Rechenschaftspflicht: Das gehört nach DSGVO dazu

Rechenschaftspflicht ist in der DSGVO fest verankert

Auch wenn viele Unternehmen den Aufwand scheuen: Verantwortliche haben nach der Datenschutz-Grundverordnung (DSGVO) eine Rechenschaftspflicht. Sie ist in den Grundsätzen für die Verarbeitung personenbezogener Daten (Artikel 5 DSGVO) zu finden. Demnach gilt: Der Verantwortliche ist für die Einhaltung der Grundsätze für die Verarbeitung personenbezogener Daten verantwortlich und muss das auch nachweisen können.

Das gehört zur Rechenschaftspflicht nach DSGVO

Nach DSGVO nachzuweisen sind:

• die Rechtmäßigkeit der Datenverarbeitung und damit die Rechtsgrundlagen,
• die Verarbeitung nach Treu und Glauben, die Transparenz, die Information und die Auskunft im Rahmen der Betroffenenrechte,
• die Einhaltung der Zweckbindung,
• die Umsetzung der Datenminimierung, Richtigkeit, Berichtigung und Einschränkung der Verarbeitung,
• die Speicherbegrenzung und Löschung,
• die Integrität und Vertraulichkeit sowie die Sicherheit der Verarbeitung.

Dazu müssen Verantwortliche zum einen die jeweils ergriffenen Maßnahmen dokumentieren, zum anderen die Kontrolle, ob die Maßnahmen wirksam sind. Dies zeigt sich auch in Artikel 24 DSGVO (Verantwortung des für die Verarbeitung Verantwortlichen).

Er besagt: „Der Verantwortliche setzt unter Berücksichtigung der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der Risiken für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen um, um sicherzustellen und den Nachweis dafür erbringen zu können, dass die Verarbeitung gemäß der DSGVO erfolgt.“

Rechenschaftspflicht: Das erwarten die Datenschutz-Aufsichtsbehörden

Hinweise des Bundesbeauftragten

Die Aufsichtsbehörden für den Datenschutz weisen darauf hin, dass es keine genauen Vorgaben zur Art und Weise der Dokumentation gibt. Sie erwarten jedoch, dass Verantwortliche ein aussagekräftiges Datenschutzkonzept vorlegen, so ein Hinweis des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (PDF).

Zu so einem Konzept tragen Dokumente bei wie

• interne Datenschutzrichtlinien,
• Anweisungen für Beschäftigte zur datenschutzgerechten Datenverarbeitung und nicht zuletzt
• das Verzeichnis von Verarbeitungstätigkeiten (Artikel 30 DSGVO).

Das sagt der Europäische Datenschutzbeauftragte

Der Europäische Datenschutzbeauftragte erklärt dazu: Organisationen müssen nachweisen, dass sie die Gesetze achten. Dies umfasst unter anderem folgende Maßnahmen:

• angemessene Dokumentation darüber, welche Daten auf welche Weise zu welchem Zweck und für wie lange verarbeitet werden
• dokumentierte Prozesse und Verfahren, um Datenschutzprobleme beim Aufbau von Informationssystemen frühzeitig zu lösen oder um auf Datenschutzverletzungen zu reagieren
• die Einbindung von Datenschutzbeauftragten in die organisatorische Planung und in die Betriebsabläufe

Prüfkatalog zur Rechenschaftspflicht vom BayLDA

Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) hat einen Prüfkatalog zur Rechenschaftspflicht veröffentlicht, mit dem Verantwortliche für sich feststellen können, ob ihre Datenschutzdokumentation vollständig und die Rechenschaftspflicht erfüllt ist.

Der Prüfkatalog ist zu finden unter https://www.lda.bayern.de/media/pruefungen/201810_rechenschaftspflicht_fragebogen.pdf.

Rechenschaftspflicht ist mehr als reine Dokumentation

Nach Artikel 24 DSGVO müssen die nachzuweisenden Maßnahmen „unter Berücksichtigung der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der Risiken für die Rechte und Freiheiten natürlicher Personen geeignet“ sein, um einen wirksamen Datenschutz zu erzielen.

Daraus ergibt sich, dass auch die Wahl der Maßnahmen begründet und dokumentiert sein muss. Damit müssen Verantwortliche also auch eine Risikoanalyse und die Bestimmung des Schutzbedarfs nachweisbar. Unternehmen und öffentliche Stellen müssen also nicht nur dokumentiert darlegen können, was sie für den Datenschutz genau tun, sondern auch, warum sie es tun.

Wann Verantwortliche Nachweise erbringen müssen

Die Nachweise sind aber nicht nur etwas „für den Aktenschrank“. Einige Beispiele:

• Kommt es zu einer Datenschutzverletzung, muss der Verantwortliche in jedem Fall die Datenpanne dokumentieren. Er muss aber auch nachweisen können, was er alles getan hat, um den Vorfall zu vermeiden. Und nach Eintreten des Vorfalls, was getan wurde, um die Auswirkungen der Datenschutzverletzung zu minimieren.
• Ebenso müssen Verantwortliche Nachweise dafür haben, dass sie nur solche Auftragsverarbeiter nutzen, die gewährleisten, dass sie die Vorgeben der DSGVO einhalten.
• Ein weiteres Beispiel für erforderliche Nachweise ist die Dokumentation von informierten Einwilligungen, wenn diese als Rechtsgrundlage der Verarbeitung dienen sollen.
• Kommt es zu einer Prüfung durch die zuständige Aufsicht, dürfen die Nachweise nicht fehlen, sonst können Sanktionen die Folge sein.

Es gilt also auch im Datenschutz: Dokumentation ist nicht alles – aber ohne Dokumentation geht es nicht.

Rechenschaftspflicht ist kein unnötiger Aufwand!

Praktisch alle Unternehmen in Deutschland haben seit Einführung der DSGVO ihren Aufwand für den Datenschutz hochgefahren, so eine Umfrage des Digitalverbands Bitkom. 47 Prozent gehen von einem gleichbleibend höheren Aufwand aus, 30 Prozent erwarten sogar, dass der bereits gestiegene Aufwand weiter zunimmt.

Dabei sehen die Befragten Tätigkeiten wie die Dokumentation im Datenschutz besonders kritisch. Denn sie sehen den Nutzen, den der Dokumentationsaufwand mit sich bringt, nicht ohne Weiteres. Hier sind Datenschutzbeauftragte gefragt, um die Vorteile der Rechenschaftspflicht zu erklären.