nach Art. 48 Abs. 1 GRCh nur schwerlich in Einklang zu bringen.102 Ob die Rechenschaftspflicht daher lediglich als materielle Nachweispflicht oder aber auch als prozessuale Beweislastregel zu verstehen ist, wird erst die behördliche und gerichtliche Praxis zeigen.103 Im Hinblick auf etwaige zivilrechtliche Schadensersatzprozesse ergibt sich hingegen unmittelbar aus Art. 82 Abs. 3 DSGVO, dass der Verantwortliche den Entlastungsbeweis führen muss (siehe Art. 82 Rn. 74ff.).104
42
Zum Nachweis der Einhaltung der in Art. 5 Abs. 1 lit. a DSGVO niedergelegten Grundsätze (Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz) sollte der Verantwortliche insbesondere auf die folgenden Aspekte besonderes Augenmerk legen:
– Alle bestehenden Verarbeitungstätigkeiten sollten schriftlich dokumentiert werden. Zur Führung eines solchen Verzeichnisses von Verarbeitungstätigkeiten ist der Verantwortliche (und in eingeschränktem Maße auch der Auftragsverarbeiter) nach Maßgabe des Art. 30 DSGVO im Regelfall sogar ausdrücklich verpflichtet. Diese Übersicht sollte empfehlenswerterweise auch die Rechtsgrundlage für jeden bestehenden Verarbeitungsprozess enthalten.
– Sofern eine Datenübermittlung in Drittländer erfolgt, sollte der einschlägige Erlaubnistatbestand der Art. 44ff. DSGVO (beispielsweise ein Angemessenheitsbeschluss der EU-Kommission, der Abschluss von EU-Standardvertragsklauseln oder verbindliche interne Datenschutzvorschriften) dokumentiert werden.
– Es sollte festgehalten werden, ob und inwieweit die Betroffenen über die Datenverarbeitung informiert und welche Maßnahmen (wie beispielsweise das Vorhalten einer Datenschutzerklärung oder interner Mitarbeiterleitfäden) diesbezüglich getroffen worden sind. Insbesondere sollte möglichst präzise dokumentiert werden, auf welche Weise die Informationspflicht gem. Art. 13, 14 DSGVO umgesetzt worden ist. In diesem Zusammenhang sollte auch dokumentiert werden, wann und wie eine betroffene Person über ihre Rechte (namentlich die Rechte auf Auskunft, Berichtigung, Löschung, Einschränkung, Widerspruch, Widerruf der Einwilligung sowie die Rechte bei automatisierten Entscheidungsfindungen) aufgeklärt worden ist.
– Auch die Dokumentation der in Bezug auf die Ausübung von Betroffenenrechten getroffenen Maßnahmen (z.B. erfolgte Auskunftserteilungen oder Datenübertragungen, durchgeführte Löschungen oder Einschränkungen der Verarbeitung, Berichtigungen, Fristen der Beantwortung der Anfragen) ist ratsam.
– Im Hinblick auf automatisierte Entscheidungen mit relevanten Auswirkungen für die betroffenen Personen (Art. 22 DSGVO) sollten die entsprechenden Entscheidungsprozesse sowie die Gründe hierfür festgehalten werden (Art. 22 Abs. 2 DSGVO). Ferner sollte dokumentiert werden, inwieweit der Betroffene die Möglichkeit hatte, auf den Entscheidungsfindungsprozess einzuwirken (Art. 22 Abs. 3 DSGVO).
43
Zur Wahrung der Rechenschaftspflicht im Hinblick auf die Grundsätze der Zweckbindung, Datenminimierung, Richtigkeit, Speicherbegrenzung sowie Integrität und Vertraulichkeit ist die gewissenhafte Dokumentation der folgenden Aspekte von besonderer Relevanz:
– Spätestens zu Beginn einer jeden Verarbeitung sollte(n) deren Zweck(e) schriftlich festgehalten werden. Dies kann ggf. im Rahmen eines Verzeichnisses von Verarbeitungstätigkeiten geschehen (vgl. bereits Rn. 42).
– Im Fall einer Zweckänderung sollte die Rechtsgrundlage für die Weiterverarbeitung angegeben werden, sofern der Betroffene insoweit keine Einwilligung erteilt hat. Ggf. sollte dokumentiert werden, aus welchen Gründen der neue Zweck mit dem Erhebungszweck vereinbar ist. Ferner sollte nachweisbar sein, dass der Betroffene über den neuen Verarbeitungszweck informiert worden ist.
– Der Verantwortliche sollte schriftlich fixieren, welche Maßnahmen er zur Umsetzung des Verarbeitungsgrundsatzes der Datenminimierung getroffen hat. Dies umfasst insbesondere die Maßnahmen zur Umsetzung des Datenschutzes durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen gem. Art. 25 DSGVO (beispielsweise Maßnahmen zur Verschlüsselung/Pseudonymisierung sowie datensparsame Konfigurationen).
– Zudem sollten die ergriffenen Maßnahmen zur Sicherstellung, dass die personenbezogenen Daten auf dem neuesten Stand und korrekt sind, dokumentiert werden.
– Die Aufzeichnungen des Verantwortlichen sollten darüber hinaus Informationen über die bestehenden Löschkonzepte und deren Umsetzung sowie eine Protokollierung vorgenommener Löschungen beinhalten.
– Schließlich sollte festgehalten werden, welche technischen und organisatorischen Maßnahmen in Umsetzung der Art. 32 Abs. 1 Hs. 2 lit. b, 28 Abs. 3 Satz 2 lit. b DSGVO implementiert worden sind (beispielsweise Notfallmaßnahmen, Sicherungsmaßnahmen für IT-Systeme oder Zugriffsbeschränkungen).105
44
Problematisch ist, dass in Art. 5 Abs. 2 DSGVO keine zeitliche Grenze für die Befähigung zum Nachweis vorgesehen ist, sodass zum Teil von der Notwendigkeit einer grundsätzlich dauerhaften Aufbewahrung der Dokumentationen ausgegangen wird.106 Eine solchermaßen weitreichende Nachweispflicht dürfte vom Verordnungsgeber im Lichte des die DSGVO prägenden risikobasierten Ansatzes sowie des Grundsatzes der Verhältnismäßigkeit allerdings nicht intendiert gewesen sein.107 Wie lange Dokumentationen zum Nachweis der DSGVO-Konformität aufbewahrt werden sollten, lässt sich jedoch konkreter bestimmen, wenn man das Ziel der Haftungsvermeidung als Ausgangspunkt betrachtet: Sofern der Verantwortliche nicht nachweisen kann, dass seine Verarbeitungstätigkeit den Grundsätzen des Art. 5 Abs. 1 DSGVO entspricht, droht ein Bußgeld gem. Art. 83 Abs. 5 lit. a DSGVO. Da die Verordnung keine Aussage über die Verjährung der aufsichtsbehördlichen Befugnisse zur Verhängung einer Geldbuße trifft, könnte insofern hilfsweise mittels einer extensiven Auslegung des Art. 83 Abs. 8 DSGVO auf mitgliedstaatliche gesetzliche Bestimmungen zurückgegriffen werden (siehe Art. 83 Rn. 154f.).108 Im Zuge dessen könnte auf § 41 Abs. 2 Satz 1 BDSG abgestellt werden, der im Hinblick auf Verfahren wegen eines Verstoßes nach Art. 83 Abs. 4 bis 6 der Verordnung die Vorschriften des OWiG für entsprechend anwendbar erklärt. Bei Heranziehung der OWiG-Vorschriften würde man zu dem Ergebnis gelangen, dass die Verletzung der Rechenschaftspflicht nach Art. 5 Abs. 2, 83 Abs. 5 lit. a DSGVO gem. § 31 Abs. 2 Nr. 1 OWiG spätestens nach drei Jahren aufgrund der dann eingetretenen Verfolgungsverjährung nicht mehr geahndet werden könnte und eine Dokumentation nur für diesen Zeitraum geboten ist. Weitere Details sind jedoch noch ungeklärt und insbesondere erscheint fraglich, ob hinsichtlich des Verjährungsbeginns nach § 31 Abs. 3 Satz 1 OWiG die Grundsätze zur echten Unterlassungsordnungswidrigkeit entsprechend herangezogen werden können,109 zumal ein Verstoß nicht nur bußgeldrelevant ist, sondern auch andere Maßnahmen der Aufsichtsbehörde oder zivilrechtliche Ansprüche nach sich ziehen kann. Im Ergebnis erscheint ein Richtwert von drei Jahren als erster Ausgangspunkt für die Abwägung, wie lange Nachweise aufbewahrt werden sollten, dennoch sinnvoll. Im Rahmen dieser Abwägung sollte freilich nicht nur die Vermeidung von Bußgeldern, sondern aus Risikogesichtspunkten auch die Relevanz der dokumentierten Sachverhalte sowie die Abwehr etwaiger Schadensersatzansprüche nach Art. 82 DSGVO Berücksichtigung finden, da der Verantwortliche diesbezüglich die Beweislast trägt (siehe oben Rn. 41). Schadensersatzansprüche nach Art. 82 DSGVO verjähren unabhängig von der Kenntnis des Klägers gem. § 199 Abs. 3 BGB innerhalb von zehn bzw. dreißig Jahren und bei Kenntnis des Klägers von den maßgeblichen Umständen innerhalb von drei Jahren.110
45
Die Erfüllung der Rechenschaftspflicht unterliegt keinen formellen Anforderungen, jedoch ist eine schriftliche bzw. textliche Dokumentation empfehlenswert (zu praktischen Umsetzungsmaßnahmen siehe Rn. 47f.).111
46
Bedient sich der Verantwortliche eines Auftragsverarbeiters, bleibt er in vollem Umfang für die Datenverarbeitung verantwortlich.112 Damit der Verantwortliche seiner Nachweispflicht auch im Falle einer Auftragsverarbeitung effektiv nachkommen kann, sollte er dem Auftragnehmer vertragliche Dokumentationspflichten auferlegen.113