Die EU-Datenschutz-Grundverordnung (DSGVO) stellt branchenübergreifend allgemeine Umsetzungsmaßnahmen dar, welche ab dem 25.05.2018 zu berücksichtigen sind. Neben der praktischen Ausgestaltung der rechtlichen Bestimmungen, werden die Anforderungen an die vorzuhaltenden Dokumentations- und Nachweispflichten angehoben. Die verantwortliche Stelle unterliegt gemäß Art. 5 Abs. 2 DSGVO einer Rechenschaftsplicht. Das bedeutet, dass die Einhaltung der datenschutzrechtlichen Grundsätze, wie zum Beispiel die Zweckbindung, das Transparenzgebot oder die Speicherbegrenzung, auch nachgewiesen werden muss. Einen Auszug der zahlreichen Neuerungen der Dokumentations- und Nachweispflichten, welche explizit in der DSGVO findet sich hier:

1. Dokumentationspflichten:
   • Die datenschutzrechtlichen Weisungen des Auftraggebers an den Auftragnehmer bei einer Verarbeitung im Auftrag ist zu dokumentieren (Art. 26 DSGVO) – z. B. Rahmenregelungen für die Fernwartung.
   • Der Auftragsdatenverarbeiter hat die Pflicht ein Verzeichnis von Verfahrenstätigkeiten aufzustellen (Art. 28 DSGVO).
   • Es besteht die explizite Pflicht alle Datenschutzverletzungen zu dokumentieren ( 33 DSGVO).
   • Es ist eine dokumentierte Abwägung und Garantien bei der Datenübermittlung an Drittländer zu erstellen (Art. 46 DSGVO).

2. Nachweispflichten:

• Nachgewiesen werden muss die Einhaltung der Verarbeitungsprinzipien (Art. 5 DSVGVO) – z. B. durch ein Datenschutzkonzept.
• Wenn eine Einwilligung vom Betroffenen abgefragt werden muss, ist diese auch nachweislich vorzuhalten (Art. 7 DSGVO).
• Ein Nachweis über die Unbegründetheit des Antrags ist auch bei negativem Auskunftsersuchen zu erbringen (Art. 12 DSGVO).
• Bei der Auftragsdatenverarbeitung sind die Verpflichtungen für eine ordnungsgemäße Datenverarbeitung festzulegen (Art. 26 DSGVO).
• Es müssen geeignete technische und organisatorische Maßnahmen für die rechtmäßige Verarbeitung der Daten nachgewiesen werden können (Art. 24 DSGVO) – z. B. durch Richtlinien und Handbücher zur IT-Sicherheit.
• Im Rahmen der Datenschutz-Folgenabschätzung (laut BDSG: Vorabkontrolle) muss ein Nachweis über die Einhaltung der DSGVO erbracht werden (Art. 35 DSGVO).

Es müssen eine Reihe an genannten Dokumentations- und Nachweispflichten erfüllt werden. Es bietet sich an ein entsprechendes Datenschutzkonzept vorzuhalten. Neben dem Datenschutzbeauftragten trifft den IT-Verantwortlichen eine Schlüsselrolle hinsichtlich der Datensicherheit.

Gerne stehen wir Ihnen für Rückfragen zur Verfügung.