Datenschutzrecht - Dokumentationspflicht

Zu den Dokumentationspflichten des Verantwortlichen nach der DSGVO

Die DSGVO verlangt vom Verantwortlichen teilweise explizit eine Dokumentation bestimmter Vorgänge, so z.B. ein Verzeichnis der relevanten Verarbeitungstätigkeiten. An anderen Stellen der DSGVO ergibt sich eine implizite Dokumentationspflicht, weil der Verantwortliche nur auf diese Weise gegenüber den Prüfanforderungen der Aufsichtsbehörden die Einhaltung der Vorgaben der DSGVO nachweisen kann. Die Zwecke der Dokumentation bestehen also zum einen darin, die nach der DSGVO bestehenden Nachweispflichten zu erfüllen, und zum anderen darin, für Zwecke des Datenschutzmanagements jederzeit auf diese Dokumentation zurück greifen zu können.

Auch hierbei ist allerdings der sogenannte risikobasierte Ansatz der DSGVO zu beachten. Auch im Hinblick auf die Nachweis- und Dokumentationspflichten gilt daher, dass der Verantwortliche unter Berücksichtigung der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der Risiken für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen trifft um, um sicherzustellen und den Nachweis dafür erbringen zu können, dass die Verarbeitung gemäß dieser Verordnung erfolgt. Diese Maßnahmen werden erforderlichenfalls überprüft und aktualisiert (Art. 24 Abs. 1 DSGVO).