In der Datenschutz-Grundverordnung (DS-GVO) äußert sich die Rechenschaftspflicht als ein Grundsatz, wonach Organisationen geeignete technische und organisatorische Maßnahmen ergreifen und in der Lage sein müssen, auf Anfrage nachzuweisen, was sie getan haben, und die Wirksamkeit ihrer Handlungen zu belegen.1 Unternehmen, Institutionen und Behörden müssen also nachweisen, dass sie die Datenschutzgesetze beachten und umsetzen. Dies umfasst unter anderem folgende Maßnahmen:
- angemessene Dokumentation darüber,
- welche Daten auf welche Weise,
- zu welchem Zweck und
- für wie lange verarbeitet werden sowie entsprechende und u.a.
- dokumentierte Prozesse und Verfahren zur Reaktion auf Datenschutzverletzung, die Einbindung des Datenschutzbeauftragten in die organisatorische Planung und Betriebsabläufe usw.
Datenschutzrechtliche Grundsätze
Die Grundsätze beruhen auf den Vorgaben des Art. 8 Abs. 2 der Charta der Grundrechte der Europäischen Union (GRCh). Diese waren bereits im BDSG a.F. zugrunde gelegt, auch wenn diese nicht, so wie jetzt in der DS-GVO, normiert waren. Die Rechenschaftspflicht ist in Art. 5 Abs. 2 DS-GVO verankert. Hiernach ist der Verantwortliche für die Einhaltung der in Art. 5 Abs. 1 DSGVO aufgezählten Grundsätze verantwortlich und muss deren Einhaltung nachweisen können.
Grundsätze der Verarbeitung
Jegliche Verarbeitung personenbezogener Daten muss die in Art. 5 DSGVO normierten Datenschutzgrundsätze erfüllen. Grundsätze der Verarbeitung sind:
- Rechtmäßigkeit,
- Verarbeitung nach Treu und Glauben,
- Transparenz, Zweckbindung,
- Datenminimierung,
- Richtigkeit,
- Speicherbegrenzung,
- Integrität und Vertraulichkeit
Was bedeutet dies im Einzelnen? Nachfolgend ein allgemeiner Überblick der Datenschutz-Grundsätze:
-
Rechtmäßigkeit (Art. 5 Abs. 1 lit. a DS-GVO)
Das Datenschutzrecht ist seit jeher ein Verbotsgesetz mit Erlaubnisvorbehalt (vgl. § 4 Abs. 1 BDSG a.F.). Dieser Grundsatz wird in Art. 6 Abs. 1 DS-GVO konkretisiert. Die Verarbeitung von personenbezogenen Daten ist folglich nur gestattet, wenn eine der in Art. 6 DS-GVO genannte Bedingung erfüllt ist. Diese sog. Erlaubnistatbestände (Rechtmäßigkeit der Verarbeitung) sind:
a) Die betroffene Person willigt ein (Art. 7 DS-GVO Bedingungen für die Einwilligung);
b) Verarbeitung für die Erfüllung eines Vertrages oder vorvertragliche Maßnahmen;
c) Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich;
d) Verarbeitung ist erforderlich, um lebenswichtige Interessen zu schützen;
e) Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt;
f) Verarbeitung zur Wahrung der berechtigten Interessen des Verantwortlichen […] die Interessen der betroffenen Person nicht überwiegen.
-
Treu und Glauben (Art. 5 Abs. 1 lit. b DS-GVO)
Personenbezogene Daten dürfen nur nach Treu und Glauben verarbeitet werden. In der englischen Fassung der DS-GVO wird der Begriff „Fairness“ verwendet. Die Verarbeitung von personenbezogenen Daten muss für die Erreichung eines legitimen Zwecks geeignet, angemessen und erforderlich sein, also „fair“ sein. Dabei sollen die Daten unmittelbar bei der betroffenen Person erhoben werden (Direkterhebung).
-
Transparenz (Art. 5 Abs. 1 lit. a DS-GVO)
Der Grundsatz der Transparenz verpflichtet den Verantwortlichen dazu, personenbezogene Daten in einer nachvollziehbaren Art und Weise zu verarbeiten. Gemäß ErwG 39 der DS-GVO setzt der Grundsatz der Transparenz voraus, dass alle Informationen und Mitteilungen zur Verarbeitung […] leicht zugänglich und verständlich und in klarer und einfacher Sprache abzufassen sind (Artt. 13, 14 DSGVO Informationspflichten).
-
Zweckbindung (Art. 5 Abs. 1 lit. b DS-GVO)
Personenbezogene Daten dürfen nur für festgelegte, eindeutige und legitime Zwecke erhoben, verarbeitet und genutzt werden. Die Zweckbindung ist eines der „Herzstücke“ des Datenschutzrechts. Diese ergibt sich aus der Erforderlichkeit und wird durch die Rechtsgrundlage (mit-)bestimmt. Die Zwecke, zu denen die personenbezogenen Daten verarbeitet werden, müssen eindeutig und rechtmäßig sein und zum Zeitpunkt der Erhebung feststehen (vgl. ErwG 39 DS-GVO).
-
Datenminimierung (Art. 5 Abs. 1 lit. c DS-GVO)
Die personenbezogenen Daten, die vom Verantwortlichen erhoben werden, müssen dem Zweck angemessen (Angemessenheit) sein und erheblich sowie auf das für den Verarbeitungszweck notwendige Maß beschränkt sein. Daten, die erhoben wurden, aber für den Verarbeitungszweck nicht benötigt werden, sind zu löschen. An den Grundsatz der Datenminimierung, wie auch der Zweckbindung, knüpft die Speicherbegrenzung (Art. 5 Abs. 1 lit. e DS-GVO) an. Personenbezogene Daten dürfen nur so lange gespeichert werden, wie es für die Zwecke erforderlich ist (Zweckbindung).
-
Richtigkeit (Art. 5 Abs. 1 lit. d DS-GVO)
Personenbezogene Daten müssen sachlich richtig und auf dem neuesten Stand sein. Seitens Verantwortlichen sind entsprechende Maßnahmen zu ergreifen, damit die Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung unrichtig sind, unverzüglich gelöscht oder berichtigt werden. Unter dem Grundsatz der Richtigkeit sind drei Pflichten nach Art. 5 Abs. 1 lit. d DSGVO zu fassen, nämlich das Verbot der unrichtigen Erhebung oder Speicherung von Daten, das Gebot der Aktualisierung unrichtig gewordener Daten und das Gebot der Löschung oder Berichtigung unrichtig gespeicherter Daten.2
-
Integrität und Vertraulichkeit (Art. 5 Abs. 1 lit. f DS-GVO)
Diese Datenschutzprinzipien dienen der Datensicherheit und stellen die Datenschutzziele der Informationssicherheit dar. Integrität beschreibt dabei die Korrektheit (Unversertheit) von Daten und der korrekten Funktionsweise von Systemen. Vertraulichkeit ist der Schutz vor unbefugter Preisgabe von Informationen. Vertrauliche Daten und Informationen dürfen ausschließlich Befugten in der zulässigen Weise zugänglich sein.3
Die Rechenschaftspflicht
Art. 5 Abs. 2 DS-GVO regelt die Rechenschaftspflicht („Accountability“) und weist die Verantwortlichkeit für die Einhaltung der oben erläuterten Grundsätze zu. Nämlich dem Verantwortlichen, der obersten Unternehmensleitung: (2) Der Verantwortliche ist für die Einhaltung des Absatzes 1 verantwortlich und muss dessen Einhaltung nachweisen können („Rechenschaftspflicht“).
Bereits in der Datenschutz-Richtlinie 95/46/EG war dieser Grundsatz enthalten und ist insofern keine neue Anforderung.
Verantwortung des Verantwortlichen
Art. 5 Abs. 2 DS-GVO ist zusammen mit Art. 24 Abs. 1 DS-GVO zu sehen, welcher die Vorgaben konkretisiert. Dieser regelt die Verantwortung des für die Verarbeitung der personenbezogenen Daten Verantwortlichen. Daraus ergibt sich auch, dass es sich bei der Rechenschaftspflicht um eines der wichtigsten und umfassendsten Gebote der DS-GVO handelt. Ziel der Regelung ist es, Unternehmen, Betriebe und Institutionen stärker in die Pflicht zu nehmen. Adressat der Rechenschaftspflicht ist der Verantwortliche, welcher nun nicht nur die Pflichten und Anforderungen aus der DS-GVO erfüllen muss, sondern er muss diese auch nachweisen können. Dabei sind die Reglungen, die geeigneten technischen und organisatorischen Maßnahmen, regelmäßig zu überprüfen und zu aktualisieren. Das Nicht-Umsetzen der Anforderungen der DSGVO ist bußgeldbewährt und kann von den Aufsichtsbehörden mit bis zu 40 Mio. Euro oder 4 % des weltweiten Vorjahresumsatzes, je nach dem was höher ist, sanktioniert werden (vgl. Art. 83 DS-GVO).
Datenschutz-Managementsystem
Zur Einhaltung dieser gesetzlichen Anforderungen – systematisches planen, organisieren, steuern, überprüfen und überwachen, aber auch um die Aktualisierung und Aktualität gewährleisten zu können – ist die Etablierung eines Datenschutz-Managementsystems erforderlich.
Die Implementierung unterstützt Verstöße gegen die DSGVO zu vermeiden. Im Mittelpunkt der Pflichten des Verantwortlichen steht die Dokumentation u. a. nachstehender Sachverhalte:
- Die einzelnen Verarbeitungen nach Art. 30 DS-GVO (Verzeichnis der Verarbeitungstätigkeiten);
- Erfüllung der Informationspflichten (Artt. 12 – 14 DS-GVO);
- Datenschutz-Folgenabschätzung (Art. 35 DS-GVO);
- Maßnahmen der Sicherheit der Verarbeitung (Art. 32 DS-GVO);
- Datenschutzverletzungen: Meldung an die Aufsichtsbehörde (Art. 33 DS-GVO) und Benachrichtigung der betroffenen Person (Art. 34 DS-GVO);
- Nachweis der Erlaubnistatbestände, d.h. Rechtmäßigkeit der Verarbeitung (Art. 6 DS-GVO), insbesondere die Rechtfertigung der Einwilligung (Art. 7 Abs. 1 DS-GVO);
- Benennung eines Datenschutzbeauftragten (Art. 37 DS-GVO) sowie die Erfüllung der Anforderungen des Verantwortlichen und der Auftragsverarbeiter (Art. 38 DS-GVO).
Das Datenschutz-Managementsystem (DSMS) ist – wie jedes andere Managementsystem auch – auf kontinuierliche Verbesserung und Anpassung ausgerichtet. Dies wird nicht zuletzt aufgrund der Notwendigkeit von Überwachung und Kontrolle, d.h. durch Audits, umgesetzt. Wobei wir wieder bei Art. 5 Abs. 2 DS-GVO sind und den Aufgaben des Datenschutzbeauftragten, insbesondere Art. 39 Abs. 1 lit. b DS-GVO.
1 https://edps.europa.eu/data-protection/our-work/subjects/responsabilite-du-responsable-du-traitement_de (zuletzt aufgerufen am 28.11.2022)
2 HK DS-GVO/BDSG Jaspers/Schwarmann/Hermann, Art. 5, Rn. 60, C.F. Müller, Heidelberg.
3 Vgl. https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Informationen-und-Empfehlungen/Glossar-der-Cyber-Sicherheit/Functions/glossar.html (zuletzt abgerufen am 28.11.2022)