Datenschutzmanagement und Datenschutzdokumentation mit Datenschutzsoftware bzw. Generator erstellen – Wie geht das?
Datenschutzdokumentation für Unternehmen nach DSGVO oder DSG neu der Schweiz durch Datenschutzsoftware oder Generator möglich?
Die Datenschutz-Grundverordnung (DS-GVO), welche seit 25. Mai 2018 ihre Anwendung in der Praxis findet, erlegt den Verantwortlichen, neben der Beachtung der grundliegenden Datenverarbeitungsgrundsetzen und den Individualrechten der Betroffenen, ebenfalls umfassende Dokumentationspflichten für bestimmte Prozesse im Unternehmen auf.
Ebenfalls zu beachten gilt das neue Schweizer Datenschutzrecht, welches ab dem 01. September 2023 in Kraft tritt. Davon sind das Schweizer Datenschutzgesetz (CH DSG neu), die Schweizer Datenschutzverordnung (DSV) und die Verordnung über Datenschutzzertifizierungen (VDSZ) umfasst. Das neue Datenschutzrecht der Schweiz beinhaltet ebenfalls wie die DSGVO umfangreiche Dokumentationspflichten bei Datenbearbeitung von Unternehmen als Auftragsbearbeiter oder als Verantwortlicher, weitere Informationen finden Sie bei der AID24 Rechtsanwaltskanzlei, welche auch als EU-Vertreter für Unternehmen aus der Schweiz in DSGVO-Angelegenheiten in der Union tätig ist.
Diese Datenschutzdokumentation ist für die Unternehmen verpflichtend. Was insbesondere für Online Shops eine besondere Herausforderung darstellt. Die Lösung wäre eine Datenschutzmanagement Software (DSM Online) wie unter datenbuddy.de mit welcher schnell und nahezu ohne Fachwissen die Erstellung der notwendigen Dokumente für zahlreiche Bereiche auch durch Einsatz der Mitarbeiter im jeweiligen Unternehmen erledigt werden kann
- Die fertigen Dokumente können allen 16 Landesdatenschutzbehörden, Geschäftspartnern und Kunden auf Anfrage vorgelegt werden.
- Datenschutzdokumentation online einfach, schnell und preiswert erledigt
- Download der fertigen Dokumente als handliche PDF zum Ausdrucken
- Von Experten für Dich: Dokumente nach anwaltlich geprüften Mustern
- Verarbeitungsverzeichnis, TOMs, Löschkonzept, Datenschutzerklärung, Erfassung deiner Auftragsverarbeiter, Datenschutzkonzept u.v.m.
Ohne eine angemessene datenschutzrechtliche Dokumentation bzw. mittels Datenschutzmanagementsystem kann der z.B. in Art. 5 Abs. 2 DSGVO normierten Rechenschaftspflicht nicht ausreichend gerecht werden. Eine solche vollumfängliche Dokumentation der Datenschutzpraktiken eines Verarbeiters ist notwendig, um sich im Falle eines Verstoßes gegen die Datenschutz-Grundverordnung oder andere Datenschutzstandards rechtfertigen zu können.
Diesbezüglich kann eine zuständige Aufsichtsbehörde Nachweise zum Datenschutz verlangen.
Die Bedeutung der Einhaltung datenschutzrechtlicher Vorschriften darf nicht unterschätzt werden, sonst drohen Bußgelder und Schadensersatzansprüche nach Art. 82, 83 DS-GVO. Hierbei legt die DS-GVO in Art. 83 Abs. 4 und Abs. 5 sehr hohe mögliche Strafen im Falle einer Verletzung der durch die Datenschutzgrundverordnung auferlegten Pflichten fest.
So z.B. sieht der Art 83 Abs. 4 eine Geldbuße von bis zu 10 000 000 EUR vor, oder im Fall eines Unternehmens von bis zu 2 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs, je nachdem, welcher der Beträge höher ist. Hierbei werden insbesondere die Fälle umfasst, in welchen gegen die Pflichten der
Verantwortlichen und der Auftragsverarbeiter gemäß den Artikeln 8, 11, 25 bis 39, 42 und 43; (lit. a)
Zertifizierungsstelle gemäß den Artikeln 42 und 43; (lit. b)
Überwachungsstelle gemäß Artikel 41 Absatz 4. (lit. c) verstoßen wird.
Eine wesentlich höhere Geldbuße von bis zu 20 000 000 EUR, oder im Fall eines Unternehmens von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs, wird, abhängig davon, welcher der Beträge höher ist, insbesondere in den Fällen verhängt, in welchen
die Grundsätze für die Verarbeitung, einschließlich der Bedingungen für die Einwilligung, gemäß den Artikeln 5, 6, 7 und 9; (lit.a)
die Rechte der betroffenen Person gemäß den Artikeln 12 bis 22;(lit.b)
die Übermittlung personenbezogener Daten an einen Empfänger in einem Drittland oder an eine internationale Organisation gemäß den Artikeln 44 bis 49;(lit.c)
alle Pflichten gemäß den Rechtsvorschriften der Mitgliedstaaten, die im Rahmen des Kapitels IX erlassen wurden;(lit.d)
und/oder die Nichtbefolgung einer Anweisung oder einer vorübergehenden oder endgültigen Beschränkung oder Aussetzung der Datenübermittlung durch die Aufsichtsbehörde gemäß Artikel 58 Absatz 2 oder Nichtgewährung des Zugangs unter Verstoß gegen Artikel 58 Absatz 1. (lit.e)
von den Verantwortlichen missachtet worden sind. Die genaue Höhe der Geldbußen und Schadenersatzforderungen richten sich nach den Umständen des Einzelfalls. Falls eine solche Strafe droht, sollte unbedingt rechtlicher Beistand gesucht werden
Länderspezifische Gesetze insbesondere das DSG neu der Schweiz ab 01.09.2023
Über in diesem Artikel hinaus genanntes können oder müssen regelmäßig nationale Regelungen, insbesondere Datenschutzgesetze, zur richtigen Einhaltung des Datenschutzes hinzugezogen werden. So verweisen beispielsweise Art. 82 Abs.1 DS-GVO i. V. m. Erwägungsgrund 146 zur DS-GVO, sowie Art. 83 Abs. 8 DS-GVO, bei Schadensersatz- und Bußgeldangelegenheiten auf das Recht der Mitgliedstaaten der Union.
Im Deutschsprachigen Raum sind davon primär Deutschland und Österreich umfasst.
In Deutschland gilt neben der DS-GVO insbesondere das Bundesdatenschutzgesetz (BDSG). Dieses findet gemäß § 1 BDSG neben öffentlichen Stellen auch Anwendung auf Verantwortliche und Auftragsverarbeiter und ist deshalb für eine gesetzeskonforme Verarbeitung personenbezogener Daten von Bedeutung. Vorschriften der DS-GVO werden durch das Gesetz teilweise ergänzt, eingeschränkt oder näher ausgeführt. So finden sich z.B. Regelungen zum Klagerechtsweg von Betroffenen (§ 44 BDSG). Außerdem wird auf weitere Gesetze verwiesen, wie beispielsweise das Gesetz über Ordnungswidrigkeiten (§ 41 BDSG).
Ergänzend zu unten aufgeführten Vorschriften der DS-GVO sind insbesondere folgende Abschnitte des BDSG relevant:
Rechtsgrundlagen der Verarbeitung, §§ 22-31 und §§ 48-54 BDSG
Rechte der betroffenen Person, §§ 32-37 und §§ 55-61 BDSG
Pflichten von Verantwortlichen und Auftragsverarbeitern, §§ 62-77 BDSG, darunter beispielsweise das Verzeichnis von Verarbeitungstätigkeiten, § 70 BDSG
Sanktionen und Rechtsbehelfe, §§ 41-44 und §§ 83, 84 BDSG
Allgemein kann festgehalten werden, dass, wann immer ein in Deutschland ansässiger Verantwortlicher Daten verarbeitet, davon auszugehen ist, dass sich im BDSG eine der DS-GVO vergleichbare bzw. ähnelnde Vorschrift befindet, welche ebenfalls zu beachten ist. Vorrangig ist jedoch stets die DS-GVO.
Ein gutes Indiz für die Relevanz der Bundesgesetze ist der Wortlaut der DS-GVO. Art. 6 Abs. 3, S. 1, lit. b) DSGVO oder der oben aufgeführte Art. 83 Abs. 8 DS-GVO – um einzelne Beispiele zu nennen – sprechen vom „Recht der Mitgliedsstaaten“. Besonders in solchen Fällen ist das BDSG mit einzubeziehen.
In Österreich gilt, vergleichbar mit der Situation in Deutschland, das österreichische Datenschutzgesetz (AT DSG neu). Eine von der österreichischen Datenschutzbehörde bereitgestellte Zusammenfassung der wichtigsten österreichischen Vorschriften, die den Datenschutz betreffen, finden Sie unter https://www.dsb.gv.at/recht-entscheidungen/gesetze-in-oesterreich.html (zuletzt aufgerufen am 28.02.2023).
Da die Schweiz kein Mitgliedstaat der Europäischen Union ist, findet die DSGVO dort nicht direkt Anwendung. Es ist aber zu prüfen, ob ein datenverarbeitendes Unternehmen beispielsweise eine Niederlassung innerhalb der Union hat. In diesem Fall würde die DSGVO auch für das Unternehmen gelten. Ebenfalls zu beachten gilt das neue Schweizer Datenschutzrecht, welches ab dem 01.09.2023 in Kraft tritt. Davon sind das Schweizer Datenschutzgesetz (CH DSG neu), die Schweizer Datenschutzverordnung (DSV) und die Verordnung über Datenschutzzertifizierungen (VDSZ) umfasst. Genaue Informationen bezüglich Auftragsbearbeitung und Datenbearbeitung der Schweiz, aus einer staatlichen Quelle, können Sie unter https://www.admin.ch/gov/de/start/dokumentation/medienmitteilungen.msg-id-90134.html (zuletzt aufgerufen am 28.02.2023) nachlesen sowie unter https://www.fedlex.admin.ch/eli/cc/2022/491/de (zuletzt aufgerufen am 28.02.2023)
- Die fertigen Dokumente können allen 16 Landesdatenschutzbehörden, Geschäftspartnern und Kunden auf Anfrage vorgelegt werden.
- Datenschutzdokumentation online einfach, schnell und preiswert erledigt
- Download der fertigen Dokumente als handliche PDF zum Ausdrucken
- Von Experten für Dich: Dokumente nach anwaltlich geprüften Mustern
- Verarbeitungsverzeichnis, TOMs, Löschkonzept, Datenschutzerklärung, Erfassung deiner Auftragsverarbeiter, Datenschutzkonzept u.v.m.
Was sind die DSGVO-Dokumentations- und Datenschutz-Software-
Compliance-Anforderungen?
Die Datenschutz-Grundverordnung enthält verschiedene Vorgaben (Dokumentationspflichten) zur ordnungsgemäßen Dokumentation relevanter Geschäftstätigkeiten, welche durch die Datenschutzsoftware unter www.datenbuddy.de mittels Generator zum zum Datenschutz Management abgewickelt werden können. Mit Datenbuddy.de können die Verantwortlichen durch Implementierung ein Datenschutzmanagement System in Ihrem Unternehmen die Einhaltung des Datenschutzes aufbauen. Indem Sie oder ein Datenschutzbeauftragter die relevante Dokumentation mit der Software für Ihr Unternehmen erstellen. Zur Datenschutz Compliance zählen Dokumentation der AV-Verträge, Verzeichnisse zu Verarbeitungstätigkeiten mit Rechtsgrundlage der Verarbeitung, Datenschutz Folgenabschätzungen, Nachweise der Schulungen der Mitarbeiter im Datenschutz (Mitarbeiterschulungen), Nachweis der Bestellung Datenschutzbeauftragte, Verhalten bei Datenpannen, Übersicht der Abläufe und Risiken für Nutzer, usw.. alles DSGVO konform entsprechend der Rechtslage der EU.
Nach Art. 5 Abs. 2 DS-GVO haben Verantwortliche eine sogenannte „Rechenschaftspflicht“ für die in Art. 5 Absatz 1 DS-GVO normierten, nachfolgend dargestellten Standardisierungsgrundsätze für die Verarbeitung personenbezogener Daten:
Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz (lit. a)
Zweckbindung (lit. b)
Datenminimierung (lit. c)
Richtigkeit (lit. d)
Speicherbegrenzung (lit. e)
Integrität und Vertraulichkeit (lit. f)
Der Unternehmer bzw. Geschäftsführer ist für die Einhaltung der Datenverarbeitungsgrundsätze verantwortlich und muss diese vor den zuständigen Stellen nachweisen können. Die Anforderungen an die Rechtmäßigkeit der Verarbeitung richten sich nach Art. 6 DS-GVO. Soweit die Verarbeitung auf einer Einwilligung beruht, enthalten Artikel 7 und 8 der DS-GVO nähere Einzelheiten zu diesem Aspekt.
Art. 9 DS-GVO enthält strengere Sonderregelungen, soweit die Verarbeitung besondere Kategorien personenbezogener Daten umfasst (nach Absatz 1 sind dies personenbezogene Daten, aus denen unter anderem auf die ethnische Herkunft, Glaubensrichtung, politische Meinung, Gewerkschaftszugehörigkeit oder Gesundheit einer betroffenen Person geschlossen werden kann).
Die Artikel 13 und 14 der Datenschutzgrundverordnung berücksichtigen den Grundsatz der Transparenz im Detail und enthalten die Informationspflicht von Unternehmen gegenüber betroffenen Personen.
Nach Art. 24 Abs. 1, Art. 25 Abs. 2 DS-GVO soll der Verantwortliche durch geeignete technische und organisatorische Maßnahmen (sog. TOM) sicherstellen, dass die Datenverarbeitung rechtmäßig erfolgt und der Verantwortliche dies ausdrücklich nachweisen kann.
Art. 28 DS-GVO regelt die Auftragsabwicklung und definiert diesbezügliche Informations- und Dokumentationspflichten. Eine Auftragsverarbeitung bedeutet, dass jemand anderes, oder eine andere Stelle, die Daten in Rahmen eines Auftrages für den Verantwortlichen bearbeitet. Auch hierbei werden den Auftragsverarbeiter(n) die Pflichten der DS-GVO- konformen Datenverarbeitung auferlegt. Für die datenschutzrechtliche Dokumentation ist besonders wichtig, dass nach Art. 30 DS-GVO die Pflicht besteht, ein Verzeichnis der Verarbeitungstätigkeiten (VVT) zu führen.
Darüber hinaus bestehen Anforderungen an
die Datenschutz-Folgenabschätzung (Artikel 35 DS-GVO)
die Pflicht zur Bestellung von Datenschutzbeauftragten (Artikel 37 DS-GVO)
und die Übermittlung von Daten an sogenannte Drittstaaten (Artikel 44-50 DS-GVO).
Daher verlangt die DS-GVO eine vollständige Dokumentation, welche insbesondere die folgenden Vorgänge umfasst, die von einer Datenschutzsoftware, wie der von Datenbuddy unter www.datenbuddy.de zur Verfügung gestellten, abgewickelt werden können:
Verzeichnis für Verarbeitungstätigkeiten (VVT), vgl. Art. 30 DS-GVO
Technische und organisatorische Maßnahmen (TOM), vgl. Art.5 Abs.1 lit. f., Art. 24 Abs.1 DS-GVO.
Einwilligungen und Interessenabwägungen, soweit diese sich auf eine Datenverarbeitung beziehen (vgl. Art.6 Abs. 1 lit. f., Art. 7, Art. 14 Abs.2 lit. a DS-GVO)
Definition und Dokumentation von Löschfristen für die Bearbeitung personenbezogener Daten (vgl. Art. 5 Abs. 1 lit. c., Art. 13 Abs. 2 lit. a DS-GVO)
Anfragen von Betroffenen sowie Bearbeitung dieser Anfragen (bspw. Art. 15 DS-GVO)
Das Vorliegen einer ordnungsgemäßen Datenschutzerklärung
Benennung und Tätigkeitsnachweis des Datenschutzbeauftragten
Maßnahmen zur Sicherstellung eines geeigneten Datenschutzniveaus in Drittländern, soweit eine Datenübermittlung in Drittländer erfolgt
Im Falle einer Datenpanne: Risikoabwägung und Meldung (vgl. Art. 33, 34 DSGVO)
Datenschutzfreundliche Voreinstellungen (Art. 25 DSGVO)
Verpflichtung zur Vertraulichkeit und Schulung der Beschäftigten (Art. 28 Abs.3 lit. h., 24 Abs.1 DSGVO)
Die regelmäßige Kontrolle von Dienstleistern bzw. Auftragsverarbeitern, falls mit diesen gearbeitet wird (Art. 28 Abs.3 lit. h DS-GVO)
Was sollte ein Verzeichnis für Verarbeitungstätigkeiten bzw.
Datenbearbeitungen enthalten?
Gemäß Artikel 30 Absatz 1 DSGVO muss der Verantwortliche und gegebenenfalls sein Vertreter über alle Verarbeitungstätigkeiten bzw. Datenbearbeitungen in seiner Verantwortung Aufzeichnungen führen, um seine Verantwortlichkeiten überprüfen und der Rechenschaftspflicht gerecht werden zu können. Die Einrichtung eines Datenschutzmanagements, beispielsweise für externe Datenschutzbeauftragte, um Datenschutzbehörden folgendes der Datenschutzorganisation durch Dokumentationen nachweisen zu können:
die Einhaltung der Datenschutzgesetze, wie unter anderem der DS-GVO
Informationen zu Datenflüssen
Überblick über Praktiken im Zusammenhang mit Verarbeitungstätigkeiten des Verarbeiters.
Im Verzeichnis müssen folgende Informationen des Datenschutzmanagement Systems enthalten sein:
Name und die Kontaktdaten des Verantwortlichen und gegebenenfalls des gemeinsam mit ihm Verantwortlichen, des Vertreters des Verantwortlichen sowie eines etwaigen Datenschutzbeauftragten; (lit. a)
die Zwecke der Verarbeitung; (lit. b)
eine Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten; (lit. c)
die Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, einschließlich Empfänger in Drittländern oder internationalen Organisationen; (lit. d)
(soweit der Fall) Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation, einschließlich der Angabe des betreffenden Drittlands oder der betreffenden internationalen Organisation, sowie bei den in Artikel 49 Absatz 1 Unterabsatz 2 genannten Datenübermittlungen die Dokumentationspflicht deckende geeignete Garantien; (lit. e)
(soweit möglich) die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien; (lit. f)
(soweit möglich) eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Artikel 32 Absatz
1. (lit. g) unterliegen der Dokumentationspflicht
Was gilt in Bezug auf das VVT, wenn eine Auftragsverarbeitung bzw.
Auftragsbearbeitung vorliegt?
Zusätzlich zu Absatz 1 verlangt Artikel 30 Absatz 2 der DS-GVO, dass jeder Auftragsverarbeiter bez. Auftragsbearbeiter und gegebenenfalls dessen Vertreter ebenfalls ein VVT über alle im Auftrag des Auftragsverarbeiters bzw. Auftragsbearbeiters durchgeführten Verarbeitungstätigkeiten führt. Zwischen den Parteien wird in der Regel ein Auftragsverarbeitungsvertrag bzw. Auftragsbearbeitungsvertrag geschlossen.
Dieses muss folgende Angaben enthalten:
Den Namen und die Kontaktdaten des Auftragsverarbeiters oder der Auftragsverarbeiter bzw. Auftragsbearbeiter und jedes Verantwortlichen, in dessen Auftrag der Auftragsverarbeiter bzw. Auftragsbearbeiter tätig ist, sowie gegebenenfalls des Vertreters des Verantwortlichen oder des Auftragsverarbeiters und eines etwaigen Datenschutzbeauftragten bzw. Datenberaters; (lit. a)
die Kategorien von Verarbeitungen, die im Auftrag jedes Verantwortlichen durchgeführt werden; (lit. b)
(soweit der Fall) Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation, einschließlich der Angabe des betreffenden Drittlands oder der betreffenden internationalen Organisation, sowie bei den in Artikel 49 Absatz 1 Unterabsatz 2 genannten Datenübermittlungen die Dokumentierung geeigneter Garantien; (lit. c)
(wenn möglich) eine allgemeine Beschreibung der TOMs gemäß Artikel 32 Absatz 1. (lit. d)
Der Auftragsverarbeiter hat gemäß Art. 28 Abs.1 DS-GVO i. V. m. Art 32 Abs.1 DS-GVO die Durchführung geeigneter technisch-organisatorischer Maßnahmen zum angemessenen Schutz der verarbeiteten Daten hinreichend zu garantieren. Hierauf erstrecken sich auch die datenschutzrechtlichen Dokumentationspflichten des Verantwortlichen.
- Die fertigen Dokumente können allen 16 Landesdatenschutzbehörden, Geschäftspartnern und Kunden auf Anfrage vorgelegt werden.
- Datenschutzdokumentation online einfach, schnell und preiswert erledigt
- Download der fertigen Dokumente als handliche PDF zum Ausdrucken
- Von Experten für Dich: Dokumente nach anwaltlich geprüften Mustern
- Verarbeitungsverzeichnis, TOMs, Löschkonzept, Datenschutzerklärung, Erfassung deiner Auftragsverarbeiter, Datenschutzkonzept u.v.m.
Welche formellen Vorgaben sind in Bezug auf das VVT bei Nutzung einer
Datenschutzmanagement Software in Unternehmen zu beachten?
Gemäß Art. 30 Abs. 5 DS-GVO besteht – vorbehaltlich Ausnahmen – die Pflicht zur Führung eines VVTs nach Art. 30 Abs. 1 Nr. 2 DS-GVO nicht für Unternehmen mit weniger als 250 Beschäftigten. Das Verzeichnis ist schriftlich (auch in elektronischer Form) zu führen (Art. 30 Abs. 3 DS-GVO) und der Aufsichtsbehörde auf Verlangen vorzulegen (Art. 30 Abs. 4 DS-GVO).
Was gilt bezüglich technischer und organisatorischer Maßnahmen (TOMs) im Hinblick auf datenschutzrechtliche Dokumentation?
Neben der Auflistung der Verarbeitungstätigkeiten sind technische und organisatorische Maßnahmen zur Gewährleistung der Sicherheit der Datenverarbeitung (bei personenbezogenen Daten) von großer Bedeutung. Gemäß Art. 32 Abs. 1 DS-GVO müssen Verantwortliche und Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen treffen, um ein angemessenes Schutzniveau, abhängig vom entsprechenden Risiko, zu gewährleisten. Diese „TOM“s umfassen alle technischen oder auch datenschutzrechtliche Maßnahmen, durch die der Schutz und die Sicherheit der Datenverarbeitung im Rahmen von physischen Maßnahmen umgesetzt werden kann.
Technische und organisatorische Maßnahmen sind Sicherheitsmaßnahmen, die gemäß Art. 32 Abs. 1 DS-GVO unter Berücksichtigung verschiedener Faktoren getroffen werden müssen.
Dazu gehört der aktuelle Stand der Technik, die Kosten der Umsetzung sowie Art, Umfang, Umstände und Zweck der Verarbeitung personenbezogener Daten.
Diese Maßnahmen können umfassen, sind aber nicht beschränkt auf:
die Pseudonymisierung und Verschlüsselung personenbezogener Daten; (lit.a)
die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen; (lit. b)
die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen; (lit. c)
ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung. (lit. d)
„Pseudonymisierung“ bedeutet den Wegfall der Zuordnungsmöglichkeit personenbezogener Daten. Dies kann insbesondere dadurch erfolgen, dass Daten durch Zahlenfolgen ersetzt werden, wie z. B. Benutzerkennungen. Diese liegt in der Regel auch dann vor, wenn die Daten lediglich mit der Hinzuziehung zusätzlicher Informationen (z.B. Identifikationsschlüsseln) den Rückschluss auf die Identität des Verarbeitungssubjekts ermöglichen. Für eine Pseudonymisierung ist zu beachten, dass die Daten, welche auf einen Rückschluss auf die Identität des Subjekts hindeuten, voneinander getrennt aufbewahrt werden müssen.
„Verschlüsselung“ bedeutet den Schutz personenbezogener Daten vor unbefugtem Zugriff, wie beispielsweise der Verwendung eines Passworts. Die Verschlüsselung allein ist jedoch nicht zwingend ausreichend, denn diese verhindert lediglich ein unbefugtes Lesen des Datums und ist insoweit eine Maßnahme der Zugangskontrolle, welches nur einen Teilaspekt des datenschutzrechtlichen Schutzbedarfs abdeckt.
Für TOMs besteht ebenfalls eine Dokumentationspflicht zur Erfüllung der Datenschutzpflichten nach der DS-GVO.
Was wird im Falle einer Überprüfung gefordert? Wann ist mit einer Überprüfung durch die Aufsichtsbehörde zu rechnen
Die Zuständigkeiten, Aufgaben und Befugnisse der Aufsichtsbehörde sind in den Artikeln 55 bis 59 der DS-GVO festgelegt. Verarbeiter können im Falle eines offensichtlichen Datenschutzverstoßes, nach Eingang einer Beschwerde oder auch nach einer Zufallsauswahl überprüft werden. Dementsprechend ist dazu zu raten, stets eine solche Überprüfung vorbereitet zu sein, um bei einer unerwarteten, zufälligen Kontrolle nicht unangenehm überrascht zu werden.
Im Falle einer Betriebsprüfung verlangt die Aufsichtsbehörde regelmäßig die Vorlage aller relevanten Datenschutznachweise, um prüfen zu können, ob sich das Unternehmen bzw. der Verarbeiter DS-GVO-konform verhält. Es ist mindestens damit zu rechnen, dass die Behörde das Verzeichnis von Verarbeitungstätigkeiten gemäß Art. 30 Abs. 4 DS-GVO anfordert. Im Einzelfall einer solchen Kontrolle ist die Rücksprache mit dem Datenschutzbeauftragten, sowie gegebenenfalls das Hinzuziehen einer Rechtsvertretung, empfehlenswert.
Wie geht man am besten bei der datenschutzrechtlichen Dokumentation vor?
Wie dieser Artikel zeigt, ist das Thema Datenschutzdokumentation nicht zu unterschätzen: Die DS-GVO stellt hohe und spezifische Anforderungen an den Datenschutz, bei deren Nichteinhaltung Sanktionen nach Art. 82, 83 DS-GVO drohen.
Damit Ihr Unternehmen auch in dieser Angelegenheit im Rahmen der DS-GVO sowie der jeweiligen Bundesgesetze handelt, sollten Sie sich an einen auf Datenschutz- und IT-Recht spezialisierten Rechtsanwalt und/oder Datenschutzbeauftragten (bzw. Datenberater) wenden. So erhalten Sie kompetente, detaillierte, auf Ihr Unternehmen zugeschnittene Beratung und praktische Empfehlungen zum Aufbau eines Datenschutzmanagementsystems mit dem Ziel einer angemessenen Datenschutzdokumentation, wie Sie sie z.B. mit der Datenschutzsoftware datenbuddy.de selbst erstellen können.