Die Rechenschaftspflicht (Art. 5 Abs. 2 DSGVO) durchzieht das gesamte Datenschutzrecht. Der Verantwortliche muss nicht nur compliant sein, sondern dies auch nachweisen können.
Übersicht der Dokumentationspflichten
Verzeichnis der Verarbeitungstätigkeiten (Art. 30 DSGVO): Alle Verarbeitungsvorgänge systematisch erfassen.
Rechtsgrundlagen: Für jede Verarbeitung die Rechtsgrundlage festlegen und dokumentieren.
Einwilligungsnachweise (Art. 7 Abs. 1 DSGVO): Nachweis, dass wirksame Einwilligungen vorliegen (Zeitstempel, Inhalt, Widerrufsmechanismus).
Datenschutz-Folgenabschätzungen (Art. 35 DSGVO): Durchführung und Ergebnis dokumentieren. Auch die Entscheidung, KEINE DSFA durchzuführen, muss begründet werden.
Technische und organisatorische Maßnahmen (Art. 32 DSGVO): TOM-Dokumentation als Teil des VVT und separat.
Datenschutzverletzungen (Art. 33 Abs. 5 DSGVO): ALLE Datenpannen dokumentieren - auch nicht meldepflichtige.
Auftragsverarbeitungsverträge (Art. 28 DSGVO): Alle AVVs aufbewahren.
Interessenabwägungen: Bei Verarbeitung auf Basis berechtigter Interessen (Art. 6 Abs. 1 lit. f).
Betroffenenanfragen: Eingang, Bearbeitung und Ergebnis dokumentieren.
Schulungsnachweise: Verpflichtungs- und Schulungsnachweise der Beschäftigten.
Aufbewahrung
Die DSGVO nennt keine einheitliche Aufbewahrungsfrist für Dokumentationen. Als Orientierung dient die Verjhrungsfrist für DSGVO-Bußgelder (in der Regel 3-5 Jahre je nach Mitgliedstaat) und die allgemeine Verjährungsfrist von 3 Jahren (Paragraph 195 BGB).