Einrichtung eines Repository für unterstützende Dokumentation
Home » Biometrik » Einleitung und Geltungsbereich des Abschnitts Leitlinien » Vorbereitungsphase » Einrichtung eines Repository für unterstützende Dokumentation

Laut der DSGVO müssen die Verantwortlichen nicht nur ihren Datenschutzpflichten nachkommen, sondern auch in der Lage sein, ihre Einhaltung dieser Pflichten und der in der Norm verankerten Grundsätze nachzuweisen. Der Verantwortliche muss somit angemessene Aufzeichnungen und Unterlagen über die Datenverarbeitung und die Steuerung dieser Verarbeitung aufbewahren.

Abgesehen von einer begrenzten Anzahl von Dokumenten, die eindeutig vorgeschrieben sind (z. B. das in Artikel 30 DSGVO geforderte Verzeichnis von Verarbeitungstätigkeiten), muss der Verantwortliche ermitteln, welche Dokumente für den Nachweis der Einhaltung der Vorschriften erforderlich sind. Die nachstehenden Tabellen enthalten eine Liste der laut DSGVO vorgeschriebenen Unterlagen mit der entsprechenden Stelle im Text. Sie sollten als Mindestanforderung und nicht als erschöpfende Checkliste betrachtet werden. Auch wenn sie nicht vorgeschrieben sind, können zusätzliche Unterlagen zum Nachweis der Einhaltung erforderlich sein (z. B. Berichte über eine vorherige Konsultation der Aufsichtsbehörden, Beschreibung der getroffenen technischen und organisatorischen Maßnahmen usw.)

Unterlagen: Checkliste
1 Geeignete Datenschutzvorkehrungen Artikel 24 Absatz 2.
2 Datenschutzhinweis Artikel 12, 13, 14
3 Datenspeicherungserklärung Artikel 5, 13, 17 und 30
4 Datenspeicherungsplan Artikel 30
5 Verzeichnis von Verarbeitungstätigkeiten (ggf.) Artikel 30
6 Einwilligungserklärung (ggf.) Artikel 6, 7, 9
7 Datenverarbeitungsvertrag mit Lieferanten Artikel 28, 32, 82
8 Datenschutz-Folgenabschätzung Artikel 35
9 Benennung eines EU-Vertreters (ggf.) Artikel 27
10 Verfahren zur Reaktion auf und Meldung von Datenschutzverletzungen Artikel 4, 33, 34
11 Meldung von Datenschutzverletzungen an die Aufsichtsbehörde (ggf.) Artikel 33
12 Benachrichtigung der von einer Datenschutzverletzung betroffenen Person (ggf.) Artikel 34

Einige Unterlagen sind nur erforderlich, wenn bestimmte Kriterien zutreffen.

Bedingt vorgeschriebene Unterlagen
Verzeichnis von Verarbeitungstätigkeiten Bei 250 oder mehr Beschäftigten, es sei denn, die vorgenommene Verarbeitung birgt ein Risiko für die Rechte und Freiheiten der betroffenen Personen, die Verarbeitung erfolgt nicht nur gelegentlich oder es erfolgt eine Verarbeitung besonderer Datenkategorien bzw. von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten.
Einwilligungserklärung Wenn sich die Verarbeitung auf eine Einwilligung als Rechtsgrundlage stützt und die Daten in schriftlicher Form erhoben wurden[1]
Benennung eines EU-Vertreters Wenn die Verarbeitung betroffene Personen in der EU betrifft und von einem Verantwortlichen bzw. einem Auftragsverarbeiter durchgeführt wird, der nicht in der EU ansässig ist, es sei denn, die Verarbeitung erfolgt gelegentlich, schließt nicht die umfangreiche Verarbeitung besonderer Datenkategorien oder die umfangreiche Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten ein und führt voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen.
Meldung von Datenschutzverletzungen an die Aufsichtsbehörde Nur im Falle einer Verletzung einer Datenschutzverletzung, die voraussichtlich zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt.
Benachrichtigung der von einer Datenschutzverletzung betroffenen Person Im Falle einer Datenschutzverletzung, die voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen zur Folge hat, bzw. die voraussichtlich kein hohes Risiko zur Folge hat, die Aufsichtsbehörde dies jedoch verlangt.

Um das Führen von Aufzeichnungen zu erleichtern und einheitlich zu gestalten, sollte der Forscher geeignete Vorlagen für die zu dokumentierenden Schritte erstellen oder sich mit dem Datenschutzbeauftragten bzw. seiner Rechtsabteilung beraten, um zu prüfen, ob in der Organisation Vorlagen vorhanden sind.

Bevor die Forscher mit der Erhebung und Verarbeitung personenbezogener Daten beginnen, sollten sie die in ihrer Organisation bereits vorhandene Datenschutzdokumentation sammeln und ein spezielles Dossier mit allen relevanten Unterlagen erstellen. Neue Dokumente sollten bei Erstellung dem Dossier hinzugefügt werden. Zweck des Dossiers ist es, die von den Forschern und anderen an der Forschungstätigkeit beteiligten Datenschutzakteuren unternommenen Schritte und getroffenen Entscheidungen aufzuzeichnen und genügend Informationen zum Nachweis vorzulegen, dass die Vorschriften während des gesamten Prozesses eingehalten wurden.

Das Forschungsteam sollte das Dossier jedoch nicht als reine Aufzeichnungspflicht betrachten. Das Dossier sollte vielmehr als Formalisierung der praktischen Schritte dienen, die das Forschungsteam unternimmt, um den Schutz der personenbezogenen Daten zu gewährleisten. So reicht es beispielsweise nicht aus, ein Verfahren zur Reaktion auf und Meldung von Datenschutzverletzungen zu haben. Die Forscher sollten nachweisen können, dass das Verfahren im Bedarfsfall schnell und effektiv in Gang gesetzt werden kann.
 

Quellenangaben


1Tatsächlich schreibt die DSGVO nicht vor, dass die Einwilligung in schriftlicher Form eingeholt werden muss. Weitere Informationen finden Sie unter: Europäischer Datenschutzausschuss, Leitlinien 05/2020 zur Einwilligung gemäß Verordnung 2016/679, 16.

 

Skip to content