Rechenschaftspflicht nach der EU-Datenschutz-Grundverordnung

Mit der Europäischen Datenschutz-Grundverordnung (DSGVO) wird ein für den Datenschützer bisher so im Datenschutzrecht nicht verwendeter Begriff eingeführt. Gemeint ist die „Rechenschaftspflicht“ nach Art. 5 Abs. 2 DSGVO, in dem es heißt: „Der Verantwortliche ist für die Einhaltung des Absatzes 1 verantwortlich und muss dessen Einhaltung nachweisen können.“

Begriffsbedeutung

Diese dem Juristen durchaus aus verschiedenen Rechtsbereichen bekannte Verpflichtung zur Rechenschaft (bspw. beim Beauftragten, § 666 BGB), ist zumindest im Datenschutz begrifflich neu und findet sich folglich in keinem der Inhaltsverzeichnisse der zurzeit sich auf dem Markt befindlichen Kommentierungen zum Bundesdatenschutzgesetz (BDSG). Die EU-Datenschutz-Grundverordnung selbst gibt hierzu keine grundlegenden Hinweise bzw. Erklärungen oder Definitionen, vielmehr wird in Art. 5 Abs. 2 DSGVO lediglich bestimmt, dass der Verantwortliche für die in Art. 5 Abs. 1 DSGVO genannten Pflichten verantwortlich ist und den Nachweis für deren Einhaltung erbringen muss. Die vom Verantwortlichen einzuhaltenden Pflichten bzw. Prinzipien beschreibt Art. 5 Abs. 1 DSGVO näher, wonach es sich überwiegend um die im Datenschutz bereits bekannten Datenschutzprinzipien handelt, wie zum Beispiel das Transparenzgebot, die Zweckbindung oder die Datensparsamkeit. Damit wird zwar deutlich, welche Grundsätze vom Verantwortlichen einzuhalten sind, eine Aussage über deren Einhaltungsnachweis wird jedoch nicht getroffen.

Wird das in Art. 5 Abs. 2 DSGVO in Klammern gesetzte Wort „Rechenschaftspflicht“ so verstanden, dass vorab die dafür notwendige Definition gegeben wird, stellt sich hingegen das Problem, wie der Begriff des Nachweises eigentlich zu verstehen ist. Wegen des in Klammern gesetzten Wortes „Rechenschaftspflicht“ ist aber wohl davon auszugehen, dass die sich daraus ergebende Notwendigkeit des Nachweises über das umgangssprachliche Wortverständnis hinausgehen soll. Während daher im Allgemeinen ein Nachweis auf Anfrage durch die tatsächlich vorliegenden Gegebenheiten (bspw. Aufzeigen von bestehenden Sicherheitsvorkehrungen oder vergangene Löschungsvorgänge) durchaus als ausreichend erachtet werden könnte, verlangen gesetzliche Nachweispflichten zumeist schon ohne Verwendung des Begriffes „Rechenschaftspflicht“ sehr viel mehr, so bspw. das Nachweisgesetz (NachwG), bei dem vom Arbeitgeber konkret bestimmte inhaltliche Angaben verlangt werden, die dem Arbeitnehmer in schriftlicher Form auszuhändigen sind (vgl. § 2 NachwG). Auch wenn die EU-Datenschutz-Grundverordnung solche konkreten Pflichten bzw. Hinweise vermissen lässt, ist also davon auszugehen, dass unter Nachweis zumindest eine Art von Dokumentationspflicht zu verstehen ist. Wie diese im Einzelnen allerdings auszusehen hat, welche Unterlagen und Informationen der für die Datenverarbeitung Verantwortliche auf welche Art und Weise wem vorzuhalten hat und welche Ansprüche sich daraus ggf. für Betroffene herleiten lassen, ist damit noch nicht geklärt. Ein Blick in die Erwägungsgründe kann in diesen Fällen zwar zumeist helfen: Während jedoch der Erwägungsgrund 39 zu den in Art. 5 Abs. 1 DSGVO genannten Prinzipien noch Aussagen trifft, fehlt es an entsprechenden Hintergrundinformationen zu Art. 5 Abs. 2 DSGVO und der sich daraus ergebenden Rechenschaftspflicht. Deren Umfang und Reichweite lässt sich demnach nicht der EU-Datenschutz-Grundverordnung entnehmen.

Rückgriff auf andere Rechtsvorschriften

Eine andere Möglichkeit könnte darin bestehen, sich auf eventuell bereits bestehende Rechenschaftspflichten zu besinnen und den § 259 BGB heranzuziehen, wonach jemand der über eine mit Einnahmen oder Ausgaben verbundene Verwaltung Rechenschaft abzulegen hat, dem Berechtigten eine geordnete Zusammenstellung der Einnahmen oder der Ausgaben enthaltende Rechnung mitzuteilen und ggf. Belege vorzulegen hat (§ 259 Abs. 1 BGB). Dabei wird jedoch lediglich eine Aussage zur Art und Weise der Erfüllung einer sich aus dem Zivilrecht ergebenden Rechenschaftspflicht gemacht, um einen Berechtigten dort die Möglichkeit zu gegeben, sich Informationen über ihm unbekannte Verhältnisse und Vorgänge zu verschaffen und ggf. Ansprüche durchzusetzen.[1] Damit ergeben sich für das Datenschutzrecht jedoch mehr Fragen als Antworten, hilft es doch im Hinblick auf den Inhalt und die Form einer datenschutzrechtlichen Rechenschaftspflicht nicht wirklich weiter. Allenfalls die durch die Rechtsprechung hierzu entwickelten Grundsätze mögen für die Umfangsbegrenzung hilfreich sein, wonach bei der Rechenschaftslegung auf Vollständigkeit und Verständlichkeit zu achten ist und sich entwickelnde Zustände mit aufzunehmen sind, wobei der Umfang durch den Grundsatz der Zumutbarkeit begrenzt wird. Demnach hilft auch die Kenntnis anderer Rechenschaftspflichten bei der Umsetzung der EU-Datenschutz-Grundverordnung nur bedingt weiter.

Mögliche Folgen einer Nichtbeachtung

Wie folglich die Aufsichtsbehörden die Reichweite der sich aus Art. 5 Abs. 2 DSGVO ergebenden Verpflichtung sehen und inwieweit Betroffene aus einem notwendigen, aber fehlenden Nachweis ggf. Ansprüche herleiten können, ist aus derzeitiger Sicht demnach noch völlig unklar. Wegen der sich aus Art. 82 DSGVO ergebenden Beweislastumkehr, dürfte ein fehlender Nachweis aber auf jeden Fall in Bezug auf Schadensersatzleistungen relevant werden. Danach wird das Verschulden des Verantwortlichen oder des Auftragsverarbeiters vermutet, sofern diese keinen Nachweis erbringen, dass sie in keinerlei Hinsicht den Umstand, durch den der Schaden eingetreten ist, zu verantworten haben (Haftungsbefreiung). Darüber hinaus besteht nach Art. 83 Abs. 5 lit a) DSGVO bei Nichtbeachtung der Grundsätze zur Verarbeitung nach Art. 5 die Gefahr, Geldbußen in Höhe von bis zu 20 000 000 Euro bzw. 4% des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres auferlegt zu bekommen. Einem für die Datenverarbeitung Verantwortlichen ist daher schon aus diesen Gründen anzuraten, der sich aus Art. 5 Abs. 2 DSGVO ergebenden Rechenschaftspflicht zu entsprechen.

Umsetzungsmöglichkeiten

Was also tun, wenn frühzeitig der Versuch zur Umsetzung der EU-Datenschutz-Grundverordnung unternommen werden soll. Sinnvoll erscheint es zunächst einmal mit einer umfassenden Dokumentation aller zur Umsetzung des Datenschutzes getroffenen Maßnahmen zu beginnen.

Ein erster Schritt sollte sein, sämtliche sich aus Art. 5 Abs. 1 DSGVO ergebenden Grundsätze aufzulisten:

Rechtmäßig, Treu und Glauben, Transparenz
Zweckbindung
Datenminimierung
Richtigkeit
Speicherbegrenzung
Integrität und Vertraulichkeit durch angemessene Sicherheit der Datenverarbeitung

Sofern bereits zu den einzelnen Punkten Umsetzungsmechanismen bekannt sind bzw. bestehen, sollten diese mit aufgenommen werden und die hierzu bereits vorhandenen Unterlagen (bspw. einzelner Umsetzungsmaßnahmen) zum Nachweis beigefügt werden. Ebenso sollte geklärt werden, wer diese Liste zukünftig führt und aktuell hält, denn die EU-Datenschutz-Grundverordnung geht zunächst einmal nur davon aus, dass der Nachweis durch den für die Datenverarbeitung Verantwortlichen zu erbringen ist. Die Liste wäre sodann ständig zu ergänzen bzw. zu überarbeiten.

Im zweiten Schritt sollte konkret geprüft werden, ob es bereits Strategien zur Umsetzung bzw. Einhaltung der Grundsätze gibt. Dabei könnten zunächst die für alle Grundsätze bestehenden allgemeinen Maßnahmen beschrieben und ggf. bereits bestehende Richtlinien, Compliance mit aufgenommen werden. Dabei sollte beschrieben werden, auf welche Art und Weise sichergestellt wird, dass alle zur Einhaltung der Datenschutzprinzipien angehalten werden und auf welche Weise deren Umsetzung bei einzelnen Verfahren sichergestellt wird. Hierzu sollten entsprechende Schulungsmaßnahmen, Rundschreiben usw. ebenso dokumentiert werden, wie die organisatorische Umsetzung bspw. durch Beteiligung verschiedener Stellen oder Abfrage in Checklisten bspw. bei zukünftigen Folgeabschätzungen.

Darüber hinaus sollte dann für jeden einzelnen Grundsatz beschrieben und entsprechende Unterlagen zum Nachweis mit aufgenommen werden, inwieweit konkrete Maßnahmen bestehen und bspw. mit Auskunftsanfragen umgegangen wird, regelmäßige Lösungsvorgänge vorgenommen werden usw.

Am Ende sollte auf Nachfrage die Möglichkeit bestehen, soweit zumutbar, die Einhaltung der Grundsätze durch Vorlegen entsprechender Unterlagen zu erbringen.

[1] Vgl. hierzu Kommentierungen zum BGB, zum Beispiel Palandt, § 259 Rn. 1.

Dr. Britta Alexandra Mester | 28. November 2016 | Datenschutz-Grundverordnung | Datenschutzgrundverordnung, DSGVO, pb-ChecklisteDSGVO, Rechenschaftspflicht, sb-termineudsgvo

3 Comments

Datenschutzgrundverordnung #DSGVO | Klar EDV GmbH
27. November 2017 @ 11:35

[…] wegen des erhöhten Sanktionsrahmens und der neuen Rechenschaftspflicht sollte sich jedes Unternehmen mit den Auswirkungen der DS-GVO im Rahmen eines Umsetzungsprojekts […]
Anonymous
30. November 2016 @ 13:52

Die DSGVO ist sicher ein komplexes Thema, allerdings – nicht böse gemeint – liest sich dieser Beitrag leider ähnlich flüssig wie ein Gesetzestext – ich würde mir im Sinne aller Datenschutzbeauftragten, die keine Juristen oder in Vollzeit mit dem Thema befasst sind, vielleicht eine etwas alltagsnähere, allgemeinsprachliche Form wünschen, da ich annehme, dass diese Leser die Mehrzahl des Blogs ausmachen.
Vielleicht könnte man dazu ja mal einen Poll machen 🙂
Anonymous
29. November 2016 @ 14:49

Sehr geehrte Frau Dr. Mester,

vielen Dank für diesen Beitrag. Leider muss ich mich bei einer solch strengen (und meiner Meinung nach grundsätzlich auch korrekten) Auslegung der DSGVO immer wieder fragen, wie und mit welchen Mitteln ein KMU (<100 Beschäftigte) dies erfüllen können soll?

Mit freundlichen Grüßen