einwilligung auftragsverarbeitung auftragsdatenverarbeitung accountability rechenschaftspflicht informationspflicht besucherliste 6 1 a dsgvo

Die Rechenschaftspflicht (Accountability) nach der DSGVO

/von

Viele Regelungen der DSGVO gab es zumindest in ähnlicher Form bereits in der bisherigen Gesetzgebung nach dem BDSG. Ein komplett neuer Aspekt ist jedoch die Einführung der sogenannten „Rechenschaftspflicht“ bzw. „Accountability“. Festgelegt ist diese Pflicht in Art. 5 Abs. 2 DSGVO. In Absatz 1 dieses Artikels werden zunächst die Grundsätze der Datenverarbeitung personenbezogener Daten festgelegt. Diese beinhalten:

  1. „Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz“;
  2. „Zweckbindung“;
  3. „Datenminimierung“;
  4. „Richtigkeit“;
  5. „Speicherbegrenzung“
  6. „Integrität und Vertraulichkeit“

Soweit nicht allzu viel Neues – wäre da nicht der Absatz 2 dieses Artikels. In diesem wird festgelegt, dass der Verantwortliche für die Einhaltung der Vorgaben aus Abs. 1 verantwortlich ist und deren Einhaltung nachweisen können muss. Präzisiert werden die Anforderungen an die Nachweispflicht in Art. 24 Abs. 1 DSGVO. Hier wird festgelegt, dass der Verantwortliche den Nachweis zu erbringen hat, dass er Maßnahmen getroffen hat, die sicherstellen, dass die Verarbeitung gemäß der DSGVO erfolgt. Weiter heißt es: „Diese Maßnahmen werden erforderlichenfalls überprüft und aktualisiert.“

Nachweispflicht gegenüber Dritten?

Anders als das BDSG kennt die DSGVO kein „öffentliches Verfahrensverzeichnis“ oder sonstige Regelungen, nach denen Informationen gegenüber Dritten offengelegt werden müssen. Lediglich Personen, von denen personenbezogene Daten verarbeitet werden, verfügen über umfangreiche Rechte, informiert zu werden. Diese Informationspflichten beinhalten jedoch keine Angaben zu den getroffenen Maßnahmen, um die Sicherheit der verarbeiteten Daten zu gewährleisten oder um die Anforderungen der DSGVO zu erfüllen. Das heißt, die Nachweispflicht besteht ausschließlich gegenüber den Aufsichtsbehörden. Ein Verstoß gegen diese Pflichten kann mit Bußgeldern von bis zu 20 Mio. EUR bzw. bis zu 4% des weltweit erzielten Jahresumsatzes geahndet werden.

Wie ist die Nachweispflicht umzusetzen?

Klare Vorgaben, wie die Nachweispflicht umzusetzen ist, macht die DSGVO nicht. Die Formulierung in Art. 24 legt jedoch nahe, das eine Art Datenschutz-Managementsystem (DSMS) zu implementieren ist, da festgelegt wird, dass die Maßnahmen überprüft und aktualisiert werden müssen. Es genügt also nicht, Maßnahmen einmalig festzulegen und zu implementieren, sondern die Wirksamkeit der ergriffenen Maßnahmen ist regelmäßig zu überprüfen und gegebenenfalls sind Anpassungen vorzunehmen. Zur Vorgehensweise bei der Implementierung eines DSMS hatten wir bereits zu einem früheren Zeitpunkt einen Artikel veröffentlicht. Gute Maßnahmen sind interne Audits oder externe Überprüfungen. Beispielsweise können externe Dienstleister beauftragt werden, die getroffenen Sicherheitsmaßnahmen mit Penetrationstests auf ihre Wirksamkeit zu prüfen. In jedem Fall wird empfohlen, alle Maßnahmen detailliert und nachvollziehbar zu dokumentieren um den Aufsichtsbehörden bei Nachfragen die geforderten Nachweise erbringen zu können.

Neben all den Pflichten, die durch die DSGVO auf die Unternehmen zukommen, gibt es auch eine positive Nachricht: Die Maßnahmen müssen (nur) angemessen sein. Es ist also zunächst das Risiko für die Rechte und Freiheiten der natürlichen Personen unter Berücksichtigung der Eintrittswahrscheinlichkeit festzustellen. Werden beispielsweise nur wenige personenbezogene Daten verarbeitet, die zudem keine sensiblen Informationen beinhalten, dann sind die Anforderungen an die getroffenen Maßnahmen entsprechend niedriger.

Planen Sie Einführung eines Datenschutz-Managementsystems um die Wirksamkeit Ihrer Maßnahmen zur Umsetzung der Vorgaben der DSGVO nachweisen zu können? Wir unterstützen Sie gerne bei Planung, Entwurf und Implementierung der in der DSGVO festgelegten Nachweis- und Rechenschaftspflicht.

Das könnte Sie auch interessieren
eu-dsgvo europa datenschutz-grundverordnung arbeitnehmerdatenschutz privacy shield safe harbor eprivacy verordnung dsgvo epvo brexit angemessenheitsbeschluss uk einwilligung newsletter werbung soft opt-inDSGVO von EU-Parlament verabschiedet
scc p2p standardvertragsklauseln neu bgb 273 zahlen mit datenGesetzesänderung – Daten sind nun ganz offiziell ein Zahlungsmittel!
ds-gvo one stop shop oss bdsg-neu datenschutzbeauftragter benennung bestellpflicht werbung drittstaaten transfer google analytics verbotenOne Stop Shop (OSS) – nur noch eine Behörde zuständig für die Unternehmen?
auftragsverarbeitung kosten meldung datenschutzbeauftragter prüfung bayldaKosten für Kontrollen im Rahmen der Auftragsverarbeitung
aufsichtsbehörden dsk datenschutzkonferenz entschließung göttinger erklärung kündigungsschutz datenschutzbeauftragter verzeichnis verarbeitungstätigkeiten vvt vertrag 61bKündigungsschutz für Datenschutzbeauftragte unter der DSGVO
datenpanne finnland psychotherapie ddg tdddgDatenpanne in Finnland – Psychotherapiedaten gehackt!
Standortbestimmung – ist Ihr Unternehmen fit für die DSGVO?betriebsrat personal vortrag schulung seminar beschäftigungsverhältnis beschäftigte standortbestimmung dsgvo fachkunde fortbildungds-gvo datenschutzbeauftragter vorabkontrolle beratung verpflichtung datengeheimnis active sourcing einwilligung gemeinsam verantwortliche verpflichtung datengeheimnis vertraulichkeit rechtsgrundlage foto erhebung auskunft art. 15 dsgvoVerpflichtung auf die Vertraulichkeit nach der DS-GVO