Was umfasst die Rechenschaftspflicht im Datenschutz

Die Einhaltung der DSGVO

Die Europäische Datenschutzgrundverordnung (DSGVO) dient, seit 2018, dem Schutz der personenbezogenen Daten der EU-Bürger. Dabei ist sie mutmaßlich vor allem deswegen in Kraft getreten, da große, datenbasierte Konzerne, vorrangig aus den USA, Daten in großem Stil sammeln und diese meist nicht nur für ihren ursprünglichen Zweck genutzt werden. Denn amerikanische Geheimdienste können relativ leicht an die Daten der Bürger gelangen, und haben ein mächtiges Werkzeug gegenüber europäischen Staaten, das ihnen eine gewisse Situation der Überlegenheit gewährt.
Die DSGVO schreibt eine äußerst strenge Handhabung personenbezogener Daten, die Rückschlüsse auf den Bürger dahinter zulassen, vor. So ist die Erhebung solcher personenbezogenen Daten grundsätzlich verboten und nur möglich, wenn eine Rechtsgrundlage nach Art. 5 Abs. 1 gegeben ist. Doch das ist nicht alles, was Art. 5 vorschreibt. Der wesentliche kürzere und unscheinbarer Absatz 2 hat es ordentlich in sich. Denn er verpflichtet den Verantwortlichen nicht nur dazu, Absatz 1 einzuhalten, sondern die Einhaltung auch nachweisen zu können.
Nun stellt sich die Frage: „Was umfasst diese Rechenschaftspflicht im Datenschutz?“

Inhalt der Rechenschaftspflicht

Was umfasst die Rechenschaftspflicht denn?
Zum einen ist die Pflicht zum Nachweis enthalten. Dieser ist der jeweiligen Aufsichtsbehörde gegenüber zu erbringen. Das Unternehmen muss jederzeit, bei einer Anfrage der Behörde, nach Art. 58 Abs. 1 lit. a) DSGVO, nachweisen können, dass die Europäische Datenschutzgrundverordnung in dem jeweiligen Bereich eingehalten wird. Sei es die Speicherung von Daten, die Verarbeitung oder die korrekte Löschung.
Auch die Verantwortlichkeit ist in der Rechenschaftspflicht enthalten. Damit ist gemeint, dass das Risiko für die personenbezogenen Daten von dem Verantwortlichen eingeschätzt werden müssen. Dies setzt Art. 24 Abs. 1 der DSGVO voraus. Der Verantwortliche muss also alle relevanten Faktoren, wie die Art, den Umfang und die Zwecke der Verarbeitung, mit einbeziehen, um „geeignete technische und organisatorische Maßnahmen“ zu treffen. Diese sollen eben der Einhaltung und auch der Nachweisbarkeit der Einhaltung der Grundverordnung dienen.
Dazu kommt noch, dass, nach Satz 2 des Absatzes 1, die getroffenen Maßnahmen auch in einem gewissen Rahmen überprüft und möglicherweise auch aktualisiert werden müssen.
Unternehmen müssen allerdings keine Dokumente offenlegen, die es selbst belasten, besagt das Verbot der Selbstbezichtigung.
Das ist es also, was die Rechenschaftspflicht im Datenschutz grob umfasst.

Wie sieht die Umsetzung in der Praxis aus?

Das Gesetz lässt die Frage völlig offen, wie diese Nachweise denn konkret aussehen sollen.
Auch der Umfang der Dokumente, die dem Nachweis der DSGVO-Einhaltung dienen, muss durch den Verantwortlichen festgelegt werden. Bei einer umfangreichen Verletzungsgefahr der DSGVO innerhalb des Unternehmens, muss natürlich dann auch mehr dokumentiert werden, denn das ist es, was die Verordnung möchte.
Es gibt einige Maßnahmen, die in aller Regel zu ergreifen sind. Allen voran natürlich die Ernennung eines internen oder idealerweise, die Heranziehung eines externen Datenschutzbeauftragten, der dann auch diverse Maßnahmen trifft. Dabei gibt man Probleme bereits in die Hand eines Experten. Dieser wird häufig eine interne Vorgabe für den Datenschutz innerhalb des Unternehmens verfassen.
Außerdem sollte ein striktes Verzeichnis darüber geführt werden, welche Daten, wann und zu welchem Zweck erhoben wurden. Bei möglichen Verletzungen des Datenschutzes sollte auch dies kommentiert werden.
Auch eine Datenschutzfolgenabschätzung ist eine sinnvolle Herangehensweise, um die Einhaltung der DSGVO nachweisbar zu machen.
Eine weitere Maßnahme sind Verschlüsselungsprogramme, die nicht nur tatsächlich die Daten der Mitarbeiter oder Kunden schützen und damit für die Einhaltung des Datenschutzrechts sorgen. Denn die Nutzung solcher Programme ist auch relativ leicht nachweisbar.
Auch eine sachgerechte Datenschutzerklärung und alles, was mit dem Thema Datenschutz zusammenhängt, was für den Kunden sofort ersichtlich ist, sind ein Muss.
Für einen internen, reibungslosen Ablauf bieten sich Datenschutzmanagement-Systeme (DSMS) an. Dadurch kann möglichst schnell auf die Anfrage der Behörde reagiert werden.

Folgen der Missachtung

Ein fehlender Nachweis kann auf jeden Fall zu zivilrechtlicher Haftung, in Form von Schadensersatz, führen. Denn theoretisch kann ein Betroffener auch seine Rechte einklagen, wenn er persönlich durch die Missachtung geschädigt wurde. Das Verschulden des Verantwortlichen wird dabei grundsätzlich vermutet, wobei dieser somit in der Pflicht ist, seine Unschuld zu beweisen.
Der Behörde gegenüber gilt jedoch die Missachtung als Datenschutzverstoß und kann somit zu einer behördlichen Sanktion führen. Dabei gibt es unterschiedliche Kategorien, wobei die höchste Strafe, die verhängt werden kann, ist, dass das Unternehmen 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes zu zahlen hat. Besonders Letzteres kann zu äußerst hohen Einnahmen für die EU führen. Das zeigt auch die Vergangenheit. Amazon hält bisher den Rekord für die höchste Geldbuße, mit 746 Millionen Euro Strafe. Auch WhatsApp wurde hoch sanktioniert und musste 225 Millionen blechen. Ein weiterer prominenter Riese ist Google. Der Konzern musste bereits 50 Millionen Euro, an die EU, als Strafe abdrücken.
Die Missachtung der DSGVO und damit auch der Rechenschaftspflicht ist also alles andere alles empfehlenswert. Solche finanziellen Schäden können auch große Unternehmen schwer treffen, was durch die hohen Summen sichtbar wird. Amazon setzt in der EU etwas mehr als 50 Milliarden um, der Gewinn ist dabei lediglich ein Bruchteil davon und wird durch die Sanktion natürlich enorm verringert.

Fazit

Die DSGVO schreibt nicht nur vor, was zum Schutze der personenbezogenen Daten der EU-Bürger alles getan werden muss, sondern auch, dass diese Maßnahmen auch jederzeit nachweisbar sein müssen.
Die Rechenschaftspflicht beinhaltet Verantwortlichkeit und Nachweispflicht und kann nur in Einzelfällen ausgesetzt werden, wie wenn beispielsweise eine mögliche Selbstbelastung vorläge.
Bei der Umsetzung der Maßnahmen, die für die Nachweisbarkeit notwendig sind, sollte, wie auch für die Einhaltung der DSGVO, ein externer Datenschutzbeauftragter herangezogen werden.
Eine Missachtung kann dabei durch Schadensersatz und vor allem durch eine behördliche Sanktion zu enormen finanziellen Schäden bei dem Unternehmen führen.
All dies dient dem Schutz der Daten der EU-Bürger.

Die Immerce GmbH ist Ihre/eine Internet Agentur im Allgäu und programmiert seit über 10 Jahren leistungsstarke Webshops auf Magento und Shopware Basis und betreibt für Ihre Kunden Suchmaschinenoptimierung. Seit 2018 mit der Einführung der DSGVO betreut die Immerce GmbH Ihre Kunden erfolgreich in Datenschutz & IT-Sicherheit mit TÜV geprüften Datenschutzauditoren und Informationssicherheitsbeauftragten nach ISO 27001.

Firmenkontakt
Immerce GmbH
Frank Müns
Kemptener Straße 9
87509 Immenstadt
+49 (0) 8323 – 209 99 40
info@immerce.de
https://www.immerce-consulting.de/

Pressekontakt
Immerce GmbH
Carvin Müns
Kemptener Straße 9
87509 Immenstadt
+49 (0)8323 – 209 99 40
carvin.muens@immerce.de
https://www.immerce-consulting.de/

Die Bildrechte liegen bei dem Verfasser der Mitteilung.