Mit der Datenschutz-Grundverordnung (DSGVO) wurde ein umfassendes Regelwerk zur Stärkung der Rechte bzw. der Privatsphäre natürlicher Personen eingeführt. Ein zentraler Aspekt ist dabei die in Art. 5 Abs. 2 DSGVO verankerte Rechenschaftspflicht. Diese Vorschrift legt den Grundstein für ein transparentes und verantwortungsbewusstes Handeln von Datenverarbeiter:innen, stellt Organisationen jedoch immer wieder vor große Herausforderungen. In diesem Beitrag werfen wir einen Blick auf die wichtigsten Fragen im Zusammenhang mit der Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO.

Was ist die Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO?

Die Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO bezieht sich auf die Verpflichtung der Verantwortlichen und Auftragsverarbeiter, die Einhaltung der Grundsätze der DSGVO bei der Verarbeitung personenbezogener Daten nachzuweisen. Es besteht also neben der Pflicht zur Einhaltung und Umsetzung der DSGVO auch eine Nachweis- und Dokumentationspflicht.

Was genau umfasst die Rechenschaftspflicht?

Auf Verlangen einer Aufsichtsbehörde ist nachzuweisen, dass die Grundsätze des Art. 5 Abs. 1 DSGVO eingehalten werden und die Verarbeitung im Einklang mit der DSGVO erfolgt.

Konkret verlangt die Rechenschaftspflicht von Verantwortlichen und Auftragsverarbeitern, die Einhaltung der Grundsätze der Datenverarbeitung und damit der Grundsätze der Rechtmäßigkeit, der Transparenz, der Zweckbindung, der Datenminimierung, der Richtigkeit, der Speicherbegrenzung und der Integrität sicherzustellen. Alle Aspekte der Datenverarbeitung sind zu dokumentieren, insbesondere die Verarbeitungszwecke, die Kategorien der verarbeiteten Daten, die Empfänger, die Aufbewahrungsfristen und die getroffenen Sicherheitsmaßnahmen. Darüber hinaus sind technische und organisatorische Maßnahmen (TOM) zu treffen, um die Sicherheit der verarbeiteten Daten zu gewährleisten und Datenschutzverstöße zu verhindern bzw. angemessen darauf reagieren zu können.

Kontaktieren Sie uns jetzt, um sicherzustellen, dass Sie alle Facetten der Rechenschaftspflicht gemäß DSGVO lückenlos erfüllen und sich gleichzeitig auf Ihr Kerngeschäft konzentrieren können.

Wen trifft die Rechenschaftspflicht?

Die Rechenschaftspflicht trifft die Verantwortlichen im Sinne der DSGVO Art. 5 Abs. 2 DSGVO, nicht aber den Auftragsverarbeiter. Verantwortlicher im Sinne der DSGVO ist gem. Art. 4 Nr. 7 DSGVO jede natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.

Mittelbar sind auch Auftragsverarbeiter von der Rechenschaftspflicht betroffen. Auftragsverarbeiter ist gem. Art. 4 Nr. 8 DSGVO jede natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet und insoweit weisungsgebunden ist. Hervorzuheben ist an dieser Stelle, dass sich der Verantwortliche durch die Beauftragung eines Auftragsverarbeiters nicht seiner Verantwortung entziehen kann. Dies bedeutet, dass der Verantwortliche dafür Sorge zu tragen hat, dass die Grundsätze nach Art. 5 Abs. 1 DSGVO selbstverständlich auch im Rahmen einer Auftragsverarbeitung eingehalten werden. Die Einhaltung dieser Grundsätze ist auch bei der Beauftragung eines Auftragsverarbeiters nachzuweisen.

Welche Maßnahmen sind zur Erfüllung der Rechenschaftspflicht zu ergreifen?

Zur Erfüllung der Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO sind verschiedene Maßnahmen erforderlich, um sicherzustellen, dass die Grundsätze der DSGVO bei der Verarbeitung personenbezogener Daten eingehalten werden. Im Folgenden sind einige wichtige Maßnahmen aufgeführt, die Organisationen insbesondere ergreifen sollten:

Dokumentation der Datenverarbeitung

Verantwortliche und Auftragsverarbeiter sollten alle Aspekte der jeweiligen Datenverarbeitung dokumentieren, einschließlich der Zwecke, Kategorien der verarbeiteten Daten, Empfänger, Aufbewahrungsfristen und Sicherheitsmaßnahmen. Diese Dokumentation dient als Nachweis für die Einhaltung der DSGVO.

Datenschutz-Folgenabschätzung (DSFA)

Bei Verarbeitungsvorgängen, die voraussichtlich ein hohes Risiko für die Rechte und Freiheiten von Personen aufweisen, ist eine Datenschutz-Folgenabschätzung durchzuführen. Diese Analyse hilft, potenzielle Datenschutzrisiken zu erkennen und zu mindern.

Newsletter

Abonnieren Sie unseren monatlichen Newsletter mit Infos zu Urteilen, Fachartikeln und Veranstaltungen.

Mit einem Klick auf „Abonnieren“ stimmen Sie dem Versand unseres monatlichen Newsletters (mit Infos zu Urteilen, Fachartikeln und Veranstaltungen) sowie der aggregierten Nutzungsanalyse (Messung der Öffnungsrate mittels Pixel, Messung der Klicks auf Links) in den E-Mails zu. Sie finden einen Abmeldelink in jedem Newsletter und können darüber Ihre Einwilligung widerrufen. Mehr Informationen erhalten Sie in unserer Datenschutzerklärung.

Technische und organisatorische Maßnahmen

Zum Schutz personenbezogener Daten vor unberechtigtem Zugriff, Verlust oder Missbrauch sind geeignete Sicherheitsmaßnahmen zu treffen. Dazu gehören Zugangskontrollen, Verschlüsselung, regelmäßige Sicherheitsaudits und Mitarbeiterschulungen.

Verträge mit Auftragsverarbeitern

Wenn Dienstleister personenbezogene Daten im Auftrag verarbeiten, sollten Verträge abgeschlossen werden, in denen die Datenschutzverpflichtungen und -verantwortlichkeiten klar geregelt sind.

Dokumentation von Datenschutzverletzungen und -zwischenfällen

Es sollte ein wirksames Verfahren für die Meldung, Untersuchung, Benachrichtigung und Dokumentation von Datenschutzverletzungen eingerichtet werden, um sicherzustellen, dass Datenschutzverletzungen angemessen behandelt werden.

Zusammenarbeit mit den Aufsichtsbehörden

Bei Anfragen oder Prüfungen durch Aufsichtsbehörden sollten sich Organisationen kooperativ und transparent verhalten, um die Einhaltung der DSGVO nachzuweisen.


Das könnte Sie auch interessieren:


Welche Folgen hat die Verletzung der Rechenschaftspflicht?

Hier drohen empfindliche Geldbußen. Bei Verstößen können die Aufsichtsbehörden zusätzlich zu oder anstelle der Ausübung ihrer sonstigen Abhilfebefugnisse eine Geldbuße von bis zu 20 Mio. EUR oder im Falle eines Unternehmens von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängen.

Mit Urteil vom 04.05.2023 (Az.: C-60/22) hat der EuGH die für die Praxis relevante Entscheidung getroffen, dass eine fehlende Vereinbarung über die gemeinsame Verantwortung nach Art. 26 DSGVO oder ein fehlendes oder unvollständiges Verzeichnis von Verarbeitungstätigkeiten (VVT) nach Art. 30 DSGVO nicht zur Rechtswidrigkeit der Verarbeitung führt, da ein solches Fehlen letztlich nicht beweist, dass die Grundrechte und Grundfreiheiten der betroffenen Person verletzt wurden. Im Ergebnis bedeutet dies, dass ein Verstoß gegen die Rechenschaftspflicht nicht zwangsläufig zur Unrechtmäßigkeit der Verarbeitung führt. Dennoch sind solche Verstöße bußgeldbewehrt.

Ein prominentes Beispiel: Die irische Datenschutzbehörde hat gegen Meta Platforms Ireland Limited ein Bußgeld in Höhe von 17 Millionen Euro verhängt. Das Unternehmen konnte nicht nachweisen, welche Sicherheitsmaßnahmen es im Zusammenhang mit zwölf Datenpannen zum Schutz der personenbezogenen Daten von Nutzern in der EU ergriffen hatte. Die Behörde sah darin eine Verletzung der Rechenschaftspflicht.

Warum ist professionelle Beratung bei der Erfüllung der Rechenschaftspflicht sinnvoll?

Wir setzen Maßnahmen zur Einhaltung der Rechenschaftspflicht direkt in die Praxis um: Dazu nehmen wir eine genaue Bestandsaufnahme Ihrer Datenverarbeitungsprozesse vor und entwickeln maßgeschneiderte technische und organisatorische Maßnahmen, die nicht nur den gesetzlichen Anforderungen entsprechen, sondern sich auch effizient in Ihren Unternehmensalltag integrieren lassen. Wir überwachen kontinuierlich die Umsetzung der DSGVO-Vorgaben, aktualisieren Datenschutz-Folgenabschätzungen und optimieren Vertragsklauseln. Bei Datenschutzverstößen begleiten wir Sie sicher durch den Meldeprozess und unterstützen Sie bei der Umsetzung von Korrekturmaßnahmen. So können Sie sicher sein, dass Sie stets alle Anforderungen an die Rechenschaftspflicht erfüllen und sich voll und ganz auf Ihr Kerngeschäft konzentrieren können.

Mehr zum Thema

  • Informationssicherheit Gesundheitwesen

    Informationssicherheit im Gesundheitssektor – neue Regeln für die Cybersecurity

    Mit der zunehmenden Vernetzung und der fortschreitenden Digitalisierung des Gesundheitswesens ist der Schutz informationstechnischer Systeme zu einem zentralen Anliegen der Branche geworden. Denn funktionierende IT-Systeme sind eine wesentliche Voraussetzung für die Sicherheit der Versorgung im Allgemeinen und die Patientensicherheit im Besonderen.

    Weiterlesen

  • Ransomware-Prävention in Zeiten von KI – Wie Unternehmen Attacken vorbeugen können

    Ransomware ist nach wie vor eine der größten Bedrohungen für Wirtschaftsunternehmen. Besonders IT-Dienstleister sind in den vergangenen Jahren in den Fokus von Cyberkriminellen gerückt. Durch präventive Maßnahmen der Cybersicherheit werden personenbezogene Daten angemessen und wirksam vor den alltäglichen Gefahren des digitalen Zeitalters geschützt.

    Weiterlesen

  • NIS 2 Richtlinie

    Die Deadline naht: Machen Sie Ihr Unternehmen noch vor Oktober fit für NIS-2

    Mit der nahenden Deadline im Oktober für die nationale Umsetzung der Network and Information Security (NIS) Directive 2 (NIS-2) stehen Unternehmen vor der Herausforderung, nicht nur gesetzliche Vorgaben zu erfüllen, sondern auch ihre eigenen Geschäftsprozesse und die Sicherheit ihrer Informationstechnologie nachhaltig zu verbessern.

    Weiterlesen