Viele Unternehmen erlassen seit Inkrafttreten der Europäischen Datenschutz-Grundverordnung (DSGVO) munter zahllose interne Regelungen zum Umgang mit personenbezogenen Daten. So will man den neuen datenschutzrechtlichen Anforderungen nachkommen und auf Kontrollen der Aufsichtsbehörden vorbereitet sein. Doch über welche Datenverarbeitungen und deren Schutz müssen Unternehmen überhaupt Rechenschaft ablegen?

Die Rechenschaftspflicht in der DSGVO

Die Rechenschaftspflicht ist in Art. 5 Abs. 2 DSGVO verankert. Hiernach ist der Verantwortliche für die Einhaltung der in Art. 5 Abs. 1 DSGVO aufgezählten Grundsätze (Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz, Zweckbindung, Datenminimierung, Richtigkeit, Speicherbegrenzung, Integrität und Vertraulichkeit) verantwortlich und muss deren Einhaltung nachweisen können. Was aber steckt nun hinter dieser verantwortungsschweren Aussage?

Umfang der Rechenschaftspflicht

Die Rechenschaftspflicht lässt sich in zwei einzelne Pflichten gliedern: Einerseits folgt hieraus die Verantwortlichkeit. Diese findet sich im sog. risikobasierten Ansatz wieder (Art. 24 Abs. 1 DSGVO). Er besagt, dass sich Art und Umfang der vom Verantwortlichen zu ergreifenden datenschutzrechtlichen Maßnahmen nach dem Ergebnis einer Risikoanalyse richten sollen. Produziert eine Fabrik also lediglich Gewürzgurken, ist das Risiko eines Datenschutzvorfalls wesentlich geringer als in einem Krankenversicherungsunternehmen, in dem viel mehr und sensiblere Daten verarbeitet werden. Die erforderlichen Maßnahmen sind fortlaufend zu überprüfen und zu aktualisieren. Wird der Gewürzgurkenproduzent also international tätig oder und wird aus der o.g. Fabrik fortan die gesamte Mitarbeiterverwaltung gesteuert und bewertet, so müssen der Standort und die Datenverarbeitung in Zukunft auch stärker geschützt werden.

Andererseits folgt aus der Rechenschaftspflicht die sog. Nachweispflicht, die vor allem auf die Erbringung von Nachweisen gegenüber der Aufsichtsbehörde abzielt (Art. 58 Abs. 1 lit. a) DSGVO). Kontaktiert die Aufsichtsbehörde also ein Unternehmen und verlangt Auskunft darüber, ob dieses denn auch die Daten seiner Kunden datenschutzkonform aufbewahrt, so muss das Unternehmen in irgendeiner Form diese Frage beantworten können. Das Gesetz legt dabei keine bestimmte Form des Nachweises fest, sondern überlasst es dem Verantwortlichen, wie er dieser Pflicht nachkommt.

Praktische Umsetzung der Rechenschaftspflicht

Die Umsetzung der Rechenschaftspflicht sollte entsprechend der o.g. Verantwortlichkeit und Nachweispflicht in zwei Schritten erfolgen. Es sollte also zunächst eine Risikoanalyse vorgenommen werden, die dann den Umfang der zu dokumentierende Nachweise festlegt.

Wenn die Risikoanalyse ergeben hat, dass ein relativ hohes datenschutzrechtliches Risiko besteht, weil die Firma z. B. als soziales Netzwerk die Daten von Mitgliedern verschiedener Parteien verarbeitet, kann sich zunächst die Einführung eines Datenschutzmanagementsystems (DSMS) anbieten. Ein solches DSMS bietet den Vorteil, dass bspw. im Kontaktfall durch die Aufsichtsbehörde, schnell und effizient auf deren Nachfragen reagiert werden kann. Beim Aufbau eines solchen kann man sich an vorhandenen Compliance-Managementsystemen wie z. B. einem Qualitäts-Service-Management-System (QSMS) orientieren. Denkbar ist es auch, das DSMS in bestehende Compliancesysteme zu integrieren.

Im Einzelnen tragen u.a. die folgenden Maßnahmen zur Erfüllung der Rechenschaftspflicht bei:

  • Aufbau einer internen Datenschutzrichtlinie (Inhalt: Anwendungsumfang der Richtlinie, Verantwortlichkeiten des Mitarbeiters/Managements, Datenschutzvorfallmeldung, Konsequenzen der Nichteinhaltung der Richtlinie, etc.)
  • verbindliche interne Datenschutzvorschriften (Binding Corporate Rules – BCR) gem. Art. 47 Abs. 1, 2 DSGVO (Beispiel.: Der o.g. Gewürzgurkenkonzern unterhält weltweit mehrere Standorte. Damit die Standorte in und außerhalb der EU miteinander z. B. ihre Personaldaten austauschen dürfen, müssen für die Dependancen außerhalb der EU verbindliche, interne Datenschutzvorschriften erstellt und angewendet werden. Diese werden von der zuständigen Aufsichtsbehörde genehmigt.)
  • Technikgestaltung, Art. 25 Abs. 1 DSGVO/datenschutzfreundliche Voreinstellungen, Art. 25 Abs. 2 DSGVO
    • zur Technikgestaltung: Das im Gewürzgurkenkonzern verwendete Mitarbeiterverwaltungsprogramm pseudonymisiert die Daten der Mitarbeiter direkt nach der Erfassung (Erwägungsgrund 78 DSGVO).
    • zu datenschutzfreundlichen Voreinstellungen: Das Social-Media-Profil des Gewürzgurkenkonzerns enthält schon bei seiner Erstellung die datenschutzfreundlichsten Voreinstellungen der jeweiligen Plattform.
  • Erstellung eines Verarbeitungsverzeichnisses ( 30 Abs. 1 und 2 DSGVO)
  • Durchführung einer Datenschutz-Folgenabschätzung (Art. 35 Abs. 1 und 3 DSGVO)
  • Bestellung eines Datenschutzbeauftragten (Art. 37 DSGVO)
  • Dokumentation von Datenschutzverletzungen ( 33 Abs. 5 DSGVO)
  • Einhaltung genehmigter Verhaltensregeln/Zertifizierungsverfahren ( 24 Abs. 3 DSGVO)
    • zu Verhaltensregeln: Der Verband europäischer Gewürzgurkenhersteller erlässt eine Verhaltensregel, nach welchen Datenschutzstandards mit Daten in den Mitgliedsunternehmen zu verfahren ist, (Art 40 DSGVO).
    • zu Zertifizierungsverfahren: Das Gewürzgurkenunternehmen erhält nach entsprechender Überprüfung seiner Datenschutzcompliance das Zertifikat EuroPriSe (European Privacy Seal) (Art. 42 Abs. 1 DSGVO). Das Unternehmen kann dieses Zertifikat bei einer Überprüfung durch die Aufsichtsbehörde vorweisen.

Weitere Beispiele, wie man seiner Nachweispflicht nachkommen kann, hält auch die Artikel-29-Datenschutzgruppe in ihrem Arbeitspapier Nr. 173 vor.

Wenn sich der Unternehmer nun selbst fragt, ob er der Nachweispflicht in genügender Weise entsprochen hat, so sollte er sich die Frage stellen, ob er alle Prozesse, bei denen personenbezogene Daten erhoben und verarbeitet werden, hinreichend dokumentiert hat.

Haftungsrisiken hinsichtlich der Rechenschaftspflicht

Wer angesichts dieses doch recht herausfordernden Pensums der Rechenschaftspflicht den Kopf in den Sand steckt oder die Verantwortung von sich weisen will, ist schlecht beraten. Es sollte jedem Verantwortlichen klar sein, dass er auch dann haftet, wenn die Verarbeitung der personenbezogenen Daten nicht durch ihn selbst, sondern durch einen Dienstleister erfolgt (Erwägungsgrund 74 DSGVO). Sprich: Nur weil die Datenschutzverletzung nicht im eigenen Unternehmen, sondern z. B. bei einem Subunternehmer erfolgt, heißt das noch nicht, dass das Unternehmen von der Haftung befreit ist. Im Übrigen kann sich der Unternehmer auch nicht dadurch der Haftung entziehen, dass er einen Datenschutzbeauftragten bestellt.

Im Übrigen kommt eine Haftung durch eine Beschwerde einer betroffenen Person bei der zuständigen Aufsichtsbehörde nach Art. 77 DSGVO in Betracht. Ist eine Person mit dem Ergebnis des Beschwerdeverfahrens nicht einverstanden, so kann sie das Untersuchungsergebnis auch gerichtlich angreifen (Art. 78 Abs. 1 und 2 DSGVO).

Natürlich findet bei nicht ausreichender Dokumentation im Ernstfall auch eine Sanktionierung durch die Aufsichtsbehörde statt. Bußgelder können bis zu 20 Mio. Euro oder 4 % des weltweiten Umsatzes des Unternehmens betragen, je nachdem welcher Betrag höher ist (Art. 83 Abs. 5 DSGVO).

Die spannendste Diskussion in diesem Bereich unter Datenschutzrechtlern ist derzeit, ob die in Art. 5 Abs. 1 DSGVO genannten Grundsätze ebenso wie die Rechenschaftspflicht auch gerichtlich einklagbar sind. Stellt ein Betroffener also fest, dass ein Unternehmen ihm keine Auskunft zu seinen Daten geben kann, weil einfach keine entsprechenden Dokumentations- bzw. Auskunftsmöglichkeiten vorliegen, so könnte er auf die Idee kommen, den Unternehmer für die Verletzung seiner Nachweispflicht gerichtlich zu verklagen. Ob das möglich ist und wenn ja, wie, wird in Zukunft wohl letztlich der Europäische Gerichtshof beantworten müssen.

Bitte bewerten Sie diese Inhalte!
[24 Bewertung(en)/ratings]

Dieser aktualisierte Artikel wurde zuerst am 24. März 2017 veröffentlicht.

0 Kommentare

Ihr Kommentar

Sie wollen sich an der Diskussion beteiligen oder haben eine Rückfrage zum Artikel? Dann hinterlassen Sie bitte hier einen Kommentar!
Nettiquette: Wir tolerieren keine grob unsachlichen Beiträge oder Werbung in eigener Sache und werden entsprechende Einträge nicht veröffentlichen sondern löschen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.