Laut der DSGVO müssen die Verantwortlichen nicht nur ihren Datenschutzpflichten nachkommen, sondern auch in der Lage sein, ihre Einhaltung dieser Pflichten und der in der Norm verankerten Grundsätze nachzuweisen. Der Verantwortliche muss somit angemessene Aufzeichnungen und Unterlagen über die Datenverarbeitung und die Steuerung dieser Verarbeitung aufbewahren.
Abgesehen von einer begrenzten Anzahl von Dokumenten, die eindeutig vorgeschrieben sind (z. B. das in Artikel 30 DSGVO geforderte Verzeichnis von Verarbeitungstätigkeiten), muss der Verantwortliche ermitteln, welche Dokumente für den Nachweis der Einhaltung der Vorschriften erforderlich sind. Die nachstehenden Tabellen enthalten eine Liste der laut DSGVO vorgeschriebenen Unterlagen mit der entsprechenden Stelle im Text. Sie sollten als Mindestanforderung und nicht als erschöpfende Checkliste betrachtet werden. Auch wenn sie nicht vorgeschrieben sind, können zusätzliche Unterlagen zum Nachweis der Einhaltung erforderlich sein (z. B. Berichte über eine vorherige Konsultation der Aufsichtsbehörden, Beschreibung der getroffenen technischen und organisatorischen Maßnahmen usw.)
| Unterlagen: Checkliste | ||
| 1 | Geeignete Datenschutzvorkehrungen | Artikel 24 Absatz 2. |
| 2 | Datenschutzhinweis | Artikel 12, 13, 14 |
| 3 | Datenspeicherungserklärung | Artikel 5, 13, 17 und 30 |
| 4 | Datenspeicherungsplan | Artikel 30 |
| 5 | Verzeichnis von Verarbeitungstätigkeiten (ggf.) | Artikel 30 |
| 6 | Einwilligungserklärung (ggf.) | Artikel 6, 7, 9 |
| 7 | Datenverarbeitungsvertrag mit Lieferanten | Artikel 28, 32, 82 |
| 8 | Datenschutz-Folgenabschätzung | Artikel 35 |
| 9 | Benennung eines EU-Vertreters (ggf.) | Artikel 27 |
| 10 | Verfahren zur Reaktion auf und Meldung von Datenschutzverletzungen | Artikel 4, 33, 34 |
| 11 | Meldung von Datenschutzverletzungen an die Aufsichtsbehörde (ggf.) | Artikel 33 |
| 12 | Benachrichtigung der von einer Datenschutzverletzung betroffenen Person (ggf.) | Artikel 34 |
Einige Unterlagen sind nur erforderlich, wenn bestimmte Kriterien zutreffen.
| Bedingt vorgeschriebene Unterlagen | |
| Verzeichnis von Verarbeitungstätigkeiten | Bei 250 oder mehr Beschäftigten, es sei denn, die vorgenommene Verarbeitung birgt ein Risiko für die Rechte und Freiheiten der betroffenen Personen, die Verarbeitung erfolgt nicht nur gelegentlich oder es erfolgt eine Verarbeitung besonderer Datenkategorien bzw. von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten. |
| Einwilligungserklärung | Wenn sich die Verarbeitung auf eine Einwilligung als Rechtsgrundlage stützt und die Daten in schriftlicher Form erhoben wurden[1] |
| Benennung eines EU-Vertreters | Wenn die Verarbeitung betroffene Personen in der EU betrifft und von einem Verantwortlichen bzw. einem Auftragsverarbeiter durchgeführt wird, der nicht in der EU ansässig ist, es sei denn, die Verarbeitung erfolgt gelegentlich, schließt nicht die umfangreiche Verarbeitung besonderer Datenkategorien oder die umfangreiche Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten ein und führt voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen. |
| Meldung von Datenschutzverletzungen an die Aufsichtsbehörde | Nur im Falle einer Verletzung einer Datenschutzverletzung, die voraussichtlich zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt. |
| Benachrichtigung der von einer Datenschutzverletzung betroffenen Person | Im Falle einer Datenschutzverletzung, die voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen zur Folge hat, bzw. die voraussichtlich kein hohes Risiko zur Folge hat, die Aufsichtsbehörde dies jedoch verlangt. |
Um das Führen von Aufzeichnungen zu erleichtern und einheitlich zu gestalten, sollte der Forscher geeignete Vorlagen für die zu dokumentierenden Schritte erstellen oder sich mit dem Datenschutzbeauftragten bzw. seiner Rechtsabteilung beraten, um zu prüfen, ob in der Organisation Vorlagen vorhanden sind.
Bevor die Forscher mit der Erhebung und Verarbeitung personenbezogener Daten beginnen, sollten sie die in ihrer Organisation bereits vorhandene Datenschutzdokumentation sammeln und ein spezielles Dossier mit allen relevanten Unterlagen erstellen. Neue Dokumente sollten bei Erstellung dem Dossier hinzugefügt werden. Zweck des Dossiers ist es, die von den Forschern und anderen an der Forschungstätigkeit beteiligten Datenschutzakteuren unternommenen Schritte und getroffenen Entscheidungen aufzuzeichnen und genügend Informationen zum Nachweis vorzulegen, dass die Vorschriften während des gesamten Prozesses eingehalten wurden.
Das Forschungsteam sollte das Dossier jedoch nicht als reine Aufzeichnungspflicht betrachten. Das Dossier sollte vielmehr als Formalisierung der praktischen Schritte dienen, die das Forschungsteam unternimmt, um den Schutz der personenbezogenen Daten zu gewährleisten. So reicht es beispielsweise nicht aus, ein Verfahren zur Reaktion auf und Meldung von Datenschutzverletzungen zu haben. Die Forscher sollten nachweisen können, dass das Verfahren im Bedarfsfall schnell und effektiv in Gang gesetzt werden kann.
Quellenangaben
1Tatsächlich schreibt die DSGVO nicht vor, dass die Einwilligung in schriftlicher Form eingeholt werden muss. Weitere Informationen finden Sie unter: Europäischer Datenschutzausschuss, Leitlinien 05/2020 zur Einwilligung gemäß Verordnung 2016/679, 16. ↑