Hinweise zur Rechenschaftspflicht der DSGVO für die Praxis

Fachbeitrag

Viel haben wir hier im Blog schon über die Nachweis- und Dokumentationspflichten geschrieben, die sich an diversen Stellen der Datenschutz-Grundverordnung (DSGVO) finden. Unter anderem soll bspw. die Erteilung der Einwilligung nachgewiesen werden, ebenso ist die Erfüllung der Informationspflichten nach Art. 13, 14 DSGVO und Löschungen gemäß Art. 17 DSGVO zu dokumentieren.

Dokumentation durch Datenschutzmanagementsystem

Zurzeit konzentrieren sich viele Unternehmen noch darauf, ihre Pflichten aus der Datenschutz-Grundverordnung überhaupt zu erfüllen. Interne Projekte und Ziele werden aufgestellt, Vorlagen ausgearbeitet und die Dokumentation diverser Bereiche vorgenommen, um bei Bedarf die Einhaltung der Pflichten nach der DSGVO nachzuweisen. In diesem Zusammenhang empfehlen wir ein Datenschutzmanagementsystem aufzustellen, um schnell auf alle relevanten Dokumente zurückgreifen und unter Umständen vorlegen zu können – mehr dazu hier.

Doch was besagt die Rechenschaftspflicht?

Die Rechenschaftspflicht bedeutet, dass der Verantwortliche nachweisen und belegen können muss, dass er – bspw. im Fall von Art. 5 DSGVO – die Grundsätze des Art. 5 DSGVO einhält und – im Fall von Art. 24 DSGVO – die Verarbeitung personenbezogener Daten entsprechend der Grundverordnung erfolgt, er also auch angemessene technischer und organisatorische Maßnahmen ergriffen hat.

Nachweisen bedeutet also, dass das Unternehmen auf Nachfrage der Aufsichtsbehörde belegen kann, dass es die Vorgaben der DSGVO erfüllt. Dies bedeutet konkret zweierlei:

  • Unternehmen sollten auf Anforderung der Aufsichtsbehörde die entsprechende Dokumentation vorlegen können. Zum einen, weil sie die internen Vorgänge zu dokumentieren haben und zum anderen, weil sich eine Kooperationsbereitschaft meist positiv auswirkt.
  • Unternehmen müssen nicht die gesamte Dokumentation vorlegen, sondern nur die von der Behörde konkret angeforderten Unterlagen.

Grenze der Nachweispflicht

Wie oben angedeutet müssen betroffene Unternehmen nicht sämtliche Dokumente herausgeben. Dies mag zwar sinnvoll erscheinen, wenn durch eine umfassende Offenlegung das aufgestellte Datenschutzkonzept zur Einhaltung des Datenschutzes nachgewiesen und die entsprechenden Anstrengungen in den Vordergrund gerückt werden sollen. Andererseits ermöglichen Unternehmen dadurch auch das Aufdecken etwaiger Lücken und Mängel in ihrem Konzept. Und ohne irgendwem etwas unterstellen zu wollen – Lücken finden sich immer.

Eine weitere Grenze liegt bei Dokumenten, die das Unternehmen belasten. Insoweit gilt das allgemeine Verbot der Selbstbezichtigung (Grundsatz der Selbstbelastungsfreiheit): Keiner muss bei der eigenen Belastung mitwirken.

Wie viel muss ich nachweisen?

Sollte sich die Aufsichtsbehörde an Unternehmen wenden, wird sie idealerweise genau bezeichnen, was sie gerne sehen würde. Im Einzelfall sollte der Datenschutzbeauftragte gefragt werden, was konkret zu tun ist, da er in der Regel auch die Kommunikation mit der Aufsichtsbehörde übernimmt. Mehr zu den Aufgaben des Datenschutzbeauftragten gibt es hier.

Im Übrigen ist das Handeln der Aufsichtsbehörde grds. ein Verwaltungsakt, gegen das Sie verwaltungsrechtlich vorgehen können.

Sie haben Fragen?

Unsere Berater helfen Ihnen dabei, den Umgang mit personenbezogenen Daten in Ihrem Unternehmen rechtssicher und praxisgerecht zu gestalten. Dabei unterstützen wir Sie u.a. bei folgenden Themen:

  • Erstellung einer Datenschutz-Dokumentation (z.B. internes / öffentliches Verfahrensverzeichnis)
  • Bereitstellung von Verpflichtungserklärungen auf das Datengeheimnis
  • Formulierung von Betriebsvereinbarungen bei datenschutzrelevanten Sachverhalten

Informieren Sie sich hier über unser Leistungsspektrum: Datenschutz-Dokumente

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.