Zusätzliche Dokumentation zu einer einzelnen Verarbeitungstätigkeit
Home » DSGVO » Wichtigste Werkzeuge und Maßnahmen » Dokumentation der Verarbeitung personenbezogener Daten » Zusätzliche Dokumentation zu einer einzelnen Verarbeitungstätigkeit

Zusätzlich zu den Verzeichnissen von Verarbeitungstätigkeiten, die zentral in der Organisation verwaltet werden, müssen die für eine bestimmte Verarbeitungstätigkeit verantwortliche(n) Person(en) zusätzliche Unterlagen führen. Zu diesem Zweck empfiehlt es sich, eine systematische Vorgehensweise für die Sammlung der erforderlichen Unterlagen einzurichten, und zwar von dem Zeitpunkt an, zu dem Sie Ihre Verarbeitungstätigkeit konzipieren und planen[1]. Diese Art von Informationen kann von den Datenschutzaufsichtsbehörden entweder aus der Ferne[2] oder bei Vor-Ort-Prüfungen angefordert werden[3]. Die erforderlichen Maßnahmen werden in den folgenden DOs beschrieben:

DOs

  • Datenschutz ist (wie die Sicherheit) ein Prozess, kein Endzustand. Dokumentieren Sie fortlaufend diesen Prozess und nicht nur die endgültigen Merkmale der Verarbeitungstätigkeit.
  • Bei der Anwendung des „Datenschutzes durch Technikgestaltung“[4] kann die Verarbeitungstätigkeit als das Ergebnis einer Reihe von Überlegungen und Entscheidungen angesehen werden. Diese Überlegungen und Entscheidungen sollten dokumentiert werden.
  • Festlegung einer Struktur und eines Formats für die systematische Erfassung dieser Informationen zu dem Zeitpunkt, zu dem Sie Ihre Verarbeitungstätigkeit konzipieren.
  • Wenn die Dokumentation selbst personenbezogene Daten enthält (siehe unten), stellen Sie sicher, dass sie ausreichend geschützt ist und ihre weitere Verwendung auf den Zweck des Nachweises der Einhaltung der DSGVO beschränkt ist.

Diese Dokumentation umfasst mindestens die folgenden Punkte, die zunächst in einer Checkliste aufgelistet und anschließend detaillierter beschrieben werden.

Bewertung, ob die Verarbeitungstätigkeit wahrscheinlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen mit sich bringt

Um festzustellen, ob eine Datenschutz-Folgenabschätzung (DSFA) für eine Verarbeitungstätigkeit erforderlich ist, muss bewertet werden, ob die Verarbeitung wahrscheinlich zu einem hohen Risiko führt. Dies wurde im Abschnitt „In welchen Fällen muss ich eine Datenschutz-Folgenabschätzung durchführen“ unter Datenschutz-Folgenabschätzung oben beschrieben. Sie basiert auf den Leitlinien der Artikel-29-Datenschutzgruppe und besteht aus der booleschen Bewertung von neun Kriterien. Es ist wichtig, dies zu dokumentieren, insbesondere als Begründung für den Fall, dass eine Datenschutz-Folgenabschätzung nicht erforderlich ist (siehe „Datenschutz-Folgenabschätzung“ in Teil II, Abschnitt „Wichtigste Instrumente und Maßnahmen“ dieser Leitlinien).

Eine Datenschutz-Folgenabschätzung, wenn die obige Bewertung zu einem positiven Ergebnis führt

Wenn eine Datenschutz-Folgenabschätzung erforderlich ist, ist die Datenschutz-Folgenabschätzung selbst Teil der Dokumentation der Verarbeitung. Siehe Art. 35 DSGVO und Datenschutz-Folgenabschätzung oben für Details.

Mögliche Konsultation der zuständigen Aufsichtsbehörde vor der Verarbeitung

Ergibt die Datenschutz-Folgenabschätzung, dass die Verarbeitung auch nach Abmilderung durch geeignete technische und organisatorische Maßnahmen ein hohes Risiko zur Folge hätte, hat der Verantwortliche vor der Verarbeitung die Aufsichtsbehörde zu konsultieren (siehe Art. 36 Absatz 1 DSGVO). Eine solche Konsultation muss dokumentiert werden.

Anforderungen und Akzeptanztests für den Kauf und/oder die Entwicklung der eingesetzten Software, Hardware und Infrastruktur

Gemäß Art. 25 DSGVO hat der Verantwortliche bei der Festlegung der Mittel für die Verarbeitung Folgendes zu berücksichtigen:

  • Stand der Technik,
  • Umsetzungskosten,
  • Art, Umfang, Umstände und Zwecke der Verarbeitung und
  • Eintrittswahrscheinlichkeit und Schwere der mit der Verarbeitung verbundenen Risiken für die Rechte und Freiheiten natürlicher Personen.

Auf der Grundlage dieser Bewertung ergreift der Verantwortliche geeignete technische und organisatorische Maßnahmen zur Umsetzung der Datenschutzgrundsätze, zur Einhaltung der Anforderungen der DSGVO und zum Schutz der Rechte der betroffenen Personen.

Diese Bewertung und die getroffenen Entscheidungen müssen dokumentiert werden, um der Anforderung des Datenschutzes durch Technikgestaltung (Art. 25 DSGVO) zu entsprechen. In der Praxis erfolgt dies in Form von:

  • Datenschutzanforderungen, die für den Kauf (z. B. eine Ausschreibung) oder die Entwicklung von Software, Hardware und Infrastruktur festgelegt wurden;
  • Akzeptanztests, mit denen überprüft wird, ob die gewählte Software, die Systeme und die Infrastruktur zweckdienlich sind und einen angemessenen Schutz und angemessene Sicherheitsvorkehrungen bieten.

Eine solche Dokumentation kann ein integraler Bestandteil der DSFA sein.

Umgesetzte technische und organisatorische Maßnahmen

Die Dokumentation umfasst auch die technischen und organisatorischen Maßnahmen, die zur Minderung der Datenschutzrisiken und zum Schutz der Rechte und Freiheiten der betroffenen Personen getroffen werden.

Die Sicherheitsmaßnahmen sind auch Teil des Verzeichnisses von Verarbeitungstätigkeiten (siehe Art. 30 Absatz 1 Buchstabe g DSGVO); alle durchgeführten Maßnahmen sind Teil der DSFA (siehe Art. 35 Absatz 7 Buchstabe d DSGVO).

Regelmäßige Prüfung, Bewertung und Evaluierung der Wirksamkeit technischer und organisatorischer Maßnahmen

Die Datenschutz-Grundverordnung betont den Datenschutz als einen Prozess. Dies zeigt sich in Art. 32 Absatz 1 Buchstabe d, der eine regelmäßige Prüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen vorschreibt, und Art. 35 Absatz 11, wonach der Verantwortliche zumindest bei einer Änderung des mit der Verarbeitung verbundenen Risikos zu überprüfen hat, ob die Verarbeitung im Einklang mit der Datenschutz-Folgenabschätzung erfolgt. Diese wiederkehrende Prüfung, Bewertung und Evaluierung sind zu dokumentieren.

Anforderungen und Akzeptanztests für die Auswahl von Verarbeitern

Gemäß Art. 28 Abs. 1 DSGVO darf der Verantwortliche nur Auftragsverarbeiter einsetzen, die hinreichende Garantien für die Durchführung geeigneter technischer und organisatorischer Maßnahmen bieten. Dies erfordert ein Auswahlverfahren, das dokumentiert werden muss.

Mit den Verarbeitern abgeschlossene Verträge

Gemäß Art. 28 Absatz 3 DSGVO ist die Verarbeitung durch einen Auftragsverarbeiter vertraglich zu regeln, der unter anderem die Durchführung geeigneter Maßnahmen und Garantien (siehe Buchstaben d und e) und das Recht auf Einsichtnahme und Prüfung durch den Verantwortlichen (siehe Buchstabe h) vorschreibt. Solche Kontakte sind Teil der Dokumentation.

Mögliche Inspektionen und Audits des Auftragsverarbeiters

Wenn ein Verantwortlicher einen Auftragsverarbeiter gemäß Artikel 28 Absatz 3 Buchstabe h inspiziert oder prüft, sind die getroffenen Maßnahmen und die Ergebnisse zu dokumentieren.

Methode zur Einholung der Einwilligung

Eine gültige Einwilligung setzt die Einhaltung strenger Anforderungen voraus (siehe Art. 4 Absatz 11 und 7 DSGVO). Wenn ein Verantwortlicher die Einwilligung als Rechtsgrundlage für (einen Teil der) Verarbeitung wählt, muss die Art und Weise (z. B. Dialog), in der die Einwilligung eingeholt wurde, dokumentiert werden, um nachzuweisen, dass die Anforderungen erfüllt wurden. Wenn sich Dialoge im Laufe der Zeit ändern, ist eine Versionierung erforderlich, die den Zeitpunkt der Änderung festhält.

Demonstration von individuellen Einwilligungserklärungen

Gemäß Art. 7 Absatz 1 muss der Verantwortliche nachweisen können, dass die betroffene Person in die Verarbeitung ihrer personenbezogenen Daten eingewilligt hat. Diese Anforderung wird vom EDSB in seinen Leitlinien 05/2020 zur Einwilligung gemäß der Verordnung 2016/679[5] ausführlicher erörtert. Um die Einwilligung nachzuweisen, „könnte der Verantwortliche beispielsweise Informationen über die Sitzung speichern, in der die Einwilligung zum Ausdruck gebracht wurde sowie Unterlagen über die Arbeitsabläufe im Hinblick auf die Einwilligung zum Zeitpunkt der Sitzung und eine Kopie über die Informationen, die der betroffenen Person zu dem Zeitpunkt vorgelegt wurden.“[6]

Dies verdeutlicht, dass die Dokumentation zum Nachweis der Einwilligung selbst als personenbezogene Daten zu betrachten ist. Sie müssen daher angemessen geschützt werden und ihre Verwendung muss auf den Zweck des Nachweises beschränkt sein.

Betroffenen Personen bereitgestellte Informationen

Art. 13 und 14 DSGVO verlangen von dem Verantwortlichen, dass er die betroffenen Personen angemessen über die Verarbeitung informiert. Um die Einhaltung der Vorschriften nachzuweisen, müssen die tatsächlich bereitgestellten Informationen dokumentiert werden. Auch hier ist eine Versionierung erforderlich, wenn sich die bereitgestellten Informationen im Laufe der Zeit ändern.

Umsetzung der Rechte der betroffenen Personen

Die Artikel 15 bis 22 verpflichten den Verantwortlichen, den betroffenen Personen bestimmte Rechte zu gewähren (z. B. das Recht auf Berichtigung unrichtiger Daten oder das Recht auf Vergessenwerden) (siehe „Rechte der betroffenen Person“ in Teil II dieser Leitlinien). Wenn die Verarbeitung auf einer Einwilligung beruht, haben die betroffenen Personen außerdem das Recht, ihre Einwilligung jederzeit zu widerrufen (siehe Art. 7 Absatz 3 DSGVO). Um die Einhaltung der Vorschriften nachzuweisen, muss dokumentiert werden, wie diese Rechte umgesetzt werden[7]. Auch hier kann eine Versionierung erforderlich sein.

Tatsächlicher Umgang mit den Rechten der Betroffenen

Wenn betroffene Personen ihre Rechte geltend machen, sind sie von dem Verantwortlichen unverzüglich zu bearbeiten. Art. 12 Absatz 3 und Absatz 4 legen die maximal zulässigen Antwortzeiten fest. Um die Korrektheit und Rechtzeitigkeit der ergriffenen Maßnahmen und der übermittelten Antworten nachzuweisen, ist eine Dokumentation erforderlich. Auch diese Dokumentation stellt personenbezogene Daten dar und muss angemessen geschützt werden.

Mögliche Meldung von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde

Art. 33 DSGVO verlangt die Meldung einer Verletzung des Schutzes personenbezogener Daten an die Aufsichtsbehörde. Solche Benachrichtigungen werden Teil der Dokumentation.

Mögliche Benachrichtigung der von einer Verletzung des Schutzes personenbezogener Daten betroffenen Person

Artikel 34 DSGVO schreibt vor, dass die betroffene Person unter bestimmten Bedingungen über eine Verletzung des Schutzes personenbezogener Daten informiert werden muss. Solche Mitteilungen müssen dokumentiert werden. Sie enthalten wahrscheinlich personenbezogene Daten, die geschützt werden müssen.

Jede andere Kommunikation mit der zuständigen Aufsichtsbehörde

Jede Kommunikation mit einer Aufsichtsbehörde sollte dokumentiert werden. Eine solche Kommunikation kann zum Beispiel durch die Aufsichtsbehörde gemäß Art. 31 DSGVO initiiert werden. Die vom Verantwortlichen initiierte Kommunikation gemäß Art. 36 wurde bereits oben aufgeführt. Darüber hinaus können die Datenschutzbeauftragten auch die Aufsichtsbehörden gemäß Art. 39 Absatz 1 Buchstabe e konsultieren.

Checkliste (zusätzliche Dokumentation zu einer einzelnen Verarbeitungstätigkeit)

Die folgenden Punkte müssen dokumentiert werden:

  • Bewertung, ob die Verarbeitungstätigkeit wahrscheinlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen mit sich bringt;
  • Eine Datenschutz-Folgenabschätzung, wenn die obige Bewertung zu einem positiven Ergebnis führt;
  • Mögliche Konsultation der zuständigen Aufsichtsbehörde vor der Verarbeitung;
  • Anforderungen und Akzeptanztests für den Kauf und/oder die Entwicklung der eingesetzten Software, Hardware und Infrastruktur;
  • Umsetzung von technischen und organisatorischen Maßnahmen;
  • Regelmäßige Prüfung, Bewertung und Evaluierung der Wirksamkeit von technischen und organisatorischen Maßnahmen;
  • Anforderungen und Akzeptanztests für die Auswahl von Verarbeitern;
  • Mit den Verarbeitern abgeschlossene Verträge;
  • Mögliche Inspektionen und Audits des Auftragsverarbeiters;
  • Methode zur Einholung der Einwilligung;
  • Nachweis von individuellen Einwilligungserklärungen;
  • Informationen für die betroffenen Personen;
  • Den betroffenen Personen bereitgestellte Informationen;
  • Tatsächlicher Umgang mit den Rechten der betroffenen Personen;
  • Mögliche Meldungen von Verstößen an die zuständige Aufsichtsbehörde;
  • Mögliche Mitteilung von Datenverletzungen an die betroffene Person;
  • Jede andere Mitteilung an die zuständige Aufsichtsbehörde.

 

Quellenangaben

1Art. 25 Absatz 1 DSGVO nennt dies den „Zeitpunkt der Festlegung der Mittel für die Verarbeitung“.

2Siehe Artikel 58 Absatz 1 Buchstabe a der Datenschutz-Grundverordnung.

3Siehe Artikel 58 Absatz 1 Buchstabe b der Datenschutz-Grundverordnung.

4Siehe Art. 25 DSGVO.

5Abschnitt 5.1, Seiten 21 und 22 in EDSA, Leitlinien 05/2020 zur Einwilligung gemäß Verordnung 2016/679, Version 1.0, https://edpb.europa.eu/sites/edpb/files/files/file1/EDSA_guidelines_202005_consent_en.pdf (zuletzt besucht am 11.05.2020).

6Siehe am Ende von Ziffer 108.

7Der Begriff „Umsetzung“ soll nicht bedeuten, dass eine Automatisierung stattfindet; eine manuelle Verarbeitung, beispielsweise durch den Datenschutzbeauftragten oder eine andere benannte Person, kann durchaus akzeptabel sein.

Skip to content