Noch
bis zum neuen Datenschutzrecht nach der DS-GVO

Die Rechenschaftspflicht (Accountability) nach der DS-GVO

Die Wirksamkeit der getroffenen Maßnahmen muss gegenüber den Aufsichtsbehörden nachgewiesen werden

Viele Regelungen der DS-GVO gab es zumindest in ähnlicher Form bereits in der bisherigen Gesetzgebung nach dem BDSG. Ein komplett neuer Aspekt ist jedoch die Einführung der sogenannten „Rechenschaftspflicht“ bzw. „Accountability“. Festgelegt ist diese Pflicht in Art. 5 Abs. 2 DS-GVO. In Absatz 1 dieses Artikels werden zunächst die Grundsätze der Datenverarbeitung personenbezogener Daten festgelegt. Diese beinhalten:

  1. „Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz“;
  2. „Zweckbindung“;
  3. „Datenminimierung“;
  4. „Richtigkeit“;
  5. „Speicherbegrenzung“
  6. „Integrität und Vertraulichkeit“

Soweit nicht allzu viel Neues – wäre da nicht der Absatz 2 dieses Artikels. In diesem wird festgelegt, dass der Verantwortliche für die Einhaltung der Vorgaben aus Abs. 1 verantwortlich ist und deren Einhaltung nachweisen können muss. Präzisiert werden die Anforderungen an die Nachweispflicht in Art. 24 Abs. 1 DS-GVO. Hier wird festgelegt, dass der Verantwortliche den Nachweis zu erbringen hat, dass er Maßnahmen getroffen hat, die sicherstellen, dass die Verarbeitung gemäß der DS-GVO erfolgt. Weiter heißt es: „Diese Maßnahmen werden erforderlichenfalls überprüft und aktualisiert.“

Nachweispflicht gegenüber Dritten?

Anders als das BDSG kennt die DS-GVO kein „öffentliches Verfahrensverzeichnis“ oder sonstige Regelungen, nach denen Informationen gegenüber Dritten offengelegt werden müssen. Lediglich Personen, von denen personenbezogene Daten verarbeitet werden, verfügen über umfangreiche Rechte, informiert zu werden. Diese Informationspflichten beinhalten jedoch keine Angaben zu den getroffenen Maßnahmen, um die Sicherheit der verarbeiteten Daten zu gewährleisten oder um die Anforderungen der DS-GVO zu erfüllen. Das heißt, die Nachweispflicht besteht ausschließlich gegenüber den Aufsichtsbehörden. Ein Verstoß gegen diese Pflichten kann mit Bußgeldern von bis zu 20 Mio. EUR bzw. bis zu 4% des weltweit erzielten Jahresumsatzes geahndet werden.

Wie ist die Nachweispflicht umzusetzen?

Klare Vorgaben, wie die Nachweispflicht umzusetzen ist, macht die DS-GVO nicht. Die Formulierung in Art. 24 legt jedoch nahe, das eine Art Datenschutz-Managementsystem (DSMS) zu implementieren ist, da festgelegt wird, dass die Maßnahmen überprüft und aktualisiert werden müssen. Es genügt also nicht, Maßnahmen einmalig festzulegen und zu implementieren, sondern die Wirksamkeit der ergriffenen Maßnahmen ist regelmäßig zu überprüfen und gegebenenfalls sind Anpassungen vorzunehmen. Zur Vorgehensweise bei der Implementierung eines DSMS hatten wir bereits zu einem früheren Zeitpunkt einen Artikel veröffentlicht. Gute Maßnahmen sind interne Audits oder externe Überprüfungen. Beispielsweise können externe Dienstleister beauftragt werden, die getroffenen Sicherheitsmaßnahmen mit Penetrationstests auf ihre Wirksamkeit zu prüfen. In jedem Fall wird empfohlen, alle Maßnahmen detailliert und nachvollziehbar zu dokumentieren um den Aufsichtsbehörden bei Nachfragen die geforderten Nachweise erbringen zu können.

Neben all den Pflichten, die durch die DS-GVO auf die Unternehmen zukommen, gibt es auch eine positive Nachricht: Die Maßnahmen müssen (nur) angemessen sein. Es ist also zunächst das Risiko für die Rechte und Freiheiten der natürlichen Personen unter Berücksichtigung der Eintrittswahrscheinlichkeit festzustellen. Werden beispielsweise nur wenige personenbezogene Daten verarbeitet, die zudem keine sensiblen Informationen beinhalten, dann sind die Anforderungen an die getroffenen Maßnahmen entsprechend niedriger.

Planen Sie Einführung eines Datenschutz-Managementsystems um die Wirksamkeit Ihrer Maßnahmen zur Umsetzung der Vorgaben der DS-GVO nachweisen zu können? Wir unterstützen Sie gerne bei Planung, Entwurf und Implementierung der in der DS-GVO festgelegten Nachweis- und Rechenschaftspflicht.