Verantwortliche werden unter der Datenschutz-Grundverordnung (DSGVO) mit einem Dickicht an Vorgaben zu Dokumentations- und Rechenschaftspflichten konfrontiert. Wir beleuchten, welche wesentlichen Aspekte im Blick zu behalten sind.
Der Inhalt im Überblick
Rechenschaftspflichten als Teil der Datenschutzorganisation
In Art. 5 Abs. 2 DSGVO wird der Grundsatz der „Rechenschaftspflicht“ definiert. Hiernach gilt, dass Verantwortliche für die Einhaltung bestimmter Datenschutzgrundsätze (aus Art. 5 Abs.1 DSGVO) verantwortlich sind und deren Einhaltung nachweisen (können) müssen. Art. 24 Abs.1 DSGVO greift diese Pflicht auf, indem weiter präzisiert wird, dass Verantwortliche in der Pflicht stehen, den Nachweis dafür zu erbringen, dass die Datenverarbeitung DSGVO-gemäß erfolgt.
Verantwortliche und Auftragsverarbeiter stehen damit in der Pflicht, im Zweifel die Rechtmäßigkeit der Datenverarbeitung nachzuweisen. Dies können sie jedoch nur, indem sie ihren Rechenschafts- und Nachweispflichten hinreichend nachkommen.
Wie weit die allgemeinen Rechenschafts- und Nachweispflichten gehen, ist im Einzelnen umstritten, da es hier keine festen Grenzen gibt. Klar ist jedoch auch, dass großer Ehrgeiz bei der Dokumentation aller datenschutzrelevanten Vorgänge auch zu einem hohen Dokumentations- bzw. Verwaltungsaufwand führt. Im schlimmsten Fall hemmt oder verhindert dieser Geschäftsprozesse und zukünftige Vorhaben, da sie mit einem Wust an Bürokratie einhergehen dürften.
Neben den allgemeinen Rechenschafts- und Nachweispflichten aus Art. 5 Abs. 2, 24 DSGVO enthält die DSGVO zahlreiche eigenständige Dokumentationspflichten. Zu der wohl bekanntesten Dokumentationspflicht gehört die Pflicht zur Führung von Verarbeitungsverzeichnissen nach Art. 30 DSGVO.
Die Erfüllung der Rechenschaftspflichten ist ohne eine effektive Datenschutzorganisation kaum denkbar: Was hilft es Auftragsverarbeitungsverträge zu Nachweiszwecken abzulegen, wenn niemand mehr sagen kann, wer dafür zuständig ist und wo genau die Verträge überhaupt abgelegt wurden. In der Praxis gehen Datenschutzorganisation und lückenlose Dokumentation Hand in Hand.
Bußgelder und Schadensersatz aufgrund fehlender Dokumentation
Der Verstoß gegen Rechenschaftspflichten durch mangelnde Dokumentation bleibt auf Dauer nicht folgenlos.
Gem. Art. 31 DSGVO werden Verantwortliche und Auftragsverarbeiter verpflichtet, auf Anfrage mit der Aufsichtsbehörde bei der Erfüllung ihrer Aufgaben zusammenzuarbeiten und gem. Art. 58 Abs.1 lit. a) und e) DSGVO alle Informationen bereitzustellen, die für die Erfüllung ihrer Aufgaben erforderlich sind. Kommt man solchen aufsichtsbehördlichen Aufforderungen nicht nach, weil man keinerlei Dokumentation zu den zugrundeliegenden Verarbeitungsvorgängen hat, kann die nicht ausreichende oder gänzlich ausgebliebene Informationserteilung bußgeldbewährt sein (bei Verstößen gegen Art. 31 DSGVO nach Art. 83 Abs. 4 DSGVO und bei Verstößen gegen Art. 58 Abs.1 lit. a) und e) DSGVO nach Art. 83 Abs. 5 DSGVO). Aus diesem Umstand kann sich für Betroffene unter Umständen auch eine prekäre Situation ergeben, welche wir im Beitrag Selbstbelastungsfreiheit vs. Mitwirkungspflicht beim Datenschutzverstoß näher beleuchtet haben.
Andere Verstöße gegen Dokumentationspflichten, wie etwa aus Art. 30 DSGVO (Erstellung von Verarbeitungsverzeichnissen) oder Art. 33 Abs. 5 DSGVO (Dokumentation eines Datenschutzvorfalls), können sogar direkt bußgeldbewährt sein (vgl. Art. 83 Abs. 4 lit. a) DSGVO).
Darüber hinaus kann eine lückenhafte Dokumentation der Datenverarbeitung ein Einfallstor für eine erfolgreiche Schadensersatzklage aufgrund eines materiellen oder immateriellen Schadens durch einen DSGVO-Verstoß sein.
Gem. Art. 82 Abs. 3 DSGVO muss der Verantwortliche oder Auftragsverarbeiter den Nachweis fehlenden Verschuldens führen. Eine fehlende Dokumentation wird dies unmöglich machen. Kann der Verantwortliche, etwa durch hinreichende Dokumentation nachweisen, dass er sämtliche Sicherheitsmaßnahmen definiert und auch eingesetzt hat (Art. 32 DSGVO) und kam es dennoch zu einem unbefugten Datenzugriff, wird es hingegen an einem Verschulden fehlen.
Die Nachweispflichten im Einzelnen
Im Folgenden sollen die wichtigsten Dokumentationspflichten aufgeführt werden, um die Rechtmäßigkeit der Verarbeitung gegenüber Betroffenen und Aufsichtsbehörden sicherstellen und nachweisen zu können. Diese Auflistung erhebt keinen Anspruch auf Vollständigkeit, sondern soll eine Übersicht verschaffen, welche Dokumentationen unbedingt vorhanden und abrufbar sein sollten. Die Dokumentation sollte in einer Ordnerstruktur oder in einer Datenschutzmanagement-Software abgelegt werden. Mittlerweile gibt es dafür eine Vielzahl von Anbietern auf dem Markt.
Verarbeitungsverzeichnis anfertigen
Eine ganz wesentliche Dokumentationspflicht mit der hoffentlich schon alle Unternehmen in Berührung gekommen sind, ergibt sich aus Art. 30 DSGVO: Die Pflicht zur Erstellung von Verarbeitungsverzeichnissen. Abs. 1 enthält die Dokumentationsvorgaben für Verantwortliche und aus Abs. 2 ergeben sich die Dokumentationsvorgaben für Auftragsverarbeiter. Der Inhalt ist gesetzlich in Art. 30 Abs. 2 DSGVO vorgegeben.
Der DSK hat eine Ausfüllhilfe, sowie Muster für Verantwortliche und für Auftragsverarbeiter veröffentlicht. Wenn möglich, sollte im Rahmen der Erstellung der Verarbeitungsverzeichnisse auch eine allgemeine Beschreibung der technisch- und organisatorischer Maßnahmen stattfinden (Art. 30 Abs. 1 lit. g) DSGVO).
Zwar ist dies in Art. 30 DSGVO nicht explizit normiert, jedoch sollte der Verantwortliche, soweit eine Datenverarbeitung auf das berechtigte Interesse gem. Art. 6 Abs.1 lit.f) DSGVO gestützt wird, die erforderliche Interessenabwägung in irgendeiner Form dokumentieren (vgl. hierzu Art. 13 Abs. 1 lit. d) DSGVO). Hier bietet es sich an, die Abwägung für solche Datenverarbeitungen im dazu passenden Verarbeitungsverzeichnis zu dokumentieren.
Dokumentation von Datenpannen
Es sollte ein fester Meldeprozess definiert werden, wie im Fall einer Datenpanne die Meldung gegenüber der Aufsichtsbehörde gem. Art. 33 DSGVO und ggf. Mitteilung gegenüber den Betroffenen nach Art. 34 DSGVO umgesetzt werden kann.
Die DSGVO nimmt die Verantwortlichen hinsichtlich erforderlicher Dokumentationen jedoch noch weiter in die Pflicht. Gem. Art. 33 Abs. 5 DSGVO muss der Verantwortliche die Verletzungen des Schutzes personenbezogener Daten einschließlich aller im Zusammenhang mit der Verletzung des Schutzes personenbezogener Daten stehenden Fakten, von deren Auswirkungen und der ergriffenen Abhilfemaßnahmen, dokumentieren. Nach Art. 33 Abs. 5 S. 2 DSGVO soll diese Dokumentation der Aufsichtsbehörde die Überprüfung der Einhaltung der Bestimmungen des Art. 33 DSGVO ermöglichen.
Wird die Entscheidung getroffen, bei einer Datenschutzverletzung keine Meldung an die Aufsichtsbehörde zu tätigen, sind die Gründe für den Verzicht der Meldung ebenfalls zu dokumentieren.
Datenschutz-Folgenabschätzungen bzw. sonstige Risikoabschätzungen
Neben der Pflicht zur Dokumentation durch Erstellung von Verarbeitungsverzeichnissen, ist die Erstellung von Datenschutz-Folgenabschätzungen (DSFA) der zweite große Bereich, in dem die DSGVO eine zwingende Dokumentation vorschreibt. Zumindest soweit denn eine DSFA durchgeführt werden muss. Dies folgt aus Erwägungsgrund 90 der DSGVO. Demnach dient die DSFA dazu, die Einhaltung der DSGVO nachweisen zu können, womit die DSFA dem gesetzgeberischen Willen nach auch den Dokumentationszwecken dient.
Zur Erstellung einer DSFA eignet sich das Tool „PIA“ (Privacy Impact Assessment) der französischen Aufsichtsbehörde CNIL, das von ihr frei zur Verfügung gestellt wird. Wird keine DSFA durchgeführt, sind die Gründe hierfür ebenfalls zu dokumentieren. Generell sollten alle Risikoabschätzungen dokumentiert werden.
Datenschutzrichtlinie / Datenschutz-Policy
Die DSGVO fordert zwar nicht explizit das Vorhandensein einer unternehmensweiten Datenschutzrichtlinie, jedoch wird ein effektives Datenschutzmanagement-System ohne eine dokumentierte, und für Mitarbeiter abrufbare Datenschutzrichtlinie, die eine Orientierung über unternehmensinterne Verfahren und Prozesse gibt, nur schwer umzusetzen sein. In der Datenschutzrichtlinie können die unternehmensweiten Datenschutzgrundsätze, zu denen sich das Unternehmen verpflichtet, sowie wichtige Regelungen zur Umsetzung von Betroffenenrechten und dem Verhalten bei Datenpannen definiert werden.
Vertragsmanagement / Auftragsverarbeitung
Die Mehrzahl der Datenverarbeitungen eines Unternehmens werden auf Verträgen beruhen (Art. 6 Abs.1 lit. b DSGVO). Schon wegen der allgemeinen Rechenschaftspflicht gem. Art. 5 Abs. 2 DSGVO, wonach der Verantwortliche im Zweifel Rechenschaft darüber ablegen muss, dass durchgeführte Datenverarbeitungen rechtmäßig sind, gebietet es sich, geschlossene Verträge zu dokumentieren und sicher aufzubewahren. Dies gilt besonders für Auftragsverarbeitungsverträge gem. Art. 28 DSGVO.
Löschkonzept
Auch ist es mit Blick auf die Löschpflicht des Verantwortlichen gem. Art. 17 DSGVO erforderlich, ein Löschkonzept verfügbar zu halten, aus welchem sich zumindest die Grundsätze der im Unternehmen praktizierten Löschungsroutinen widerspiegeln.
Müssen auf Datenschutz-Folgenabschäzungen für alte Verfahren gemacht werden? Wie weit muss man bzw sollte man zurückgehen?
Besten Dank!
Die DSFA sollte auch für bestehende Verarbeitungen (nachträglich) durchgeführt werden, soweit durch eine zu einem früheren Zeitpunkt eingeführte Verarbeitung ein hohes Risiko für die Betroffenen begründet. Aufgrund des risikobasierten Ansatzes der DSGVO wird es keine Rolle spielen, wie lange die Einführung der risikoreichen Datenverarbeitung her ist.
Die Art.29-Datenschutzgruppe geht im überarbeiteten Working-Paper 248 vom 04.10.2017 ebenfalls davon aus, dass die DSFA nicht nur für die Einführung von Verarbeitungen nach der Anwendbarkeit der DSGVO (also ab dem 25.05.2018) gilt.
Die Aufsichtsbehörden orientieren sich gerne an den Empfehlungen der Art. 29-Datenschutzgruppe, da es sich hierbei um ein unabhängiges Beratungsgremium der Europäischen Kommission in Fragen des Datenschutzes handelt.
Hallo,
vielen Dank für den informativen Artikel, auf welchen ich erst kürzlich gestoßen bin.
Das Verzeichnis der Verarbeitungstätigkeiten beschäftigt mich allerdings etwas. Geplant ist für jeden Prozess innerhalb eines Unternehmens, in welchem personenbezogene Daten verarbeitet werden, ein solches Verzeichnis zu erstellen. Für die meisten Prozesse gibt es Prozessverantwortliche, müssen/sollten diese Leute (also im Grunde Mitarbeiter) das jeweilige Verzeichnis unterschreiben, oder hat stet’s die Geschäftsführung jedes Verzeichnis zu unterschreiben?
Für einen Rat wäre ich sehr dankbar.
Mit freundlichen Grüßen
Mof
Das Verarbeitungsverzeichnis zu unterzeichnen ist keine Pflicht, die sich aus der DSGVO ergibt. In der Regel wird sich wohl die Geschäftsführung verantwortlich zeichnen.
Wie lange müssen Meldungen nach Art. 33/34 DS-GVO zu Dokumentationszwecken im Unternehmen aufbewahrt werden?
Vielen Dank im Voraus
Grüße
Die DSGVO enthält keine Bestimmung zur Aufbewahrungsdauer der im Rahmen von Art. 33 und 34 DSGVO erstellten Dokumentation. Die Artikel 29 Datenschutzgruppe stellt in Ihren zuletzt am 6.Februar 2018 überarbeiteten „Leitlinien für die Meldung von Verletzungen des Schutzes personenbezogener Daten gemäß der Verordnung (EU) 2016/679“ hierzu lediglich fest:
„Die DSGVO sieht keine Aufbewahrungsfrist für diese Dokumentation vor. Wenn die Aufzeichnungen personenbezogene Daten enthalten, obliegt es dem Verantwortlichen, die angemessene Aufbewahrungsfrist entsprechend den Grundsätzen für die Verarbeitung personenbezogener Daten.“
Für den Verantwortlichen birgt eine Löschung relevanter Informationen vor Ablauf bestehender Verjährungsfristen die Gefahr, sich im Falle einer Inanspruchnahme möglicherweise nicht verteidigen zu können und selbst im Falle eigentlich haltloser Ansprüche zu unterliegen. Das Interesse an der Speicherung der Daten für die Dauer der laufenden Verjährungsfristen kann daher erheblich sein.
Vor diesem Hintergrund kann es sich anbieten, hinsichtlich der Löschfristen für im Kontext von Art. 33 und 34 DSGVO erstellten Dokumente an gesetzliche Verjährungsfristen zu orientieren.
Nach § 31 Abs.2 Nr.1 OWiG gilt, dass die Verfolgung für Ordnungswidrigkeiten die mit Geldbuße von mehr als fünfzehntausend Euro bedroht sind, nach 3 Jahren verjährt. Da diese Frist im Gleichtakt zur allgemeinen Verjährungsfrist läuft, die etwa bei zivilrechtlichen Ansprüchen Berücksichtigung finden kann, sollten die entsprechenden Dokumente mindestens 3 Jahre mit Beginn des Endes des Geschäftsjahres, in dem das Dokument erstellt wurde, aufbewahrt werden.
Vielen Dank für den informativen Artikel!
Ist bzw. wie ist die Bearbeitung von Betroffenenrechtsanfragen zu dokumentieren? Ich nehme an 3 Jahre sollte die Dokumente aufbewahrt werden – orientiert an §31 Abs. 2 Nr 1 OWiG.
Reicht es aus nur festzuhalten Kunde X hat am XX.XX. Löschung beantragt, gelöscht wurden am XX.XX folgende Datenkategorien? Wenn ich sonst alles was ich lösche aufliste, umgehe ich doch die eigentlich veranlasste Löschung. Wenn ich bspw. den ganzen Löschprozess, inkl. der internen Kommunikation aufbewahre, sind ja einige Kundendaten noch ersichtlich.
Vielen Dank
Richtig, zur Erfüllung der Nachweispflichten hinsichtlich der Bearbeitung und Umsetzung des Löschbegehrens, sowie dem Schutz vor effektiven oder missbräuchlichen Anfragen, sollten die personenbezogene Daten und Informationen, die im Zusammenhang mit dem geäußerten Löschbegehren erhoben und gespeichert werden, für eine Dauer von drei Jahren ab Beendigung des Vorgangs gespeichert bleiben.
Dies betrifft im Wesentlichen die ursprüngliche Anfrage des Betroffenen und die Korrespondenz mit diesem hinsichtlich seines Anliegens. Hierfür wird man als Verantwortlicher immer ein berechtigtes Interesse gem. Art. 6 Abs.1 lit.f DSGVO anführen können, auch wenn dies die weitere Sichtbarkeit bestimmter Kundendaten bedingt. Die Speicherung dieser Daten in diesem Zusammenhang sollte daher immer unproblematisch sein.
Verantwortliche werden in diesem Zusammenhang auch zusätzlich vor dem Problem stehen, die Löschung selbst nachweisen zu können. In diesem Zusammenhang läuft man schnell in Gefahr, durch die Protokollierung des Löschvorgangs diesen ein stückweit ad absurdum zu führen, da durch eine solche Dokumentation, unabhängig vom erheblichen Arbeits- und Dokumentationsaufwand, wiederum umfangreiche Sekundärdaten erhoben und gespeichert werden können. Aufsichtsbehördliche Hinweise zu dieser Problematik sind nicht bekannt.