Diese fünf Pflichten dienen der internen Dokumentation, teilweise in Bezug auf Subunternehmer und freie Mitarbeiter. Pflicht 5 ist schnell erledigt. Pflicht 3 kann kompliziert werden. Bei Pflicht 4 sollte man genau hinschauen, falls man jemand Externes dafür bezahlt, dass die Kosten nicht explodieren.

1. Verzeichnis von Verarbeitungstätigkeiten (VVT)

Das VVT gibt den Überblick über den Stand des Datenschutzes bei allen Geschäftsprozessen, in deren Verlauf personenbezogene Daten verarbeitet werden. Manch findiger Datenschützer sucht Ausnahmen im Gesetz, um kein VVT anlegen zu müssen. Mit diesen verästelten Argumentationen möchte man aber keine Aufsichtsbehörde und keinen Richter überzeugen müssen.

2. Dokumentation technischer und organisatorischer Maßnahmen (TOM)

Die TOMs bezeichnen die bestehenden Sicherheitsvorkehrungen im Unternehmen. Sie werden mit einer TOM-Liste dokumentiert. Die TOM-Liste dient als Anlage zu Auftragsverarbeitungsverträgen (Pflicht 3), wenn man personenbezogene Daten im Auftrag eines anderen Unternehmens in irgendeiner Form verarbeitet.

3. Auftragsverarbeitungsverträge (AVV)

Wenn das VVT (Pflicht 1) und die TOM-Liste (Pflicht 2) angelegt sind, können mit Dienstleistern, Geschäftspartnern und Subunternehmen, die personenbezogene Daten im Auftrag bei sich verarbeiten oder im Unternehmen verarbeiten lassen, AVV geschlossen werden.

4. Dokumentation der Erfüllung von Betroffenenrechten

Personen, deren personenbezogenen Daten verarbeitet werden, haben Rechte gegenüber der Stelle, die ihre Daten verarbeitet. Dass diese Rechte fristgemäß erfüllt wurden, muss dokumentiert werden.

5. Verpflichtung von Beschäftigten auf die Vertraulichkeit

Diese Pflicht ist im Regelfall mit einer Unterschrift Ihrer Angestellten und freien Mitarbeiter unter einer Standard-Erklärung erfüllt.