Bisher galt das Prinzip, dass die Datenschutzaufsichtsbehörde Verstöße eines Unternehmers gegen Datenschutzvorschriften belegen muss. Ein Unternehmen war nicht verpflichtet, anlasslos eine Dokumentation zu erstellen und zu pflegen, mit der es sein gesetzeskonformes Handeln nachweisen konnte. Dies wird sich mit dem Wirksamwerden der Datenschutz-Grundverordnung grundlegend ändern. Dann müssen Unternehmen jederzeit in der Lage sein, die Rechtmäßigkeit ihrer Verarbeitung nachzuweisen. So kann zukünftig auch eine fehlende Dokumentation mit einem Bußgeld belegt werden – sogar dann, wenn die dazugehörige Verarbeitung rechtskonform erfolgt ist. Vor diesem Hintergrund sind auch die Softwareentwicklung, die IT-Administration und die IT-Sicherheit gefragt, ein entsprechendes Dokumentationssystem einzuführen oder das bereits vorhandene an die neue Rechtslage anzupassen.
Niels Lepperhoff, Thomas Müthlein: Datenschutz-Grundverordnung: Neue Dokumentationspflichten in der IT. Erschienen in: IT- Sicherheit 05/2016, S. 66 – 69.