die DS-GVO verlangt vom Verantwortlichen so einiges ab. Vieles wird mit der tieferen Lektüre der DS-GVO nicht gerade klarer oder verständlicher. Denn viele Pflichten werden nicht genau benannt oder definiert. Eine der wohl wichtigsten Pflichten, die in der DS-GVO zu finden ist, wollen wir in diesem Beitrag etwas genauer beleuchten.

1. Rechenschafts- und Nachweispflicht

So heißt es gem. Art. 5 Abs. 2 „Der Verantwortliche ist für die Einhaltung des Absatzes 1 verantwortlich und muss dessen Einhaltung nachweisen können („Rechenschaftspflicht“)“

Hier kommt es somit zunächst auf die Grundsätze gem. Art. 5 Abs. 1 DS-GVO an. Kurzum also um die Grundsätze der Rechtmäßigkeit, Transparenz, Treu und Glauben, Zweckbindung, Datenminimierung, Speicherbegrenzung, Richtigkeit, Integrität und Vertraulichkeit. Aber auch Art. 24 Abs. 1 DS-GVO enthält eine gewisse Nachweisverpflichtung.

Die besondere Bedeutung dieser Pflichten entfaltet sich beispielsweise bei der Einholung einer Einwilligung. Das Vorhandensein und die Wirksamkeit einer Einwilligung ist durch denjenigen, der diese als Rechtsgrundlage für eine Datenverarbeitung einsetzt bzw. durch den Verantwortlichen nachzuweisen. Gleiches gilt für die Erfüllung der Informationspflichten gem. Artt. 13 und 14 DS-GVO oder den Nachweis der ordnungsgemäßen Löschung gem. Art. 17 DS-GVO. Auch die Pflicht zur Führung eines Verarbeitungsverzeichnis gem. Art. 30 DS-GVO ist als entsprechende Rechenschaftspflicht zu sehen.

Es bestehen demnach an unterschiedlichen Stellen in der DS-GVO entsprechende Verpflichtungen zum Nachweis, dass die Verarbeitung DS-GVO konform erfolgt.

2. Allgemeines zum Nachweis im Sinne der Rechenschaftspflicht

Doch wie sieht ein solcher Nachweis aus und wann ist dieser als ausreichend zu beachten. Im Falle einer Einwilligung sollte trotz Fehlen einer Schriftformerfordernis, diese schriftlich eingeholt werden und gewisse Informationen und Angaben dem Einwilligenden zur Verfügung gestellt werden. (vgl. https://www.datarea.de/datenschutzrechtliche-einwilligungserklaerung-gem-art-7-ds-gvo).  Doch wie sieht dies beim Verarbeitungsverzeichnis, dem Löschprotokoll oder dem Nachweis geeigneter technischer und organisatorischer Maßnahmen aus?

Gerade hier gibt es nicht so klare Vorgaben oder einheitliche Regelungen. So könnte ein Blick in die Entschließungen des DSK (Datenschutzkonferenz der unabhängigen Datenschutzbeauftragten der Länder) helfen. Ein solches Hinweispapier zum Verzeichnis von Verarbeitungstätigkeiten findet sich beispielsweise hier: https://datenschutz.sachsen-anhalt.de/fileadmin/Bibliothek/Landesaemter/LfD/PDF/binary/Informationen/Internationales/Datenschutz-Grundverordnung/Verzeichnis_der_Verarbeitungstaetigkeiten/Hinweise_zum_Verzeichnis_von_Verarbeitungstaetigkeiten.pdf

Grundsätzlich sollte der Nachweis vollständig und verständlich sein. Er hat in einer für die betroffenen Personen nachvollziehbaren Weise nach dem Grundsatz von Treu und Glauben (vgl. Art. 5 Abs. 1 lit. a DS-GVO zu erfolgen).

Um einen ordnungsgemäßen Nachweis führen zu können, ist es also notwendig, dass ausreichende Kontrollmaßnahmen bestehen um die Einhaltung dieser Grundsätze zu prüfen, welche sodann in einer „gerichtsfesten“ Protokollierung bzw. Dokumentation jederzeit zur Verfügung stehen sollte.

Als Ansatz für die Dokumentation orientieren sich viele Unternehmen an einem Datenschutzmanagementsystem. Dies ist auch stets zu empfehlen, soweit ausreichende technische und organisatorische Maßnahmen bestehen, damit ein Nachweis als solcher auch glaubhaft erscheint. So sollten geeignete Kontrollmaßnahmen wie Zutritts-, Zugriffs- und Eingabekontrolle getroffen werden, sodass jeder Zugriff, jede Veränderung, Eingabe, Löschung, Bearbeitung und sonstige Verarbeitung nachverfolgt werden kann. Demnach sollten auch Löschprotokolle und Berechtigungskonzepte bestehen. Es ist also wichtig, dass die Daten nicht mehr nachträglich ohne weiteres verändert bzw. bearbeitet werden können.

Zur Orientierung kann sich an ähnliche Regelungen aus anderen Rechtsgebieten gehalten werden. Vergleichsweise nach den Grundsätzen der ordnungsgemäßen Buchführung, Nachweise im steuer- bzw. handelsrechtlichem Sinne.

3. Konkrete Anwendungsbeispiele

Zur Erfüllung der Nachweispflichten ist es demnach sinnvoll, dass ein Datenschutzkonzept mit entsprechenden Regelungen vorgehalten werden kann.

In dem Konzept sollte auch klar geregelt werden, wie in bestimmten Situationen zu verfahren ist.

• So sind alle Mitarbeiter auf die Einhaltung der datenschutzrechtlichen Vorgaben schriftlich zu verpflichten aber auch in routinemäßigen Schulungen zu sensibilisieren. Grundsätzlich sollte jeder Mitarbeiter mit dem Datenschutz und den ihn betreffenden Themen und Bereichen vertraut sein.
• Das Verarbeitungsverzeichnis gem. Art. 30 DS-GVO sollte aktuell und vollständig sein.
• Datenschutz-Folgeabschätzungen gem. Art. 35 DS-GVO müssen erfolgen und stets nachgewiesen werden. Demnach sollte hier ebenfalls ein System zur Dokumentation bestehen.
• Vereinbarungen mit allen Auftragsverarbeitern gem. Art. 28 DS-GVO sollten vorhanden sein. Hierzu sollte zudem eine Übersicht mit allen relevanten Angaben existieren.
• Auch sollten alle geeigneten technischen- und organisatorischen Maßnahmen protokolliert und regelmäßig überprüft werden. Vor allem sind die Regelungen gem. Artt. 24, 25, 32 DS-GVO in Bezug auf die Datensicherheit zu berücksichtigen. Es sollte sich aber auch an die vom Bundesamt für Sicherheit und Informationstechnik empfohlenen Richtlinien und Grundsätze zu den technischen- und organisatorischen Maßnahmen orientiert werden.
• Prozesse im Umgang mit den Betroffenenrechten, ganz besonders der Auskunftsrechte sollte in allen Abteilungen etabliert sein und auch stichprobenartig kontrolliert werden.
• Der Umgang und die Meldung von Datenschutzvorfällen muss klar geregelt werden, da vor allem hier sehr kurze Fristen bestehen.
• Das Löschkonzept aber auch das Datenschutzkonzept sollten im Unternehmen zumindest vorhanden sein und im Bedarfsfall von jedem eingesehen werden können.

Für die Pflichten und Nachweise sollten demnach geeignete Systeme oder Dokumente bestehen welche entsprechend gespeichert bzw. abgelegt werden, sodass diese im Falle einer Prüfung vorgelegt werden können.

4. Mögliche Risiken

Abschließend ist zu vermerken, dass stets der Grundsatz der Verhältnismäßigkeit zu beachten ist und auch nicht jede Dokumentation offengelegt werden muss. So ist im Falle einer Überprüfung durch die Aufsichtsbehörden immer der Datenschutzbeauftragte zur Seite zu holen und ggf. mit der Aufsichtsbehörde zu klären welche Unterlagen konkret benötigt werden. Fest steht jedoch, dass gerade mit Blick auf das Schadenersatzrecht gem. Art. 82 Abs. 1, 3 DS-GVO und in Bezug auf die geltende Beweislastumkehr, es von großer Bedeutung ist, zu wissen, wie ein solcher Nachweis zu gestalten ist. Gerade aber auch Art. 83 Abs. 5 lit. a DS-GVO kann entnommen werden, dass an dem Nachweis hohe Anforderungen zu setzen sind, denn Verstöße gegen die Grundsätze der DS-GVO können mit bis zu 20.000.000 EUR oder 4 % des Jahresumsatzes als Bußgeld geahndet werden.

Letztendlich sollte jede Maßnahme insb. mit Blick auf die Dokumentation mit dem Datenschutzbeauftragten durchgesprochen werden um bei den Rechenschafts- und Nachweispflichten entsprechende Schwachstellen zu erkennen.