Accountability-Prinzip der neuen DS-GVO – Rechenschaftspflicht (Art. 5, 24 DS-GVO)

Unter der DS-GVO ist es nicht ausreichend, dass Unternehmen die Datenschutzbestimmungen „nur“ einhalten. Die Verantwortung des Unternehmens für die Einhaltung der gesetzlichen Vorgaben muss überprüfbar wahrgenommen werden.

  • Dazu wird ein dokumentierter Nachweis der Bewertung und Umsetzung gefordert (Rechenschaftspflicht bzw. Accountability nach Art. 5 Abs. 2 DS-GVO).
  • Auch hat das Unternehmen geeignete technische und organisatorische Maßnahmen zu treffen, um sicherzustellen, dass die Datenverarbeitung entsprechend den gesetzlichen Vorgaben erfolgt (Art. 24 DS-GVO).
  • Der Umfang des Nachweises wird nicht näher festgelegt, sondern bestimmt sich nach Art, Umfang, Umständen und Zwecken der Datenverarbeitung sowie Eintrittswahrscheinlichkeit und Schwere der Risiken für die Rechte und Freiheiten der Betroffenen.
  • Die DS-GVO folgt dem risikobasierten Ansatz Die Nachweispflicht ist bußgeldbewehrt, Art. 83 Abs. 5 DS-GVO.

Besuchen Sie auch unseren Informationsblog 10 Punkte Umsetzungsfahrplan. Unsere aktuellen Seminare zum Thema Datenschutz finden Sie direkt hier.

Accountability-Prinzip der neuen DS-GVO

Accountability-Prinzip der neuen DS-GVO

Noch ist das Konzept der datenschutzrechtlichen Rechenschaftspflicht in Europa weitgehend unbekannt, künftig wird es einen elementaren Bestandteil der Datenschutzmanagement-Prozesse darstellen.

Nicht ausreichend dürfte es sein, den Nachweis nur über das Verzeichnis von Verarbeitungstätigkeiten oder durch Umsetzung der Grundsätze der Datenminimierung zu führen. Vielmehr stellen diese Bereiche jeweils Teilaspekte dar. Interne Richtlinien, eine klare Zuteilung von Verantwortlichkeiten und die Umsetzung aller Regelungen der DS-GVO schaffen den Rahmen für eine nachprüfbare Dokumentation.

Die grundlegenden Folgen aus dem Grundsatz der Rechenschaftspflicht nach Art. 5, 24 DS-GVO sind nachfolgend dargestellt. Diese geben den Unternehmen praktische Hilfestellungen für den Nachweis der Umsetzung der DS-GVO.

 

Zuweisung von Verantwortlichkeiten – Accountability-Prinzip der neuen DS-GVO

Zunächst liegt die Verantwortung für die Einhaltung des Datenschutzes bei der Geschäftsleitung des Unternehmens und nicht etwa bei dem Datenschutzbeauftragten.

Somit müssen durch entsprechende Vorgaben die nachgelagerten Führungsebenen in die Verantwortung für die Einhaltung des Datenschutzes einbezogen werden. So kann auf jeder Leitungsebene die Berücksichtigung der Datenschutz-Anforderungen implementiert werden. Dies kann innerhalb eines gesonderten Organisations-Handbuchs oder durch Arbeitsanweisungen für das Tagesgeschäft erfolgen.

 

Bestellung des Datenschutzbeauftragten – Accountability-Prinzip der neuen DS-GVO

Durch die Bestellung eines Datenschutzbeauftragten kann die besondere Sachkunde genutzt werden, um die Einhaltung der datenschutzrechtlichen Anforderungen sicherzustellen.

 

Einbeziehung Betriebsrat – Accountability-Prinzip der neuen DS-GVO

Der Betriebsrat ist bei allen Datenverarbeitungsvorgängen einzubeziehen, die der verpflichtenden Mitbestimmung nach § 87 BetrVG oder der freiwilligen Mitbestimmung nach § 88 BetrVG unterliegen.

Relevante datenschutzrechtliche Themen sind insbesondere Fragen

  • zur Ordnung des Betriebs,
  • zum Verhalten der Arbeitnehmer im Betrieb (§ 87 Abs. 1 Nr. 1 BetrVG)
  • zur Einführung und Anwendung von technischen Einrichtungen, die dazu bestimmt sind, das Verhalten oder die Leistung der Arbeitnehmer zu überwachen (§ 87 Abs. 1 Nr. 6 BetrVG).

 

Verzeichnis von Verarbeitungstätigkeiten – Accountability-Prinzip der neuen DS-GVO

Das Verzeichnis von Verarbeitungstätigkeiten stellt den Ausgangspunkt für die Festlegung und Kenntnis bestehender Datenverarbeitungsvorgänge im Unternehmen dar. Es bildet damit die Basis für einen detaillierten Nachweis über die Einhaltung des Datenschutzrechts.

Vor der Erstellung dieses Verzeichnisses ist eine Bestandsaufnahme und Erfassung aller relevanten Datenverarbeitungsvorgänge im Unternehmen erforderlich.

 

IT-Sicherheitshandbuch und Organisations-Handbuch – Accountability-Prinzip der neuen DS-GVO

Teil der Sicherstellung der technischen und organisatorischen Datensicherheit (Art. 32 DS-GVO) ist ein IT-Sicherheitsmanagement.

In den meisten Fällen stellt eine unternehmensinterne Arbeitsanweisung zum Datenschutz den optimalen Ausgangspunkt für die Sicherstellung der Rechenschaftspflichten dar. Diese regelt die Umsetzung der datenschutzrechtlichen Anforderungen der DS-GVO im Unternehmen. Dabei ist sicherzustellen, dass die Datenschutzanforderungen nach Art. 5 Abs. 1 DS-GVO beschrieben und umgesetzt werden.

 

Verschwiegenheitsverpflichtungen der Mitarbeiter – Accountability-Prinzip der neuen DS-GVO

Anders als noch § 5 BDSG a. F. sieht die DS-GVO keine ausdrückliche Verpflichtung der Mitarbeiter auf das Datengeheimnis vor. Stattdessen wird über Art. 30 Abs. 4, Art. 28 Abs. 2 S. 2 lit. b, Art. 29 DS-GVO deutlich weitergehend verlangt, dass die Mitarbeiter auf die Verschwiegenheit verpflichtet werden und die Einhaltung der Verschwiegenheitspflicht kontrolliert wird.

Verpflichtung der Mitarbeiter auf Verschwiegenheit und Kontrolle dieser Verpflichtung stellen einen wichtigen Bestandteil der Rechenschaftspflicht dar.

 

Schulungen der Mitarbeiter – Accountability-Prinzip der neuen DS-GVO

Die unternehmensinterne Einführung der Organisationsanweisung sowie weitere Umsetzungsschritte zur Sicherstellung des Datenschutzes sind über Schulungen der Führungskräfte und einzelner Mitarbeiter sicherzustellen. Die Hauptadressaten solcher Schulungen sind die Führungskräfte, da sie die Pflicht trifft, die Einhaltung der Datenschutzvorgaben in ihren jeweiligen Verantwortungsbereichen sicherzustellen.

Dementsprechend sollten vorrangig die Führungskräfte zur Teilnahme an den Schulungen verpflichtet werden. In einem zweiten Schritt sollten alle Mitarbeiter mit den wesentlichen Grundlagen der Arbeitsanweisung Datenschutz vertraut gemacht werden. Die Durchführung von Schulungen muss dokumentiert werden, da so ebenfalls dem Grundsatz der Rechenschaftspflicht Rechnung getragen wird.

 

Durchführung von Wirksamkeitskontrollen – Accountability-Prinzip der neuen DS-GVO

Ein ständiger Nachweis der Einhaltung der Datenschutzgrundsätze und internen Datenschutzrichtlinien erfordert die Durchführung von Wirksamkeitskontrollen im Unternehmen. Folge der Auswertungen muss die Implementierung von Verbesserungsmaßnahmen sein.

Mit der Durchführung der Wirksamkeitskontrollen können Personen, die über die erforderlichen Qualifikationen im Datenschutz verfügen, beauftragt werden. Da der Datenschutzbeauftragte ohnehin die Einhaltung der Bestimmungen der DS-GVO zu kontrollieren hat, liegt es nahe, ihm auch diese Aufgabe zu übertragen.

Die Wirksamkeitskontrollen umfassen die technischen und organisatorischen Maßnahmen, die in der Organisationsanweisung festgelegt sind. Durch die Kontrollen soll im zweiten Schritt geprüft werden, ob die Vorgaben tatsächlich befolgt werden. Zwingend notwendig ist es daher, die Ergebnisse der Prüfung zu dokumentieren.

Die Wirksamkeitskontrollen sollten wie folgt durchgeführt werden:

  1. Unmittelbar nach Umsetzung der Organisationsanweisung ist stichprobenartig zu prüfen, ob die Vorgaben tatsächlich eingehalten werden. Im Anschluss sollte eine regelmäßige Überprüfung in festgelegten Zeitabständen (halbjährlich oder jährlich) erfolgen.
  2. Durchgeführt werden können die Wirksamkeitskontrollen mittels Arbeitsplatzbegehung, Beobachtungen im allgemeinen Betrieb oder der Befragung der Mitarbeiter durch Auditbögen.
  3. Zu dokumentieren sind die Zeitpunkte und Ergebnisse der durchgeführten Kontrollen, die erfassten und anschließend zu beseitigenden „Findings“ sowie die resultierenden Folgemaßnahmen. Bei einer nachfolgenden Überprüfung sind die erfassten Defizite in die Kontrollen einzubeziehen.
  4. Abschließend sollte festgelegt werden, wie an die Geschäftsleitung berichtet wird („Reporting“). Da die Geschäftsleitung die Gesamtverantwortung für die Einhaltung des Datenschutzes trägt, ist eine regelmäßige Weitergabe der Prüfergebnisse sicherzustellen. Weiterhin ist ein Reporting an die Personen sicherzustellen, in deren Verantwortungsbereich die Wirksamkeitskontrollen durchgeführt werden.

 

Verfahren zur Reaktion auf Aufsichtsbehörden – Accountability-Prinzip der neuen DS-GVO

Die Datenschutz-Aufsichtsbehörden verfügen nach Art. 58 DS-GVO über weitreichende Befugnisse gegenüber Verantwortlichen und Auftragsverarbeitern. Insbesondere ist ihnen Zugang zu allen personenbezogenen Daten und Informationen, die zur Erfüllung ihrer Aufgaben notwendig sind, zu gewähren (Art. 58 Abs. 1 lit. a, e DS-GVO).

Die Nichtgewährung des Zugangs ist gem. Art. 83 Abs. 5 lit. e DS-GVO bußgeldbewehrt. Es ist demnach von großer Bedeutung, dass die von den Aufsichtsbehörden gesetzten Fristen eingehalten werden. Daher müssen alle Mitarbeiter dahingehend geschult werden, dass Anfragen der Aufsichtsbehörden umgehend an die zuständige Stelle im Unternehmen weitergeleitet werden.

 

Einschlägige Rechtsgrundlagen für Datenverarbeitung – Accountability-Prinzip der neuen DS-GVO

Jede Verarbeitung personenbezogener Daten muss gem. Art. 6 Abs. 1 DS-GVO von einem Erlaubnistatbestand abgedeckt sein. Daher ist für jeden Verarbeitungsvorgang sicherzustellen, dass er durch eine Rechtsgrundlage abgedeckt ist.

One thought on “Accountability-Prinzip der neuen DS-GVO

Kommentare sind geschlossen.