Logo der activeMind AG

Rechenschaftspflichten bei der Datenverarbeitung

Inhalt

Viele Unternehmen erlassen seit Inkrafttreten der Europäischen Datenschutz-Grundverordnung (DSGVO) munter zahllose interne Regelungen zum Umgang mit personenbezogenen Daten. So will man den neuen datenschutzrechtlichen Anforderungen nachkommen und auf Kontrollen der Aufsichtsbehörden vorbereitet sein. Doch über welche Datenverarbeitungen und deren Schutz müssen Unternehmen überhaupt Rechenschaft ablegen?

Die Rechenschaftspflicht in der DSGVO

Die Rechenschaftspflicht ist in Art. 5 Abs. 2 DSGVO verankert. Hiernach ist der Verantwortliche für die Einhaltung der in Art. 5 Abs. 1 DSGVO aufgezählten Grundsätze (Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz, Zweckbindung, Datenminimierung, Richtigkeit, Speicherbegrenzung, Integrität und Vertraulichkeit) verantwortlich und muss deren Einhaltung nachweisen können. Was aber steckt nun hinter dieser verantwortungsschweren Aussage?

Umfang der Rechenschaftspflicht

Die Rechenschaftspflicht lässt sich in zwei einzelne Pflichten gliedern: Einerseits folgt hieraus die Verantwortlichkeit. Diese findet sich im sog. risikobasierten Ansatz wieder (Art. 24 Abs. 1 DSGVO). Er besagt, dass sich Art und Umfang der vom Verantwortlichen zu ergreifenden datenschutzrechtlichen Maßnahmen nach dem Ergebnis einer Risikoanalyse richten sollen. Beim lokalen Gewürzgurkenfabrikant ist das Risiko eines Datenschutzvorfalls grundsätzlich wesentlich geringer als in einem Krankenversicherungsunternehmen, in dem viel mehr und sensiblere Daten verarbeitet werden. Die erforderlichen Maßnahmen sind allerdings fortlaufend zu überprüfen und zu aktualisieren. Wird der Gewürzgurkenproduzent plötzlich international tätig oder und wird fortan die gesamte Mitarbeiterverwaltung grenzüberschreitend gesteuert und bewertet, so steigen die Anforderungen an den Datenschutz.

Andererseits folgt aus der Rechenschaftspflicht die sog. Nachweispflicht, die vor allem auf die Erbringung von Nachweisen gegenüber der Aufsichtsbehörde abzielt (Art. 58 Abs. 1 lit. a) DSGVO). Kontaktiert die Aufsichtsbehörde also ein Unternehmen und verlangt Auskunft darüber, ob dieses denn auch die Daten seiner Kunden datenschutzkonform aufbewahrt, so muss das Unternehmen in irgendeiner Form diese Frage beantworten können. Das Gesetz legt dabei keine bestimmte Form des Nachweises fest, sondern überlasst es dem Verantwortlichen, wie er dieser Pflicht nachkommt.

Praktische Umsetzung der Rechenschaftspflicht

Die Umsetzung der Rechenschaftspflicht sollte entsprechend der o.g. Verantwortlichkeit und Nachweispflicht in zwei Schritten erfolgen. Es sollte also zunächst eine Risikoanalyse vorgenommen werden, die dann den Umfang der zu dokumentierende Nachweise festlegt.

Wenn die Risikoanalyse ergeben hat, dass ein relativ hohes datenschutzrechtliches Risiko besteht, weil die Firma z. B. als soziales Netzwerk die Daten von Mitgliedern verschiedener Parteien verarbeitet, kann sich zunächst die Einführung eines Datenschutzmanagementsystems (DSMS) anbieten. Ein solches DSMS bietet den Vorteil, dass bspw. im Kontaktfall durch die Aufsichtsbehörde, schnell und effizient auf deren Nachfragen reagiert werden kann. Beim Aufbau eines solchen kann man sich an vorhandenen Compliance-Managementsystemen wie z. B. einem Qualitäts-Service-Management-System (QSMS) orientieren. Denkbar ist es auch, das DSMS in bestehende Compliancesysteme zu integrieren.

Im Einzelnen tragen u.a. die folgenden Maßnahmen zur Erfüllung der Rechenschaftspflicht bei:

  • Aufbau einer internen Datenschutzrichtlinie (Inhalt: Anwendungsumfang der Richtlinie, Verantwortlichkeiten des Mitarbeiters/Managements, Datenschutzvorfallmeldung, Konsequenzen der Nichteinhaltung der Richtlinie, etc.)
  • verbindliche interne Datenschutzvorschriften (Binding Corporate Rules – BCR) gem. Art. 47 Abs. 1, 2 DSGVO (Beispiel.: Der o.g. Gewürzgurkenkonzern unterhält weltweit mehrere Standorte. Damit die Standorte in und außerhalb der EU miteinander z. B. ihre Personaldaten austauschen dürfen, müssen für die Dependancen außerhalb der EU verbindliche, interne Datenschutzvorschriften erstellt und angewendet werden. Diese werden von der zuständigen Aufsichtsbehörde genehmigt.)
  • Technikgestaltung, Art. 25 Abs. 1 DSGVO/datenschutzfreundliche Voreinstellungen, Art. 25 Abs. 2 DSGVO
    • zur Technikgestaltung: Das im Gewürzgurkenkonzern verwendete Mitarbeiterverwaltungsprogramm pseudonymisiert die Daten der Mitarbeiter direkt nach der Erfassung (Erwägungsgrund 78 DSGVO).
    • zu datenschutzfreundlichen Voreinstellungen: Das Social-Media-Profil des Gewürzgurkenkonzerns enthält schon bei seiner Erstellung die datenschutzfreundlichsten Voreinstellungen der jeweiligen Plattform.
  • Erstellung eines Verarbeitungsverzeichnisses ( 30 Abs. 1 und 2 DSGVO)
  • Durchführung einer Datenschutz-Folgenabschätzung (Art. 35 Abs. 1 und 3 DSGVO)
  • Bestellung eines Datenschutzbeauftragten (Art. 37 DSGVO)
  • Dokumentation von Datenschutzverletzungen ( 33 Abs. 5 DSGVO)
  • Einhaltung genehmigter Verhaltensregeln/Zertifizierungsverfahren ( 24 Abs. 3 DSGVO)
    • zu Verhaltensregeln: Der Verband europäischer Gewürzgurkenhersteller erlässt eine Verhaltensregel, nach welchen Datenschutzstandards mit Daten in den Mitgliedsunternehmen zu verfahren ist, (Art 40 DSGVO).
    • zu Zertifizierungsverfahren: Das Gewürzgurkenunternehmen erhält nach entsprechender Überprüfung seiner Datenschutzcompliance das Zertifikat EuroPriSe (European Privacy Seal) (Art. 42 Abs. 1 DSGVO). Das Unternehmen kann dieses Zertifikat bei einer Überprüfung durch die Aufsichtsbehörde vorweisen.

Weitere Beispiele, wie man seiner Nachweispflicht nachkommen kann, hält auch die Artikel-29-Datenschutzgruppe in ihrem Arbeitspapier Nr. 173 vor.

Wenn sich der Unternehmer nun selbst fragt, ob er der Nachweispflicht in genügender Weise entsprochen hat, so sollte er sich die Frage stellen, ob er alle Prozesse, bei denen personenbezogene Daten erhoben und verarbeitet werden, hinreichend dokumentiert hat.

Haftungsrisiken hinsichtlich der Rechenschaftspflicht

Wer angesichts dieses doch recht herausfordernden Pensums der Rechenschaftspflicht den Kopf in den Sand steckt oder die Verantwortung von sich weisen will, ist schlecht beraten. Es sollte jedem Verantwortlichen klar sein, dass er auch dann haftet, wenn die Verarbeitung der personenbezogenen Daten nicht durch ihn selbst, sondern durch einen Dienstleister erfolgt (Erwägungsgrund 74 DSGVO). Sprich: Nur weil die Datenschutzverletzung nicht im eigenen Unternehmen, sondern z. B. bei einem Subunternehmer erfolgt, heißt das noch nicht, dass das Unternehmen von der Haftung befreit ist. Im Übrigen kann sich der Unternehmer auch nicht dadurch der Haftung entziehen, dass er einen Datenschutzbeauftragten bestellt.

Im Übrigen kommt eine Haftung durch eine Beschwerde einer betroffenen Person bei der zuständigen Aufsichtsbehörde nach Art. 77 DSGVO in Betracht. Ist eine Person mit dem Ergebnis des Beschwerdeverfahrens nicht einverstanden, so kann sie das Untersuchungsergebnis auch gerichtlich angreifen (Art. 78 Abs. 1 und 2 DSGVO).

Natürlich findet bei nicht ausreichender Dokumentation im Ernstfall auch eine Sanktionierung durch die Aufsichtsbehörde statt. Bußgelder können bis zu 20 Mio. Euro oder 4 % des weltweiten Umsatzes des Unternehmens betragen, je nachdem welcher Betrag höher ist (Art. 83 Abs. 5 DSGVO).

Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!

Weiterlesen

Sichern Sie sich das Wissen unserer Experten!​

Abonnieren Sie unseren Newsletter:

Mit Klick auf „Jetzt anmelden“ erklären Sie sich mit dem Bezug unseres Newsletters einverstanden. Wir verwenden Ihre Daten ausschließlich gemäß unserer Datenschutzerklärung.

Newsletter

Sichern Sie sich das Wissen unserer Experten.

Zweimal im Monat alles Wichtige zu Datenschutz, Informationssicherheit und künstlicher Intelligenz.