DSGVO in einfachen Worten

Dokumentationspflichten

Friedrich Howanietz

Dokumentationspflichten? Was ist das? Für sowas habe ich keine Zeit.

Worum geht es in diesem Beitrag?

Dieser Artikel handelt von der DSGVO. Wenn Du nicht genau weißt was das ist und warum das jetzt so wichtig ist, dann schau hier mal kurz rein, hier wird die DSGVO entwirrt.

Dokumentieren was ist das?

Dokumentieren heißt „schriftlich festhalten“. Wozu brauche ich so etwas? Ich brauche das zum Erklären, Aussagen, Beweisen, Darlegen, Begründen aber auch z.B. zum Buchführen. Aber auch, damit ich mich später daran erinnern kann. Ohne Dokumentation leidet man an Gedächtnisschwäche.

Datenverarbeitung ohne ausreichendes Dokumentieren ist wie Kochen ohne Kochtopf.

Bei der Dokumentationspflicht denkt jeder natürlich sofort an das Verzeichnis der Verarbeitungstätigkeiten und an die Dokumentation der technischen Maßnahmen.

Natürlich ist das Verzeichnis der Verarbeitungstätigkeiten eine hilfreiche und wirkungsvolle Dokumentationsform um den Grundsatz der Transparenz zu erfüllen, aber es dient auch als zentrales Instrument für die Umsetzung des Datenschutzrechtes.

Ich möchte Dich nicht mit langen Einleitungen und Grundinformationen langweilen. Steigen wir gleich in die Materie ein.

Datenschutz zur Vermeidung von Strafen

Beim Thema Datenschutz wird zur Zeit, meiner Meinung nach, viel zu sehr Aufmerksamkeit auf die Vermeidung von Strafen durch die Behörde gelegt. Das ist so ähnlich, als würde man die Buchhaltung nur für das Finanzamt machen um keine Finanzstrafe zu bekommen. Dabei ist die Buchhaltung ein zentrales Verzeichnis für die Planung der Finanzen.

Beim Datenschutz ist es genau so. Natürlich interessiert uns das Thema jetzt verstärkt wegen der hohen Strafen. Auf der anderen Seite ist der verantwortungsvolle Umgang mit personenbezogenen Daten neben der gesetzlichen Verpflichtung auch eine moralische.

Wie soll ich aber mit etwas richtig umgehen, wenn ich nicht weiß, womit ich es zu tun habe. Eine von uns kürzlich durchgeführte Umfrage hat ergeben, dass rund 80% der Unternehmer, den Begriff „personenbezogene Daten“ nicht definieren können. Auf die Frage „Was ist Datenschutz?“ antworteten zwei Drittel mit: „etwas womit ich meine Daten gegen Angriffe von Außen schützen kann.“

Mehr als 80% aller Datenschutzprobleme werden durch menschliches Versagen verursacht

Menschen machen Fehler und oft sind ihnen die Folgen der Fehler weder vorher noch nachher bewusst. Da werden leichtfertig, vertrauliche Daten mittels Email unverschlüsselt an den falschen Empfänger gesendet. Laptops mit heiklen Daten werden liegen gelassen. Krankenakten liegen offen in der Rezeption herum. Personaldaten liegen im Homeoffice-Computer auf dem der Junior auch Zugriff hat. Die Liste ist endlos. Solange nichts passiert ist alles in Ordnung.

Auf der anderen Seite, lässt niemand seine Haustür unversperrt,  sein Geld herumliegen, sein Gepäck oder seinen Aktenkoffer unbeaufsichtigt. Da ist das Eigeninteresse und die Verantwortung hoch.

Das Ziel ist: 100% Datenschutz now

Um den Datenschutz in kurzer Zeit auf dieses Niveau zu bringen braucht es eine große Anstrengung, Organisationsfähigkeit und Verwaltung. Ein wichtiger Punkt dabei ist die Dokumentation. Dokumentation ist die Tätigkeit, Dinge aufzuzeichnen und in eine Ordnung zu bringen. Dokumentation ist das Gedächtnis Deiner Datenverarbeitung.

Bei der DSGVO ist eine Gewährleistung der Betroffenenrechte und der Nachweis der Pflichterfüllung gegenüber der Datenschutzbehörde ohne ein Mindestmaß an Dokumentation nicht leicht möglich.

Die Dokumentationspflichten sind doch in der DSGVO genau beschrieben. Wirklich?

Was ist Rechenschaftspflicht?

Wenn ich mir nicht sicher bin, gehe ich weiter zurück und beginne die Begriffe anzusehen und aufzuklären. Ich bin immer wieder überrascht was ich da finde. Oft stelle ich fest, dass ich von Begriffen eine unvollständige oder falsche Vorstellung habe. Unter diesen Umständen ist der Text und Zusammenhang schwer verständlich.

„Rechenschaft abgeben“ bedeutet, dass man Auskunft und Bericht darüber abgibt, was getan wurde. Ein Bespiel wäre: „Wo bist Du gewesen?“ „Ich war bei Freunden zum Mittagessen.“ Ich will nicht zu sehr in die Sache gehen aber es ist weder positiv oder negativ. Und es ist auch nicht „zur Rechenschaft ziehen“ , was so viel wie „abrechnen“ bedeutet.

Das soll man nicht mit Rechtfertigung verwechseln, denn Rechtfertigung beschreibt warum man etwas getan hat. Es drückt die Begründung aus.

Soweit so gut. Wir müssen aber eine Definition finden, die in dem  Rechtsbereich DSGVO, Gültigkeit hat. Und jetzt kommt das Beste! Es gibt keine in der DSGVO. Du suchst sie vergeblich. Sie lässt sich nur aus dem Zusammenhang ableiten.

Die Verpflichtung zur Rechenschaft ist dem Juristen nicht neu, aber im Datenschutz findet sich dazu keine klare Definition. Die DSGVO macht diesbezüglich keine Ausnahme. Es wird im Artikel 5/2 folgendes gesagt: „Der Verantwortliche ist für die Einhaltung des Absatzes 1 verantwortlich und muss dessen Einhaltung nachweisen können („Rechenschaftspflicht“).“

Ist das jetzt wichtig?

Wir unterbrechen kurz den Gedanken mit der Rechenschaftspflicht und gehen schnell zu einem anderen Begriff, nämlich Dokumentationspflicht.

Warum brauche ich das, steht doch alles im Gesetzt, oder?

Nein leider nicht; Dokumentationspflicht wird ebenfalls in der DSGVO nicht definiert.

Die DSGVO sagt im Art. 5 Abs.2 DSGVO dass der Verantwortliche für die in Art. 5 Abs.1 DSGVO genannten Pflichten verantwortlich ist und den Nachweis für deren Einhaltung erbringen muss. ( In Absatz 1 stehen die Punkte die der Verantwortliche einhalten muss, wenn er personenbezogene Daten verarbeitet.)

… den Nachweis erbringen muss. So gesehen ist es eine Nachweispflicht!

Und jetzt macht plötzlich alles Sinn.

Bei der DSGVO musst Du dich freibeweisen! Oje schon wieder ein neuer Begriff. Freibeweisen heißt, dass Du beweisen musst, dass Du unschuldig bist. Das nennt man auch: „Die Beweislast tragen“.

Vielleicht hast Du schon einmal etwas vom Nachweisgesetz gehört. Das ist jenes Gesetz, wo der Dienstgeber beweisen muss, dass er dem Dienstnehmer seinen Dienstvertrag gegeben hat. Das ist ein einfacher Prozess. Du machst mit dem Dienstnehmer einen Dienstvertrag, gibst ihm den und lässt Dir die Übernahme quittieren. Wenn Du das „nur“ dokumentiert hättest, könntest Du es nicht beweisen.

Beispiel: „Am 15.4.2017 um 17 Uhr dem Mitarbeiter Georg seinen Dienstvertrag ausgehändigt. Er hat ihn gelesen und eingesteckt.“ Diese Dokumentation würde Dir aber vor dem Arbeitsgericht nichts nützen, denn Georg sagt: „ich habe es nicht bekommen.“ Da das offensichtlich zu oft vorgekommen ist, hat der Gesetzgeber gesagt: „Wir legen fest, dass der Dienstgeber einen Nachweis erbringen muss, dann kann jeder behaupten was er will, es zählen nur die Fakten.“

Freibeweisen heißt somit einfach: „show me the facts, dann glaube ich Dir.“

Rechenschaftspflicht in Klammern und Anführungszeichen

„Art. 5 Abs. DSGVO Grundsätze für die Verarbeitung personenbezogener Daten sagt das folgende: Der Verantwortliche ist für die Einhaltung des Absatzes 1 verantwortlich und muss dessen Einhaltung nachweisen können („Rechenschaftspflicht“)“

Vielleicht ist Dir im Gesetzestext aufgefallen, da steht in Klammern gesetzt „Rechenschaftspflicht“. Das bedeutet in dem Zusammenhang nichts anderes als: Wenn wir Dich fragen, musst Du Auskunft geben. Also bedeutet die Rechenschaftspflicht nichts anderes als Auskunftspflicht.

Damit ist sonnenklar dass Du die Beweislast hast, sprich den Nachweis erbringen musst und verpflichtet bist, auf Verlangen Auskunft zu geben. Das sind zwei Prozesse!

Du bist der Behörde gegenüber Verpflichtet Auskunft zu geben. Ohne diesen Zusatz könntest Du vielleicht die Aussage vor der Behörde verweigern und das würde die Arbeit der Behörde extrem erschweren, weil sie dann jedes mal ein Verfahren gegen Dich einleiten müsste, um Auskunft über Deine Verarbeitungstätigkeit zu bekommen.

Die Rechtfertigungspflicht sagt nichts anderes aus, als dass Du Auskunft geben musst wenn Du befragt wirst.

Was bedeutet jetzt diese Haarspalterei?

Wie soll ich etwas beweisen, was ich nicht dokumentiert habe?

Wenn es eine Dokumentationspflicht gäbe, würde das bedeuten, dass Du jede datenschutzrelevante Handlung zu jederzeit in irgend ein Verzeichnis schreiben müsstest. Das ginge dann soweit, dass Du aufschreiben musst: „Zettel mit Telefonnummer in den Schredder gesteckt, Schredder eingeschaltet und den Zettel vernichtet. 12.11.2017 16 Uhr.“ „USB-Stick in den Safe versperrt. 13.11.2017 19 Uhr“

Gäbe es eine Dokumentationspflicht, bräuchtest Du einen Chronisten, der jede Tätigkeit aufzeichnet.

Bei der Nachweispflicht schaut die Sache ganz anders aus. Bei der Nachweispflicht, ist es nicht notwendig, dass Du jede Aktion dokumentierst. Zum Nachweis genügt eine Zeugenaussage, ein Foto, ein etabliertes System, ein Safe, eine laufende Verschlüsselung, eine Zertifizierung, ein Verzeichnis;

Und das ist es: „Das Verzeichnis für Verarbeitungstätigkeiten“

Was steht nun wirklich im Gesetz?

Ich wage zu behaupten, dass sich bei der Erstellung des Gesetzestextes jemand wirklich bemüht hat, mit ein paar Sätzen alles unter einen Hut zu bekommen.

Im Art. 5 Abs.2 DSGVO steht, dass der Verantwortliche für die in Art. 5 Abs. 1 DSGVO genannten Pflichten verantwortlich ist und die Einhaltung nachweisen muss.

Und dann im Art 30 DSGVO, mit der Überschrift „Verzeichnis von Verarbeitungstätigkeiten“, wird Dir ein Hilfsmittel an die Hand gegeben, wie Du den gültigen Nachweis erbringst.

Was bedeutet das nun für das konkrete Arbeiten?

Wenn Du eine gute und sichere Datenverarbeitung haben willst, musst Du Deine Vorgänge richtig dokumentieren. Das Ziel dieser Dokumentation ist aber nicht notwendigerweise die Behörde zufrieden zu stellen, sondern für Dich selber.

Grundsatz: Alles was Du nicht richtig dokumentieren kannst, wird Dir in der täglichen Datenverarbeitung und im Datenschutz Schwierigkeiten machen. Und: „Ohne Dokumentation wirst Du Deine Mitarbeiter niemals auf „Linie“ bekommen weil Du nichts hast worauf Du sie ausrichten kannst.

Wenn Du also alles richtig dokumentieren kannst, hast Du alles unter Kontrolle. Die Mitarbeiter wissen was sie tun müssen, die Behörde sieht, dass Du richtig arbeitest, Anfragen können schnell abgearbeitet werden und Du brauchst Dich nicht zu fürchten, dass jederzeit ein Datensturm über Dir zusammen bricht.

Überwinde Deine mögliche Abneigung und fang damit an. Du wirst den Nutzen bald erleben. Die Dokumentation ist die Medizin im Datenschutz. Du hast Dir selbst gegenüber eine „Dokumentationspflicht“.

Orientierung und Schnellhilfe

Um so etwas Komplexes wie die DSGVO in die anwendbare Praxis umzusetzen, braucht es einen Aktionsplan. Und dieser Aktionsplan hat eine Reihenfolge. Im folgenden ist ein Plan den Du folgen kannst:

  1. Basis-Schulung um die Grundbegriffe und Bedeutungen zu verstehen
  2. Erhebung der verschiedenen Verarbeitungen von personenbezogenen Daten. (einer der wichtigsten Schritte)
  3. Erhebung wo überall personenbezogene Daten im Unternehmen sind
  4. Erhebung welche technischen Voraussetzungen für eine sichere Umsetzung vorhanden sind bzw. notwendig sind
  5. Auswertung nach den Grundsätzen der Verarbeitung vornehmen
  6. Zur Erleichterung Deiner Aufgaben, erstelle Dir Vorlagen, Templates oder Formulare wo Du einträgst welche Daten wie verarbeitet werden. Dann hast Du etwas woran Du es festmachen kannst.
  7. Verzeichnis der Verarbeitungstätigkeiten erstellen (dieses Verzeichnis wird Dir hervorragende Dienste im Aufarbeiten und Ordnen Deiner Datenverarbeitung leisten)
  8. Während dieser Aktion immer mehr über Datenschutz und Umsetzung von Datenschutz lernen. Mehrmaliges Wiederholen der Basisschulung. Denn nun hast Du mehr Übersicht und Praxis und kannst es auch besser einschätzen.

Wenn Du bis hierher gekommen bist, weißt Du Bescheid. Nun bist Du in der Lage, Deine Firma auf das richtige Level von Datenverarbeitung zu heben. Jetzt wird es Dir leicht fallen, die ganzen Pflichten, Aufzeichnungen, Listen, Prozesse zu erstellen. Diese Listen, Aufzeichnungen und Verzeichnisse dienen Dir zur Umsetzung und sind die Mittel die Du brauchst um Deine Nachweispflicht zu erfüllen.

Es ist ein Lernprozeß und das Ergebnis wird für die Zukunft Deines Geschäftes entscheidend sein.

Wer es genauer wissen möchte findet hier die Referenzen die dem Artikel zugrunde liegen

Der Art. 24 Abs.1 DSGVO stellt 3 Grundregeln auf:

  1. Rechenschaftspflicht
  2. Risikobasierter Ansatz
  3. „Zum Dritten muss der Verantwortliche durch Umsetzung technischer und organisatorischer Maßnahmen sicherstellen, dass von ihm verantwortete Verarbeitungen der DSGVO entsprechen.“ (ebd. Art. 24 Rn. 4)

Gemäß Art 24 Abs.1 DSGVO S. 1 müssen geeignete technische und organisatorische Maßnahmen getroffen werden. Dabei gibt es zwei Ziele, zu erfüllen: das Sicherstellen und das Nachweisen einer DSGVO-konformen Verarbeitung (vgl. ebd. Art. 24 Rn. 16). Richtig ist, dass hier nicht explizit genannt wird, wie dieser Nachweis stattfinden muss.

Der Art. 24 Abs 1DSGVO sagt im Grunde aus, dass technische und  organisatorische (TOM) Maßnahmen getroffen werden müssen um eine DSGVO-konforme Verarbeitung sicherstellen und nachweisen zu können. Erst in Verbindung mit dem Art 5 Abs. 2 DSGVO kommen wir zu einer ausgeprägten Rechenschaftspflicht.

Das Gute an diesem umfangreichen Buch ist, dass die Autoren wirkliche Praktiker sind. Eine gute Mischung zwischen Datenschutzanwälten und Datenschutzbeauftragten bringt eine hohe Praxistauglichkeit und rechtliche Belastbarkeit. 

Wenn Du einen unkomplizierten Einstieg in das kommende europäische Datenschutzrecht suchst, dann ist das das richtige Buch dafür. 

Das Buch ist auch eine Investition in die Zukunft Deines Unternehmens. Wer sich nicht ausreichend informiert, wird es in den kommenden Jahren schwer haben, dem Druck der Datenschutzauflagen zu widerstehen.

Ist eine Frage offen geblieben?

Kann ich Dir beim Umsetzen helfen?