Die neue Rechenschaftspflicht in der EU-Datenschutz-Grundverordnung

Verschärfte Rechenschaftspflicht nach der DSGVO

Um ihrer Rechenschaftspflicht unter dem bisherigen deutschen Datenschutzrecht nachzukommen, mussten Unternehmen ihre geeigneten Datenschutzmaßnahmen nur auf Anfrage der Aufsichtsbehörden oder bei eingetretenen Störfällen nachweisen können. Mit der europäischen Datenschutz-Grundverordnung (DSGVO) ändert sich das. Zukünftig müssen Unternehmen proaktiv die Angemessenheit ihres Datenschutzniveaus nachweisen. Welche konkreten Folgen dies hat, lesen Sie in diesem Artikel.

Die Rechenschaftspflicht wird konkret

Die ganz wesentliche Änderung der Rechenschaftspflicht in der EU-Datenschutz-Grundverordnung findet sich in einem unscheinbaren kurzen Satz im Art. 5 Abs. 2 DSGVO. Dort steht:

„Der Verantwortliche ist für die Einhaltung des Absatzes 1 verantwortlich und muss dessen Einhaltung nachweisen können (Rechenschaftspflicht).“

Der besagte erste Absatz aber beschreibt ausführlich die allgemeinverbindlichen Grundsätze für die Verarbeitung personenbezogener Daten. Das sind im Wesentlichen die Prinzipien von Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz, Zweckbindung, Datenminimierung, Richtigkeit (der Daten), Speicherbegrenzung sowie Integrität und Vertraulichkeit (also die IT-Sicherheit).

Auch wenn in vielen Bereichen noch nicht ganz klar ist, wohin die Reise mit dem neuen Datenschutzrecht geht – bei der Rechenschaftspflicht ist es abzusehen. Und es besteht gewaltiger Handlungsbedarf!

Die Rechenschaftspflicht dreht bisherige Lastenverteilung um

Bislang mussten sich Unternehmen lediglich eher passiv prüfen lassen und überstanden eine solche Prüfung unbeschadet, soweit die datenschutzrelevanten Prozesse wenigstens soweit geregelt waren, dass sie wiederholbar ablaufen konnten und dabei keine Schäden entstanden.

Künftig erfolgt eine „Beweislastumkehr“: Unternehmen haben aktiv und unabhängig davon, ob es überhaupt zu Schäden oder Verstößen kam, nachzuweisen, dass ihr Datenschutz funktioniert. Dabei genügt es dann nicht mehr, die Prozesse lediglich im Griff zu haben. Stattdessen ist deren Funktionsfähigkeit aktiv nachzuweisen.

Bei künftigen Prüfungen werden Aufsichtsbehörden also primär keine Fragen mehr stellen, die man ausgewählt beantwortet. Die Datenschutzbehörde wird vielmehr erwarten, dass ihr

  • Konzeption,
  • Umsetzung,
  • Überwachung und
  • Korrektur

von datenschutzrelevanten Vorgängen nachgewiesen werden.

Verschärfung der Kriterien in der Rechenschaftspflicht

Setzen Unternehmen hinsichtlich ihrer Datenschutzprozesse ein Reifegradmodell ein (siehe z. B. SPICE bzw. ISO/IEC 15504-5), so reichte bisher zumeist die Stufe 2 („wiederholbar“). Unter der DSGVO muss stattdessen unmittelbar Stufe 4 („kontrolliert“) erreicht werden.

Im Einzelnen bedeutet das Folgendes:

  1. Alle datenschutzrechtlich relevanten Vorgänge müssen nachvollziehbar bzw. belegbar, d. h. dokumentiert geregelt werden. Es dürfte nicht mehr ausreichend sein, sich auf die kritischen Prozesse zu beschränken und ausschließlich für diese eine Konzeption zu entwickeln.
  2. Für alle Datenschutzprozesse sind angemessene Kennzahlen oder andere Kriterien zu entwickeln, mit denen sich die erfolgreiche Umsetzung der Konzeption messen lässt.
  3. Schließlich muss die Erreichung oder Einhaltung dieser Kennzahlen gemessen werden.
  4. Bei Abweichungen sind Korrekturmaßnahmen erforderlich.

Der Aufwand für Unternehmen dürfte also spürbar steigen. Pikant wird das Ganze dadurch, dass Verstöße gegen die allgemeinen Grundsätze des Datenschutzes mit dem vollen Bußgeldrahmen von bis zu 20 Millionen Euro bzw. 4 % des letztjährigen globalen Umsatzes bedroht sind. Es gilt übrigens der für das Unternehmen unangenehmere Wert.

Fazit: Proaktiver Datenschutz ist unumgänglich

Die Umsetzungsfrist für die von der DSGVO geforderten Maßnahmen läuft bereits und endet mit dem 24. Mai 2018. Es besteht also akuter Handlungsbedarf. Unternehmen sind dringend aufgerufen, jetzt schon zu beginnen, ihre Prozesse umfangreich zu dokumentieren und über die Möglichkeiten nachzudenken, eine Erfolgsmessung zu betreiben.

Sind diese Inhalte hilfreich? Bitte bewerten Sie!
[14 Bewertung(en)/ratings]
0 Antworten

Hinterlassen Sie einen Kommentar

Wollen Sie an der Diskussion teilnehmen?
Feel free to contribute!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.