25 und 32 geforderten technischen und organisatorischen Maßnahmen konkretisiert. Der Grundsatz der Vertraulichkeit und Integrität korrespondiert zudem mit den in Art. 33 und 34 geregelten Meldepflichten bei der Verletzung des Schutzes personenbezogener Daten.[91] Art. 28 Abs. 3 S. 2 lit. b nimmt auf die organisatorische Verpflichtung Bezug, indem er Auftragsverarbeiter verpflichtet, die mit der Datenverarbeitung betrauten Personen auf die Vertraulichkeit zu verpflichten.
VIII. Rechenschaftspflicht, Abs. 2 (Accountability)
80
Die Rechenschaftspflicht des Art. 5 Abs. 2 ist eines der gewichtigsten und umfänglichsten Gebote der DS-GVO.[92] Die Rechenschaftspflicht des Verantwortlichen nach Art. 5 Abs. 2 hat zwei Bestandteile: Die Einhaltung der Grundsätze des Art. 5 Abs. 1 wird ihm als Pflicht auferlegt, und er muss nachweisen können, dass er diese Pflicht befolgt.[93] Art. 5 Abs. 2 enthält damit die beiden wesentlichen Aspekte des Konzepts der „Accountability“.[94] Über den Grundsatz der Rechenschaftspflicht bekommt Art. 5 eine hohe eigenständige Bedeutung mit erheblicher Praxisrelevanz.
81
Der Grundsatz der Rechenschaftspflicht war als Verpflichtung, die Einhaltung der Grundsätze des Art. 6 Abs. 1 DSRL sicherzustellen, bereits in Art. 6 Abs. 2 DSRL enthalten. Die Verpflichtung des Verantwortlichen, die Einhaltung der Grundsätze nun auch nachweisen zu müssen, ist dagegen ein Novum im Rahmen der DS-GVO. Mit dem Grundsatz der Rechenschaftspflicht nimmt der Gesetzgeber die Verantwortlichen stärker in die Pflicht. Statt einer bürokratischen Vorabkontrolle möchte er stärker auf die Eigenverantwortung der Verantwortlichen setzen und diese als sanktionsbewehrten Grundsatz zum Fundament des neuen Datenschutzrechts machen.[95]
82
Adressat des Art. 5 Abs. 2 ist nach dem Wortlaut der Regelung lediglich der Verantwortliche (Art. 4 Nr. 7). Dabei können innerhalb eines Unternehmensverbunds auch mehre als gemeinsam Verantwortliche kooperieren (Art. 26). Der Auftragsverarbeiter (Art. 4 Nr. 8) wird von dieser Pflicht nicht erfasst.[96] Die Gesamtverantwortung und Nachweispflicht des Verantwortlichen umfasst auch die Verarbeitung durch den Auftragsverarbeiter, der die Verarbeitung in seinem Auftrag durchführt.[97] Von der Verantwortung, die von Art. 5 Abs. 2 ausgeht, kann sich der Verantwortliche durch einen Auftragsverarbeiter nicht befreien. Gänzlich ohne Pflichten bleibt der Auftragsverarbeiter nicht. Vielmehr werden die Pflichten an anderen Stellen der DS-GVO normiert und den Pflichten des Verantwortlichen angepasst. Beispielsweise sind hier die Dokumentationspflichten nach Art. 30 Abs. 2 oder der Schadensersatz des Betroffenen nach Art. 82 zu nennen.
83
Art. 5 Abs. 2 benennt keine zeitliche Grenze für das „Nachweisenkönnen“, so dass die Dokumentationen zunächst dauerhaft aufbewahrt werden müssen. Denkbar wäre die Verkürzung dieses zeitlichen Rahmens, wenn man die Vorschrift dahin verstünde, dass der Nachweis nur gegenüber der Verjährung unterliegenden Ansprüchen Dritter erbracht werden können muss.[98]
84
Ziel der Regelung ist es, die Unternehmen und sonstigen Verantwortlichen stärker in die Pflicht zu nehmen.[99] Adressat der Rechenschaftspflicht ist ausweislich des Wortlautes des Art. 5 Abs. 2 der Verantwortliche.[100] Der Verantwortliche muss insofern nicht nur seine Pflichten erfüllen, sondern auch nachweisen können, dass in seinem Verantwortungsbereich diese Pflichten erfüllt werden. Inwieweit die in Art. 5 Abs. 2 geregelte Pflicht jedoch über die an sich selbstverständliche Pflicht hinausreicht, eine Verarbeitung personenbezogener Daten nur im Einklang mit der DS-GVO vorzunehmen, wird aus der Norm nicht deutlich.[101] Auch wird nicht deutlich, welche Nachweispflichten den Verantwortlichen treffen, die über die Darlegungs- und Nachweispflichten der sonstigen Vorschriften der DS-GVO hinausgehen.[102]
85
Unter diesen Voraussetzungen ist fraglich, ob die Rechenschaftspflicht des Art. 5 Abs. 2 eng oder weit zu verstehen ist. So wird vertreten, dass eine enge Auslegung der Rechenschaftspflicht im Einklang mit der DS-GVO steht. Eine weitreichende Auslegung der Vorschrift sei indessen aus mehreren Gründen, wie dem Willen des Gesetzgebers, der Systematik und dem Wortlaut, bedenklich.[103] Demgegenüber steht die weite Auslegung der Rechenschaftspflicht. Diese hat eine umfassende Organisationspflicht des Verantwortlichen zur Folge, die bereits vor der eigentlichen Datenverarbeitung Wirkung entfaltet und daher auch mit Beginn der ersten Verarbeitung sanktioniert werden kann Martini für enge Auslegung der Pflichte.
86
Bereits aus Gründen der Rechtsicherheit ist es für den Verantwortlichen sinnvoll von einem weiten Verständnis der Rechenschaftspflicht auszugehen. Sicherlich ist es verlockend, von einem engen Begriffsverständnis der Rechenschaftspflicht auszugehen, da damit für den Verantwortlichen ein geringerer Dokumentationsaufwand zu leisten ist. Der Verantwortliche kann sich einen Rückzug auf rechttheoretische Überlegungen zur Begrenzung seiner Rechenschaftspflicht nach Art. 5 Abs. 2 jedoch nicht leisten. Ein Verstoß gegen die Pflichten des Art. 5 Abs. 2 ist bußgeldbewährt. Solange keine höchstrichterliche Rechtsprechung in diesem Bereich erfolgt ist, muss der Verantwortliche die Rechenschaftspflichten erfüllen, die sich aus einem weiten Begriffsverständnis ergeben. Dazu ist auch der Zweck der Rechenschaftspflichten zu beachten. Bei der Rechenschaftspflicht der DS-GVO geht es um die Umsetzung der Grundsätze des Datenschutzes.[104] Es sind interne Maßnahmen und Verfahren zur effektiven Umsetzung bestehender Datenschutzgrundsätze festzulegen, ihre Wirksamkeit sicherzustellen und eine Pflicht zum Nachweis einzuführen.[105] Betroffene und Aufsichtsbehörden sollen einfacher prüfen können, ob die personenbezogenen Daten rechtmäßig verarbeitet werden.[106] Es geht also um eine Verbesserung der Beweislage und damit um eine Reaktion auf bisherige Lücken bei der hinreichenden Dokumentation von Verarbeitungsvorgängen.[107] Eine enge Auslegung der Rechenschaftspflichten des Art. 5 Abs. 2 würde diese Ziele konterkarieren.[108] Zumindest muss der Verantwortliche die Informationen vorhalten, die sich aus direkten Dokumentationspflichten, also die Pflichten, die der Normtext der DS-GVO enthält, vorhalten. Diese direkten Dokumentationspflichten finden sich in Art. 7 Abs. 1, Art. 24 Abs. 1, Art. 28 Abs. 3 lit. a und h,
