Dokumentationen

Die Dokumentation der Erfüllung der gesetzlichen Aufgaben innerhalb des Datenschutzes wird von den Kunden als ausgesprochen lästig und bürokratisch empfunden. Dies trifft auch aus meiner Sicht teilweise zu, vor allem für kleine oder Kleinstunternehmen. Denn die Pflichten zur Dokumentation gelten für alle Unternehmen in der EU, also auch für Solo-Selbständige und kleine Handwerksbetriebe.

Die als Rechenschaftspflicht (Art. 5 Abs. 2 DSGVO) überschriebene Aufgabe umfasst nach Art. 5 Abs. 1 DSGVO die Dokumentation über:

– die Rechtmäßigkeit der Datenverarbeitung, die Verarbeitung nach Treu und Glauben und die Transparenz der Datenverarbeitung (letzteres bedeutet: alle Mitarbeiter, Kunden und sonstigen Dritten müssen vorab wissen, dass Sie deren Daten verarbeiten, wie und wo, wie lange und vieles andere mehr…);

– die Datenverarbeitung nur für festgelegte, eindeutige und legitime Zwecke. Dies umfasst, dass die Daten erhoben werden und nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden dürfen (Gebot der „Zweckbindung“);

– eine dem Zweck angemessene und erhebliche sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkte Datenverarbeitung (Gebot der „Datenminimierung“). Dies bedeutet vereinfacht gesagt, dass nur solche Daten verarbeitet werden dürfen, die unbedingt notwendig sind (also keine nice-to-have-Daten) und dass Daten, die nicht mehr benötigt werden, gelöscht werden müssen (Löschkonzept);

– die sachlich richtige und erforderlichenfalls auf dem neuesten Stand befindliche Verarbeitung der Daten (also, dass die Daten selbst auf dem neuesten Stand sind); es sind alle angemessenen Maßnahmen zu treffen, damit personenbezogene Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung unrichtig sind, unverzüglich gelöscht oder berichtigt werden (Gebot der „Richtigkeit“ der Daten);

– die Speicherung der Daten in einer Form, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist; (Gebot der „Speicherbegrenzung“, also auch eine Art Datenminimierung);

– die Verarbeitung der Daten in einer Weise, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen (Gebot der „Integrität und Vertraulichkeit“ der Datenverarbeitung).

Die Forderungsliste der DSGVO ist wirklich ambitioniert, aber der Gesetzgeber hält dies flächendeckend für zumutbar. Eine gewisse Bürokratietiefe steckt da schon dahinter. Aber das ändert nichts an den Pflichten für die Unternehmerinnen und Unternehmer.

Eine ordnungsgemäße Dokumentation alleine selbst zu erstellen ist für einen Datenschutz-Laien nahezu unmöglich, es sei denn, man ist gewillt, sich viele Stunden in die Materie einzulesen und sich externen Rat dazu einzuholen.

Es ist eine meiner Aufgaben, Sie dabei zu unterstützen und den Aufwand so gering wie möglich zu halten.