Rechenschaftspflicht in der DSGVO
Was bedeutet Rechenschaftspflicht im Sinne der DSGVO?
Die Rechenschaftspflicht im Sinne der DSGVO ist in Art. 5 Abs. 2 DSGVO festgelegt:
„Der Verantwortliche ist für die Einhaltung des Absatzes 1 verantwortlich und muss dessen Einhaltung nachweisen können („Rechenschaftspflicht“).“
Der einzuhaltende Art. 5 Abs. 1 DSGVO umfasst dabei
- Rechtmäßigkeit
- Verarbeitung nach Treu und Glauben
- Transparenz
- Zweckbindung
- Datenminimierung
- Richtigkeit
- Speicherbegrenzung
- Integrität und Vertraulichkeit
Der Verantwortliche ist nach der Rechenschaftspflicht also dazu verpflichtet, die Umsetzung der DSGVO im Unternehmen nachzuweisen. So weit das Behördendeutsch. Was umfasst die Rechenschaftspflicht in der DSGVO nun konkret?
Rechenschaftspflicht im Datenschutz: Das müssen Unternehmen tun
Ohne die Rechenschaftspflicht wäre die DSGVO nur heiße Luft, denn es gäbe keine gesetzliche Grundlage, um ihre Umsetzung durch Unternehmen zu überprüfen. Hinter den Kulissen könnte also jedes Unternehmen schalten und walten, wie es wollte. Zum Schutz der personenbezogenen Daten Betroffener müssen Unternehmen also nachweisen, dass die Datenverarbeitung bei ihnen DSDGVO-konform abläuft.
Bevor Unternehmen intern unnötig viele Regelungen zum Datenschutz aufstellen, sollten sie zunächst prüfen, worüber sie gemäß der DSGVO überhaupt Rechenschaft ablegen müssen. Denn in einigen Unternehmen sind umfangreichere Maßnahmen notwendig als in anderen.
Grundsätzlich gilt: Welchen Umfang die datenschutzrechtlichen Maßnahmen im Unternehmen umfassen sollten, ist nach Art. 24 Abs. 1 DSGVO im Rahmen einer Risikoanalyse zu bewerten Es kommt also darauf an, welche personenbezogenen Daten in welchem Umfang verarbeitet werden und daher gefährdet sind. Eine Arztpraxis speichert zum Beispiel mehr und sensiblere personenbezogene Daten als eine Gärtnerei. Nicht alle Maßnahmen zum Datenschutz sind also für jedes Unternehmen gleich angemessen. Die Maßnahmen müssen bei Änderungen im Unternehmen aktualisiert werden, wenn sich der Umfang der Datenverarbeitung ändert oder durch die Umstrukturierung ein neues Datenschutzrisiko besteht.
Darauf basierend muss das Unternehmen nach Art. 58 Abs. 1 DSGVO die Umsetzung der beschlossenen Maßnahmen auf Nachfrage der Aufsichtsbehörde nachweisen können. Es gibt keine konkreten Vorgaben, wie der Verantwortliche diesen Nachweis erbringen soll.
Dabei muss ein Unternehmen sorgfältig dokumentieren, wie es welche Daten verarbeitet, um die Umsetzung der DSGVO nachweisen zu können. Denn der Rechenschaftspflicht kann nicht nachgekommen werden, wenn keine aussagekräftigen Nachweise existieren. Ein Unternehmen liefert solche Nachweise, indem alle Vorgänge der Datenverarbeitung dokumentiert werden.
Das heißt: Keine Erfüllung der Rechenschaftspflicht ohne Nachweise, und keine Nachweise ohne Dokumentation. Je umfangreiche die Datenschutzmaßnahmen, desto aufwendiger die Umsetzung der Dokumentations-, Nachweis- und Rechenschaftspflicht.
Konkret kann oder muss die Rechenschaftspflicht im Unternehmen so umgesetzt werden:
- Durchführung einer Datenschutzfolgenabschätzung, um festzulegen, welche Datenschutzmaßnahmen notwendig sind ( 35 Abs. 1 und 3 DSGVO)
- Entwicklung eines Datenschutzkonzeptes
- Durchführung aller relevanten (technischen) Maßnahmen
- Entwicklung von einheitlichen Datenschutzrichtlinien und Datenschutzvorgaben für alle Mitarbeiter und, falls vorhanden, allen Standorten
- Falls sinnvoll, Entwicklung eines Datenschutzmanagementsystems (DSMS)
- Bestellung eines internen oder externen Datenschutzbeauftragten (nach 37 DSGVO ist unter bestimmten Voraussetzungen ein Datenschutzbeauftragter für Unternehmen verpflichtend)
- Erstellung eines Verarbeitungsverzeichnisses ( 30 Abs. 1 und 2 DSGVO)
Kann ein Unternehmen seiner Rechenschaftspflicht nicht ausreichend nachkommen, drohen Bußgelder. Bei einigen Datenschutzverstößen ist auch eine Haftung möglich. Welche der oben genannte Maßnahmen für den Datenschutz und die Erfüllung der Rechenschaftspflicht verpflichtend oder empfehlenswert ist, kommt auf den konkreten Einzelfall an.
Konkret kann oder muss die Rechenschaftspflicht im Unternehmen so umgesetzt werden:
- Durchführung einer Datenschutzfolgenabschätzung, um festzulegen, welche Datenschutzmaßnahmen notwendig sind ( 35 Abs. 1 und 3 DSGVO)
- Entwicklung eines Datenschutzkonzeptes
- Durchführung aller relevanten (technischen) Maßnahmen
- Entwicklung von einheitlichen Datenschutzrichtlinien und Datenschutzvorgaben für alle Mitarbeiter und, falls vorhanden, allen Standorten
- Falls sinnvoll, Entwicklung eines Datenschutzmanagementsystems (DSMS)
- Bestellung eines internen oder externen Datenschutzbeauftragten (nach 37 DSGVO ist unter bestimmten Voraussetzungen ein Datenschutzbeauftragter für Unternehmen verpflichtend)
- Erstellung eines Verarbeitungsverzeichnisses ( 30 Abs. 1 und 2 DSGVO)
Kann ein Unternehmen seiner Rechenschaftspflicht nicht ausreichend nachkommen, drohen Bußgelder. Bei einigen Datenschutzverstößen ist auch eine Haftung möglich. Welche der oben genannte Maßnahmen für den Datenschutz und die Erfüllung der Rechenschaftspflicht verpflichtend oder empfehlenswert ist, kommt auf den konkreten Einzelfall an.
Datenschutzfolgenabschätzung: Die Risikoanalyse
Bei der Datenschutzfolgenabschätzung handelt es sich um eine Risikoanalyse, die den Schutz personenbezogener Daten im Unternehmen sicherstellen soll. Dabei wird analysiert, welche Folgen die geplante Datenverarbeitung für die Betroffenen hätte. Daraus werden entsprechende Maßnahmen abgeleitet, um den Datenschutz zu verbessern. Eine Datenschutzfolgenabschätzung sollte immer dann durchgeführt werden, wenn hohe Risiken für die Rechte von Betroffenen vermutet werden. Werden Sicherheitslücken entdeckt, kann darauf angemessen reagiert werden. Auch mit einer Datenschutzfolgenabschätzung können Unternehmen also nachweisen, dass sie den Vorgaben der DSGVO folgen. Die Durchführung einer Datenschutzfolgenabschätzung ist gesetzlich verpflichtend.
Ein Datenschutzmanagementsystem erleichtert die Erfüllung der Rechenschaftspflicht
Ein DSMS hilft dabei, die gespeicherten Daten sowie die Dokumentation der Datenverarbeitung und Datenlöschung zu managen. Verlangt eine Aufsichtsbehörde von Ihnen den Nachweis, dass Ihr Unternehmen DSGVO-konform vorgeht, können Sie direkt auf die relevanten Dokumente im Datenschutzmanagementsystem zugreifen. Vor allem für große Unternehmen ist der Aufbau eines DSMS zu empfehlen.
Grenzen und Möglichkeiten der Rechenschaftspflicht
Die Rechenschaftspflicht gilt nicht bedingungslos. Das heißt, Unternehmen müssen nicht alle Dokumente offenlegen. Eine Aufsichtsbehörde wird im Normalfall vorgeben, welche Nachweise sie sehen möchte.
Grundsätzlich kann es jedoch sinnvoll sein, das eigene Datenschutzkonzept umfassend offenzulegen. Oft werden nur so Fehler und Lücken erkennbar, auf die umgehend reagiert werden kann. Das muss aber nicht schon verbunden mit einem rechtlichen Risiko vor der Aufsichtsbehörde erfolgen. Lassen Sie das Datenschutzkonzept Ihres Unternehmens durch einen Datenschutzexperten prüfen, um auf der sicheren Seite zu stehen.
Sie sind sich nicht sicher, ob Sie Ihrer Rechenschaftspflicht ausreichend nachkommen? Als externer Datenschutzbeauftragter beraten wir Sie zur Umsetzung der DSGVO in Ihrem Unternehmen inklusive der Rechenschaftspflicht und setzen geeignete Maßnahmen für die Dokumentation für Sie um. Außerdem übernehmen wir die Kommunikation mit der Aufsichtsbehörde. So können Sie der Erfüllung der Rechenschaftspflicht vor einer Aufsichtsbehörde entspannt entgegenblicken.
