DSGVO-Compliance-Dokumentation für Datenschutzbeauftragte: PDF-Leitfaden

Die DSGVO definiert eine Reihe von Dokumenten, die jedes Unternehmen vorhalten muss, sobald es personenbezogene Daten verarbeitet. Für den Datenschutzbeauftragten sind diese Dokumente das zentrale Arbeitsmaterial. Das Verzeichnis von Verarbeitungstätigkeiten (Art. 30 DSGVO) ist das grundlegendste Dokument. Es dokumentiert alle Prozesse im Unternehmen, bei denen personenbezogene Daten verarbeitet werden, mit Angaben zu Zweck, Rechtsgrundlage, Datenkategorien, Empfängern und Löschfristen. Als PDF sollte das Verarbeitungsverzeichnis regelmäßig aktualisiert werden — mindestens einmal jährlich und bei jeder wesentlichen Änderung von Verarbeitungsprozessen. Die Datenschutzfolgeabschätzung (DSFA, Art. 35 DSGVO) ist erforderlich, wenn Verarbeitungsprozesse ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen darstellen. DSFAs sollten als strukturierte PDFs dokumentiert werden, die die Risikoanalyse und die ergriffenen Schutzmaßnahmen nachvollziehbar darstellen. Technische und organisatorische Maßnahmen (TOMs) sind ebenfalls zu dokumentieren. Als PDF-Dokument sollte die TOM-Dokumentation für jeden wesentlichen Verarbeitungsprozess beschreiben, welche Maßnahmen zum Schutz der personenbezogenen Daten getroffen wurden.

1. 1Erstellen Sie ein strukturiertes Verzeichnis von Verarbeitungstätigkeiten als PDF-Vorlage und füllen Sie es für alle Verarbeitungsprozesse aus.
2. 2Identifizieren Sie alle Verarbeitungsprozesse, die einer DSFA bedürfen (basierend auf der Liste der Datenschutzbehörden), und erstellen Sie für diese strukturierte PDF-Dokumentationen.
3. 3Dokumentieren Sie alle TOMs als PDF für jeden wesentlichen Verarbeitungsprozess und aktualisieren Sie diese bei Änderungen der technischen Infrastruktur.
4. 4Erstellen Sie einen Dokumentenplan, der festlegt, welche DSGVO-Dokumente wann zu überprüfen und zu aktualisieren sind.
5. 5Richten Sie ein zentrales DSGVO-Dokumentenarchiv ein, das alle Pflichtdokumente als PDFs strukturiert und schnell zugänglich ablegt.

Neben den gesetzlich vorgeschriebenen Dokumenten müssen Datenschutzbeauftragte auch interne Datenschutzrichtlinien erstellen und pflegen. Diese Richtlinien beschreiben, wie Mitarbeiter mit personenbezogenen Daten umzugehen haben, welche IT-Systeme genutzt werden dürfen und wie Datenschutzverletzungen zu melden sind. Datenschutzrichtlinien als PDFs bieten den Vorteil, dass sie in einer definierten Version festgehalten werden können. Version 1.0 einer Richtlinie ist dauerhaft als PDF archiviert, auch wenn Version 2.0 in Kraft tritt. Dies ist wichtig für die Nachvollziehbarkeit: Bei einer Datenpanne kann relevant sein, welche Richtlinie zum Zeitpunkt des Vorfalls gültig war. Schulungsnachweise sind ein weiteres wichtiges Dokumentenformat. Die DSGVO verlangt, dass Mitarbeiter, die mit personenbezogenen Daten arbeiten, regelmäßig geschult werden. Schulungsteilnahmelisten, Präsentationen und Prüfungsergebnisse sollten als PDFs archiviert werden. Für jede Schulung sollte ein PDF-Nachweis erstellt werden, der Datum, Inhalte, Teilnehmer und ggf. Testergebnisse dokumentiert.

1. 1Erstellen Sie für jede wesentliche Datenschutzrichtlinie ein versioniertes PDF-Dokument mit Datum der Verabschiedung und dem Namen des Verantwortlichen.
2. 2Archivieren Sie alle Versionen jeder Richtlinie — veraltete Versionen dürfen nicht gelöscht werden, da sie historische Compliance-Nachweise sind.
3. 3Dokumentieren Sie alle Datenschutzschulungen als PDFs mit Teilnehmerliste, Schulungsinhalt und Datum.
4. 4Erstellen Sie einen jährlichen Datenschutzbericht als PDF, der den Datenschutzstatus des Unternehmens zusammenfasst.

Datenschutzverletzungen gehören zu den ernstesten Situationen, mit denen ein Datenschutzbeauftragter konfrontiert werden kann. Die DSGVO verpflichtet Unternehmen, Datenschutzverletzungen innerhalb von 72 Stunden der zuständigen Datenschutzaufsichtsbehörde zu melden, wenn das Risiko für Betroffene voraussichtlich hoch ist. Für jeden Datenschutzvorfall muss ein detaillierter Incident-Report erstellt werden, der als PDF archiviert wird. Dieser Report sollte dokumentieren: Art der Verletzung (Vertraulichkeits-, Integritäts- oder Verfügbarkeitsverletzung), betroffene Datenkategorien und -mengen, betroffene Personen, wahrscheinliche Folgen der Verletzung, ergriffene und geplante Abhilfemaßnahmen sowie den Zeitpunkt der Entdeckung und der Meldung. Diese Dokumentation ist nicht nur für die Meldung an die Behörde erforderlich, sondern auch als internes Lerndokument wertvoll. Regelmäßige Überprüfungen der Incident-Reports können helfen, wiederkehrende Schwachstellen zu identifizieren und systematisch zu beheben.

1. 1Erstellen Sie eine Incident-Report-Vorlage als PDF, die alle erforderlichen Informationsfelder enthält und bei einem Datenschutzvorfall sofort genutzt werden kann.
2. 2Füllen Sie den Incident-Report unverzüglich nach Entdeckung einer Datenschutzverletzung aus und archivieren Sie ihn mit Zeitstempel.
3. 3Dokumentieren Sie alle ergriffenen Sofortmaßnahmen und die Kommunikation mit der Datenschutzaufsichtsbehörde als PDFs.
4. 4Führen Sie nach jedem Vorfall eine Ursachenanalyse durch und dokumentieren Sie die Ergebnisse und präventiven Maßnahmen als PDF.

Datenschutzbeauftragte sollten regelmäßige interne Audits durchführen, um die DSGVO-Compliance im Unternehmen zu überprüfen. Ein gut dokumentiertes Audit, das als PDF archiviert wird, ist nicht nur ein internes Steuerungsinstrument, sondern auch ein Nachweis gegenüber Behörden, dass das Unternehmen die DSGVO ernst nimmt. Das Audit sollte alle wesentlichen Verarbeitungsprozesse abdecken und überprüfen, ob die dokumentierten TOMs tatsächlich umgesetzt sind, ob das Verarbeitungsverzeichnis aktuell ist, ob Datenschutzschulungen stattgefunden haben und ob Prozesse zur Bearbeitung von Betroffenenrechten (Auskunft, Löschung, Berichtigung) etabliert sind. Bei Anfragen der Datenschutzaufsichtsbehörde oder bei Beschwerden betroffener Personen müssen Sie schnell alle relevanten Dokumente vorlegen können. Eine strukturierte PDF-Ablage mit einem klaren Inhaltsverzeichnis ermöglicht es, auch unter Zeitdruck die richtigen Dokumente zu finden. Halten Sie ein Compliance-Portfolio bereit: ein gebündeltes PDF-Dokument, das die wichtigsten Compliance-Nachweise zusammenfasst und bei Bedarf sofort vorgelegt werden kann.