sie bei der Umsetzung der DSGVO Anforderungen Unterstützung, dann überlegen wir mit Ihnen eine sinnvolle Lösung. Sprechen Sie uns einfach an.