DSGVO: die Re­chen­schafts­pflicht – keine Kür

In der Da­ten­­­schutz-Grun­d­­ver­­or­d­­nung (DS-GVO) äußert sich die Re­chen­schafts­pflicht als ein Grund­satz, wonach Or­ga­ni­sa­tio­nen ge­eig­ne­te tech­ni­sche und or­ga­ni­sa­to­ri­sche Maß­nah­men er­grei­fen und in der Lage sein müssen, auf Anfrage nach­zu­wei­sen, was sie getan haben, und die Wirk­sam­keit ihrer Hand­lun­gen zu belegen.¹ Un­ter­neh­men, In­sti­tu­tio­nen und Be­hör­den müssen also nach­wei­sen, dass sie die Da­ten­schutz­ge­set­ze be­ach­ten und um­set­zen. Dies umfasst unter anderem fol­gen­de Maß­nah­men:

• an­ge­mes­se­ne Do­ku­men­ta­ti­on darüber,
• welche Daten auf welche Weise,
• zu welchem Zweck und
• für wie lange ver­ar­bei­tet werden sowie ent­spre­chen­de und u.a.
• do­ku­men­tier­te Pro­zes­se und Ver­fah­ren zur Re­ak­ti­on auf Da­ten­schutz­ver­let­zung, die Ein­bin­dung des Da­ten­schutz­be­auf­trag­ten in die or­ga­ni­sa­to­ri­sche Planung und Be­triebs­ab­läu­fe usw.

Da­ten­schutz­recht­li­che Grundsätze

Die Grund­sät­ze beruhen auf den Vor­ga­ben des Art. 8 Abs. 2 der Charta der Grund­rech­te der Eu­ro­päi­schen Union (GRCh). Diese waren bereits im BDSG a.F. zu­grun­de gelegt, auch wenn diese nicht, so wie jetzt in der DS-GVO, nor­miert waren. Die Re­chen­schafts­pflicht ist in Art. 5 Abs. 2 DS-GVO ver­an­kert. Hier­nach ist der Ver­ant­wort­li­che für die Ein­hal­tung der in Art. 5 Abs. 1 DSGVO auf­ge­zähl­ten Grund­sät­ze ver­ant­wort­lich und muss deren Ein­hal­tung nach­wei­sen können.

Grund­sät­ze der Verarbeitung

Jeg­li­che Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten muss die in Art. 5 DSGVO nor­mier­ten Da­ten­schutz­grund­sät­ze er­fül­len. Grund­sät­ze der Ver­ar­bei­tung sind:

• Recht­mä­ßig­keit,
• Ver­ar­bei­tung nach Treu und Glauben,
• Trans­pa­renz, Zweckbindung,
• Da­ten­mi­ni­mie­rung,
• Rich­tig­keit,
• Spei­cher­be­gren­zung,
• In­te­gri­tät und Vertraulichkeit

Was be­deu­tet dies im Ein­zel­nen? Nach­fol­gend ein all­ge­mei­ner Über­blick der Datenschutz-Grundsätze:

1. Recht­mä­ßig­keit (Art. 5 Abs. 1 lit. a DS-GVO)

Das Da­ten­schutz­recht ist seit jeher ein Ver­bots­ge­setz mit Er­laub­nis­vor­be­halt (vgl. § 4 Abs. 1 BDSG a.F.). Dieser Grund­satz wird in Art. 6 Abs. 1 DS-GVO kon­kre­ti­siert. Die Ver­ar­bei­tung von per­so­nen­be­zo­ge­nen Daten ist folg­lich nur ge­stat­tet, wenn eine der in Art. 6 DS-GVO ge­nann­te Be­din­gung erfüllt ist. Diese sog. Er­laub­nis­tat­be­stän­de (Recht­mä­ßig­keit der Ver­ar­bei­tung) sind:

a) Die be­trof­fe­ne Person willigt ein (Art. 7 DS-GVO Be­din­gun­gen für die Einwilligung);

b) Ver­ar­bei­tung für die Er­fül­lung eines Ver­tra­ges oder vor­ver­trag­li­che Maßnahmen;

c) Ver­ar­bei­tung ist zur Er­fül­lung einer recht­li­chen Ver­pflich­tung erforderlich;

d) Ver­ar­bei­tung ist er­for­der­lich, um le­bens­wich­ti­ge In­ter­es­sen zu schützen;

e) Ver­ar­bei­tung ist für die Wahr­neh­mung einer Aufgabe er­for­der­lich, die im öf­fent­li­chen In­ter­es­se liegt;

f) Ver­ar­bei­tung zur Wahrung der be­rech­tig­ten In­ter­es­sen des Ver­ant­wort­li­chen […] die In­ter­es­sen der be­trof­fe­nen Person nicht überwiegen.

2. Treu und Glauben (Art. 5 Abs. 1 lit. b DS-GVO)

Per­so­nen­be­zo­ge­ne Daten dürfen nur nach Treu und Glauben ver­ar­bei­tet werden. In der eng­li­schen Fassung der DS-GVO wird der Begriff „Fair­ness“ ver­wen­det. Die Ver­ar­bei­tung von per­so­nen­be­zo­ge­nen Daten muss für die Er­rei­chung eines le­gi­ti­men Zwecks ge­eig­net, an­ge­mes­sen und er­for­der­lich sein, also „fair“ sein. Dabei sollen die Daten un­mit­tel­bar bei der be­trof­fe­nen Person erhoben werden (Di­rekt­er­he­bung).

3. Trans­pa­renz (Art. 5 Abs. 1 lit. a DS-GVO)

Der Grund­satz der Trans­pa­renz ver­pflich­tet den Ver­ant­wort­li­chen dazu, per­so­nen­be­zo­ge­ne Daten in einer nach­voll­zieh­ba­ren Art und Weise zu ver­ar­bei­ten. Gemäß ErwG 39 der DS-GVO setzt der Grund­satz der Trans­pa­renz voraus, dass alle In­for­ma­tio­nen und Mit­tei­lun­gen zur Ver­ar­bei­tung […] leicht zu­gäng­lich und ver­ständ­lich und in klarer und ein­fa­cher Sprache ab­zu­fas­sen sind (Artt. 13, 14 DSGVO In­for­ma­ti­ons­pflich­ten).

4. Zweck­bin­dung (Art. 5 Abs. 1 lit. b DS-GVO)

Per­so­nen­be­zo­ge­ne Daten dürfen nur für fest­ge­leg­te, ein­deu­ti­ge und le­gi­ti­me Zwecke erhoben, ver­ar­bei­tet und genutzt werden. Die Zweck­bin­dung ist eines der „Herz­stü­cke“ des Da­ten­schutz­rechts. Diese ergibt sich aus der Er­for­der­lich­keit und wird durch die Rechts­grund­la­ge (mit-)bestimmt. Die Zwecke, zu denen die per­so­nen­be­zo­ge­nen Daten ver­ar­bei­tet werden, müssen ein­deu­tig und recht­mä­ßig sein und zum Zeit­punkt der Er­he­bung fest­ste­hen (vgl. ErwG 39 DS-GVO).

5. Da­ten­mi­ni­mie­rung (Art. 5 Abs. 1 lit. c DS-GVO)

Die per­so­nen­be­zo­ge­nen Daten, die vom Ver­ant­wort­li­chen erhoben werden, müssen dem Zweck an­ge­mes­sen (An­ge­mes­sen­heit) sein und er­heb­lich sowie auf das für den Ver­ar­bei­tungs­zweck not­wen­di­ge Maß be­schränkt sein. Daten, die erhoben wurden, aber für den Ver­ar­bei­tungs­zweck nicht be­nö­tigt werden, sind zu löschen. An den Grund­satz der Da­ten­mi­ni­mie­rung, wie auch der Zweck­bin­dung, knüpft die Spei­cher­be­gren­zung (Art. 5 Abs. 1 lit. e DS-GVO) an. Per­so­nen­be­zo­ge­ne Daten dürfen nur so lange ge­spei­chert werden, wie es für die Zwecke er­for­der­lich ist (Zweck­bin­dung).

6. Rich­tig­keit (Art. 5 Abs. 1 lit. d DS-GVO)

Per­so­nen­be­zo­ge­ne Daten müssen sach­lich richtig und auf dem neu­es­ten Stand sein. Seitens Ver­ant­wort­li­chen sind ent­spre­chen­de Maß­nah­men zu er­grei­fen, damit die Daten, die im Hin­blick auf die Zwecke ihrer Ver­ar­bei­tung un­rich­tig sind, un­ver­züg­lich ge­löscht oder be­rich­tigt werden. Unter dem Grund­satz der Rich­tig­keit sind drei Pflich­ten nach Art. 5 Abs. 1 lit. d DSGVO zu fassen, nämlich das Verbot der un­rich­ti­gen Er­he­bung oder Spei­che­rung von Daten, das Gebot der Ak­tua­li­sie­rung un­rich­tig ge­wor­de­ner Daten und das Gebot der Lö­schung oder Be­rich­ti­gung un­rich­tig ge­spei­cher­ter Daten.²

7. In­te­gri­tät und Ver­trau­lich­keit (Art. 5 Abs. 1 lit. f DS-GVO)

Diese Da­ten­schutz­prin­zi­pi­en dienen der Da­ten­si­cher­heit und stellen die Da­ten­schutz­zie­le der In­for­ma­ti­ons­si­cher­heit dar. In­te­gri­tät be­schreibt dabei die Kor­rekt­heit (Un­ver­sert­heit) von Daten und der kor­rek­ten Funk­ti­ons­wei­se von Sys­te­men. Ver­trau­lich­keit ist der Schutz vor un­be­fug­ter Preis­ga­be von In­for­ma­tio­nen. Ver­trau­li­che Daten und In­for­ma­tio­nen dürfen aus­schließ­lich Be­fug­ten in der zu­läs­si­gen Weise zu­gäng­lich sein.³

Die Re­chen­schafts­pflicht

 Art. 5 Abs. 2 DS-GVO regelt die Re­chen­schafts­pflicht („Ac­coun­ta­bi­li­ty“) und weist die Ver­ant­wort­lich­keit für die Ein­hal­tung der oben er­läu­ter­ten Grund­sät­ze zu. Nämlich dem Ver­ant­wort­li­chen, der obers­ten Un­ter­neh­mens­lei­tung: (2) Der Ver­ant­wort­li­che ist für die Ein­hal­tung des Ab­sat­zes 1 ver­ant­wort­lich und muss dessen Ein­hal­tung nach­wei­sen können („Re­chen­schafts­pflicht“).
Bereits in der Da­ten­­­schutz-Rich­t­­li­­nie 95/46/EG war dieser Grund­satz ent­hal­ten und ist in­so­fern keine neue Anforderung.

Ver­ant­wor­tung des Verantwortlichen

Art. 5 Abs. 2 DS-GVO ist zu­sam­men mit Art. 24 Abs. 1 DS-GVO zu sehen, welcher die Vor­ga­ben kon­kre­ti­siert. Dieser regelt die Ver­ant­wor­tung des für die Ver­ar­bei­tung der per­so­nen­be­zo­ge­nen Daten Ver­ant­wort­li­chen. Daraus ergibt sich auch, dass es sich bei der Re­chen­schafts­pflicht um eines der wich­tigs­ten und um­fas­sends­ten Gebote der DS-GVO handelt. Ziel der Re­ge­lung ist es, Un­ter­neh­men, Be­trie­be und In­sti­tu­tio­nen stärker in die Pflicht zu nehmen. Adres­sat der Re­chen­schafts­pflicht ist der Ver­ant­wort­li­che, welcher nun nicht nur die Pflich­ten und An­for­de­run­gen aus der DS-GVO er­fül­len muss, sondern er muss diese auch nach­wei­sen können. Dabei sind die Reg­lun­gen, die ge­eig­ne­ten tech­ni­schen und or­ga­ni­sa­to­ri­schen Maß­nah­men, re­gel­mä­ßig zu über­prü­fen und zu ak­tua­li­sie­ren. Das Nicht-Um­­­se­t­­zen der An­for­de­run­gen der DSGVO ist buß­geld­be­währt und kann von den Auf­sichts­be­hör­den mit bis zu 40 Mio. Euro oder 4 % des welt­wei­ten Vor­jah­res­um­sat­zes, je nach dem was höher ist, sank­tio­niert werden (vgl. Art. 83 DS-GVO).

Da­ten­­­schutz-Ma­­na­ge­­men­t­­sys­­tem

Zur Ein­hal­tung dieser ge­setz­li­chen An­for­de­run­gen – sys­te­ma­ti­sches planen, or­ga­ni­sie­ren, steuern, über­prü­fen und über­wa­chen, aber auch um die Ak­tua­li­sie­rung und Ak­tua­li­tät ge­währ­leis­ten zu können – ist die Eta­blie­rung eines Da­ten­­­schutz-Ma­­na­ge­­men­t­­sys­­tems erforderlich.

Die Im­ple­men­tie­rung un­ter­stützt Ver­stö­ße gegen die DSGVO zu ver­mei­den. Im Mit­tel­punkt der Pflich­ten des Ver­ant­wort­li­chen steht die Do­ku­men­ta­ti­on u. a. nach­ste­hen­der Sachverhalte:

• Die ein­zel­nen Ver­ar­bei­tun­gen nach Art. 30 DS-GVO (Ver­zeich­nis der Verarbeitungstätigkeiten);
• Er­fül­lung der In­for­ma­ti­ons­pflich­ten (Artt. 12 – 14 DS-GVO);
• Da­ten­­­schutz-Fol­­gen­a­b­­schä­t­­zung (Art. 35 DS-GVO);
• Maß­nah­men der Si­cher­heit der Ver­ar­bei­tung (Art. 32 DS-GVO);
• Da­ten­schutz­ver­let­zun­gen: Meldung an die Auf­sichts­be­hör­de (Art. 33 DS-GVO) und Be­nach­rich­ti­gung der be­trof­fe­nen Person (Art. 34 DS-GVO);
• Nach­weis der Er­laub­nis­tat­be­stän­de, d.h. Recht­mä­ßig­keit der Ver­ar­bei­tung (Art. 6 DS-GVO), ins­be­son­de­re die Recht­fer­ti­gung der Ein­wil­li­gung (Art. 7 Abs. 1 DS-GVO);
• Be­nen­nung eines Da­ten­schutz­be­auf­trag­ten (Art. 37 DS-GVO) sowie die Er­fül­lung der An­for­de­run­gen des Ver­ant­wort­li­chen und der Auf­trags­ver­ar­bei­ter (Art. 38 DS-GVO).

Das Da­ten­­­schutz-Ma­­na­ge­­men­t­­sys­­tem (DSMS) ist – wie jedes andere Ma­nage­ment­sys­tem auch – auf kon­ti­nu­ier­li­che Ver­bes­se­rung und An­pas­sung aus­ge­rich­tet. Dies wird nicht zuletzt auf­grund der Not­wen­dig­keit von Über­wa­chung und Kon­trol­le, d.h. durch Audits, um­ge­setzt. Wobei wir wieder bei Art. 5 Abs. 2 DS-GVO sind und den Auf­ga­ben des Da­ten­schutz­be­auf­trag­ten, ins­be­son­de­re Art. 39 Abs. 1 lit. b DS-GVO.

 

 

¹ https://edps.europa.eu/data-protection/our-work/subjects/responsabilite-du-responsable-du-traitement_de (zuletzt auf­ge­ru­fen am 28.11.2022)

² HK DS-GVO/BDSG Jaspers/Schwarmann/Hermann, Art. 5, Rn. 60, C.F. Müller, Heidelberg.

³ Vgl. https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Informationen-und-Empfehlungen/Glossar-der-Cyber-Sicherheit/Functions/glossar.html (zuletzt ab­ge­ru­fen am 28.11.2022)