rechenschaftspflicht dsgvo

Die Rechenschaftspflicht bedeutet, dass der Verantwortliche nachweisen und belegen können muss, dass er alle Vorgaben der DSGVO erfüllt.

Nachweisen bedeutet also, dass das Unternehmen auf Nachfrage der Aufsichtsbehörde belegen kann, dass es die Vorgaben der DSGVO erfüllt. Die Dokumentation kann hierbei sowohl in schriftlicher als auch in elektronischer Form vorgehalten werden (z.B. mittels Datenschutz-Management-Software).

Dies bedeutet konkret zweierlei:

  • Unternehmen sollten auf Anforderung der Aufsichtsbehörde die entsprechende Dokumentation vorlegen können. Zum einen, weil sie die internen Vorgänge zu dokumentieren haben und zum anderen, weil sich eine Kooperationsbereitschaft meist positiv auswirkt.
  • Unternehmen müssen nicht die gesamte Dokumentation vorlegen, sondern nur die von der Behörde konkret angeforderten Unterlagen.

Rechenschaftspflicht – was sagt die DSGVO dazu?

Die Vorgaben aus der DSGVO sind von jeder verantwortlichen Stelle einzuhalten. Das müssen sie auch nachweisen, besagt Artikel 5 DSGVO zur Rechenschaftspflicht (Accountability).

Auch gemäß Artikel 24 DSGVO wird auf eine entsprechende Nachweispflicht des Verantwortlichen, dass die Verarbeitung personenbezogener Daten gemäß der Datenschutz-Grundverordnung erfolgt, hingewiesen.

Rechenschaftspflicht – was gehört nun alles dazu?

Die Datenschutz-Aufsichtsbehörden empfehlen, die wesentliche Aktivitäten und Arbeitsergebnisse, die dazu dienen die DSGVO umzusetzen festzuhalten, um der Rechenschafts- oder Nachweispflicht nachzukommen.

Zur Rechenschaftspflicht gehört also, unter anderem

  • die Dokumentation aller getroffenen und umgesetzten technischen und organisatorischen Maßnahmen.
  • die dokumentierte Prüfung aller Rechtlichen Grundlagen der einzelnen Datenverarbeitungen (z.B. informierte Einwilligung vorhanden?).
  • Dokumentation über die Verpflichtung aller Beschäftigten, das diese alle datenschutzrechtlichen Anforderungen der DSGVO einzuhalten haben.
  • Dokumentation über regelmäßige Sensibilisierungen / Schulungen aller Beschäftigten zum Thema Datenschutz und Datensicherheit (Schulungskonzept).

Weitere Dokumentationen – welche sind wichtig?

Die DSGVO sieht an mehreren Stellen Dokumentationspflichten vor, die die Rechenschaftspflicht umsetzen. Dazu gehören

  • die Dokumentation von Betroffenenersuchen gemäß Artikel 16-21 DSGVO.
  • die Dokumentation von Datenschutzverletzungen nach Artikel 33 DSGVO. Datenschutzverletzungen sind anhand einer Risikobewertung einzuschätzen und zu dokumentieren.
  • die Dokumentation von Weisungen, die ein Verantwortlicher im Rahmen einer Auftragsverarbeitung nach Artikel 28 DSGVO vornimmt.
  • Gemäß Artikel 35 DSGVO ist ebenfalls die Durchführung von Datenschutz-Folgenabschätzung (DSFA) zu dokumentieren.

Hierzu gehört auch, dass Verantwortliche ihre Entscheidung, eine Verarbeitung trotz bestimmter Risiken durchzuführen, genau begründen und dokumentieren. Das gilt auch, wenn im Rahmen der DSFA der Datenschutzbeauftragte mit einbezogen wird sowie wenn sich der oder die Verantwortliche dazu entscheiden sollte, vom Rat des Datenschutzbeauftragten abzuweichen. In diesem Falle sind die Gründe für die Abweichung zu erläutern und zu dokumentieren.

  • das Verzeichnis von Verarbeitungstätigkeiten nach Artikel 30 DSGVO.

Das Verzeichnis von Verarbeitungstätigkeiten ist die wesentliche Grundlage für eine strukturierte Datenschutzdokumentation. Das Verzeichnis ist also kein Dokumentationsballast, sondern ein zentrales Datenschutz-Instrument und Mittel, um die Rechenschaftspflicht umzusetzen.

Rechenschaftspflicht und Transparenz – wie hängt das zusammen?

Transparenz ist untrennbar mit dem Grundsatz der Rechenschaftspflicht verbunden:

Personenbezogenen Daten sind stets in einer für die betroffene Person nachvollziehbaren Weise zu verarbeiten. Der Grundsatz der Rechenschaftspflicht erfordert in diesem Zusammenhang dokumentierte und transparente Verarbeitungsvorgänge.

Sie benötigen Unterstützung zum Thema Rechenschaftspflicht? Wir unterstützen Sie gerne als Datenschutzbeauftragte : r!

Kontaktieren Sie uns unter kontakt@wiemer-arndt.de oder besuchen Sie uns in unserem Shop unter https://shop.wiemer-arndt.de/.

Hat Ihnen dieser Beitrag gefallen? Dann teilen Sie ihn!