Seit der Einführung der Datenschutz-Grundverordnung (DSGVO) ist in vielen deutschen Unternehmen eine gewisse „Datenschutz-Müdigkeit“ eingetreten. Die anfängliche Panik ist gewichen, doch was bleibt, ist oft eine lückenhafte Umsetzung der Vorschriften. Ein zentrales Element, das häufig vernachlässigt wird, ist die DSGVO Dokumentation. Dabei ist genau diese Dokumentation im Ernstfall – etwa bei einer Prüfung durch die Aufsichtsbehörde oder nach einer Datenpanne – die einzige Versicherung, die ein Geschäftsführer hat. Auf unserer Plattform das Unternehmer wissen betonen wir immer wieder: Datenschutz ist kein einmaliges Projekt, sondern ein fortlaufender Prozess.
Die Rechenschaftspflicht als Kernprinzip
Warum müssen wir eigentlich so viel dokumentieren? Die Antwort liefert Art. 5 Abs. 2 der DSGVO. Hier ist die sogenannte „Rechenschaftspflicht“ (Accountability) verankert. Das bedeutet im Klartext: Es reicht nicht aus, sich an die Datenschutzgesetze zu halten; Sie müssen jederzeit nachweisen können, dass Sie sich daran halten.
Ohne eine schriftliche Dokumentation ist dieser Nachweis faktisch unmöglich. Wenn eine Behörde anklopft, gilt der Grundsatz: Was nicht dokumentiert ist, hat nicht stattgefunden. Eine fehlende Dokumentation kann bereits für sich genommen ein Bußgeld auslösen, selbst wenn operativ keine Daten missbraucht wurden.
Das Herzstück: Das Verzeichnis von Verarbeitungstätigkeiten (VVT)
Das zentrale Element der DSGVO Dokumentation ist das Verzeichnis von Verarbeitungstätigkeiten nach Art. 30 DSGVO. Viele Unternehmer scheuen den Aufwand, doch ein gepflegtes VVT schafft auch intern Klarheit über Datenflüsse.
In dieses Verzeichnis gehören alle Prozesse, bei denen personenbezogene Daten verarbeitet werden – von der Lohnbuchhaltung über das CRM-System bis hin zur Videoüberwachung. Folgende Punkte müssen zwingend enthalten sein:
- Zweck der Verarbeitung: Warum erheben wir diese Daten?
- Datenkategorien: Was wird gespeichert (z. B. Adressen, Gesundheitsdaten)?
- Betroffene Personen: Wessen Daten sind das (Kunden, Mitarbeiter)?
- Empfänger: An wen werden die Daten weitergegeben (z. B. Steuerberater, Cloud-Anbieter)?
- Löschfristen: Wann werden die Daten wieder entfernt?
Technische und organisatorische Maßnahmen (TOMs)
Neben dem „Was“ (VVT) muss auch das „Wie“ dokumentiert werden. Die Technischen und organisatorischen Maßnahmen (TOMs) beschreiben, wie Sie die Sicherheit der Daten gewährleisten.
Dies ist kein abstrakter Aufsatz, sondern eine konkrete Bestandsaufnahme. Dazu gehören physische Maßnahmen (Alarmanlagen, abschließbare Aktenschränke), elektronische Maßnahmen (Verschlüsselung, Passwortrichtlinien, Backups) und organisatorische Regelungen (Mitarbeiterschulungen, Vier-Augen-Prinzip). Eine aktuelle TOM-Liste ist oft das Erste, was Kunden oder Auftraggeber im B2B-Bereich anfordern, um ihre eigene Compliance sicherzustellen.
Auftragsverarbeitung: Verträge nicht vergessen
Ein weiterer kritischer Punkt in der Dokumentation sind die Verträge zur Auftragsverarbeitung (AV-Verträge). Nutzen Sie externe Dienstleister wie Webhoster, Newsletter-Tools oder externe Lohnbüros? Dann müssen Sie schriftlich fixieren, dass diese Dienstleister sorgsam mit Ihren Daten umgehen. Diese Verträge müssen vorliegen, unterzeichnet (oder digital bestätigt) sein und zentral archiviert werden. Ein „Handschlag“ reicht im Datenschutzrecht nicht aus.
Fazit: Dokumentation als Qualitätsmerkmal
Die DSGVO Dokumentation sollte nicht als reine Schikane der EU betrachtet werden. Sie zwingt Unternehmen dazu, ihre Prozesse zu hinterfragen und zu strukturieren. Ein Unternehmen, das seine Datenflüsse kennt und dokumentiert hat, arbeitet oft effizienter und genießt höheres Vertrauen bei Kunden und Partnern. Fangen Sie nicht erst an zu dokumentieren, wenn der Brief der Landesdatenschutzbeauftragten auf dem Tisch liegt – dann ist es meist zu spät.
