Nach Art. 5 Abs. 2 DSGVO ist jeder datenschutzrechtlich Verantwortliche (Art. 4 Nr. 7 DSGVO) zur Einhaltung der Grundsätze für die Verarbeitung personenbezogener Daten nach Art. 5 Abs. 1 DSGVO verpflichtet und muss deren Einhaltung nachweisen können. Die Tragweite dieser als „Rechenschaftspflicht“ bekannten Obliegenheit wird oftmals unterschätzt (wir berichteten). Sie führt grundsätzlich zu hohem Dokumentationsaufwand, da sämtliche Unterlagen, mit denen die Einhaltung datenschutzrechtlicher Vorschriften nachgewiesen werden kann, von ihr umfasst werden. Neben dem Verzeichnis von Verarbeitungstätigkeiten (Art. 30 DSGVO) betrifft dies u. a. die Beschreibung getroffener technisch-organisatorischer Maßnahmen (Art. 32 DSGVO), abgeschlossene Auftragsverarbeitungsverträge (Art. 28 Abs. 3 DSGVO), ausgeteilte Datenschutzinformationen (Art. 13, 14 DSGVO) sowie erteilte Einwilligungen in Datenverarbeitungen (Art. 6 Abs. 1 lit. a DSGVO).

Art. 5 Abs. 2 DSGVO: Nicht nur relevant für die Aufsichtsbehörden!

Wie auch die Landesbeauftragte für den Datenschutz Niedersachsen (LfD Niedersachsen) in ihrem Tätigkeitsbericht 2022 anmerkt, wird die Rechenschaftspflicht dabei häufig nur mit Prüfungen durch die Datenschutzaufsichtsbehörden in Verbindung gebracht (TB 2022, S. 61). Sie betont demgegenüber auch die Relevanz im Verhältnis zu betroffenen Personen und verweist dabei auf ein Urteil des Bundesverwaltungsgerichts aus dem Frühjahr 2022 (BVerwG, Urt. v. 02.03.2022 – 6 C 7.20), in dem dies deutlich geworden ist.

Das Bundesverwaltungsgericht befasste sich damals mit einem Anspruch auf Berichtigung (Art. 16 S. 1 DSGVO). Dieser wurde von einem in Deutschland lebenden türkischen Staatsbürger geltend gemacht, der sein Geburtsjahr im Melderegister anpassen lassen wollte. Hintergrund war eine Änderung des Datums in der Türkei – das bereits zuvor schon einmal revidiert worden war – nach einer Klage des Betroffenen, weshalb er auch eine entsprechende Anpassung in Deutschland verlangte. Diesen Antrag lehnte das Gericht schließlich mit der Begründung ab, dass sich nicht feststellen lasse, ob das vom Betroffenen angegebene Geburtsjahr tatsächlich richtig sei, wobei als Maßstab der „Richtigkeit“ die Übereinstimmung mit der objektiven Wirklichkeit angegeben wurde.

Das Bundesverwaltungsgericht äußert sich zur Rechenschaftspflicht

Im Zusammenhang mit diesem Urteil betonte das Bundesverwaltungsgericht die Bedeutung der Rechenschaftspflicht aus Art. 5 Abs. 2 DSGVO, sofern die Einhaltung der Grundsätze für die Verarbeitung personenbezogener Daten gemäß Art. 5 Abs. 1 DSGVO Gegenstand eines Rechtsstreits ist. Mit Verweis auf die Rechtsprechung des Europäischen Gerichtshofs (EuGH, Urt. v. 24.02.2022 – C‑175/20) stellte es heraus, dass für den Verantwortlichen auch in derartigen Situationen – und nicht nur gegenüber der Datenschutzaufsichtsbehörde – eine Beweislast für die Einhaltung dieser Grundsätze gilt.

In Bezug auf den konkreten Fall wurde entsprechend entschieden, „dass die Nichterweislichkeit der Richtigkeit des Datums, dessen Verarbeitung der jeweilige Anspruchsteller mit dem Berichtigungsanspruch nach Art. 16 Satz 1 DSGVO begehrt, zu Lasten des Anspruchstellers geht.“ Das bedeutet zusammengefasst: Der Verantwortliche muss ein Datum nur dann berichtigen, wenn sich dessen Richtigkeit feststellen lässt. Sofern dies nicht möglich ist, kann die Berichtigung – zu Ungunsten des Anspruchstellers – nicht verlangt werden. So würde „eine abweichende Auslegung, nach der die Nichterweislichkeit der Richtigkeit eines Datums, dessen Verarbeitung der Anspruchsteller mit dem Berichtigungsanspruch nach Art. 16 Satz 1 DSGVO begehrt, zu Lasten des für die Datenverarbeitung Verantwortlichen geht, […] zu unauflösbaren Widersprüchen mit dem Grundsatz der Datenrichtigkeit aus Art. 5 Abs. 1 Buchst. d DSGVO und der Beweislast des Verantwortlichen für dessen Einhaltung führen.“

Auswirkungen der Entscheidung

Das Urteil des Bundesverwaltungsgerichts bestätigt letztlich eine stets geltende, den Verantwortlichen treffende Beweislast in Bezug auf die Konformität mit den datenschutzrechtlichen Grundsätzen. Im Umkehrschluss kann daraus resultieren, dass Betroffenenrechte nicht umgesetzt werden können bzw. sollten, wenn diesbezüglich Unklarheiten herrschen. Wesentlich dürfte für Verantwortliche sein, ihre Datenverarbeitung sowie eingehende Betroffenenanfragen und den Umgang damit (samt Begründung) zu dokumentieren, um ein datenschutzkonformes Verhalten nachweisen zu können.