Rechenschaftspflicht nach DSGVO: Die 6 Maßnahmen zur Erfüllung

Was ist die Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO?

Die Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO bezieht sich auf die Verpflichtung der Verantwortlichen und Auftragsverarbeiter, die Einhaltung der Grundsätze der DSGVO bei der Verarbeitung personenbezogener Daten nachzuweisen. Es besteht also neben der Pflicht zur Einhaltung und Umsetzung der DSGVO auch eine Nachweis- und Dokumentationspflicht.

Was genau umfasst die Rechenschaftspflicht?

Auf Verlangen einer Aufsichtsbehörde ist nachzuweisen, dass die Grundsätze des Art. 5 Abs. 1 DSGVO eingehalten werden und die Verarbeitung im Einklang mit der DSGVO erfolgt.

Konkret verlangt die Rechenschaftspflicht von Verantwortlichen und Auftragsverarbeitern, die Einhaltung der Grundsätze der Datenverarbeitung:

• Rechtmäßigkeit
• Transparenz
• Zweckbindung
• Datenminimierung
• Richtigkeit
• Speicherbegrenzung
• Integrität

Alle Aspekte der Datenverarbeitung sind zu dokumentieren. Insbesondere:

• die Verarbeitungszwecke
• die Kategorien der verarbeiteten Daten
• die Empfänger
• die Aufbewahrungsfristen
• die getroffenen Sicherheitsmaßnahmen

Darüber hinaus sind technische und organisatorische Maßnahmen (TOM) zu treffen, um die Sicherheit der verarbeiteten Daten zu gewährleisten und Datenschutzverstöße zu verhindern bzw. angemessen darauf reagieren zu können.

Wen trifft die Rechenschaftspflicht?

Die Rechenschaftspflicht trifft die Verantwortlichen im Sinne der DSGVO Art. 5 Abs. 2 DSGVO, nicht aber den Auftragsverarbeiter. Verantwortlicher im Sinne der DSGVO ist gem. Art. 4 Nr. 7 DSGVO jede natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.

Mittelbar sind auch Auftragsverarbeiter von der Rechenschaftspflicht betroffen. Auftragsverarbeiter ist gem. Art. 4 Nr. 8 DSGVO jede natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet und insoweit weisungsgebunden ist.

Hervorzuheben ist an dieser Stelle, dass sich der Verantwortliche durch die Beauftragung eines Auftragsverarbeiters nicht seiner Verantwortung entziehen kann. Dies bedeutet, dass der Verantwortliche dafür Sorge zu tragen hat, dass die Grundsätze nach Art. 5 Abs. 1 DSGVO selbstverständlich auch im Rahmen einer Auftragsverarbeitung eingehalten werden. Die Einhaltung dieser Grundsätze ist auch bei der Beauftragung eines Auftragsverarbeiters nachzuweisen.

Die 6 wichtigsten Maßnahmen zur Erfüllung der Rechenschaftspflicht

Zur Erfüllung der Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO sind verschiedene Maßnahmen erforderlich, um sicherzustellen, dass die Grundsätze der DSGVO bei der Verarbeitung personenbezogener Daten eingehalten werden. Im Folgenden sind einige wichtige Maßnahmen aufgeführt, die Organisationen insbesondere ergreifen sollten:

1. Dokumentation der Datenverarbeitung

Verantwortliche und Auftragsverarbeiter sollten alle Aspekte der jeweiligen Datenverarbeitung dokumentieren, einschließlich der Zwecke, Kategorien der verarbeiteten Daten, Empfänger, Aufbewahrungsfristen und Sicherheitsmaßnahmen. Diese Dokumentation dient als Nachweis für die Einhaltung der DSGVO.

2. Datenschutz-Folgenabschätzung (DSFA)

Bei Verarbeitungsvorgängen, die voraussichtlich ein hohes Risiko für die Rechte und Freiheiten von Personen aufweisen, ist eine Datenschutz-Folgenabschätzung durchzuführen. Diese Analyse hilft, potenzielle Datenschutzrisiken zu erkennen und zu mindern.

3. Technische und organisatorische Maßnahmen (TOM)

Zum Schutz personenbezogener Daten vor unberechtigtem Zugriff, Verlust oder Missbrauch sind geeignete Sicherheitsmaßnahmen zu treffen. Dazu gehören Zugangskontrollen, Verschlüsselung, regelmäßige Sicherheitsaudits und Mitarbeiterschulungen.

4. Verträge mit Auftragsverarbeitern

Wenn Dienstleister personenbezogene Daten im Auftrag verarbeiten, sollten Verträge abgeschlossen werden, in denen die Datenschutzverpflichtungen und -verantwortlichkeiten klar geregelt sind – sogannte Auftragsverarbeitungsverträge (AVV).

5. Dokumentation von Datenschutzverletzungen und -zwischenfällen

Es sollte ein wirksames Verfahren für die Meldung, Untersuchung, Benachrichtigung und Dokumentation von Datenschutzverletzungen eingerichtet werden, um sicherzustellen, dass Datenschutzverletzungen angemessen behandelt werden.

6. Zusammenarbeit mit den Aufsichtsbehörden

Bei Anfragen oder Prüfungen durch Aufsichtsbehörden sollten sich Organisationen kooperativ und transparent verhalten, um die Einhaltung der DSGVO nachzuweisen.

Welche Folgen hat die Verletzung der Rechenschaftspflicht?

Hier drohen empfindliche Geldbußen. Bei Verstößen können die Aufsichtsbehörden zusätzlich zu oder anstelle der Ausübung ihrer sonstigen Abhilfebefugnisse eine Geldbuße von bis zu 20 Mio. EUR oder im Falle eines Unternehmens von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängen.

Mit Urteil vom 04.05.2023 (Az.: C-60/22) hat der EuGH die für die Praxis relevante Entscheidung getroffen, dass eine fehlende Vereinbarung über die gemeinsame Verantwortung nach Art. 26 DSGVO oder ein fehlendes oder unvollständiges Verzeichnis von Verarbeitungstätigkeiten (VVT) nach Art. 30 DSGVO nicht zur Rechtswidrigkeit der Verarbeitung führt, da ein solches Fehlen letztlich nicht beweist, dass die Grundrechte und Grundfreiheiten der betroffenen Person verletzt wurden. Im Ergebnis bedeutet dies, dass ein Verstoß gegen die Rechenschaftspflicht nicht zwangsläufig zur Unrechtmäßigkeit der Verarbeitung führt. Dennoch sind solche Verstöße bußgeldbewehrt.

Ein prominentes Beispiel: Die irische Datenschutzbehörde hat gegen Meta Platforms Ireland Limited ein Bußgeld in Höhe von 17 Millionen Euro verhängt. Das Unternehmen konnte nicht nachweisen, welche Sicherheitsmaßnahmen es im Zusammenhang mit zwölf Datenpannen zum Schutz der personenbezogenen Daten von Nutzern in der EU ergriffen hatte. Die Behörde sah darin eine Verletzung der Rechenschaftspflicht.

Warum ist professionelle Beratung bei der Erfüllung der Rechenschaftspflicht sinnvoll?

Wir setzen Maßnahmen zur Einhaltung der Rechenschaftspflicht direkt in die Praxis um: Dazu nehmen wir eine genaue Bestandsaufnahme Ihrer Datenverarbeitungsprozesse vor und entwickeln maßgeschneiderte technische und organisatorische Maßnahmen, die nicht nur den gesetzlichen Anforderungen entsprechen, sondern sich auch effizient in Ihren Unternehmensalltag integrieren lassen.

Wir überwachen kontinuierlich die Umsetzung der DSGVO-Vorgaben, aktualisieren Datenschutz-Folgenabschätzungen und optimieren Vertragsklauseln. Bei Datenschutzverstößen begleiten wir Sie sicher durch den Meldeprozess und unterstützen Sie bei der Umsetzung von Korrekturmaßnahmen. So können Sie sicher sein, dass Sie stets alle Anforderungen an die Rechenschaftspflicht erfüllen und sich voll und ganz auf Ihr Kerngeschäft konzentrieren können.