Grundsätzlich gilt eine Rechenschaftspflicht laut DSGVO Artikel 5 Absatz 2 für alle Verantwortlichen, das heißt, dass Maßnahmen, die zur Einhaltung der Grundsätze getroffen oder nicht getroffen werden, nachzuweisen sind.
Nach Art. 5 Absatz 2 DSGVO müssen Verantwortliche die Einhaltung der Grundsätze für die Verarbeitung personenbezogener Daten nachweisen können. Dieser Nachweis der Rechenschaftspflicht kann durch verschiedene Maßnahmen und Dokumentationen erbracht werden:
- Verzeichnis von Verarbeitungstätigkeiten: Wie bereits erwähnt, ist das Führen eines Verzeichnisses aller Verarbeitungstätigkeiten ein zentraler Bestandteil der Rechenschaftspflicht. Dieses Verzeichnis sollte detaillierte Informationen über die Verarbeitungszwecke, Datenkategorien, Empfänger der Daten, geplante Löschfristen und eine Beschreibung der technischen und organisatorischen Maßnahmen enthalten.
- Datenschutzrichtlinien und -verfahren: Unternehmen sollten interne Datenschutzrichtlinien und -verfahren entwickeln und implementieren, die die Einhaltung der DSGVO sicherstellen. Diese Dokumente sollten regelmäßig überprüft und aktualisiert werden.
- Datenschutz-Folgenabschätzung (DSFA): Die Durchführung und Dokumentation einer DSFA für Verarbeitungsvorgänge, die ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen darstellen, ist ein weiterer Beleg für die Rechenschaftspflicht.
- Schulung und Bewusstseinsbildung: Die regelmäßige Schulung von Mitarbeitern über Datenschutzpraktiken und die Sensibilisierung für Datenschutzfragen zeigen, dass ein Unternehmen proaktiv Maßnahmen ergreift, um die Einhaltung der DSGVO zu gewährleisten.
- Aufzeichnungen über Einwilligungen: Wenn die Verarbeitung auf der Einwilligung der betroffenen Person beruht, sollten Aufzeichnungen über die erteilten Einwilligungen geführt werden, einschließlich Informationen darüber, wann und wie die Einwilligung eingeholt wurde.
- Verträge und Vereinbarungen mit Auftragsverarbeitern: Verträge mit Auftragsverarbeitern sollten die Anforderungen der DSGVO widerspiegeln und sicherstellen, dass auch diese die Datenschutzgrundsätze einhalten.
- Dokumentation von Datenschutzverletzungen und deren Handhabung: Die Dokumentation von Datenschutzverletzungen und den Maßnahmen, die ergriffen wurden, um diese zu beheben, ist ebenfalls ein wichtiger Teil des Nachweises der Rechenschaftspflicht.
- Audit-Berichte und Zertifizierungen: Externe Audits und Zertifizierungen, wie z.B. ISO 27001 für Informationssicherheitsmanagementsysteme, können ebenfalls als Nachweis für die Einhaltung der DSGVO dienen.
Diese Dokumentationen und Maßnahmen helfen nicht nur dabei, die Einhaltung der DSGVO nachzuweisen, sondern auch das Datenschutzniveau innerhalb des Unternehmens kontinuierlich zu verbessern.
Mindestens ein "Verzeichnis von Verarbeitungstätigkeiten" sollte jedes Unternehmen führen und seine Mitarbeiter schulen und sensibilisieren. Das Verzeichnis gleicht einer Umgebungs- und Systemdokumentation und kann gleichzeitig der erste Schritt in Richtung Digitalisierung und Compliance bedeuten. Sollten sie noch keine Unternehmensdokumentation besitzen, machen sie hier einen Termin aus und überzeugen sie sich von den sagenhaften Vorteilen:
Papier & Dokumente
Die Verwendung von Papierdokumenten ist grundsätzlich DSGVO-konform, solange die Verarbeitung personenbezogener Daten auf Papier den gleichen Grundsätzen folgt, die auch für die elektronische Datenverarbeitung gelten. Das bedeutet, dass auch bei Papierdokumenten die Prinzipien der Datenminimierung, Zweckbindung, Sicherheit und Vertraulichkeit beachtet werden müssen. Hier sind einige Aspekte, die bei der Verarbeitung von personenbezogenen Daten auf Papier beachtet werden sollten:
- Sicherer Aufbewahrungsort: Papierdokumente mit personenbezogenen Daten sollten sicher aufbewahrt werden, um unbefugten Zugriff, Verlust oder Beschädigung zu verhindern. Dies kann durch abschließbare Schränke oder Räume erfolgen.
- Zugriffskontrolle: Der Zugriff auf Papierdokumente sollte auf Personen beschränkt sein, die für ihre Arbeit darauf angewiesen sind. Es sollte ein System geben, das den Zugriff regelt und dokumentiert.
- Datenschutz durch Design und Voreinstellung: Schon beim Anlegen von Papierdokumenten sollte darauf geachtet werden, dass nicht mehr personenbezogene Daten als nötig erfasst werden und dass die Daten nicht ohne weiteres für unbefugte Personen einsehbar sind.
- Löschung und Vernichtung: Wenn Papierdokumente nicht mehr benötigt werden oder die betroffene Person ihr Recht auf Löschung ausübt, müssen die Dokumente datenschutzkonform vernichtet werden, zum Beispiel durch einen Aktenvernichter.
- Dokumentation und Nachweisführung: Auch bei der Verarbeitung von Daten auf Papier muss dokumentiert werden, dass die Verarbeitung im Einklang mit der DSGVO erfolgt. Dies kann durch Verarbeitungsverzeichnisse, Datenschutzrichtlinien und ähnliche Dokumente geschehen.
Es ist wichtig, dass Unternehmen, die personenbezogene Daten auf Papier verarbeiten, geeignete Maßnahmen ergreifen, um die Einhaltung der DSGVO zu gewährleisten.
All diese Anforderungen an Papierdokumente sind kaum zu bewerkstelligen. Denken sie mal an die gedruckte Gästeliste des Pagen in dem Foyer eines Hotels, kaum eines der oben genannten Punkte ist mit hier einfach möglich und keinesfalls im Einklang mit der DSGVO.