Im Rahmen des betrieblichen Datenschutzes ist die Dokumentation von großer Bedeutung. Die Dokumente sind keineswegs nur Hilfsmittel, sondern wesentliche Bestandteile der Datenschutzberatung und des Datenschutzkonzepts. Gleich mehrere Datenschutz Dokumente sind unverzichtbar. Unternehmen unterliegen der Verpflichtung, eine Dokumentation zu erstellen und diese griffbereit zu haben, unter anderem für die Durchführung von Kontrollmaßnahmen.
Welche wesentlichen Dokumente gibt es für den Datenschutz?
Es existiert eine Reihe verschiedener Datenschutzdokumente, die konkret benannt sind.
- Verzeichnis von Verarbeitungstätigkeiten: Eine interne Auflistung aller automatisierten Verarbeitungstätigkeiten personenbezogener Daten, die sowohl vom Verantwortlichen als auch vom Auftragsverarbeiter zu führen ist (Art. 30 DSGVO). Das Verzeichnis dient als wesentliche Grundlage für eine strukturierte Datenschutzdokumentation und ist besonders für Datenschutz-Kontrollen ein wichtiges Instrument. Es ist auf Verlangen einer Aufsichtsbehörde vorzulegen.
- Datenschutzkonzept/-richtlinie: Ein sehr umfassendes Dokument, das eine Zusammenfassung aller Maßnahmen zum Datenschutz eines Unternehmens darstellt und über die Rechtmäßigkeit der jeweiligen Datenverarbeitungen informiert. Es nimmt eine zentrale Rolle im Datenschutzmanagement ein.
- Datenschutzfolgeabschätzung: Eine vorhergehende dokumentierte Prüfung beabsichtigter Datenverarbeitungen, die ein hohes Risiko für die bürgerlichen Freiheitsrechte zur Folge haben, insbesondere beim Einsatz neuer Technologien oder großer Datenmengen.
- Datenschutzhinweise: Informieren darüber, in welchem Rahmen eine Datenverarbeitung stattfindet, d.h. wie die Daten erhoben und verarbeitet werden. Entsprechende Datenschutz Dokumente sind nicht nur auf Webseiten vorzufinden, sondern auch häufig Bestandteil von Vertriebs- und Vertragsunterlagen.
- Relevante Betriebsvereinbarungen: Werden mit Mitarbeitern – z.B. als Bestandteil von Arbeitsverträgen – getroffen, um sicherzustellen, dass die Verarbeitung von personenbezogenen Mitarbeiterdaten als rechtmäßig gilt. Ergänzend können weitere Vereinbarungen getroffen werden, die beispielsweise nur Mitarbeiter einer bestimmten Abteilung zu unterzeichnen haben.
- Verpflichtung auf die Vertraulichkeit: Mitarbeiter, die im Rahmen ihrer Tätigkeit personenbezogene Daten verarbeiten, sollten auf Verschwiegenheit verpflichtet werden. Dies geschieht, indem sie eine Vertraulichkeitsvereinbarung unterzeichnen.
- Vereinbarungen zur Auftragsverarbeitung: Es gibt Unternehmen, die personenbezogene Daten von externen Partnern verarbeiten lassen. Über solch einen Auftrag muss ein Vertrag geschlossen werden, der detailliert ausformuliert ist und unter anderem Verantwortlichkeiten klar definiert.
- Dokumentation technisch-organisatorischer Maßnahmen (TOM): Dokumentation von Maßnahmen, die den Schutz der Verarbeitung personenbezogener Daten gewährleisten sollen. Die schriftliche Dokumentation ausreichender Garantien (TOMs) ist im Rahmen der Überprüfung bei Auftragsverarbeitungen erforderlich.
Wer ist für die Erstellung der Datenschutz-Dokumente verantwortlich?
In Anbetracht der vielen und zum Teil sehr verschiedenen Dokumente muss die Verantwortlichkeit nicht zwangsläufig bei einer Person liegen. Schlussendlich kommt es darauf an, welche Regelung im Unternehmen getroffen wird. Die Erstellung obliegt auch nicht ausschließlich dem Datenschutzbeauftragten – er muss nur sicherstellen, dass alle erforderlichen Dokumente existieren. Dementsprechend ist es möglich, dass er die Erstellung der Datenschutz Dokumentation koordiniert und zugleich Verantwortliche innerhalb der Organisation bestimmt.
In der Praxis ist der Datenschutzbeauftragte bei der Erstellung von Datenschutz Dokumenten zumeist intensiv eingebunden. Zahlreiche Dokumente erstellt er selbst oder arbeitet eng mit den Mitarbeitern aus den einzelnen Abteilungen zusammen. Letztere haben dann dafür Sorge zu tragen, dass die Mitglieder ihrer Abteilungen die erforderlichen Dokumente zur Hand haben oder gar unterzeichnen. Zudem ist es in bestimmten Bereichen empfehlenswert, auch die Geschäftsführung einzubeziehen, um Auswirkungen des Datenschutzes auf geschäftliche Prozesse frühzeitig zu erkennen.
Was sollte im Datenschutzkonzept stehen?
Zunächst ist anzumerken, dass der Begriff „Datenschutzkonzept“ nicht das Gesamtkonzept meint, welches den vollständigen Datenschutz innerhalb des Unternehmens regelt. Vielmehr handelt es sich hierbei um eines von mehreren bedeutsamen Dokumenten. Wie zuvor schon erläutert wurde, informiert es über die Rechtmäßigkeit der Verarbeitung von personenbezogenen Daten innerhalb der jeweiligen Organisation.
Beim eigentlichen Gesamtkonzept (am besten auf einem Datenschutz-Managementsystem basierend) ist es essentiell, dass es je nach Unternehmen ganz unterschiedlich ausgestaltet wird. Das Konzept muss optimal auf die individuelle Situation abgestimmt sein – nur so lässt sich eine vollständige Absicherung garantieren. Folglich empfiehlt es sich nicht, sich im Internet auf die Suche nach solchen Konzepten zu begeben und zu versuchen, diese zu kopieren.
Um professionell und rechtssicher zu handeln, sollten zunächst die relevanten Bereiche im Unternehmen identifiziert werden, um daraufhin ein maßgeschneidertes Konzept zum Datenschutz zu entwickeln.
Was kann ein externer Datenschutzbeauftragter tun?
Zu Beginn der Datenschutzberatung besteht eine zentrale Aufgabe darin, das Datenschutzkonzept zu entwickeln. Hierbei ist der Datenschutzbeauftragte fest eingebunden und stellt zugleich sicher, dass später eine konsequente Umsetzung des Konzepts erfolgt. Außerdem gewährleistet er, dass auf Änderungen (z.B. durch gesetzliche Einflüsse oder durch Umstellung von Geschäftsprozessen) reagiert wird und somit die Datensicherheit bestehen bleibt. Hiermit übernimmt der Datenschutzbeauftragte eine komplexe und letztlich bedeutsame Aufgabe.
Ein externer Datenschutzbeauftragter hat derartige Projekte schon vielfach durchgeführt und ist daher mit der Vorgehensweise sehr vertraut. Als erfahrener Spezialist befindet kennt er die Stolpersteine und befindet sich in der Lage, zuverlässige Lösungen zeitnah auszuarbeiten.
Sollten Sie Interesse an Datenschutz Dokumenten für Ihr Unternehmen haben, sind Sie bei uns genau richtig. Wir freuen uns auf Ihre Anfrage.