Die Datenschutz-Grundverordnung (DS-GVO) betont die Verantwortlichkeit, die Unternehmen (auch ''verantwortliche Stellen'' oder ''Verantwortliche'' genannt) für die Einhaltung des Datenschutzes haben. Sie müssen nachweisen können, dass ihre Datenverarbeitung datenschutzkonform ist. Umfangreiche Pflichten zur Dokumentation sollen dies sicherstellen. Die Aufzeichnungen dienen als Nachweis gegenüber der Datenschutzaufsicht, bei gerichtlichen Kontrollverfahren sowie für eine nachträgliche Information Betroffener. Eine erfolgreiche Umsetzung dieser Verpflichtung setzt die Entwicklung, Implementierung und Anwendung eines Datenschutz-Managementsystems voraus. Dabei müssen Verantwortliche eruieren, welche Dokumentationspflichten sie zu beachten haben, Umfang und Grenzen dieser Pflichten kennen und Prozesse einführen, die deren Einhaltung sicherstellen. Die DS-GVO kennt im Wesentlichen folgende Dokumentationspflichten: Art. 5 Abs. 2, 24 Abs. 1 DS-GVO - Rechenschaftspflicht Wer personenbezogene Daten verarbeitet, ist verantwortlich für die Einhaltung aller in der DS-GVO aufgeführten Rechtsgrundsätze. Hierbei handelt es sich um folgende: Rechtmäßigkeit der Verarbeitung, Verarbeitung nach Treu und Glauben, Transparenz, Zweckmäßigkeit, Datenminimierung, Richtigkeit, Speicherbegrenzung, Integrität und Vertraulichkeit. Ein Verantwortlicher muss deren Einhaltung nachweisen können (sog. ''Rechenschaftspflicht''). Ferner haben verantwortliche Stellen geeignete technische und organisatorische Maßnahmen zu ergreifen, um sicherzustellen und den Nachweis erbringen zu können, dass sie bei ihrer Datenverarbeitung vollumfänglich die DS-GVO beachten. Zudem haben sie ergriffene Maßnahmen zu überprüfen und zu aktualisieren. In der Praxis setzt man diese Pflicht über die Beschreibung einer Verarbeitung im sog. ''Verzeichnis für Verarbeitungstätigkeiten'' um und ergänzt diese idealerweise um die Rechtsgrundlage, auf die die jeweilige Datenverarbeitung gestützt wird. Art. 6 - Interessenabwägung, Zweckänderung Wer eine Datenverarbeitung auf die Rechtsgrundlage ''Wahrung der berechtigten Interessen des Verantwortlichen oder Dritten'' stützt, muss den hiervon betroffenen Personen die Gründe mitteilen, die er oder ein Dritter in Abwägung zu den Interessen der Betroffenen als überwiegend ansieht (z.B. Werbung an Kunden per Brief, Fälle des Datenflusses im Konzern, vgl. Erwägungsgründe 47 und 48). Außerdem muss er Betroffene vorab auf ihr jederzeitiges Widerrufsrecht hinweisen. Ferner haben verantwortliche Stellen Betroffene vorab umfassend (z.B. über die Rechtsgrundlage für die geplante weitere Datenverarbeitung) zu informieren, wenn sie Informationen über diese zu einem anderen Zweck weiterverarbeiten möchten als zu dem ursprünglichen