Art. 33 Abs. 5, Art. 35 Abs. 7 und Art. 36 Abs. 3.
87
Inhaltlich ist der Grundsatz der Rechenschaftspflicht deutlich in Art. 24 Abs. 1 abgebildet. Danach muss der Verantwortliche die TOM ergreifen, um sicherzustellen und den Nachweis zu erbringen, dass die Verarbeitung im Einklang mit der DS-GVO erfolgt. Der Verantwortliche haftet also nicht nur für den Erfolg der Einhaltung der datenschutzrechtlichen Vorgaben. Er muss bereits im Vorfeld interne Compliance-Maßnahmen ergreifen, um Verstöße gegen die DS-GVO zu vermeiden.[109] Im Zentrum der Pflichten des Verantwortlichen steht die Dokumentation folgender Sachverhalte[110]:
| – | Die einzelnen Verarbeitungen: Art. 30, mit erweiterten Dokumentationspflichten nach Art. 30 Abs. 1 S. 2 und Abs. 2, Abs. 3, |
| – | Erfüllung der Informationspflicht: Art. 12–14, |
| – | Folgenabschätzung: Art. 35, mit erweiterten Dokumentationspflichten nach Art. 35 Abs. 7, |
| – | Maßnahmen der Datensicherheit: Art. 32, |
| – | Datenschutzverletzungen: Art. 33 mit erweiterten Dokumentationspflichten nach Art. 33 Abs. 5, |
| – | Rechtfertigung der Einwilligung: Art. 7 Abs. 1. |
88
Art. 5 Abs. 2 schreibt nicht vor, in welcher Form der Nachweis der Einhaltung des Art. 5 Abs. 1 erfolgen muss. Die DS-GVO konkretisiert aber in verschiedenen Regelungen solche Nachweispflichten. Diese sind zwar nicht immer zwingend anzuwenden, dienen aber als guter Anhaltspunkt für vergleichbare Sachverhalte. Eine mögliche Form des Nachweises ist das Verzeichnis der Verarbeitungstätigkeiten nach Art. 30. Zur Führung eines solchen Verzeichnisses sind aber Unternehmen oder Einrichtungen, die weniger als 250 Mitarbeiter beschäftigen gem. Art. 30 Abs. 5 grundsätzlich nicht verpflichtet. Zum Nachweis bietet es sich aber an. Erfolgt der Datenschutz durch Technikgestaltung oder durch datenschutzfreundlich Voreinstellungen[111], kann dies ebenfalls dem Nachweis der Einhaltung der Grundsätze der Verordnung dienen.[112]
89
Im Ergebnis führt der Grundsatz der Rechenschaftspflicht zu erheblichen zusätzlichen Dokumentations- und Nachweispflichten in der Praxis. Unternehmen müssen nicht nur sicherstellen, die einzelnen Anforderungen der DS-GVO zu erfüllen, sondern dies jeweils auch nachweisen können. Bei der Planung von Prozessen und Strukturen zum Erfüllen der Anforderungen der Verordnung sollte die entsprechende Dokumentation gleich mit geplant werde.[113] Es empfiehlt sich daher, frühzeitig mit der IT-Abteilung, der Software- und Systementwicklung sowie den Fachbereichen die Dokumentationsanforderungen und -möglichkeiten zu erörtern. Der Umfang der Rechenschaftspflicht lässt es erforderlich erscheinen, ein Datenschutz-Management-System zu implementieren.[114]
IX. Sanktionen
90
Ein Verstoß gegen die Grundsätze des Art. 5 ist gem. Art. 83 Abs. 5 lit. a mit dem höheren Bußgeld in Höhe von bis zu 20 Mio. EUR oder 4 % des weltweiten Jahresumsatzes bedroht. Hierzu zählt auch ein Verstoß gegen die Rechenschaftspflichten gem. Art. 5 Abs. 2.[115]
91
Da die Grundsätze in Art. 5 Abs. 1 in der DS-GVO konkretisiert werden, kommt der Bußgeldbewährung über die Öffnungsklauseln zur Rechtmäßigkeit eine eigenständige Bedeutung zu. Ein Verstoß gegen die Zulässigkeitstatbestände des BDSG n.F. und bereichsspezifischer Regeln ist damit in gleiche Weise sanktioniert wie die nach Art. 6 ff.
92
Zudem kann ein Betroffener für etwaige Schäden nach Art. 82 Schadensersatz verlangen.[116]
I. GDD-Praxishilfe DS-GVO IX „Accountability“
93
Die GDD hat eine Praxishilfe zur Accountability herausgegeben. Die Accountabilitiy sollte danach durch folgende Maßnahmen sichergestellt werden:[117]
| – | Eine betriebliche Datenschutz-Policy soll den Mitarbeitern eine Orientierung über allgemein einzuhaltende Anforderungen geben. Sie legt u.a. Verantwortlichkeiten fest und konkretisiert die Zusammenarbeit mit dem betrieblichen oder behördlichen Datenschutzbeauftragten. |
| – | Eine Sensibilisierung der mit Verarbeitungsvorgängen befassten Mitarbeiter und eine zielorientierte Schulung zum Datenschutz stellen generell eines der wichtigsten Mittel der Datenschutzorganisation dar, um präventiv auf datenschutzkonformes Handeln hinzuwirken. |
| – | Eine Verpflichtung auf die Vertraulichkeit ist Basis Accountability und des Datenschutzmanagements nach Art. 24. Sie ersetz die Verpflichtung auf das Datengeheimnis nach § 5 BDSG a.F.[118]. Art. 28 Abs. 3 lit. b verpflichtet Auftragsverarbeiter die mit der Datenverarbeitung betrauten Personen auf die Vertraulichkeit zu verpflichten. |
| – | Das Herstellen einer umfassenden Transparenz der Verarbeitung der personenbezogenen Daten ist wesentliche Verpflichtung der Accountability nach Art. 5. Hierzu gehört, dass zu jedem der folgenden Artikel der Nachweis erbracht wird, wie die Umsetzung im Unternehmen erfolgt ist. Zum Nachweis der Umsetzung der Accountability ist unternehmensbezogen und risikoorientiert zu jedem einzelnen Element der Betroffenenrechte zu prüfen und zu dokumentieren, welche Prozesse und Maßnahmen bestehen. |
| – |
Mit der DS-GVO wird die Meldung von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde und an betroffene Personen (Art. 33 und 34) auf alle verantwortlichen Stellen ausgedehnt. Die Meldung solcher „Datenpannen“, bzw. von solchen Sicherheitsvorfällen ist wesentlicher Teil der Accountability, denn nur
|
