Als Konkretisierung der allgemeinen Rechenschaftspflicht des Art. 5 Abs. 2 DSGVO statuiert Art. 33 Abs. 5 DSGVO die Dokumentation im Falle von Schutzverletzungen. Eine sorgfältige Dokumentation ist wichtig, um die Rechenschaftspflicht zu erfüllen und bei Audits oder Anfragen der Aufsichtsbehörde Nachweise erbringen zu können. Im Gegensatz zur Meldepflicht, wird die Dokumentationspflicht nicht an die Schwere des Risikos für natürliche Personen gekoppelt. Sie ist in jedem Fall vom Verantwortlichen durchzuführen, auch wenn keine Meldung an Betroffene und/oder Aufsichtsbehörde erfolgen muss.
Die Dokumentation soll die Aufsichtsbehörde letztlich dazu befähigen alle sachverhaltsrelevanten Ereignisse, wie die Art der Schutzverletzung oder den Zeitpunkt der Kenntnisnahme, nachvollziehen zu können. Unterlässt der Verantwortliche es z. B. im Falle einer Schutzverletzung, die etwa eine unberechtigte Kenntnisnahme von personenbezogenen Daten ermöglicht, eine Meldung nach Art. 33 Abs. 1 DSGVO durchzuführen, sind in der Dokumentation die Gründe dafür festzuhalten. Die Aufsichtsbehörde muss gem. Art. 33 Abs. 5 Satz 2 DSGVO im Prüfungsfall nachvollziehen können, ob die jeweiligen Gründe für eine etwaige Nichtmeldung gerechtfertigt waren.
Im Fall eines meldepflichtigen Ereignisses kann die Dokumentation ferner eine Grundlage für mögliche risikoreduzierende Gegenmaßnahmen sein, die von der Aufsichtsbehörde im Einzelfall angeordnet werden können. Letztlich wird die (fehlende) Dokumentation auch über mögliche Sanktionen entscheidend sein.
Die Nachvollziehbarkeit des Ereignisses für die Aufsichtsbehörde bestimmt auch den Umfang der Dokumentation. Zu dokumentieren sind alle im Zusammenhang mit der Verletzung des Schutzes personenbezogener Daten stehenden Fakten. Demnach ist mehr festzuhalten, als die in Art. 33 Abs. 3 DSGVO genannten Informationen für die Mitteilung bei der Aufsichtsbehörde. Die folgenden Fragen können eine Richtschnur für die wesentlich zu dokumentierenden Punkte sein:
- Zu welchem Zeitpunkt trat die Schutzverletzung ein?
- Wann erfolgte die tatsächliche Kenntnisnahme von der Schutzverletzung?
- Welche Art der Schutzverletzung (Vernichtung, Verlust, Änderung, Offenlegung) ist eingetreten?
- Welche Teile des Systems/ der IT sind von der Schutzverletzung betroffen?
- Welche Gegenmaßnahmen wurden ergriffen um das Risiko abzumildern?
- Welche Anzahl oder Kategorien von Personen sind betroffenen?
- Welche Daten oder Datenkategorien sind Betroffen?
- Durch welche Umstände konnte es zu der Schutzverletzung kommen (organisatorisch, technisch, menschlich)?
- Ob, wann und wie erfolgte eine Meldung an die Aufsichtsbehörde und gegebenenfalls die Betroffenen?
- Warum ist eine Meldung gegebenfalls unterblieben?
- Welche Maßnahmen zur Behebung und Prävention wurden ergriffen?
- Welche Personen im Unternehmen sind in die Schutzverletzung involviert (z. B. meldende Person, Datenschutzbeauftragter, IT-Administrator, Geschäftsführer)?
Im Rahmen eines Datenpannenprozesses, sollte auch für die Dokumentation ein standardisiertes Vorgehen im Unternehmen etabliert sein. Die zur Verfügung stehenden Fakten sollten möglichst unverzüglich festgehalten werden, damit keine relevanten Informationen verloren gehen, die für eine Prüfung nach Art. 33 Abs. 5 Satz 2 DSGVO entscheidend sein könnten.
Schutzverletzungshistorie erstellen
Es bietet sich an, eine "Schutzverletzungshistorie" zu erstellen. Das hilft, einen Gesamtüberblick zu bekommen und Schwachstellen zu erkennen. Die Historie kann Anhaltspunkte bei weiteren Schutzverletzungen liefern. Eine Übermittlung der Dokumentation erfolgt nur auf Anfrage der Aufsichtsbehörde, ggf. gekürzt um die Angaben, die für die Behörde unwichtig sind.