Rechenschaftspflicht

 

Worum geht es?

Der Begriff der „Rechenschaftspflicht“ wurde mit Einführung der Datenschutz-Grundverordnung (DS-GVO) normiert. Konkret ist die Rechenschaftspflicht in Art. 5 Abs. 2 DS-GVO definiert: Der Verantwortliche ist für die Einhaltung des Absatzes 1 verantwortlich und muss dessen Einhaltung nachweisen können („Rechenschaftspflicht“).“ In Absatz 1 sind die Grundsätze der Datenverarbeitung geregelt, deren Maßstab für jede Datenverarbeitung anzusetzen ist.

Bedeutung der Rechenschaftspflicht

Mit diesem einen Satz ist die Definition der Rechenschaftspflicht abgeschlossen. Auch die Erwägungsgründe der DS-GVO gehen nicht weiter darauf ein. Wie ist Absatz 2 des Art. 5 also zu verstehen und welche Bedeutung hat er für die tägliche Praxis?

Die Rechenschaftspflicht unterstreicht zwei wesentliche Elemente, die von enormer praktischer Relevanz sind:

  1. Der Verantwortliche der Datenverarbeitung ist für die Einhaltung der in Abs. 1 genannten Grundsätze verantwortlich. Hier wird also das datenverarbeitende Unternehmen oder die datenverarbeitende Einrichtung in die Pflicht genommen. Die unternehmerische Verantwortung für die Einhaltung der zentralen Grundsätze ist also stets im Blick zu behalten und bei Weiterentwicklungen oder Änderung der Datenverarbeitungsprozesse oder bei der Umsetzung der technischen und organisatorischen Maßnahmen immer (neu) zu bewerten.
  2. Die Einhaltung der Grundsätze ist nachzuweisen. Die Nachweispflicht findet sich in der DS-GVO auch an anderen Stellen (z.B. bei Einwilligungen oder den technischen und organisatorischen Maßnahmen). Wie der Nachweis erbracht werden soll, ist nicht festgelegt. Natürlich sind schriftliche Dokumentationen für die Erbringung eines Nachweises wesentlich (z.B. durch interne Richtlinien, das Datenschutzkonzept oder das Verfahrensverzeichnis). Aber Nachweise lassen sich auch anders erbringen. Wenn ein Unternehmen zum Beispiel vorgibt, ein Berechtigungskonzept in ihren Systemen umzusetzen, so lässt sich die Umsetzung des Konzepts nur durch einen Blick in die Administrationsoberfläche richtig nachweisen bzw. überprüfen.

Das Unternehmen muss also bei jeder Form der Datenverarbeitung der Frage nachgehen: „Kann ein Dritter (insbesondere die Aufsichtsbehörde) überprüfen, ob ich die Grundsätze der Datenverarbeitung einhalte und Daten datenschutzkonform verarbeite?“ Wird diese Frage mit „Nein“ beantwortet, sollte schleunigst gehandelt werden. Für einen Verstoß gegen die Rechenschaftspflicht können empfindliche Geldbußen fällig werden.

Ihr Nutzen

Die Umsetzung der Rechenschaftspflicht ist aufwendig, da dies mit umfassender Dokumentation und der Aufbereitung aller Datenverarbeitungsprozesse verbunden ist. Nur wenn die Prozesse dokumentiert und durchleuchtet sind, können diese auch auf Einhaltung der Grundsätze überprüft, dokumentiert und somit der Rechenschaftspflicht nachgekommen werden. Diese Dokumentationen haben den großen Vorteil, dass dabei datenschutzrechtliche Missstände erkannt und Maßnahmen ergriffen werden können. Die Rechenschaftspflicht zwingt ein Unternehmen also dazu, Dokumentationen zu führen, was wiederum ein wertvolles Hilfsmittel ist, um Datenschutz umsetzen zu können. Eben DATENSCHUTZ BESSER MACHEN!

Falls Sie Unterstützung benötigen, helfen wir Ihnen gerne dabei, dass Sie Ihrer Rechenschaftspflicht nachkommen können.

Verfasser: Bastian Maute, 09.09.2020