Читать книгу DS-GVO/BDSG - David Klein - Страница 256

80

Die Rechenschaftspflicht des Art. 5 Abs. 2 ist eines der gewichtigsten und umfänglichsten Gebote der DS-GVO.[92] Die Rechenschaftspflicht des Verantwortlichen nach Art. 5 Abs. 2 hat zwei Bestandteile: Die Einhaltung der Grundsätze des Art. 5 Abs. 1 wird ihm als Pflicht auferlegt, und er muss nachweisen können, dass er diese Pflicht befolgt.[93] Art. 5 Abs. 2 enthält damit die beiden wesentlichen Aspekte des Konzepts der „Accountability“.[94] Über den Grundsatz der Rechenschaftspflicht bekommt Art. 5 eine hohe eigenständige Bedeutung mit erheblicher Praxisrelevanz.

81

Der Grundsatz der Rechenschaftspflicht war als Verpflichtung, die Einhaltung der Grundsätze des Art. 6 Abs. 1 DSRL sicherzustellen, bereits in Art. 6 Abs. 2 DSRL enthalten. Die Verpflichtung des Verantwortlichen, die Einhaltung der Grundsätze nun auch nachweisen zu müssen, ist dagegen ein Novum im Rahmen der DS-GVO. Mit dem Grundsatz der Rechenschaftspflicht nimmt der Gesetzgeber die Verantwortlichen stärker in die Pflicht. Statt einer bürokratischen Vorabkontrolle möchte er stärker auf die Eigenverantwortung der Verantwortlichen setzen und diese als sanktionsbewehrten Grundsatz zum Fundament des neuen Datenschutzrechts machen.[95]

82

Adressat des Art. 5 Abs. 2 ist nach dem Wortlaut der Regelung lediglich der Verantwortliche (Art. 4 Nr. 7). Dabei können innerhalb eines Unternehmensverbunds auch mehre als gemeinsam Verantwortliche kooperieren (Art. 26). Der Auftragsverarbeiter (Art. 4 Nr. 8) wird von dieser Pflicht nicht erfasst.[96] Die Gesamtverantwortung und Nachweispflicht des Verantwortlichen umfasst auch die Verarbeitung durch den Auftragsverarbeiter, der die Verarbeitung in seinem Auftrag durchführt.[97] Von der Verantwortung, die von Art. 5 Abs. 2 ausgeht, kann sich der Verantwortliche durch einen Auftragsverarbeiter nicht befreien. Gänzlich ohne Pflichten bleibt der Auftragsverarbeiter nicht. Vielmehr werden die Pflichten an anderen Stellen der DS-GVO normiert und den Pflichten des Verantwortlichen angepasst. Beispielsweise sind hier die Dokumentationspflichten nach Art. 30 Abs. 2 oder der Schadensersatz des Betroffenen nach Art. 82 zu nennen.

83

Art. 5 Abs. 2 benennt keine zeitliche Grenze für das „Nachweisenkönnen“, so dass die Dokumentationen zunächst dauerhaft aufbewahrt werden müssen. Denkbar wäre die Verkürzung dieses zeitlichen Rahmens, wenn man die Vorschrift dahin verstünde, dass der Nachweis nur gegenüber der Verjährung unterliegenden Ansprüchen Dritter erbracht werden können muss.[98]

84

Ziel der Regelung ist es, die Unternehmen und sonstigen Verantwortlichen stärker in die Pflicht zu nehmen.[99] Adressat der Rechenschaftspflicht ist ausweislich des Wortlautes des Art. 5 Abs. 2 der Verantwortliche.[100] Der Verantwortliche muss insofern nicht nur seine Pflichten erfüllen, sondern auch nachweisen können, dass in seinem Verantwortungsbereich diese Pflichten erfüllt werden. Inwieweit die in Art. 5 Abs. 2 geregelte Pflicht jedoch über die an sich selbstverständliche Pflicht hinausreicht, eine Verarbeitung personenbezogener Daten nur im Einklang mit der DS-GVO vorzunehmen, wird aus der Norm nicht deutlich.[101] Auch wird nicht deutlich, welche Nachweispflichten den Verantwortlichen treffen, die über die Darlegungs- und Nachweispflichten der sonstigen Vorschriften der DS-GVO hinausgehen.[102]

85

Unter diesen Voraussetzungen ist fraglich, ob die Rechenschaftspflicht des Art. 5 Abs. 2 eng oder weit zu verstehen ist. So wird vertreten, dass eine enge Auslegung der Rechenschaftspflicht im Einklang mit der DS-GVO steht. Eine weitreichende Auslegung der Vorschrift sei indessen aus mehreren Gründen, wie dem Willen des Gesetzgebers, der Systematik und dem Wortlaut, bedenklich.[103] Demgegenüber steht die weite Auslegung der Rechenschaftspflicht. Diese hat eine umfassende Organisationspflicht des Verantwortlichen zur Folge, die bereits vor der eigentlichen Datenverarbeitung Wirkung entfaltet und daher auch mit Beginn der ersten Verarbeitung sanktioniert werden kann Martini für enge Auslegung der Pflichte.

86

Bereits aus Gründen der Rechtsicherheit ist es für den Verantwortlichen sinnvoll von einem weiten Verständnis der Rechenschaftspflicht auszugehen. Sicherlich ist es verlockend, von einem engen Begriffsverständnis der Rechenschaftspflicht auszugehen, da damit für den Verantwortlichen ein geringerer Dokumentationsaufwand zu leisten ist. Der Verantwortliche kann sich einen Rückzug auf rechttheoretische Überlegungen zur Begrenzung seiner Rechenschaftspflicht nach Art. 5 Abs. 2 jedoch nicht leisten. Ein Verstoß gegen die Pflichten des Art. 5 Abs. 2 ist bußgeldbewährt. Solange keine höchstrichterliche Rechtsprechung in diesem Bereich erfolgt ist, muss der Verantwortliche die Rechenschaftspflichten erfüllen, die sich aus einem weiten Begriffsverständnis ergeben. Dazu ist auch der Zweck der Rechenschaftspflichten zu beachten. Bei der Rechenschaftspflicht der DS-GVO geht es um die Umsetzung der Grundsätze des Datenschutzes.[104] Es sind interne Maßnahmen und Verfahren zur effektiven Umsetzung bestehender Datenschutzgrundsätze festzulegen, ihre Wirksamkeit sicherzustellen und eine Pflicht zum Nachweis einzuführen.[105] Betroffene und Aufsichtsbehörden sollen einfacher prüfen können, ob die personenbezogenen Daten rechtmäßig verarbeitet werden.[106] Es geht also um eine Verbesserung der Beweislage und damit um eine Reaktion auf bisherige Lücken bei der hinreichenden Dokumentation von Verarbeitungsvorgängen.[107] Eine enge Auslegung der Rechenschaftspflichten des Art. 5 Abs. 2 würde diese Ziele konterkarieren.[108] Zumindest muss der Verantwortliche die Informationen vorhalten, die sich aus direkten Dokumentationspflichten, also die Pflichten, die der Normtext der DS-GVO enthält, vorhalten. Diese direkten Dokumentationspflichten finden sich in Art. 7 Abs. 1, Art. 24 Abs. 1, Art. 28 Abs. 3 lit. a und h, Art. 30 Abs. 1, Art. 33 Abs. 5, Art. 35 Abs. 7 und Art. 36 Abs. 3.

87

Inhaltlich ist der Grundsatz der Rechenschaftspflicht deutlich in Art. 24 Abs. 1 abgebildet. Danach muss der Verantwortliche die TOM ergreifen, um sicherzustellen und den Nachweis zu erbringen, dass die Verarbeitung im Einklang mit der DS-GVO erfolgt. Der Verantwortliche haftet also nicht nur für den Erfolg der Einhaltung der datenschutzrechtlichen Vorgaben. Er muss bereits im Vorfeld interne Compliance-Maßnahmen ergreifen, um Verstöße gegen die DS-GVO zu vermeiden.[109] Im Zentrum der Pflichten des Verantwortlichen steht die Dokumentation folgender Sachverhalte[110]:

–	Die einzelnen Verarbeitungen: Art. 30, mit erweiterten Dokumentationspflichten nach Art. 30 Abs. 1 S. 2 und Abs. 2, Abs. 3,
–	Erfüllung der Informationspflicht: Art. 12–14,
–	Folgenabschätzung: Art. 35, mit erweiterten Dokumentationspflichten nach Art. 35 Abs. 7,
–	Maßnahmen der Datensicherheit: Art. 32,
–	Datenschutzverletzungen: Art. 33 mit erweiterten Dokumentationspflichten nach Art. 33 Abs. 5,
–	Rechtfertigung der Einwilligung: Art. 7 Abs. 1.

88

Art. 5 Abs. 2 schreibt nicht vor, in welcher Form der Nachweis der Einhaltung des Art. 5 Abs. 1 erfolgen muss. Die DS-GVO konkretisiert aber in verschiedenen Regelungen solche Nachweispflichten. Diese sind zwar nicht immer zwingend anzuwenden, dienen aber als guter Anhaltspunkt für vergleichbare Sachverhalte. Eine mögliche Form des Nachweises ist das Verzeichnis der Verarbeitungstätigkeiten nach Art. 30. Zur Führung eines solchen Verzeichnisses sind aber Unternehmen oder Einrichtungen, die weniger als 250 Mitarbeiter beschäftigen gem. Art. 30 Abs. 5 grundsätzlich nicht verpflichtet. Zum Nachweis bietet es sich aber an. Erfolgt der Datenschutz durch Technikgestaltung oder durch datenschutzfreundlich Voreinstellungen[111], kann dies ebenfalls dem Nachweis der Einhaltung der Grundsätze der Verordnung dienen.[112]

89

Im Ergebnis führt der Grundsatz der Rechenschaftspflicht zu erheblichen zusätzlichen Dokumentations- und Nachweispflichten in der Praxis. Unternehmen müssen nicht nur sicherstellen, die einzelnen Anforderungen der DS-GVO zu erfüllen, sondern dies jeweils auch nachweisen können. Bei der Planung von Prozessen und Strukturen zum Erfüllen der Anforderungen der Verordnung sollte die entsprechende Dokumentation gleich mit geplant werde.[113] Es empfiehlt sich daher, frühzeitig mit der IT-Abteilung, der Software- und Systementwicklung sowie den Fachbereichen die Dokumentationsanforderungen und -möglichkeiten zu erörtern. Der Umfang der Rechenschaftspflicht lässt es erforderlich erscheinen, ein Datenschutz-Management-System zu implementieren.[114]