30.10.2023
Fragen und Antworten zur Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO
Mit der DSGVO wurde ein umfassendes Regelwerk zur Stärkung der Rechte bzw. der Privatsphäre natürlicher Personen eingeführt. Ein zentraler Aspekt ist dabei die in Art. 5 Abs. 2 DSGVO verankerte Rechenschaftspflicht. In diesem Beitrag werfen wir einen Blick auf die wichtigsten Fragen.
Inhalt
- Was ist die Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO?
- Was genau umfasst die Rechenschaftspflicht?
- Wen trifft die Rechenschaftspflicht?
- Welche Maßnahmen sind zur Erfüllung der Rechenschaftspflicht zu ergreifen?
- Welche Folgen hat die Verletzung der Rechenschaftspflicht?
- Warum ist professionelle Beratung bei der Erfüllung der Rechenschaftspflicht sinnvoll?
Dr. Philipp Siedenburg
Director Datenschutz
Mit der Datenschutz-Grundverordnung (DSGVO) wurde ein umfassendes Regelwerk zur Stärkung der Rechte bzw. der Privatsphäre natürlicher Personen eingeführt. Ein zentraler Aspekt ist dabei die in Art. 5 Abs. 2 DSGVO verankerte Rechenschaftspflicht. Diese Vorschrift legt den Grundstein für ein transparentes und verantwortungsbewusstes Handeln von Datenverarbeiter:innen, stellt Organisationen jedoch immer wieder vor große Herausforderungen. In diesem Beitrag werfen wir einen Blick auf die wichtigsten Fragen im Zusammenhang mit der Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO.
Was ist die Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO?
Die Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO bezieht sich auf die Verpflichtung der Verantwortlichen und Auftragsverarbeiter, die Einhaltung der Grundsätze der DSGVO bei der Verarbeitung personenbezogener Daten nachzuweisen. Es besteht also neben der Pflicht zur Einhaltung und Umsetzung der DSGVO auch eine Nachweis- und Dokumentationspflicht.
Was genau umfasst die Rechenschaftspflicht?
Auf Verlangen einer Aufsichtsbehörde ist nachzuweisen, dass die Grundsätze des Art. 5 Abs. 1 DSGVO eingehalten werden und die Verarbeitung im Einklang mit der DSGVO erfolgt.
Konkret verlangt die Rechenschaftspflicht von Verantwortlichen und Auftragsverarbeitern, die Einhaltung der Grundsätze der Datenverarbeitung und damit der Grundsätze der Rechtmäßigkeit, der Transparenz, der Zweckbindung, der Datenminimierung, der Richtigkeit, der Speicherbegrenzung und der Integrität sicherzustellen. Alle Aspekte der Datenverarbeitung sind zu dokumentieren, insbesondere die Verarbeitungszwecke, die Kategorien der verarbeiteten Daten, die Empfänger, die Aufbewahrungsfristen und die getroffenen Sicherheitsmaßnahmen. Darüber hinaus sind technische und organisatorische Maßnahmen (TOM) zu treffen, um die Sicherheit der verarbeiteten Daten zu gewährleisten und Datenschutzverstöße zu verhindern bzw. angemessen darauf reagieren zu können.
Ihre Strategie für den besten Schutz
Die Grundlage jeder guten Geschäftsbeziehung ist Vertrauen. Stärken Sie die Beziehung zu Ihren Kunden mit unserer Expertise im Datenschutz und der Informationssicherheit. Damit sichern Sie Ihrer Unternehmung einen starken Wettbewerbsvorteil und können sich voll auf Ihr Geschäft konzentrieren.
Wen trifft die Rechenschaftspflicht?
Die Rechenschaftspflicht trifft die Verantwortlichen im Sinne der DSGVO Art. 5 Abs. 2 DSGVO, nicht aber den Auftragsverarbeiter. Verantwortlicher im Sinne der DSGVO ist gem. Art. 4 Nr. 7 DSGVO jede natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.
Mittelbar sind auch Auftragsverarbeiter von der Rechenschaftspflicht betroffen. Auftragsverarbeiter ist gem. Art. 4 Nr. 8 DSGVO jede natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet und insoweit weisungsgebunden ist. Hervorzuheben ist an dieser Stelle, dass sich der Verantwortliche durch die Beauftragung eines Auftragsverarbeiters nicht seiner Verantwortung entziehen kann. Dies bedeutet, dass der Verantwortliche dafür Sorge zu tragen hat, dass die Grundsätze nach Art. 5 Abs. 1 DSGVO selbstverständlich auch im Rahmen einer Auftragsverarbeitung eingehalten werden. Die Einhaltung dieser Grundsätze ist auch bei der Beauftragung eines Auftragsverarbeiters nachzuweisen.
Welche Maßnahmen sind zur Erfüllung der Rechenschaftspflicht zu ergreifen?
Zur Erfüllung der Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO sind verschiedene Maßnahmen erforderlich, um sicherzustellen, dass die Grundsätze der DSGVO bei der Verarbeitung personenbezogener Daten eingehalten werden. Im Folgenden sind einige wichtige Maßnahmen aufgeführt, die Organisationen insbesondere ergreifen sollten:
Dokumentation der Datenverarbeitung
Verantwortliche und Auftragsverarbeiter sollten alle Aspekte der jeweiligen Datenverarbeitung dokumentieren, einschließlich der Zwecke, Kategorien der verarbeiteten Daten, Empfänger, Aufbewahrungsfristen und Sicherheitsmaßnahmen. Diese Dokumentation dient als Nachweis für die Einhaltung der DSGVO.
Datenschutz-Folgenabschätzung (DSFA)
Bei Verarbeitungsvorgängen, die voraussichtlich ein hohes Risiko für die Rechte und Freiheiten von Personen aufweisen, ist eine Datenschutz-Folgenabschätzung durchzuführen. Diese Analyse hilft, potenzielle Datenschutzrisiken zu erkennen und zu mindern.
Technische und organisatorische Maßnahmen
Zum Schutz personenbezogener Daten vor unberechtigtem Zugriff, Verlust oder Missbrauch sind geeignete Sicherheitsmaßnahmen zu treffen. Dazu gehören Zugangskontrollen, Verschlüsselung, regelmäßige Sicherheitsaudits und Mitarbeiterschulungen.
Verträge mit Auftragsverarbeitern
Wenn Dienstleister personenbezogene Daten im Auftrag verarbeiten, sollten Verträge abgeschlossen werden, in denen die Datenschutzverpflichtungen und -verantwortlichkeiten klar geregelt sind.
Dokumentation von Datenschutzverletzungen und -zwischenfällen
Es sollte ein wirksames Verfahren für die Meldung, Untersuchung, Benachrichtigung und Dokumentation von Datenschutzverletzungen eingerichtet werden, um sicherzustellen, dass Datenschutzverletzungen angemessen behandelt werden.
Zusammenarbeit mit den Aufsichtsbehörden
Bei Anfragen oder Prüfungen durch Aufsichtsbehörden sollten sich Organisationen kooperativ und transparent verhalten, um die Einhaltung der DSGVO nachzuweisen.
Welche Folgen hat die Verletzung der Rechenschaftspflicht?
Hier drohen empfindliche Geldbußen. Bei Verstößen können die Aufsichtsbehörden zusätzlich zu oder anstelle der Ausübung ihrer sonstigen Abhilfebefugnisse eine Geldbuße von bis zu 20 Mio. EUR oder im Falle eines Unternehmens von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängen.
Mit Urteil vom 04.05.2023 (Az.: C-60/22) hat der EuGH die für die Praxis relevante Entscheidung getroffen, dass eine fehlende Vereinbarung über die gemeinsame Verantwortung nach Art. 26 DSGVO oder ein fehlendes oder unvollständiges Verzeichnis von Verarbeitungstätigkeiten (VVT) nach Art. 30 DSGVO nicht zur Rechtswidrigkeit der Verarbeitung führt, da ein solches Fehlen letztlich nicht beweist, dass die Grundrechte und Grundfreiheiten der betroffenen Person verletzt wurden. Im Ergebnis bedeutet dies, dass ein Verstoß gegen die Rechenschaftspflicht nicht zwangsläufig zur Unrechtmäßigkeit der Verarbeitung führt. Dennoch sind solche Verstöße bußgeldbewehrt.
Ein prominentes Beispiel: Die irische Datenschutzbehörde hat gegen Meta Platforms Ireland Limited ein Bußgeld in Höhe von 17 Millionen Euro verhängt. Das Unternehmen konnte nicht nachweisen, welche Sicherheitsmaßnahmen es im Zusammenhang mit zwölf Datenpannen zum Schutz der personenbezogenen Daten von Nutzern in der EU ergriffen hatte. Die Behörde sah darin eine Verletzung der Rechenschaftspflicht.
Warum ist professionelle Beratung bei der Erfüllung der Rechenschaftspflicht sinnvoll?
Wir setzen Maßnahmen zur Einhaltung der Rechenschaftspflicht direkt in die Praxis um: Dazu nehmen wir eine genaue Bestandsaufnahme Ihrer Datenverarbeitungsprozesse vor und entwickeln maßgeschneiderte technische und organisatorische Maßnahmen, die nicht nur den gesetzlichen Anforderungen entsprechen, sondern sich auch effizient in Ihren Unternehmensalltag integrieren lassen. Wir überwachen kontinuierlich die Umsetzung der DSGVO-Vorgaben, aktualisieren Datenschutz-Folgenabschätzungen und optimieren Vertragsklauseln. Bei Datenschutzverstößen begleiten wir Sie sicher durch den Meldeprozess und unterstützen Sie bei der Umsetzung von Korrekturmaßnahmen. So können Sie sicher sein, dass Sie stets alle Anforderungen an die Rechenschaftspflicht erfüllen und sich voll und ganz auf Ihr Kerngeschäft konzentrieren können.
Weitere Neuigkeiten
28.11.2024
BGH-Urteil zu Kontrollverlust über Daten: So schützen sich Unternehmen vor Klagewellen
Am 18. November 2024 hat der Bundesgerichtshof (BGH) ein wegweisendes Urteil zu Datenschutzverstößen gefällt. Das Urteil birgt neue Risiken für Unternehmen, denn es bietet spezialisierten Klägervertretern einen mächtigen Hebel, um bei Datenschutzvorfällen Klagewellen auszulösen. Wir erklären, was das Urteil bedeutet, welche Konsequenzen es für Unternehmen hat und wie sie sich schützen können.
Weiterlesen … BGH-Urteil zu Kontrollverlust über Daten: So schützen sich Unternehmen vor Klagewellen
21.11.2024
Die 5 Gründe für IT-Penetrationstest (Pentests) in Ihrem Unternehmen
Eine der proaktivsten und effektivsten Maßnahmen, um Cyber-Gefahren vorzubeugen, ist der Einsatz von Penetrationstests. Diese Methode, auch „Pentests“ genannt, simuliert Cyberangriffe auf die Systeme eines Unternehmens, um Schwachstellen aufzudecken, bevor sie von Angreifern ausgenutzt werden können. Dieser Artikel beleuchtet, warum Penetrationstests für Organisationen unerlässlich sind, die ihre Cybersicherheitsstrategie stärken und ihre wertvollen Vermögenswerte schützen wollen.
Weiterlesen … Die 5 Gründe für IT-Penetrationstest (Pentests) in Ihrem Unternehmen
13.11.2024
IT Risikomanagement: Risiken identifizieren, bewerten und steuern
Datenverlust, Cyberangriffe oder Systemausfälle können den Geschäftsbetrieb massiv beeinträchtigen und Vertrauen zerstören. Wenn Sie als Unternehmensinhaber Verantwortung für IT-Infrastrukturen tragen, wissen Sie: Die richtige Strategie zur Absicherung Ihrer IT-Systeme ist entscheidend. Unser Beitrag führt Sie durch alle Fragen zum IT Risikomanagement und erklärt welche Rolle das für Ihre IT-Sicherheit spielt.
Weiterlesen … IT Risikomanagement: Risiken identifizieren, bewerten und steuern