DSGVO-Pflichtdokumentation als PDF strukturiert verwalten
Der Datenschutzbeauftragte (DSB) – ob intern bestellt oder extern beauftragt – hat eine umfangreiche Dokumentationspflicht nach der DSGVO. Artikel 5 Abs. 2 DSGVO legt die sogenannte Rechenschaftspflicht fest: Das Unternehmen muss nachweisen können, dass es die Grundsätze der DSGVO einhält. Dieser Nachweis wird durch Dokumentation erbracht. Die DSGVO-Pflichtdokumentationen umfassen unter anderem: das Verzeichnis der Verarbeitungstätigkeiten (VVT) nach Art. 30, die Dokumentation der technisch-organisatorischen Maßnahmen (TOM) nach Art. 32, Datenschutz-Folgeabschätzungen (DSFA) nach Art. 35 für risikoreiche Verarbeitungen, Auftragsverarbeitungsverträge (AVV) nach Art. 28, das Löschkonzept und Datenschutzverletzungs-Protokolle nach Art. 33. All diese Dokumente müssen gepflegt, aktuell gehalten und bei einer Prüfung durch die Datenschutzbehörde sofort vorlegbar sein. Die PDF-basierte Verwaltung dieser Dokumentation bietet eine strukturierte, unveränderliche und leicht zugängliche Lösung. Dieser Leitfaden zeigt, wie Sie als DSB Ihre DSGVO-Dokumentation systematisch als PDF aufbauen und verwalten.
Verarbeitungsverzeichnis als PDF erstellen und pflegen
Das Verarbeitungsverzeichnis (VVT) nach Art. 30 DSGVO ist die Pflichtdokumentation schlechthin: Jedes Unternehmen, das personenbezogene Daten verarbeitet, muss ein VVT führen. Es dokumentiert alle Verarbeitungstätigkeiten – von der Kundendatenverwaltung über die Personalverwaltung bis zur Videoüberwachung. Für jede Verarbeitungstätigkeit muss das VVT enthalten: Name und Kontaktdaten des Verantwortlichen und des DSB, Zwecke der Verarbeitung, Beschreibung der Kategorien der betroffenen Personen, Kategorien der personenbezogenen Daten, Empfänger der Daten, Drittlandübermittlungen sowie geplante Löschfristen. Das VVT wird oft als Excel-Tabelle oder Word-Dokument gepflegt und sollte regelmäßig (mindestens jährlich) in ein PDF exportiert werden. Dieses PDF dient als versionierter Nachweis des aktuellen Standes. Behalten Sie ältere Versionen als historischen Nachweis, markieren Sie jede Version mit Datum und Versionsnummer.
- 1Erstellen Sie eine Vorlage für das VVT mit allen Pflichtfeldern nach Art. 30 DSGVO.
- 2Dokumentieren Sie jede Verarbeitungstätigkeit in einem separaten Datensatz.
- 3Exportieren Sie das fertige VVT vierteljährlich als nummeriertes PDF (VVT_v2.3_2026-03.pdf).
- 4Schützen Sie das exportierte PDF gegen Änderungen mit LazyPDF.
- 5Speichern Sie alle PDF-Versionen im DSGVO-Archiv für den Nachweis der Entwicklung.
- 6Teilen Sie das aktuelle VVT nach Bedarf mit der Datenschutzbehörde über verschlüsselte Kanäle.
TOM-Dokumentation als strukturiertes PDF
Die technisch-organisatorischen Maßnahmen (TOM) nach Art. 32 DSGVO beschreiben, wie das Unternehmen die Sicherheit der Datenverarbeitung gewährleistet. Die TOM-Dokumentation umfasst typischerweise: Zugangskontrolle (Passwortpolitik, Zwei-Faktor-Authentifizierung), Zutrittskontrolle (physische Sicherung von Serverräumen), Datenträgerkontrolle (Verschlüsselung, sichere Entsorgung), Übertragungskontrolle (Verschlüsselung bei Datenübermittlung) und Auftragskontrolle (Management von Auftragsverarbeitern). Die TOM-Dokumentation sollte als umfassendes PDF-Dokument vorliegen, das alle Maßnahmen beschreibt und mit technischen Details und Verantwortlichkeiten belegt. Für größere Unternehmen empfiehlt sich eine Strukturierung nach ISO 27001-Kontrollbereichen, auch wenn eine ISO-Zertifizierung nicht zwingend erforderlich ist. Aktualisierungen der TOM-Dokumentation sind besonders wichtig nach Systemänderungen, nach Datenpannen und nach Datenschutzprüfungen. Versionieren Sie das Dokument klar und speichern Sie alle Versionen. Führen Sie ein Änderungsprotokoll als erste Seite des Dokuments, das Datum und Art jeder Änderung dokumentiert.
Datenschutz-Folgeabschätzung (DSFA) als PDF dokumentieren
Eine Datenschutz-Folgeabschätzung (DSFA) nach Art. 35 DSGVO ist für Verarbeitungen vorgeschrieben, die ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen darstellen. Die deutsche Datenschutzkonferenz (DSK) hat Listen veröffentlicht, welche Verarbeitungen zwingend eine DSFA erfordern – darunter umfangreiche Videoüberwachung, Profiling, Biometrie und Gesundheitsdatenverarbeitung. Eine DSFA umfasst: systematische Beschreibung der geplanten Verarbeitung, Bewertung der Notwendigkeit und Verhältnismäßigkeit, Bewertung der Risiken für die Rechte der Betroffenen und Maßnahmen zur Risikominimierung. Sie muss schriftlich dokumentiert werden – eine PDF-Dokumentation ist ideal, da sie unveränderlich und leicht teilbar ist. Die DSFA-Dokumentation sollte mit dem VVT verknüpft sein: Jede Verarbeitungstätigkeit, für die eine DSFA erforderlich ist, sollte im VVT darauf verweisen. Speichern Sie die DSFA als separates PDF mit eindeutiger Versionsnummer und Datum. Wenn Risikomaßnahmen umgesetzt werden, aktualisieren Sie die DSFA entsprechend.
Datenschutzverletzungen protokollieren und als PDF archivieren
Art. 33 DSGVO verpflichtet Unternehmen, Datenpannen (Personal Data Breaches) intern zu dokumentieren – unabhängig davon, ob eine Meldepflicht an die Datenschutzbehörde besteht. Diese interne Dokumentation muss Art, Ursache und Auswirkungen der Verletzung sowie die ergriffenen Maßnahmen beschreiben. Jedes Datenpannen-Protokoll sollte als separates PDF gespeichert werden mit: Datum und Uhrzeit der Entdeckung, Art der Verletzung (Datenverlust, unbefugter Zugriff, Datenkorruption), betroffene Datenkategorien und Personenanzahl, wahrscheinliche Ursache, ergriffene Sofortmaßnahmen, Entscheidung über Meldepflicht (mit Begründung) und getroffene Langzeitmaßnahmen. Die Protokolle müssen mindestens drei Jahre aufbewahrt werden, damit die Datenschutzbehörde bei einer Prüfung alle gemeldeten und nicht gemeldeten Vorfälle der letzten Jahre einsehen kann. Für die PDF-Archivierung gilt: Schützen Sie die Protokolle gegen Änderungen und speichern Sie sie in einem gesonderten, gesicherten Bereich Ihres DSGVO-Archivs.
Häufig gestellte Fragen
Muss das Verarbeitungsverzeichnis schriftlich vorliegen?
Art. 30 Abs. 3 DSGVO schreibt vor, dass das VVT schriftlich zu führen ist – wobei elektronische Form genügt. Ein gut strukturiertes, als PDF gespeichertes VVT erfüllt diese Anforderung. Wichtig ist, dass es auf Anfrage der Aufsichtsbehörde unverzüglich vorgelegt werden kann. Eine reine Datenbanklösung ohne Exportmöglichkeit als lesbares Dokument kann problematisch sein.
Wie oft muss die DSGVO-Dokumentation aktualisiert werden?
Die DSGVO schreibt keine festen Aktualisierungsintervalle vor, verlangt aber, dass die Dokumentation aktuell und korrekt ist. In der Praxis empfiehlt sich eine jährliche Überprüfung sowie anlassbezogene Aktualisierungen bei neuen Verarbeitungen, Systemänderungen, Datenpannen oder behördlichen Anfragen. Dokumentieren Sie jeden Review mit Datum und Ergebnis.
Darf ich DSGVO-Dokumentation in einer öffentlichen Cloud speichern?
DSGVO-Dokumentation selbst enthält keine personenbezogenen Daten von Betroffenen, sondern beschreibt Prozesse und Maßnahmen. Dennoch ist Vorsicht geboten: TOM-Dokumentationen können sicherheitsrelevante Informationen enthalten, die nicht in die falschen Hände geraten sollten. Für öffentlich zugängliche Cloud-Dienste ohne AV-Vertrag ist dies ungeeignet. Nutzen Sie EU-Cloud-Dienste mit AV-Vertrag oder eine interne Ablage.
Was droht, wenn die DSGVO-Dokumentation bei einer Prüfung unvollständig ist?
Unvollständige oder fehlende DSGVO-Dokumentation kann nach Art. 83 Abs. 4 DSGVO mit Bußgeldern bis zu 10 Millionen Euro oder 2% des weltweiten Jahresumsatzes geahndet werden. In der Praxis prüft die Datenschutzbehörde bei Verstößen zunächst, ob das Unternehmen kooperativ ist und die Verstöße unverzüglich behebt. Eine vollständige, gut gepflegte PDF-Dokumentation ist daher das wichtigste Mittel zur Risikominimierung.