Umsetzung der DSGVO – wie und warum Sie Lösch- und Speicherprozesse dokumentieren sollten

Wie fatal sich das Missachten der DSGVO besonders für kleine Unternehmen auswirken könnte, wird an der erweiterten Rechenschaftspflicht und der damit verbundenen Dokumentationspflicht deutlich. Daher heißt es für viele Unternehmen, sich jetzt erstmals mit dem Thema Datenschutz auseinanderzusetzen, um empfindliche Schadensersatzforderungen oder Bußgelder zu vermeiden. Wie Sie in Zukunft datenschutzkonform beispielsweise Lösch- und Speicherprozesse dokumentieren können – das zeigen wir Ihnen!

Nehmen Sie Ihre Dokumentationspflicht nicht auf die leichte Schulter

Die DSGVO stellt personenbezogene Daten umfangreich unter einen nie dagewesenen Schutz. Dabei werden die Prinzipien Datenvermeidung und Datensparsamkeit konsequent angewendet: Das heißt, dass nur die Daten gesammelt werden, die auch unbedingt notwendig sind.

Und damit diese Prinzipien auch für Behörden nachprüfbar eingehalten werden, tritt mit der Dokumentationspflicht auch die Beweislastumkehr ein. Jeder Verantwortliche (also Sie als Datenverarbeiter) muss die Einhaltung der DSGVO-Regeln nachweisen können, um einer Haftung zu entgehen. Setzen Sie sich mit den Vorgaben der DSGVO daher unbedingt nachhaltig auseinander!

Die neue Sensibilität im Umgang mit Daten

Die Zeit läuft – bald wird die DSGVO zum wichtigen datenschutzrechtlichen Pfeiler für jedes Unternehmen. Damit einher geht die umfangreiche Rechenschaftspflicht eines jeden Unternehmers, ob und wie er Daten verarbeitet. Sichergestellt wird das durch umfangreiche Dokumentationspflichten, die bestenfalls bereits vor dem Inkrafttreten der DSGVO eingeführt und umgesetzt werden sollten.

Die Dokumentationspflichten finden sich in der gesamten DSGVO und sind in vereinzelten Vorgaben geregelt. Das kann sich für den Datenschutzeinsteiger durchaus unübersichtlich darstellen. Unverzichtbar hingegen ist ein Blick auf die Regelungen für Dokumentationen im Hinblick auf das Speichern und Löschen von Daten.

Das Verarbeitungsverzeichnis: Dokumentation über Datenspeicherung

Die DSGVO unterscheidet nicht zwischen internen oder externen Daten: Sobald Sie personenbezogene Daten (auch von Mitarbeitern) speichern, unterliegen Sie der Einhaltung der datenschutzrechtlichen Grundsätze. Eine simple Tabelle, welche Daten Sie genau speichern und gegebenenfalls an Auftragsverarbeiter weiterleiten, kann bereits ausreichen.

Denken Sie daran, dass Sie gemäß Art. 24 DSGVO verpflichtet sind, geeignete technische und organisatorische Maßnahmen zu ergreifen, um die Sicherheit der personenbezogenen Daten zu gewährleisten. Dokumentieren Sie daher im Detail, wo die Daten gespeichert werden und welche Maßnahmen Sie zum Schutz ergreifen.

Dafür erstellen Sie ein Verzeichnis für Verarbeitungstätigkeiten, in denen Sie auch hinterlegen, ob und wenn ja, welche Einwilligungen zur Datenverarbeitung vorliegen und an wen die Daten übertragen werden. Ein Muster für Handwerksbetriebe hat der Zentralverband des Deutschen Handwerks (ZDH) erstellt: https://www.zdh.de/fachbereiche/organisation-und-recht/datenschutz/datenschutz-fuer-handwerksbetriebe/

Eine Einwilligung muss nicht zwingend schriftlich erfolgen

Ein wichtiges Recht der Betroffenen ist die erforderliche Einwilligung des Datenverarbeiters. Die Einwilligung eines Kunden oder Nutzers zur Speicherung und Verarbeitung von Daten muss nach der DSGVO genau für den verfolgten Zweck (beispielsweise zur Weitergabe an einen Auftragsverarbeiter) erteilt werden. Ändert sich dieser Zweck, dann muss auch eine neue Einwilligung gegeben werden.

Definieren Sie also vorab, welche Daten Sie erfassen und zu welchem Zweck. Ein Protokoll darüber erleichtert den etwaigen späteren Nachweis gegenüber Behörden. Die Einwilligung kann auch durch schlüssiges Verhalten des Kunden gegeben werden, auf der sicheren Seite sind Sie aber, wenn Sie sich alles schriftlich geben lassen und im Verarbeitungsverzeichnis dokumentieren. Aber keine Panik: Es existieren, beispielsweise für den Onlinebereich, durchaus Ausnahmen von der Einwilligungspflicht. Holen Sie sich hierzu Rat von Experten und prüfen Sie, ob Ihr Unternehmen betroffen ist.

Herausforderung: das Recht auf Vergessenwerden

Jede Person, deren Daten Sie verarbeiten, hat das Recht auf Auskunft darüber. Diesem Begehren müssen Sie binnen eines Monats nachkommen. Dazu gehören auch unter anderem Informationen zu dem Verarbeitungszweck und über das Beschwerderecht bei der zuständigen Datenschutzaufsichtsbehörde. Mit einem soliden Verarbeitungsverzeichnis können Sie diesem Auskunftsbegehren zügig nachkommen.

Schwieriger hingegen gestaltet sich das neue »Recht auf Vergessenwerden«. Das bedeutet vor allem, dass Sie sicherstellen müssen, dass bei Inanspruchnahme des Rechts auf Löschung gemäß Art. 17 DSGVO jede Stelle, an die Sie die Daten geschickt haben, über die Löschung informiert wird. Keine Sorge: Sie müssen darüber keinen expliziten Nachweis führen, hilfreich ist aber ein Löschkonzept, indem Sie festlegen, wie lange bestimmte Daten gespeichert werden.

Sind Sie sich unsicher, wie lange Sie Daten speichern dürfen, dann fragen Sie sich: Wie lange benötigen Sie die Daten? Gibt es eine aktive Kundenbeziehung beziehungsweise ist der Mitarbeiter noch bei Ihnen beschäftigt? Je detaillierter Ihr Löschkonzept, desto sicherer können Sie sein, dass Ihr Datenschutzkonzept auf sicheren Füßen steht.

Fazit: Datenverarbeitung neu aufstellen

Ein Verarbeitungsverzeichnis, welches Speicher- und Löschprozesse dokumentiert, ist immens wichtig und sollte bereits vor Inkrafttreten der DSGVO eingerichtet werden. Speichern Sie eine Fülle von Daten? Dann kann Ihnen der Rat eines Experten dabei helfen, die für Sie relevanten Regelungen in der DSGVO zu finden. Sensibilisieren Sie sich und Ihr Unternehmen für das neue Gesetz und sichern Sie sich effektiv gegen den Ernstfall ab!