§ 7 Sicherungsmechanismen zur Einhaltung der DSGVO / III. Aus anderen Bestimmungen abzuleitende Dokumentationspflichten

Rz. 70

Aus den Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO ergibt sich die Verpflichtung des Verantwortlichen, die Einhaltung der in Art. 5 Abs. 1 DSGVO normierten Datenschutzgrundsätze auf Verlangen der Datenschutzaufsicht nachweisen zu können. Wie bereits erläutert, werden die in Art. 5 Abs. 1 DSGVO normierten Datenschutzgrundsätze der

▪	Rechtmäßigkeit,
▪	Verarbeitung nach Treu und Glauben,
▪	Transparenz,
▪	Zweckbindung,
▪	Datenminimierung,
▪	Richtigkeit,
▪	Speicherbegrenzung sowie
▪	Integrität und Vertraulichkeit

in den nachfolgenden Artikeln der Verordnung näher konkretisiert und ausgestaltet. Die Einhaltung der daraus resultierenden Verpflichtungen hat der Verantwortliche nachzuweisen. Es folgen zwar keine konkret normierten Dokumentationspflichten, gleichwohl aber entsprechende Dokumentationsempfehlungen an den Verantwortlichen.

Rz. 71

So ist – mit Blick auf den Grundsatz der Rechtmäßigkeit der Verarbeitung – die Dokumentation der für einzelne Verarbeitungsschritte herangezogenen Rechtsgrundlagen zu empfehlen. Da die DSGVO ihrerseits keine abstrakte, sondern eine konkrete, auf das einzelne Datum und seine Verarbeitung bezogene Rechtsgrundlage fordert, sollte die Dokumentation auch den einzelnen Verarbeitungsvorgang erfassen und – im Falle entsprechender Rückfragen durch die betroffene Person oder die Aufsichtsbehörde – nachweisbar machen. Soweit ein Verantwortlicher – was regelmäßig der Fall sein dürfte – weitgehend gleichlaufende Verarbeitungen vollzieht, die sich lediglich in Bezug auf die jeweils betroffene Person unterscheiden, sollte es als ausreichend angesehen werden, die entsprechenden Verarbeitungsschritte und -szenarien zu gruppieren und – ähnlich der Vorgehensweise im Rahmen einer Datenschutzfolgenabschätzung nach Art. 35 DSGVO – die den Verarbeitungsgruppen jeweils zugrunde liegenden Rechtsgrundlagen zu dokumentieren.^[97] Gleiches gilt für die Berücksichtigung des Grundsatzes der Verarbeitung nach Treu und Glauben.

Rz. 72

Nicht nur aus Art. 5 Abs. 1 lit a.) DSGVO, sondern insbesondere aus Art. 12 DSGVO folgt die Verpflichtung, der betroffenen Person alle Informationen und Mitteilungen zur Verarbeitung personenbezogener Daten leicht zugänglich und verständlich und in klarer und einfacher Sprache zugänglich zu machen. Unbeschadet des Umstandes, dass die Übermittlung derartiger Informationen im Einzelfall über eine Kopie der an den Betroffenen übermittelten Information nachgewiesen werden kann, empfiehlt sich in der Praxis – je nach Unternehmensgröße – ggf. zusätzlich die Erarbeitung entsprechender Informationsstrukturen und -leitlinien, etwa im Rahmen von (schriftlich verfassten) Dienstanweisungen.

Rz. 73

Hinsichtlich des Nachweises der Zweckbindung jeder Datenverarbeitung kann auf die Ausführungen zu Art. 25 DSGVO (siehe Rdn 41 ff.) verwiesen und empfohlen werden, auch die jeweiligen Zweckbestimmungen, denen ein Datum im gewöhnlichen Verarbeitungsverlauf eines Verantwortlichen dienen kann, dem Einzeldatum als Metainformation anzuhängen. Hierüber ließe sich dann, im Sinne der Umsetzung des Datenschutzes durch Technik, auch die Verarbeitung des Datums für andere Zwecke bereits systemisch unterbinden.

Rz. 74

Der Nachweis der Einhaltung des Grundsatzes der Minimierung der Datenverarbeitung lässt darüber hinaus die schriftliche Fixierung eines Sperr- und Löschkonzeptes sinnvoll erscheinen, aus dem Fristen für die Löschung oder regelmäßige Überprüfung vorhandener Daten(bestände) ebenso ersichtlich werden, wie die Kriterien, denen die Festlegung und regemäßige Überprüfung von Speicherfristen folgt.

Rz. 75

Mit Blick auf das Erfordernis der Aktualität und Richtigkeit von Daten sollte ein entsprechendes Prüfkonzept erarbeitet und dokumentiert werden. Da personenbezogene Daten so verarbeitet werden sollen, dass ihre Sicherheit und Vertraulichkeit hinreichend gewährleistet ist, wozu auch gehört, dass Unbefugte keinen Zugang zu den Daten haben und weder die Daten noch die Geräte, mit denen diese verarbeitet werden, benutzen können und Daten zudem gegen Verfälschung, Ergänzung und Beschränkung durch Dritte zu sichern sind, empfiehlt sich die Etablierung und Fixierung eines entsprechenden Sicherheitskonzeptes durch den Verantwortlichen.

Rz. 76

Weiterhin erfordern die Informationen, die der betroffenen Person zu erteilen sind, im Einzelfall eine entsprechende Dokumentation. So sollten Maßnahmen etabliert werden, über die sichergestellt werden kann, dass sowohl die Herkunft eines Datums, als auch seine (potentiellen) Empfänger durch den Verantwortlichen dokumentiert werden. Anders als im Rahmen der allgemeinen Information nach Art. 13 und 14 DSGVO ist der betroffenen Person – auf Verlangen – nämlich nicht nur Auskunft über die mögliche Quellen und Empfänger eines Datums, sondern die konkreten Quellen und Empfänger zu erteilen. Sind selbige nicht (sinnvollerweise ebenso als Metainformation dem Datum angeheftet) vorhanden, kann der Verantwortliche seiner Auskunftspflicht nicht vollumfänglich nachkommen und riskie...