Rechenschaftspflicht in der DSGVO

Beratungsgespräch
Jetzt anrufen!
Frank Müns
Frank Müns
18.11.2023

Dokumentationspflichten und Rechenschaftspflicht in der DSGVO

Die Umsetzung der Datenschutz-Grundverordnung (DSGVO) ist mit verschiedenen Pflichten und Anforderungen verbunden. Es ist die Verantwortlichkeit von Unternehmen und Organisationen, diese Pflichten gesetzeskonform umzusetzen. Ein wichtiger Teil davon ist die Rechenschaftspflicht. Wir erklären Ihnen, was es damit auf sich hat und wie Sie der Rechenschaftspflicht nachkommen können.

Was bedeutet Rechenschaftspflicht im Sinne der DSGVO?

Die Rechenschaftspflicht im Sinne der DSGVO ist in Art. 5 Abs. 2 DSGVO festgelegt:

Der Verantwortliche ist für die Einhaltung des Absatzes 1 verantwortlich und muss dessen Einhaltung nachweisen können („Rechenschaftspflicht“).

Der einzuhaltende Art. 5 Abs. 1 DSGVO umfasst dabei

  • Rechtmäßigkeit
  • Verarbeitung nach Treu und Glauben
  • Transparenz
  • Zweckbindung
  • Datenminimierung
  • Richtigkeit
  • Speicherbegrenzung
  • Integrität und Vertraulichkeit

Der Verantwortliche ist nach der Rechenschaftspflicht also dazu verpflichtet, nachzuweisen, dass er geeignete technische und organisatorische Maßnahmen zur Einhaltung der DSGVO im Unternehmen umsetzt. So weit das Behördendeutsch. Was umfasst die Rechenschaftspflicht in der DSGVO nun konkret?

Rechenschaftspflicht im Datenschutz: Das müssen Unternehmen tun

Ohne die Rechenschaftspflicht wäre die DSGVO nur heiße Luft, denn es gäbe keine gesetzliche Grundlage, um ihre Umsetzung durch Unternehmen zu überprüfen. Hinter den Kulissen könnte also jedes Unternehmen schalten und walten, wie es wollte. Zum Schutz der personenbezogenen Daten Betroffener müssen Unternehmen also nachweisen, dass die Datenverarbeitung bei ihnen DSDGVO-konform abläuft.

Nicht immer gleich: Umfang der nötigen Maßnahmen festlegen

Bevor Unternehmen intern unnötig viele Regelungen zum Datenschutz aufstellen, sollten sie zunächst prüfen, worüber sie gemäß der DSGVO überhaupt Rechenschaft ablegen müssen. Denn in einigen Unternehmen sind umfangreichere Maßnahmen notwendig als in anderen.

Grundsätzlich gilt: Welchen Umfang die datenschutzrechtlichen Maßnahmen im Unternehmen umfassen sollten, ist nach Art. 24 Abs. 1 DSGVO im Rahmen einer Risikoanalyse zu bewerten Es kommt also darauf an, welche personenbezogenen Daten in welchem Umfang verarbeitet werden und daher gefährdet sind. Eine Arztpraxis speichert zum Beispiel mehr und sensiblere personenbezogene Daten als eine Gärtnerei.

Nicht alle Maßnahmen zum Datenschutz sind also für jedes Unternehmen gleich angemessen. Die Maßnahmen müssen bei Änderungen im Unternehmen aktualisiert werden, wenn sich der Umfang der Datenverarbeitung ändert oder durch die Umstrukturierung ein neues Datenschutzrisiko besteht.

Maßnahmen vor der Aufsichtsbehörde nachweisen

Darauf basierend muss das Unternehmen nach Art. 58 Abs. 1 DSGVO die Umsetzung der beschlossenen Maßnahmen auf Nachfrage der Aufsichtsbehörde nachweisen können. Es gibt keine konkreten Vorgaben, wie der Verantwortliche diesen Nachweis erbringen soll.

Dabei muss ein Unternehmen sorgfältig dokumentieren, wie es welche Daten verarbeitet, um die Umsetzung der DSGVO nachweisen zu können. Die Rechenschaftspflicht geht also Hand in Hand mit der Dokumentationspflicht und der Nachweispflicht.

Das heißt: Keine Erfüllung der Rechenschaftspflicht ohne Nachweise, und keine Nachweise ohne Dokumentation. Je umfangreiche die Datenschutzmaßnahmen, desto aufwendiger die Umsetzung der Dokumentations-, Nachweis- und Rechenschaftspflicht.

Dokumentieren

So wird die Rechenschaftspflicht konkret umgesetzt

  • Durchführung einer Datenschutzfolgenabschätzung, um festzulegen, welche Datenschutzmaßnahmen notwendig sind ( 35 Abs. 1 und 3 DSGVO)
  • Entwicklung eines Datenschutzkonzeptes
  • Durchführung aller relevanten (technischen) Maßnahmen
  • Entwicklung von einheitlichen Datenschutzrichtlinien und Datenschutzvorgaben für alle Mitarbeiter und, falls vorhanden, allen Standorten
  • Falls sinnvoll, Entwicklung eines Datenschutzmanagementsystems (DSMS)
  • Bestellung eines internen oder externen Datenschutzbeauftragten (nach 37 DSGVO ist unter bestimmten Voraussetzungen ein Datenschutzbeauftragter für Unternehmen verpflichtend)
  • Erstellung einessVerarbeitungsverzeichnisses ( 30 Abs. 1 und 2 DSGVO)

Maßnahmen zur Umsetzung der Rechenschaftspflicht im Detail

Datenschutzfolgenabschätzung: Die Risikoanalyse

Bei der Datenschutzfolgenabschätzung handelt es sich um eine Risikoanalyse, die den Schutz personenbezogener Daten im Unternehmen sicherstellen soll. Dabei wird analysiert, welche Folgen die geplante Verarbeitung personenbezogener Daten für die Betroffenen hätte. Daraus werden entsprechende Maßnahmen abgeleitet, um den Datenschutz zu verbessern.

Eine Datenschutzfolgenabschätzung sollte immer dann durchgeführt werden, wenn hohe Risiken für die Rechte von Betroffenen vermutet werden. Werden Sicherheitslücken entdeckt, kann darauf angemessen reagiert werden. Auch mit einer Datenschutzfolgenabschätzung können Unternehmen also nachweisen, dass sie den Vorgaben der DSGVO folgen. Die Durchführung einer Datenschutzfolgenabschätzung ist gesetzlich verpflichtend.

Ein Datenschutzmanagementsystem erleichtert die Erfüllung der Rechenschaftspflicht

Ein Datenschutzmanagementsystem (DSMS) hilft dabei, die gespeicherten Daten sowie die Dokumentation der Datenverarbeitung und Datenlöschung zu managen. Verlangt eine Aufsichtsbehörde von Ihnen den Nachweis, dass Ihr Unternehmen DSGVO-konform vorgeht, können Sie direkt auf die relevanten Dokumente im Datenschutzmanagementsystem zugreifen. Vor allem für große Unternehmen ist der Aufbau eines DSMS zu empfehlen.

Erstellung eines Verzeichnisses von Verarbeitungstätigkeiten (VVT)

Jeder, der Daten verarbeitet, sei es als Verantwortlicher oder Auftragsverarbeiter, muss ein Verarbeitungsverzeichnis führen. Die DSGVO verlangt die Dokumentation aller Prozesse zur Verarbeitung personenbezogener Daten. Das Verarbeitungsverzeichnis ist die zentrale Zusammenfassung dieser Dokumentation.

Was passiert bei Verstößen gegen die Rechenschaftspflicht?

Kann ein Unternehmen seiner Rechenschaftspflicht nicht ausreichend nachkommen, drohen Bußgelder. Bei einigen Datenschutzverstößen ist auch eine Haftung möglich. Welche der oben genannte Maßnahmen für den Datenschutz und die Erfüllung der Rechenschaftspflicht verpflichtend oder empfehlenswert ist, kommt auf den konkreten Einzelfall an. Es lohnt sich, zur Festlegung der Maßnahmen einen Datenschutzexperten hinzuzuziehen.

Grenzen und Möglichkeiten der Rechenschaftspflicht

Die Rechenschaftspflicht gilt nicht bedingungslos. Das heißt, Unternehmen müssen nicht alle Dokumente offenlegen. Eine Aufsichtsbehörde wird im Normalfall vorgeben, welche Nachweise sie sehen möchte.

Grundsätzlich kann es jedoch sinnvoll sein, das eigene Datenschutzkonzept umfassend offenzulegen. Oft werden nur so Fehler und Lücken erkennbar, auf die umgehend reagiert werden kann. Das muss aber nicht schon verbunden mit einem rechtlichen Risiko vor der Aufsichtsbehörde erfolgen. Lassen Sie das Datenschutzkonzept Ihres Unternehmens durch einen Datenschutzexperten prüfen, um auf der sicheren Seite zu stehen.

Den Umfang der Dokumentation sinnvoll begrenzen

Es besteht Uneinigkeit darüber, wie weit die generellen Verpflichtungen zur Rechenschaftspflicht und Dokumentation genau gehen, da es keine gesetzlich festgelegten Grenzen gibt. Eine zu umfangreiche Dokumentation sämtlicher datenschutzrechtlich relevanter Vorgänge kann zu einem zu hohen bürokratischen Aufwand und zu komplexen Prozessen führen, die den Geschäftsbetrieb stören können. Daher ist es wichtig, das richtige Maß an notwendiger Dokumentation zur Erfüllung der Rechenschaftspflicht zu finden.

Wann muss der Verantwortliche Nachweise erbringen?

Die Nachweise sind nicht einfach dazu da, Speicherplatz zu verbrauchen und als Unterlagen im Aktenschrank zu verstauben. Es gibt einige konkrete Fälle, in denen der Verantwortliche Nachweise erbringen muss.

Ein Beispiel hierfür ist der Umgang mit Datenschutzverletzungen. Der Verantwortliche ist nicht nur dazu verpflichtet, die Panne zu dokumentieren, sondern muss auch nachweisen können, welche Maßnahmen er ergriffen hat, um den Vorfall zu verhindern. Nach dem Eintritt der Datenschutzpanne oder des Datenschutzverstoßes ist es ebenso wichtig, festzuhalten, welche Schritte unternommen wurden, um die Auswirkungen der Datenschutzverletzung zu minimieren.

Verantwortliche müssen auch belegen können, dass sie ausschließlich Auftragsverarbeiter nutzen, die die Vorgaben der Datenschutz-Grundverordnung (DSGVO) gewährleisten.

Die Vorlage von Nachweisen spielt außerdem eine entscheidende Rolle bei Prüfungen durch die zuständige Aufsichtsbehörde. Das Fehlen entsprechender Nachweise kann zu Sanktionen führen.

Die Dokumentation ist also nicht nur eine formale Pflicht ist, sondern spielt eine wesentliche Rolle, um den gesetzlichen Anforderungen gerecht zu werden und etwaige rechtliche Konsequenzen zu vermeiden.

Was sind technische und organisatorische Maßnahmen (TOMs)?

Die Beschreibung der technischen und organisatorischen Maßnahmen (TOMs) bezieht sich auf sämtliche Schutzmaßnahmen, die ergriffen wurden, um die sichere Erfassung und Verarbeitung personenbezogener Daten sicherzustellen.

Die Datenschutz-Grundverordnung (DSGVO) gibt keine Liste von konkreten, verpflichtenden technischen oder organisatorischen Maßnahmen vor. Mögliche Maßnahmen umfassen die Verschlüsselung personenbezogener Daten und die Festlegung von Richtlinien für die Nutzung der IT. Welche Maßnahmen in Ihrem Fall notwendig und sinnvoll sind, sollte mit einem Datenschutzexperten abgeklärt werden.

Fazit

Die Einhaltung der Rechenschaftspflicht und damit der Bestimmungen der DSGVO ist für Unternehmen von entscheidender Bedeutung, um gesetzeskonform zu handeln und personenbezogene Daten angemessen zu schützen.

Indem Sie sich aktiv mit der Rechenschaftspflicht beschäftigen, setzen Sie nicht nur gesetzliche Vorgaben um, sondern stärken auch die Sicherheit und Integrität Ihrer datenverarbeitenden Prozesse.

Welche konkreten Maßnahmen zum Datenschutz zum Einsatz kommen und wie diese am besten dokumentiert werden sollten, ist von Unternehmen zu Unternehmen unterschiedlich. Es lohnt sich, Zeit in die Etablierung von Systemen und Prozessen zu investieren, um die Compliance mit der DSGVO in Ihrem Unternehmen sicherzustellen.