Der Artikel 5 der Datenschutz-Grundverordnung benennt die für die Verarbeitung personenbezogener Daten geltenden Grundsätze. Einer davon ist die sogenannte Rechenschaftspflicht. Was sich hinter dem Begriff verbirgt und wie er sich in der Praxis auswirkt, erläutert dieser Artikel.
Der Inhalt im Überblick
Definition: Was besagt die Rechenschaftspflicht?
Die Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO ist einer der in Art. 5 DSGVO verankerten Grundsätze für die Verarbeitung personenbezogener Daten:
„Der Verantwortliche ist für die Einhaltung des Absatzes 1 verantwortlich und muss dessen Einhaltung nachweisen können („Rechenschaftspflicht“).“
Danach muss der für die Datenverarbeitung Verantwortliche nachweisen und belegen können, dass er die Grundsätze des Art. 5 Abs. 1 DSGVO (z.B. Zweckbindung, Datenminimierung und Datensparsamkeit) einhält und die Verarbeitung personenbezogener Daten entsprechend der DSGVO erfolgt, er also auch angemessene technische und organisatorische Maßnahmen ergriffen hat (Art. 24 Absatz 1 DSGVO).
Nachweisen bedeutet, dass das verantwortliche Unternehmen auf Nachfrage der Aufsichtsbehörde belegen können muss, dass es die Vorgaben der DSGVO erfüllt. Dies bedeutet in der Praxis zweierlei:
- Unternehmen sollten auf Anforderung der Aufsichtsbehörde eine entsprechende Dokumentation vorlegen können. Zum einen, weil sie die internen Vorgänge zu dokumentieren haben. Zum anderen, weil sich eine Kooperationsbereitschaft meist positiv auswirkt.
- Unternehmen müssen nicht die gesamte Dokumentation vorlegen, sondern nur die von der Behörde konkret angeforderten Unterlagen.
Wer ist gegenüber Aufsichtsbehörden rechenschaftspflichtig?
Die Rechenschaftspflicht trifft in erster Linie den Verantwortlichen. In ausgewählten Bereichen trifft sie aber auch den Auftragsverarbeiter: so verpflichtet z.B. Art. 30 Abs. 2 DSGVO auch den Auftragsverarbeiter zur Führung eines Verzeichnisses von Verarbeitungstätigkeiten. Die Führung dieses Verzeichnisses dient dem Nachweis der Einhaltung der Vorgaben der DSGVO und ist damit eine Ausformung der Rechenschaftspflicht.
Nachweispflicht anstatt Sorgfaltspflicht und risikobasierter Ansatz
Wie oben dargestellt wird der Verantwortliche durch Art. 5 Ab. 2 DSGVO dazu verpflichtet, die Vorgaben der DSGVO umzusetzen und dies auch nachzuweisen. Anders war es in der vor Inkrafttreten der DSGVO geltenden Datenschutz-Richtlinie: danach hatte der Verantwortliche zwar für die Einhaltung der Qualitätsgrundsätze „zu sorgen“ (Art. 6 Abs. 2 DS-RL). Eine Nachweispflicht fand sich in der Richtlinie aber nicht.
Besondere Bedeutung für die Wahrnehmung der Rechenschaftspflicht kommt dem sogenannten risikobasierten Ansatz zu. Dieser ist ein Kernelement der Rechenschaftspflicht und in Art. 24 Abs. 1 DSGVO verankert:
„Der Verantwortliche setzt unter Berücksichtigung der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der Risiken für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen um, um sicherzustellen und den Nachweis dafür erbringen zu können, dass die Verarbeitung gemäß dieser Verordnung erfolgt. Diese Maßnahmen werden erforderlichenfalls überprüft und aktualisiert.“
Danach ist der Verantwortlichen zur Feststellung der Risiken für die Rechte und Freiheiten natürlicher Personen und zur Berücksichtigung der Eintrittswahrscheinlichkeit und Schwere dieser Risiken verpflichtet, und zwar in Bezug auf die Art, den Umfang, die Umstände und die Zwecke der Verarbeitung. Er hat eine objektive Bewertung der konkreten Datenverarbeitung vorzunehmen, dahingehend, ob diese Datenverarbeitung ein Risiko oder hohes Risiko birgt. Dabei hat er sämtliche Risiken für die Rechte und Freiheiten natürlicher Personen zu berücksichtigen, die zu einem physischen, materiellen oder immateriellen Schaden führen können (vgl. Erwägungsgrund 75).
Beispiele wie sich die Rechenschaftspflicht konkret umsetzen lässt
Gemäß Art. 24 Abs. 1 DSGVO muss der Verantwortliche geeignete technische und organisatorische Maßnahmen treffen, um sicherzustellen und nachzuweisen, dass von ihm verantwortete Datenverarbeitungen DSGVO-konform erfolgen. Das heißt für die Praxis, dass eine entsprechende Dokumentation erforderlich ist, denn ohne kann nur schwer nachgewiesen werden, dass die Vorschriften der DSGVO eingehalten werden.
Zu den Maßnahmen zur Erfüllung der Rechenschaftspflicht zählen z.B.:
- Verbindliche interne Datenschutzvorschriften nach Art. 47 Abs. 1 und 2 DSGVO
- Erstellung eines Verarbeitungsverzeichnisses nach Art. 30 Abs. 1 und 2 DSGVO
- Durchführung einer Datenschutz-Folgenabschätzung nach Art. 35 Abs. 1 und 3 DSGVO
- Bestellung eines Datenschutzbeauftragten nach Art. 37 DSGVO
- Dokumentation von Datenschutzverletzungen nach Art. 33 Abs. 5 DSGVO
- Interne Datenschutzrichtlinien
- Dokumentierte Prozesse und Vorüberlegungen zur Auswahl der richtigen Vertragsform für Dienstleister
Datenschutz-Managementsystem zur Überprüfung und Aktualisierung
Da die Maßnahmen zur Erfüllung der Rechenschaftspflicht gemäß Art. 24 Abs. 1 Satz 2 DSGVO „erforderlichenfalls überprüft und aktualisiert“ werden müssen, empfiehlt sich hierfür die Nutzung eines Datenschutz-Managementsystems (DSMS). Mit dessen Hilfe kann schnell auf alle relevanten Dokumente zurückgegriffen werden. Einen bestimmten Rhythmus zur Überprüfung der Maßnahmen gibt die DSGVO nicht vor, sodass dies stets einzelfallbezogen zu erfolgen hat.
Wie der Verantwortliche ein Datenschutz-Managementsystem umsetzt, ist ihm selbst überlassen. In Frage kommen „Marke Eigenbau“, Software verschiedener Anbieter oder ein DSMS, welches auf anderen Systemen basiert, wie z.B. Compliance-Management-Systeme nach IDW PS 980 und IDW PH 9.860.1 (Prüfungsstandards des Instituts der Deutschen Wirtschaftsprüfer). Auch bietet sich die Möglichkeit, ein DSMS in einem (bereits vorhandenen) Informationssicherheits-Managementsystem (ISMS) zu integrieren, ISO 27701.
Grenze der Nachweispflicht für Verantwortliche
Wie oben erwähnt müssen betroffene Unternehmen nicht sämtliche Dokumente herausgeben. Dies mag zwar sinnvoll erscheinen, wenn durch eine umfassende Offenlegung das aufgestellte Datenschutzkonzept zur Einhaltung des Datenschutzes nachgewiesen und die entsprechenden Anstrengungen in den Vordergrund gerückt werden sollen. Andererseits ermöglichen Unternehmen dadurch aber auch das Aufdecken etwaiger Lücken und Mängel in ihrem Konzept. Und ohne irgendwem etwas unterstellen zu wollen – Lücken finden sich immer.
Eine weitere Grenze liegt bei Dokumenten, die das Unternehmen belasten. Insoweit gilt das allgemeine Verbot der Selbstbezichtigung (Grundsatz der Selbstbelastungsfreiheit): Keiner muss bei der eigenen Belastung mitwirken.
Wie viel muss ich gegenüber den Aufsichtsbehörden nachweisen?
Sollte sich die Aufsichtsbehörde an Unternehmen wenden, wird sie idealerweise genau bezeichnen, was sie gerne sehen würde. Im Einzelfall sollte der Datenschutzbeauftragte gefragt werden, was konkret zu tun ist. In der Regel übernimmt er in der Vermittlungsposition auch die Kommunikation mit der Aufsichtsbehörde. Je nach Anlass der Nachfrage kann es sinnvoll sein, zudem einen Rechtsanwalt mit der Verteidigung zu beauftragen. Denn im Übrigen ist das Handeln der Aufsichtsbehörde grundsätzlich ein Verwaltungsakt, gegen den ein Unternehmen verwaltungsrechtlich vorgehen kann.
Beweislastumkehr vor Gericht, z.B. bei Forderungen nach Schadensersatz?
Umstritten ist, ob die Rechenschaftspflicht vor Gericht zu einer Beweislastumkehr führt, insbesondere im Rahmen von Klagen auf Schadensersatz gegen den Verantwortlichen nach Art. 82 DSGVO:
Abgelehnt wird dies mit der Argumentation, dass die in der DSGVO verankerte Rechenschaftspflicht nur gegenüber den Aufsichtsbehörden und nicht gegenüber den Gerichten besteht. So bringt z.B. das OLG Stuttgart in einem Urteil vom 31.03.2021 zum Ausdruck, dass die allgemeinen Grundsätze der Darlegungs- und Beweislast auch in Verfahren wegen Schadensersatz nach Art. 82 DSGVO gelten.
Die Gegenmeinung ist der Auffassung, dass auf der Ebene der Darlegungs- und Beweislast die Rechenschaftspflicht zur Folge habe, dass der Anspruchsteller lediglich darlegen und gegebenenfalls beweisen muss, dass der Anspruchsgegner (Verantwortlicher) irgendwie an der Verarbeitung beteiligt war. Der Anspruchsgegner dagegen muss darlegen und gegebenenfalls auch beweisen, sämtliche Vorschriften eingehalten zu haben. Daneben wird die Rechenschaftspflicht auch im Sinne einer eingeschränkten Beweiserleichterung beim Nachweis der Kausalität zwischen der Verletzung des Datenschutzes und dem Schaden verstanden.
Auch der Oberste Gerichtshof (OGH) in Österreich hat sich in einem Urteil vom 27.11.2019 mit der Frage zur Beweislast bei Schadensersatzansprüchen auseinandergesetzt. Danach muss der Kläger den Schaden (sowohl das Vorliegen als auch die Höhe) und den Kausalitätszusammenhang nachweisen.
Bußgelder bei Missachtung der Rechenschaftspflicht
Aktuell prüfen die Aufsichtsbehörden aufgrund unangemessener Ausstattung Unternehmen so gut wie nie anlasslos. Stattdessen tritt die fehlende Dokumentation häufig dann ans Licht, wenn die Aufsichtsbehörde wegen eines anderen Verstoßes gegen die DSGVO ermittelt und wirkt sich dann strafbegründend oder strafschärfend aus. Folgende Bußgelder zeigen, dass Verstößen gegen die Rechenschaftspflicht meist in Verbindung mit Datenpannen geahndet werden:
- Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg verhängte ein Bußgeld in Höhe von 300.000 Euro gegen die VfB Stuttgart 1893 AG, weil der Fußballverein die ihm gem. Art. 5 Abs. 2 DSGVO obliegende, datenschutzrechtliche Rechenschaftspflicht fahrlässig verletzt hatte. Hier waren personenbezogene Daten, darunter Datensätze zu Vereinsmitgliedern, in großem Umfang an einen Dienstleister übermittelt worden, ohne dass der VfB Stuttgart in der Lage war, den Zweck und die Rechtsgrundlage des Vorgangs zu benennen.
- Die spanische Datenschutzbehörde verhängte ein Bußgeld in Höhe von 3,94 Mio. Euro gegen VODAFONE ESPAÑA, S.A.U, da Betrüger bei Vodafone eine Kopie von SIM-Karten ihrer Opfer beantragt hatten. Nachdem ihnen diese ausgeliefert wurden, hatten die Betrüger die Karten zu verschiedenen Transaktionen und Vertragsabschlüssen zulasten von neun Vodafone-Kunden verwendet. Diesen entstand teilweise ein Schaden in vier- oder fünfstelliger Höhe. Nach Auffassung der Behörde hatte Vodafone die Identität der Betrüger vor Ausstellung der SIM-Karten nicht ordnungsgemäß geprüft. So konnte das Unternehmen etwa nicht nachweisen, dass ihm ein Identifikationsdokument von den jeweiligen Antragstellern vorlag. Dies wertete die Behörde als eine Verletzung der Rechenschaftspflicht und stellte ebenso einen Verstoß gegen den Grundsatz der Integrität und Vertraulichkeit fest.
- Ein Bußgeld in Höhe von 17 Mio. Euro verhängte die irische Datenschutzbehörde gegen Meta Platforms Ireland Limited. Das Unternehmen hatte zwölf Datenpannen innerhalb von 6 Monaten gemeldet, woraufhin die Behörde ihre Ermittlungen aufnahm. Das Unternehmen war nicht in der Lage nachzuweisen, welche Sicherheitsmaßnahmen es im Zusammenhang mit den zwölf Datenpannen zum Schutz personenbezogener Daten von Nutzern in der EU implementiert hatte. Die Behörde sah in darin eine Verletzung der Rechenschaftspflicht.
Umsetzung der Rechenschaftspflicht = interne Dokumentation
Zusammenfassend lässt sich sagen, dass die in der DSGVO verankerte Rechenschaftspflicht einerseits gegenüber den Aufsichtsbehörden die Einhaltung der DSGVO nachweisen soll. Viel wichtiger aber, da anlasslose Prüfungen der Behörden eher eine Ausnahme darstellen, dient die interne Dokumentation der Datenverarbeitung im Unternehmen als zentrale Säule des Datenschutzes und ist Ausganspunkt für die Umsetzung vieler weiterer Vorgaben der DSGVO. Wenn die Dokumentation ggf. unter Zuhilfenahme eines DSMS gewissenhaft erfolgt, sind verantwortliche Unternehmen z.B. im Fall von Datenpannen, Auskunfts- oder Löschbegehren schon mal gut aufgestellt und haben benötigte Informationen schnell zur Hand.
Beim Begriff DSMS sollte man klar unterscheiden in das Management-System analog zum ISMS und die Software, die man für die Dokumentation nutzt. Letztere würde ich generell nicht als DSMS bezeichnen, um nicht für Verwirrung zu sorgen. Das könnte man ja mit Dokumentationssystem o. Ä. benennen.
Genau, vielen Dank für diesen Hinweis! Ganz richtig muss hier unterschieden werden zwischen dem DSMS als ein System von Regeln und einem System zur Dokumentation der im Unternehmen umgesetzten Maßnahmen, um die Rechenschaftspflicht zu erfüllen (bspw. durch eine Software).