AGIDAT – Datenschutz | Informationssicherheit

Datenschutzdokumentation

VVT, TOM, Datenschutzerklärung & Co. — vollständig, aktuell und im Ernstfall vorzeigbar.

Dokumentation prüfen lassen

Datenschutz ist Nachweispflicht — Art. 5 Abs. 2 DSGVO nennt das „Accountability". Sie müssen nicht nur datenschutzkonform handeln, Sie müssen es auch belegen können. Das bedeutet: vollständige, aktuelle Dokumentation.

Die wichtigsten Dokumente im Überblick

📋
Verarbeitungsverzeichnis (VVT)
Art. 30 DSGVO

Das VVT ist das Herzstück der Datenschutzdokumentation. Es listet alle Verarbeitungen auf, inkl. Zweck, Rechtsgrundlage, betroffene Kategorien, Löschfristen und Empfänger.
🔒
Technische & org. Maßnahmen (TOM)
Art. 32 DSGVO

Das TOM-Dokument beschreibt, wie Sie Daten schützen: Zugangsschutz, Verschlüsselung, Zugriffsberechtigungen, Backups, Notfallpläne und vieles mehr.
📄
Datenschutzerklärung
Art. 13/14 DSGVO

Jede Website benötigt eine vollständige Datenschutzerklärung. Sie informiert Nutzer über alle Datenverarbeitungen, eingesetzte Dienste und deren Rechte.
🤝
Auftragsverarbeitungsverträge (AVV)
Art. 28 DSGVO

Für jeden Dienstleister, der in Ihrem Auftrag Daten verarbeitet, brauchen Sie einen schriftlichen AVV. Ohne diesen Vertrag ist die Verarbeitung rechtswidrig.
⚠️
Datenschutz-Folgenabschätzung (DSFA)
Art. 35 DSGVO

Bei Verarbeitungen mit hohem Risiko für Betroffene ist eine DSFA Pflicht. Sie analysiert das Risiko und zeigt, wie es minimiert werden kann.
🗑️
Löschkonzept
Art. 5 Abs. 1 lit. e

Personenbezogene Daten dürfen nur so lange gespeichert werden, wie es der Zweck erfordert. Ein Löschkonzept definiert Fristen und setzt sie automatisiert um.

Warum Dokumentation oft scheitert

In der Praxis sehen wir immer wieder dieselben Probleme:

  • Einmalig erstellt, nie aktualisiert. Ein VVT, das vor drei Jahren erstellt wurde, spiegelt nicht mehr die aktuelle Software-Landschaft wider. Besonders wenn neue Tools eingeführt wurden.
  • Zu allgemein. Dokumente, die für alle Unternehmen passen sollen, passen für keines wirklich. Datenschutzdokumentation muss unternehmensspezifisch sein.
  • Nicht auffindbar. Die beste Dokumentation nützt nichts, wenn sie im Ernstfall nicht vorgelegt werden kann. Klare Ablagestrukturen sind Teil des Systems.
  • Keine Verantwortlichen. Wer aktualisiert das VVT, wenn eine neue Software eingeführt wird? Wer prüft die AVV-Liste jährlich? Ohne klare Zuständigkeiten verfällt die Dokumentation.

Unser Ansatz: Dokumentation, die bleibt

Wir erstellen keine Dokumente, die nach Übergabe verstauben. Wir bauen mit Ihnen eine Dokumentationsstruktur auf, die pflegbar ist, und übernehmen auf Wunsch die laufende Aktualisierung als Teil unserer DSB-Leistung.

Was bei einer Behördenprüfung gefragt wird

Wenn die Datenschutzaufsichtsbehörde prüft — ob nach einer Beschwerde oder im Rahmen einer Amtsprüfung — fragt sie typischerweise nach:

  • Verzeichnis von Verarbeitungstätigkeiten (Art. 30 DSGVO)
  • Datenschutzerklärung der Website
  • Auftragsverarbeitungsverträge mit Dienstleistern
  • Bestellung des Datenschutzbeauftragten (falls Pflicht)
  • Nachweis über Mitarbeiterschulungen
  • Dokumentation von Datenpannen (auch wenn sie intern nicht gemeldet wurden)
  • Datenschutz-Folgenabschätzungen (bei risikoreichen Verarbeitungen)

Wer diese Dokumente nicht vorlegen kann, gerät unter Druck — selbst wenn die tatsächliche Praxis in Ordnung ist.