Ausführlich zu technischen und organisatorischen Maßnahmen siehe Kap. 13. 56 Erwägungsgrund 39 S. 12 statuiert die Verhinderung des Zugangs Unbefugter. 57 Ausführlich zu technischen Maßnahmen siehe Kap. 13 Rn. 13ff. 58 Ausführlich zu technischen Maßnahmen siehe Kap. 13 Rn. 13ff.
III. Die Rechenschaftspflicht
28
Die Rechenschaftspflicht gemäß Art. 5 Abs. 2 DSGVO bedeutet, dass der Verantwortliche die Einhaltung der Grundsätze aus Art. 5 Abs. 1 DSGVO auch nachweisen kann.59
29
Aus dem Grundsatz folgt i.R.v. Art. 5 Abs. 2 Hs. 1 DSGVO zunächst, dass der Verantwortliche dafür Sorge zu tragen hat, dass die Grundsätze aus Art. 5 Abs. 1 DSGVO eingehalten werden. Dabei muss der Verantwortliche insbesondere die Anforderungen aus Art. 24 DSGVO umsetzen:60 Art. 24 Abs. 1 DSGVO bestimmt dabei, dass Art und Umfang der bereitzustellenden Maßnahmen anhand einer Risikoanalyse festzumachen sind und diese Maßnahmen überprüft und aktualisiert werden müssen. Zusätzlich wird in Art. 24 Abs. 2 DSGVO auf den Anspruch an ein umfassendes Datenschutzmanagement61 hingewiesen.
30
Die Nachweispflicht fordert eine Dokumentation der Verarbeitung und derjenigen Maßnahmen, durch die die Grundsätze jeweils eingehalten werden. Besonders im Zusammenhang mit aufsichtsbehördlichen Überprüfungen erlangt die Pflicht Bedeutung: Gemäß Art. 58 Abs. 1 lit. a DSGVO können Aufsichtsbehörden den Verantwortlichen zur Bereitstellung von entsprechenden Informationen anweisen.62 Soweit der Verantwortliche die Einhaltung der Grundsätze aus Art. 5 Abs. 1 lit. a–f DSGVO nicht nachweisen kann, stellt dies eine Verletzung der Nachweispflicht aus Art. 5 Abs. 2 Hs. 2 DSGVO dar.63
Praxishinweis
Es empfiehlt sich eine genaue Überprüfung, ob hinreichende Maßnahmen zur Einhaltung der Verpflichtung ergriffen wurden. Ein Verstoß gegen die Nachweispflicht ist gemäß Art. 83 Abs. 5 lit. a DSGVO mit einem Bußgeld von bis zu 20.000.000 € oder bis zu 4 % des gesamten weltweit erzielten Jahresumsatzes bewährt.
Die genaue Form des Nachweises der Einhaltung der Rechenschaftspflicht gibt Art. 5 Abs. 2 DSGVO nicht vor. Folgende beispielhafte Maßnahmen sind grundsätzlich als Nachweise geeignet:
– Einträge im Verzeichnis der Verarbeitungstätigkeiten gemäß Art. 30 DSGVO;
– eine Datenschutz-Folgeabschätzung gemäß Art. 35 Abs. 7 DSGVO;
– im Falle einer Verarbeitung auf Basis einer Einwilligung nach Art. 7 Abs. 1 DSGVO ein Eintrag in einer Datenbank oder eine unterschriebene Fassung der Erklärung;
– im Falle einer Verarbeitung auf Basis berechtigter Interessen eine schriftlich dokumentierte Interessenabwägung;
– interne Anweisungen (der Mitarbeiter) oder Richtlinien in Bezug auf konkrete Verarbeitungen;
– Kopien von Auftragsverarbeitungsverträgen;
– Dokumentationen von Datenschutzprüfungen/Audits, z.B. ausgefüllte Fragebögen, abgehakte Checklisten.
31
Die Rechenschaftspflicht führt im Rahmen eines zivilrechtlichen Schadensersatzverfahrens nach Art. 82 DSGVO jedoch nicht zu einer Beweislastumkehr.64 Vielmehr gelten die allgemeinen Beweislastregeln und Darlegungsgrundsätze nach nationalem Recht, was ebenfalls für potenzielle sekundäre Darlegungslasten gilt – d.h. in Deutschland muss der Anspruchsteller (Betroffener) grundsätzlich alle schadensersatzbegründende Merkmale darlegen bzw. beweisen.65
59 Taeger/Gabel/Voigt, DSGVO Art. 5 Rn. 40. 60 Ausführlich zur Datenschutzorganisation siehe Kap. 11; Kühling/Buchner/Herbst, DSGVO Art. 5 Rn. 78. 61 Siehe hierzu Kap. 10. 62 Kühling/Buchner/Herbst, Art. 5 DSGVO Rn. 79. 63 Kühling/Buchner/Herbst, Art. 5 DSGVO Rn. 79. 64 Siehe auch OLG Innsbruck, Urt. v. 13.2.2020 – 1 R 182/19b Ziff. II.4. 65 Taeger/Moos, DSRITB 2020, 451, 452.
Kapitel 5 Zulässigkeit der Verarbeitung personenbezogener Daten
Übersicht