Privacy Top 20 Ratgeber

Rechenschaftspflicht –
Was der Datenschutz von Ihnen verlangt


Seit dem 25. Mai 2018 sind Sie als Unternehmen, Verein, Arztpraxis und Website-Betreiber dazu verpflichtet, nicht nur das Bundesdatenschutzgesetz (BDSG), sondern ebenfalls die EU-Datenschutz-Grundverordnung einzuhalten. Geschieht dies nicht, riskieren die Verantwortlichen eine DSGVO-Abmahnung. Um zu garantieren, dass Sie die Vorgaben wirklich umsetzen, unterliegen Sie der Rechenschaftspflicht. In diesem Ratgeber erklären wir Ihnen, was Sie der Aufsichtsbehörden auf Wunsch nachweisen müssen.

Rechenschaftspflicht laut DSGVO

Die Datenschutz-Grundverordnung besagt in erster Linie, dass personenbezogene Daten eines höheren Schutzes bedürfen. Gerade im digitalen Zeitalter, wo jeder von uns unbewusst Informationen preisgibt, sind die neuen Regelungen zwingend notwendig. Jeder, der Details zu natürlichen Personen sammelt und verarbeitet, muss für geeignete Schutz-Maßnahmen sorgen und bei Bedarf der Rechenschaftspflicht nachkommen. Laut Art. 5 DSGVO bedeutet das für Sie Folgendes:

  • Sie sorgen für mehr Transparenz.
  • Die Verarbeitung muss für die Betroffenen nachvollziehbar sein.
  • Das Zauberwort lautet Datenminimierung. Sie sammeln nur die Informationen, die Sie wirklich benötigen.
  • Der Zweck muss angemessen sein.
  • Die personenbezogenen Daten müssen auf Richtigkeit geprüft werden.
  • Die Verarbeitung sollte im Idealfall anonymisiert werden. Eine Identifizierung darf nur solange möglich sein, wie es für die Verarbeitung erforderlich ist.
  • Sie gewährleisten Sicherheit.

Sie als Verantwortlicher stehen demnach in der Rechenschaftspflicht und müssen bei Bedarf nachweisen, dass Sie die oben genannten Vorgaben erfüllen.

Dieser Umstand wird in Art. 24 DSGVO folgendermaßen konkretisiert:

Der Verantwortliche (Sie oder Ihr Datenschutzbeauftragter) setzt, unter Berücksichtigung der bereits erwähnten Richtlinien, alle ihm zur Verfügung stehenden technischen und organisatorischen Maßnahmen ein, um folgende Punkte zu erfüllen:

  • Sie müssen den Schutz der personenbezogenen Daten gewährleisten.
  • Sie sollten in der Lage sein, dies den Aufsichtsbehörden auf deren Wunsch sofort nachzuweisen.

Um Unternehmen, Institutionen, Vereine und Praxen zur Einhaltung der DSGVO und der dazugehörigen Rechenschaft zu zwingen, drohen Aufsichtsbehörden mit Bußgeldern in Millionenhöhe.

Was bedeutet das konkret für Sie?

  1. Sie müssen eine Risikoanalyse durchführen, um den Umfang der Sicherheitsmaßnahmen festzustellen. Diese sind abhängig von der Menge an personenbezogenen Daten, die Sie verarbeiten. Achten Sie zwingend darauf, dass die Datensicherheit immer auf dem neuesten Stand ist.
  2. Die Rechenschaftspflicht ist an die Nachweispflicht geknüpft. Sobald eine Behörde Auskunft über Ihre Unterlagen verlangt, müssen Sie diesem Wunsch Folge leisten. Wie Sie das tun müssen, ist gesetzlich jedoch nicht vorgeschrieben. Wir gehen allerdings davon aus, dass die EU diesen Punkt in naher Zukunft konkretisieren wird.

Alles hat seine Grenzen

Dies ist ebenfalls bei der Rechenschaftspflicht der Fall. Denn in der Regel müssen Sie nur die Nachweise erbringen, welche die Aufsichtsbehörden explizit fordern. Zumindest in der Theorie müssen Sie nicht alle Aufzeichnungen offenlegen. Das bedeutet, dass Sie sich bei etwaigen Mängeln nicht selbst belasten müssen. Gleichzeitig kann es Ihnen aber negativ ausgelegt werden, wenn Sie Dokumente verschweigen. Unsere Empfehlung: Holen Sie den Rat Ihres Datenschutzbeauftragten ein. Dieser ist stets der erste Ansprechpartner, wenn die Aufsichtsbehörde auf Sie zukommt.

Wer haftet bei einem Sicherheitsverstoß?

Im Grunde immer Sie. Auch wenn Sie Dritte Ihre Daten verarbeiten lassen oder einen internen bzw. externen Datenschutzbeauftragten beschäftigen, bleiben Sie dennoch haftbar. Umso wichtiger ist es, darauf zu achten, dass auch Subunternehmen die DSGVO und somit die Rechenschaftspflicht Ihnen gegenüber einhalten.

Diese Maßnahmen müssen Sie umsetzen

Um der Rechenschaftspflicht adäquat nachzukommen, sollten Sie folgende Schritte unternehmen:

1. Datenschutzfolgenabschätzung (DSFA):

Diese nehmen Sie zu Beginn der Datenverarbeitung vor. Mit ihr evaluieren Sie, welche Risiken und Folgen für die Betroffenen vorliegen, wenn Sie deren Daten sammeln und verarbeiten. Laut Art. 35 DSGVO sind Sie zu einer Datenschutzfolgenabschätzung verpflichtet, wenn folgende Risiken gegeben sind:

Scoring Profiling Automatische Entscheidungen Systematische Überwachung Biometrische Verfahren

Sie unterliegen ebenfalls der Rechenschaftspflicht in Form einer Datenschutzfolgenabschätzung, wenn Sie die nachfolgend genannten personenbezogenen Daten verarbeiten:

  • Rassische und ethnische Herkunft
  • Politische Meinungen
  • Religiöse Anschauungen
  • Gesundheitsdaten
  • Genetische und biometrische Daten

Wenn Sie interne Untersuchungen gegenüber Ihren Mitarbeitern durchführen oder wenn generell ein erhöhtes Risiko für die Rechte Betroffener vorliegt, ist ebenfalls eine Datenschutzfolgenabschätzung anzufertigen.

 

2. Verzeichnis der Verarbeitungstätigkeiten:

In diesem listen Sie alle relevanten Informationen auf, die mit der Verarbeitung personenbezogener Daten in Zusammenhang stehen. Das bedeutet unter anderem:

  • Zweck
  • Betroffene
  • Empfänger
  • Kategorien

Wenn Sie der Rechenschaftspflicht gegenüber Behörden nachkommen wollen, müssen Sie diese Angaben vorweisen können. Detaillierte Informationen zu diesem Thema finden Sie in unserem Ratgeber „Verzeichnis der Verarbeitungstätigkeiten“.

3. Mitarbeitersensibilisierung:

Dieser Punkt ist nicht explizit in der DSGVO erwähnt, zählt aber dennoch zur Rechenschaftspflicht. Denn jeder Angestellte muss darüber informiert werden, welche Verantwortung er mit der Verarbeitung personenbezogener Daten übernimmt. Gleichzeitig werden Sie aber auch darüber in Kenntnis gesetzt, welche Rechte Sie bezüglich ihrer eigenen Daten haben.

4. Datenschutzbeauftragter:

Sobald in Ihrem Unternehmen mindestens neun Mitarbeiter mit personenbezogenen Daten arbeiten, besteht die Rechenschaftspflicht darin, einen Datenschutzbeauftragten zu bestellen. Sie können entweder einen Angestellten ausbilden oder einen externen Experten beauftragten. Wichtig ist in erster Linie, dass die Person über das notwendige Know-How verfügt, um die Stelle und die damit verbundenen Aufgaben korrekt auszuüben. Auf unserer Plattform können Sie sich in der Kategorie „externer Datenschutzbeauftragter im Vergleich“ über entsprechendes Fachpersonal informieren.

5. Rechenschaftslegung:

Nicht nur Sie sind dazu verpflichtet, Behörden und Betroffenen Auskunft über die gesammelten Inhalte zu geben. Sofern Sie Subunternehmen zur Verarbeitung beschäftigen, sind diese Ihnen gegenüber zur Rechenschaftspflicht im Sinne der DSGVO aufgefordert. Laut Art. 28 müssen Sie einen entsprechenden Auftragsverarbeitungsvertrag aufsetzen, um die rechtlichen Vorschriften einzuhalten.