30.10.2023
Fragen und Antworten zur Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO
Mit der DSGVO wurde ein umfassendes Regelwerk zur Stärkung der Rechte bzw. der Privatsphäre natürlicher Personen eingeführt. Ein zentraler Aspekt ist dabei die in Art. 5 Abs. 2 DSGVO verankerte Rechenschaftspflicht. In diesem Beitrag werfen wir einen Blick auf die wichtigsten Fragen.
Dr. Philipp Siedenburg
Director Datenschutz
Mit der Datenschutz-Grundverordnung (DSGVO) wurde ein umfassendes Regelwerk zur Stärkung der Rechte bzw. der Privatsphäre natürlicher Personen eingeführt. Ein zentraler Aspekt ist dabei die in Art. 5 Abs. 2 DSGVO verankerte Rechenschaftspflicht. Diese Vorschrift legt den Grundstein für ein transparentes und verantwortungsbewusstes Handeln von Datenverarbeiter:innen, stellt Organisationen jedoch immer wieder vor große Herausforderungen. In diesem Beitrag werfen wir einen Blick auf die wichtigsten Fragen im Zusammenhang mit der Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO.
Was ist die Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO?
Die Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO bezieht sich auf die Verpflichtung der Verantwortlichen und Auftragsverarbeiter, die Einhaltung der Grundsätze der DSGVO bei der Verarbeitung personenbezogener Daten nachzuweisen. Es besteht also neben der Pflicht zur Einhaltung und Umsetzung der DSGVO auch eine Nachweis- und Dokumentationspflicht.
Was genau umfasst die Rechenschaftspflicht?
Auf Verlangen einer Aufsichtsbehörde ist nachzuweisen, dass die Grundsätze des Art. 5 Abs. 1 DSGVO eingehalten werden und die Verarbeitung im Einklang mit der DSGVO erfolgt.
Konkret verlangt die Rechenschaftspflicht von Verantwortlichen und Auftragsverarbeitern, die Einhaltung der Grundsätze der Datenverarbeitung und damit der Grundsätze der Rechtmäßigkeit, der Transparenz, der Zweckbindung, der Datenminimierung, der Richtigkeit, der Speicherbegrenzung und der Integrität sicherzustellen. Alle Aspekte der Datenverarbeitung sind zu dokumentieren, insbesondere die Verarbeitungszwecke, die Kategorien der verarbeiteten Daten, die Empfänger, die Aufbewahrungsfristen und die getroffenen Sicherheitsmaßnahmen. Darüber hinaus sind technische und organisatorische Maßnahmen (TOM) zu treffen, um die Sicherheit der verarbeiteten Daten zu gewährleisten und Datenschutzverstöße zu verhindern bzw. angemessen darauf reagieren zu können.
Ihre Strategie für den besten Schutz
Die Grundlage jeder guten Geschäftsbeziehung ist Vertrauen. Stärken Sie die Beziehung zu Ihren Kunden mit unserer Expertise im Datenschutz und der Informationssicherheit. Damit sichern Sie Ihrer Unternehmung einen starken Wettbewerbsvorteil und können sich voll auf Ihr Geschäft konzentrieren.
Wen trifft die Rechenschaftspflicht?
Die Rechenschaftspflicht trifft die Verantwortlichen im Sinne der DSGVO Art. 5 Abs. 2 DSGVO, nicht aber den Auftragsverarbeiter. Verantwortlicher im Sinne der DSGVO ist gem. Art. 4 Nr. 7 DSGVO jede natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.
Mittelbar sind auch Auftragsverarbeiter von der Rechenschaftspflicht betroffen. Auftragsverarbeiter ist gem. Art. 4 Nr. 8 DSGVO jede natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet und insoweit weisungsgebunden ist. Hervorzuheben ist an dieser Stelle, dass sich der Verantwortliche durch die Beauftragung eines Auftragsverarbeiters nicht seiner Verantwortung entziehen kann. Dies bedeutet, dass der Verantwortliche dafür Sorge zu tragen hat, dass die Grundsätze nach Art. 5 Abs. 1 DSGVO selbstverständlich auch im Rahmen einer Auftragsverarbeitung eingehalten werden. Die Einhaltung dieser Grundsätze ist auch bei der Beauftragung eines Auftragsverarbeiters nachzuweisen.
Welche Maßnahmen sind zur Erfüllung der Rechenschaftspflicht zu ergreifen?
Zur Erfüllung der Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO sind verschiedene Maßnahmen erforderlich, um sicherzustellen, dass die Grundsätze der DSGVO bei der Verarbeitung personenbezogener Daten eingehalten werden. Im Folgenden sind einige wichtige Maßnahmen aufgeführt, die Organisationen insbesondere ergreifen sollten:
Dokumentation der Datenverarbeitung
Verantwortliche und Auftragsverarbeiter sollten alle Aspekte der jeweiligen Datenverarbeitung dokumentieren, einschließlich der Zwecke, Kategorien der verarbeiteten Daten, Empfänger, Aufbewahrungsfristen und Sicherheitsmaßnahmen. Diese Dokumentation dient als Nachweis für die Einhaltung der DSGVO.
Datenschutz-Folgenabschätzung (DSFA)
Bei Verarbeitungsvorgängen, die voraussichtlich ein hohes Risiko für die Rechte und Freiheiten von Personen aufweisen, ist eine Datenschutz-Folgenabschätzung durchzuführen. Diese Analyse hilft, potenzielle Datenschutzrisiken zu erkennen und zu mindern.
Technische und organisatorische Maßnahmen
Zum Schutz personenbezogener Daten vor unberechtigtem Zugriff, Verlust oder Missbrauch sind geeignete Sicherheitsmaßnahmen zu treffen. Dazu gehören Zugangskontrollen, Verschlüsselung, regelmäßige Sicherheitsaudits und Mitarbeiterschulungen.
Verträge mit Auftragsverarbeitern
Wenn Dienstleister personenbezogene Daten im Auftrag verarbeiten, sollten Verträge abgeschlossen werden, in denen die Datenschutzverpflichtungen und -verantwortlichkeiten klar geregelt sind.
Dokumentation von Datenschutzverletzungen und -zwischenfällen
Es sollte ein wirksames Verfahren für die Meldung, Untersuchung, Benachrichtigung und Dokumentation von Datenschutzverletzungen eingerichtet werden, um sicherzustellen, dass Datenschutzverletzungen angemessen behandelt werden.
Zusammenarbeit mit den Aufsichtsbehörden
Bei Anfragen oder Prüfungen durch Aufsichtsbehörden sollten sich Organisationen kooperativ und transparent verhalten, um die Einhaltung der DSGVO nachzuweisen.
Welche Folgen hat die Verletzung der Rechenschaftspflicht?
Hier drohen empfindliche Geldbußen. Bei Verstößen können die Aufsichtsbehörden zusätzlich zu oder anstelle der Ausübung ihrer sonstigen Abhilfebefugnisse eine Geldbuße von bis zu 20 Mio. EUR oder im Falle eines Unternehmens von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängen.
Mit Urteil vom 04.05.2023 (Az.: C-60/22) hat der EuGH die für die Praxis relevante Entscheidung getroffen, dass eine fehlende Vereinbarung über die gemeinsame Verantwortung nach Art. 26 DSGVO oder ein fehlendes oder unvollständiges Verzeichnis von Verarbeitungstätigkeiten (VVT) nach Art. 30 DSGVO nicht zur Rechtswidrigkeit der Verarbeitung führt, da ein solches Fehlen letztlich nicht beweist, dass die Grundrechte und Grundfreiheiten der betroffenen Person verletzt wurden. Im Ergebnis bedeutet dies, dass ein Verstoß gegen die Rechenschaftspflicht nicht zwangsläufig zur Unrechtmäßigkeit der Verarbeitung führt. Dennoch sind solche Verstöße bußgeldbewehrt.
Ein prominentes Beispiel: Die irische Datenschutzbehörde hat gegen Meta Platforms Ireland Limited ein Bußgeld in Höhe von 17 Millionen Euro verhängt. Das Unternehmen konnte nicht nachweisen, welche Sicherheitsmaßnahmen es im Zusammenhang mit zwölf Datenpannen zum Schutz der personenbezogenen Daten von Nutzern in der EU ergriffen hatte. Die Behörde sah darin eine Verletzung der Rechenschaftspflicht.
Warum ist professionelle Beratung bei der Erfüllung der Rechenschaftspflicht sinnvoll?
Wir setzen Maßnahmen zur Einhaltung der Rechenschaftspflicht direkt in die Praxis um: Dazu nehmen wir eine genaue Bestandsaufnahme Ihrer Datenverarbeitungsprozesse vor und entwickeln maßgeschneiderte technische und organisatorische Maßnahmen, die nicht nur den gesetzlichen Anforderungen entsprechen, sondern sich auch effizient in Ihren Unternehmensalltag integrieren lassen. Wir überwachen kontinuierlich die Umsetzung der DSGVO-Vorgaben, aktualisieren Datenschutz-Folgenabschätzungen und optimieren Vertragsklauseln. Bei Datenschutzverstößen begleiten wir Sie sicher durch den Meldeprozess und unterstützen Sie bei der Umsetzung von Korrekturmaßnahmen. So können Sie sicher sein, dass Sie stets alle Anforderungen an die Rechenschaftspflicht erfüllen und sich voll und ganz auf Ihr Kerngeschäft konzentrieren können.
Weitere Neuigkeiten
23.09.2024
NIS2-Richtlinie: Anwendungsbereich, Anforderungen & notwendige Maßnahmen
Am 16.01.2023 trat die NIS2-Richtlinie EU-weit in Kraft. Nachdem des zugehörige Umsetzungsgesetz mehrfach geändert wurde, liegt mittlerweile der wohl finale Entwurf vor und das Inkrafttreten der NIS2-Anforderungen rückt immer näher. Eine Vielzahl von Unternehmen steht nun vor der Frage, ob sie dem Anwendungsbereich der NIS2-Richtlinie unterfallen, welche Pflichten sie treffen und wie sie diese Pflichten durch geeignete Maßnahmen erfüllen können. Wir haben die Anforderungen und notwendigen Maßnahmen für Sie aufbereitet.
Weiterlesen … NIS2-Richtlinie: Anwendungsbereich, Anforderungen & notwendige Maßnahmen
10.09.2024
Konzerndatenschutz: Anforderungen & Rechtsgrundlagen für die Datenübermittlung im Konzern
Wenn Konzerne nach außen wie innen als eine geschlossene Einheit auftreten, sollten Datenübermittlungen zwischen ihren einzelnen Unternehmen auf den ersten Blick kein besonderes Problem darstellen. Doch den Konzern als eigenen datenschutzrechtlich Verantwortlichen, kennt die Datenschutz-Grundverordnung nicht. Und damit sind auch Datenübermittlungen im Konzern nicht automatisch rechtlich zulässig. Wir geben in diesem Beitrag einen Überblick über die wichtigsten Fragestellungen, Anforderungen und Lösungsmöglichkeiten im Bereich Datenübermittlung in Konzernen.
26.08.2024
Datenschutzmanagementsystem (DSMS): Ihr Schlüssel zur DSGVO-Compliance
Um den Anforderungen der Datenschutz-Grundverordnung (DSGVO) gerecht zu werden, empfiehlt sich ein Datenschutzmanagementsystem (DSMS). Denn damit lassen sich die datenschutzrechtlichen Anforderungen regeln, planen, umsetzen und kontrollieren. Das vereinfacht die Compliance für Unternehmen und deren Mitarbeiter:innen wesentlich. Lesen Sie hier, wie der DSGVO-konforme Aufbau eines DSMS gelingt, wer im Unternehmen dafür Verantwortlich ist und welche Software Ihnen helfen kann.
Weiterlesen … Datenschutzmanagementsystem (DSMS): Ihr Schlüssel zur DSGVO-Compliance