30.10.2023

Fragen und Antworten zur Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO

Mit der DSGVO wurde ein umfassendes Regelwerk zur Stärkung der Rechte bzw. der Privatsphäre natürlicher Personen eingeführt. Ein zentraler Aspekt ist dabei die in Art. 5 Abs. 2 DSGVO verankerte Rechenschaftspflicht. In diesem Beitrag werfen wir einen Blick auf die wichtigsten Fragen.

Ihr ISiCO-Experte für das Thema:
Dr. Philipp Siedenburg
Director Datenschutz

Mit der Datenschutz-Grundverordnung (DSGVO) wurde ein umfassendes Regelwerk zur Stärkung der Rechte bzw. der Privatsphäre natürlicher Personen eingeführt. Ein zentraler Aspekt ist dabei die in Art. 5 Abs. 2 DSGVO verankerte Rechenschaftspflicht. Diese Vorschrift legt den Grundstein für ein transparentes und verantwortungsbewusstes Handeln von Datenverarbeiter:innen, stellt Organisationen jedoch immer wieder vor große Herausforderungen. In diesem Beitrag werfen wir einen Blick auf die wichtigsten Fragen im Zusammenhang mit der Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO.

Was ist die Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO?

Die Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO bezieht sich auf die Verpflichtung der Verantwortlichen und Auftragsverarbeiter, die Einhaltung der Grundsätze der DSGVO bei der Verarbeitung personenbezogener Daten nachzuweisen. Es besteht also neben der Pflicht zur Einhaltung und Umsetzung der DSGVO auch eine Nachweis- und Dokumentationspflicht.

Was genau umfasst die Rechenschaftspflicht?

Auf Verlangen einer Aufsichtsbehörde ist nachzuweisen, dass die Grundsätze des Art. 5 Abs. 1 DSGVO eingehalten werden und die Verarbeitung im Einklang mit der DSGVO erfolgt.

Konkret verlangt die Rechenschaftspflicht von Verantwortlichen und Auftragsverarbeitern, die Einhaltung der Grundsätze der Datenverarbeitung und damit der Grundsätze der Rechtmäßigkeit, der Transparenz, der Zweckbindung, der Datenminimierung, der Richtigkeit, der Speicherbegrenzung und der Integrität sicherzustellen. Alle Aspekte der Datenverarbeitung sind zu dokumentieren, insbesondere die Verarbeitungszwecke, die Kategorien der verarbeiteten Daten, die Empfänger, die Aufbewahrungsfristen und die getroffenen Sicherheitsmaßnahmen. Darüber hinaus sind technische und organisatorische Maßnahmen (TOM) zu treffen, um die Sicherheit der verarbeiteten Daten zu gewährleisten und Datenschutzverstöße zu verhindern bzw. angemessen darauf reagieren zu können.

Ihre Strategie für den besten Schutz

Die Grundlage jeder guten Geschäftsbeziehung ist Vertrauen. Stärken Sie die Beziehung zu Ihren Kunden mit unserer Expertise im Datenschutz und der Informationssicherheit. Damit sichern Sie Ihrer Unternehmung einen starken Wettbewerbsvorteil und können sich voll auf Ihr Geschäft konzentrieren.

Termin vereinbaren

Wen trifft die Rechenschaftspflicht?

Die Rechenschaftspflicht trifft die Verantwortlichen im Sinne der DSGVO Art. 5 Abs. 2 DSGVO, nicht aber den Auftragsverarbeiter. Verantwortlicher im Sinne der DSGVO ist gem. Art. 4 Nr. 7 DSGVO jede natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.

Mittelbar sind auch Auftragsverarbeiter von der Rechenschaftspflicht betroffen. Auftragsverarbeiter ist gem. Art. 4 Nr. 8 DSGVO jede natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet und insoweit weisungsgebunden ist. Hervorzuheben ist an dieser Stelle, dass sich der Verantwortliche durch die Beauftragung eines Auftragsverarbeiters nicht seiner Verantwortung entziehen kann. Dies bedeutet, dass der Verantwortliche dafür Sorge zu tragen hat, dass die Grundsätze nach Art. 5 Abs. 1 DSGVO selbstverständlich auch im Rahmen einer Auftragsverarbeitung eingehalten werden. Die Einhaltung dieser Grundsätze ist auch bei der Beauftragung eines Auftragsverarbeiters nachzuweisen.

Welche Maßnahmen sind zur Erfüllung der Rechenschaftspflicht zu ergreifen?

Zur Erfüllung der Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO sind verschiedene Maßnahmen erforderlich, um sicherzustellen, dass die Grundsätze der DSGVO bei der Verarbeitung personenbezogener Daten eingehalten werden. Im Folgenden sind einige wichtige Maßnahmen aufgeführt, die Organisationen insbesondere ergreifen sollten:

Dokumentation der Datenverarbeitung

Verantwortliche und Auftragsverarbeiter sollten alle Aspekte der jeweiligen Datenverarbeitung dokumentieren, einschließlich der Zwecke, Kategorien der verarbeiteten Daten, Empfänger, Aufbewahrungsfristen und Sicherheitsmaßnahmen. Diese Dokumentation dient als Nachweis für die Einhaltung der DSGVO.

Datenschutz-Folgenabschätzung (DSFA)

Bei Verarbeitungsvorgängen, die voraussichtlich ein hohes Risiko für die Rechte und Freiheiten von Personen aufweisen, ist eine Datenschutz-Folgenabschätzung durchzuführen. Diese Analyse hilft, potenzielle Datenschutzrisiken zu erkennen und zu mindern.

Kostenfreie Expertise im E-Mail-Postfach

Alle wichtigen Neuigkeiten zum Datenschutz & zur Informationssicherheit einmal monatlich bequem im E-Mail-Postfach – natürlich kostenlos.

Was ist die Summe aus 2 und 5?

Mit Klick auf den Button stimmen Sie dem Versand unseres Newsletters und der aggregierten Nutzungsanalyse (Öffnungsrate und Linkklicks) zu. Sie können Ihre Einwilligung jederzeit widerrufen, z.B. über den Abmeldelink im Newsletter. Mehr Informationen: Datenschutzerklärung.

Technische und organisatorische Maßnahmen

Zum Schutz personenbezogener Daten vor unberechtigtem Zugriff, Verlust oder Missbrauch sind geeignete Sicherheitsmaßnahmen zu treffen. Dazu gehören Zugangskontrollen, Verschlüsselung, regelmäßige Sicherheitsaudits und Mitarbeiterschulungen.

Verträge mit Auftragsverarbeitern

Wenn Dienstleister personenbezogene Daten im Auftrag verarbeiten, sollten Verträge abgeschlossen werden, in denen die Datenschutzverpflichtungen und -verantwortlichkeiten klar geregelt sind.

Dokumentation von Datenschutzverletzungen und -zwischenfällen

Es sollte ein wirksames Verfahren für die Meldung, Untersuchung, Benachrichtigung und Dokumentation von Datenschutzverletzungen eingerichtet werden, um sicherzustellen, dass Datenschutzverletzungen angemessen behandelt werden.

Zusammenarbeit mit den Aufsichtsbehörden

Bei Anfragen oder Prüfungen durch Aufsichtsbehörden sollten sich Organisationen kooperativ und transparent verhalten, um die Einhaltung der DSGVO nachzuweisen.

Welche Folgen hat die Verletzung der Rechenschaftspflicht?

Hier drohen empfindliche Geldbußen. Bei Verstößen können die Aufsichtsbehörden zusätzlich zu oder anstelle der Ausübung ihrer sonstigen Abhilfebefugnisse eine Geldbuße von bis zu 20 Mio. EUR oder im Falle eines Unternehmens von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängen.

Mit Urteil vom 04.05.2023 (Az.: C-60/22) hat der EuGH die für die Praxis relevante Entscheidung getroffen, dass eine fehlende Vereinbarung über die gemeinsame Verantwortung nach Art. 26 DSGVO oder ein fehlendes oder unvollständiges Verzeichnis von Verarbeitungstätigkeiten (VVT) nach Art. 30 DSGVO nicht zur Rechtswidrigkeit der Verarbeitung führt, da ein solches Fehlen letztlich nicht beweist, dass die Grundrechte und Grundfreiheiten der betroffenen Person verletzt wurden. Im Ergebnis bedeutet dies, dass ein Verstoß gegen die Rechenschaftspflicht nicht zwangsläufig zur Unrechtmäßigkeit der Verarbeitung führt. Dennoch sind solche Verstöße bußgeldbewehrt.

Ein prominentes Beispiel: Die irische Datenschutzbehörde hat gegen Meta Platforms Ireland Limited ein Bußgeld in Höhe von 17 Millionen Euro verhängt. Das Unternehmen konnte nicht nachweisen, welche Sicherheitsmaßnahmen es im Zusammenhang mit zwölf Datenpannen zum Schutz der personenbezogenen Daten von Nutzern in der EU ergriffen hatte. Die Behörde sah darin eine Verletzung der Rechenschaftspflicht.

Warum ist professionelle Beratung bei der Erfüllung der Rechenschaftspflicht sinnvoll?

Wir setzen Maßnahmen zur Einhaltung der Rechenschaftspflicht direkt in die Praxis um: Dazu nehmen wir eine genaue Bestandsaufnahme Ihrer Datenverarbeitungsprozesse vor und entwickeln maßgeschneiderte technische und organisatorische Maßnahmen, die nicht nur den gesetzlichen Anforderungen entsprechen, sondern sich auch effizient in Ihren Unternehmensalltag integrieren lassen. Wir überwachen kontinuierlich die Umsetzung der DSGVO-Vorgaben, aktualisieren Datenschutz-Folgenabschätzungen und optimieren Vertragsklauseln. Bei Datenschutzverstößen begleiten wir Sie sicher durch den Meldeprozess und unterstützen Sie bei der Umsetzung von Korrekturmaßnahmen. So können Sie sicher sein, dass Sie stets alle Anforderungen an die Rechenschaftspflicht erfüllen und sich voll und ganz auf Ihr Kerngeschäft konzentrieren können.

Weitere Neuigkeiten

10.09.2024

Konzerndatenschutz: Anforderungen & Rechtsgrundlagen für die Datenübermittlung im Konzern

Wenn Konzerne nach außen wie innen als eine geschlossene Einheit auftreten, sollten Datenübermittlungen zwischen ihren einzelnen Unternehmen auf den ersten Blick kein besonderes Problem darstellen. Doch den Konzern als eigenen datenschutzrechtlich Verantwortlichen, kennt die Datenschutz-Grundverordnung nicht. Und damit sind auch Datenübermittlungen im Konzern nicht automatisch rechtlich zulässig. Wir geben in diesem Beitrag einen Überblick über die wichtigsten Fragestellungen, Anforderungen und Lösungsmöglichkeiten im Bereich Datenübermittlung in Konzernen.

Weiterlesen …