Einführung eines umfassenden Datenschutzmanagementsystems, dessen Erforderlichkeit unter dem Vorbehalt der Verhältnismäßigkeit in Art. 24 Abs. 2 DSGVO angedeutet wird,114 kann maßgebend zur Erfüllung der Rechenschaftspflicht beitragen, da es die Überwachung und Dokumentation sämtlicher Verarbeitungsprozesse ermöglicht.115 Auch die Expertise eines Datenschutzbeauftragten sowie Datenschutz-Folgenabschätzungen nach Art. 35 Abs. 7 DSGVO (siehe Art. 35 Rn. 33ff.) können zur bestmöglichen Erbringung erforderlicher Nachweise beitragen.116 Vorrangig haben jedoch Verzeichnisse über Verarbeitungstätigkeiten nach Art. 30 DSGVO (vgl. bereits Rn. 42) das Potenzial, als mögliche Form des Nachweises besonders hilfreich zu sein.117 Das Verarbeitungsverzeichnis mit seinem vorgeschriebenen (Mindest-)Umfang nach Art. 30 Abs. 1 Satz 2 DSGVO könnte als Nukleus für darüber hinausgehende Dokumentationen dienen und ohne erheblichen Aufwand mit sämtlichen gem. Art. 5 Abs. 2 DSGVO erforderlichen Nachweisen (siehe oben Rn. 42, 43) angereichert bzw. verknüpft werden. Denkbar erscheint sogar, das Verzeichnis (welches vorzugsweise elektronisch geführt und ggf. durch spezielle Datenschutzsoftware unterstützt wird) derart zu erweitern, dass aus ihm die Konformität jedes Verarbeitungsschrittes mit sämtlichen Vorgaben der DSGVO hervorgeht.
48
Der Grundsatz der Rechenschaftspflicht wird in erster Linie durch Art. 24 DSGVO konkretisiert:118 Gemäß Abs. 1 der Vorschrift ist der Verantwortliche zur Umsetzung geeigneter technischer und organisatorischer Maßnahmen sowie erforderlichenfalls zu deren Überprüfung und Aktualisierung verpflichtet, um den Nachweis dafür erbringen zu können, dass die Verarbeitung DSGVO-konform erfolgt. Damit der Verantwortliche dazu imstande ist, auf ein aufsichtsbehördliches Nachweisbegehren pflichtgemäß zu reagieren, muss er folglich bereits im Vorfeld der Datenverarbeitung interne Compliance-Maßnahmen ergreifen.119 Zu beachten ist, dass sich Art. 24 Abs. 1 Satz 1 DSGVO nicht wie Art. 5 Abs. 2 DSGVO nur auf die Verarbeitungsgrundsätze bezieht, sondern der Nachweis der Einhaltung sämtlicher DSGVO-Vorgaben sichergestellt werden muss. Die mittels eines Datenschutzmanagementsystems (vgl. Rn. 47) zu dokumentierenden Vorgänge umfassen daher unter anderem auch die folgenden, über den Regelungsgehalt des Art. 5 Abs. 1 DSGVO (siehe oben Rn. 42, 43) hinausgehenden Aspekte:120
– die Verantwortlichkeitsstruktur innerhalb eines personenbezogene Daten verarbeitenden Unternehmens (Benennung, Geeignetheit und Zuverlässigkeit sowie ordnungsgemäße Einbindung und Ausstattung eines Datenschutzbeauftragten; zentrale oder dezentrale Verantwortlichkeitsstruktur);
– die Implementierung von Datenschutzrichtlinien und Prozessen zur Datenschutzorganisation;
– die Erstellung von Konzepten für sowie die Durchführung von Mitarbeiterschulungen;
– etwaige Behördenkommunikation;
– den Umgang mit vorgefallenen Datenschutzverletzungen (insbesondere die fristgerechte Benachrichtigung der Behörde sowie getroffene Maßnahmen zur Abwehr und Schadensminimierung);121
– durchgeführte Datenschutz-Folgenabschätzungen;122
– die regelmäßige Anpassung und Überprüfung der getroffenen Maßnahmen an neue Vorgaben der Gerichte oder der Aufsichtsbehörden;123
– der Umgang mit Datenpannen, insbesondere die Meldung oder der Grund für die fehlende Meldung an die zuständige Aufsichtsbehörde.
1 Voigt/von dem Bussche, DSGVO, S. 113 m.w.N; vgl. auch Roßnagel, in: Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, Art. 5 Rn. 1. 2 § 3a BDSG a.F. enthielt die Grundsätze der Datenverarbeitung und Datensparsamkeit; § 4 Abs. 1 BDSG a.F. stellte jede Verarbeitung personenbezogener Daten unter den Vorbehalt der Rechtmäßigkeit. 3 Pötters, in: Gola, DS-GVO, Art. 5 Rn. 4. 4 Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24.10.1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr, ABl. Nr. L 281/, S. 31–50; im Folgenden: „Datenschutzrichtlinie“ (DSRl). 5 Vgl. Herbst, in: Kühling/Buchner, DS-GVO BDSG, Art. 5 Rn. 4; Frenzel, in: Paal/Pauly, DS-GVO BDSG, Art. 5 Rn. 6. 6 Frenzel, in: Paal/Pauly, DS-GVO BDSG, Art. 5 Rn. 6; a.A. Herbst, in: Kühling/Buchner, DS-GVO BDSG, Art. 5 Rn. 4, der den Grundsatz der Integrität und Vertraulichkeit als bereits in Art. 17 Abs. 1 DSRl angelegt ansieht. 7 Eine umfassende Darstellung der inhaltlichen Differenzen findet sich bei Herbst, in: Kühling/Buchner, DS-GVO BDSG, Art. 5 Rn. 6 sowie bei Frenzel, in: Paal/Pauly, DS-GVO BDSG, Art. 5 Rn. 7f. 8 Vgl. Heberlein, in: Ehmann/Selmayr, DS-GVO, Art. 5 Rn. 6; vgl. auch Roßnagel, in: Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, Art. 5 Rn. 15. 9 Voigt/von dem Bussche, DSGVO, S. 113 m.w.N.; vgl. auch Roßnagel, in: Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, Art. 5 Rn. 26. 10 Vgl. auch Roßnagel, in: Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, Art. 5 Rn. 21, 26. 11 Das BVerwG hat gleichwohl festgestellt, dass § 4 Abs. 1 Satz 1 BDSG (Videoüberwachung durch private Stellen) nicht den Öffnungsklauseln unterfällt und daher unangewendet bleiben muss, BVerwG, Urt. v. 27.3.2019 – 6 C 2/18, Rn. 47. 12 Herbst, in: Kühling/Buchner, DS-GVO BDSG, Art. 5 Rn. 82; Gola, in: Gola, DS-GVO, Art. 23 Rn. 15f. 13 Vgl. Wolff, in: Schantz/Wolff, Das neue Datenschutzrecht, Rn. 1118; Frenzel, in: Paal/Pauly, DS-GVO BDSG, Art. 83 Rn. 24; auch Veil, ZD 2018, 9, 13, sieht dieses Problem. 14 Berliner Beauftragte für Datenschutz und Informationsfreiheit, Pressemitteilung vom 5.11.2019, https://www.datenschutz-berlin.de/fileadmin/user_upload/pdf/pressemitteilungen/2019/20191105-PM-Bussgeld_DW.pdf. 15 LG Berlin, Beschl. v. 18.2.2021 – (526 OWi LG) 212 Js-OWi 1/20, ITRB 2021, 81 m. Anm. Dovas, nicht rechtskräftig. 16 Herbst, in: Kühling/Buchner, DS-GVO BDSG, Art. 5 Rn. 9; Heberlein, in: Ehmann/Selmayr, DS-GVO, Art. 5 Rn. 8. 17 Herbst, in: Kühling/Buchner, DS-GVO BDSG, Art. 5 Rn. 9. 18 Herbst, in: Kühling/Buchner, DS-GVO BDSG, Art. 5 Rn. 10; ähnlich Frenzel, in: Paal/Pauly, DS-GVO BDSG, Art. 5 Rn. 16. 19 So im Ergebnis auch Herbst, in: Kühling/Buchner, DS-GVO BDSG, Art. 5 Rn. 11; Pötters, in: Gola, DS-GVO, Art. 5 Rn. 6; Heberlein, in: Ehmann/Selmayr, DS-GVO, Art. 5 Rn. 8; Schantz, in: Wolff/Brink, BeckOK DatenschutzR, Art. 5 Rn. 5; Albrecht/Jotzo, Das neue Datenschutzrecht der EU, Teil 2 Rn. 2. 20 Heberlein, in: Ehmann/Selmayr, DS-GVO, Art. 5 Rn. 8. 21 So auch Herbst, in: Kühling/Buchner, DS-GVO BDSG, Art. 5 Rn. 8, sowie Frenzel, in: Paal/Pauly, DS-GVO BDSG, Art. 5 Rn. 14. 22 EuGH, Urt. v. 16.7.2020 – Rs. C-311/18, CR 2020, 529 – Schrems II. Zu gegebenenfalls neben den Standardvertragsklauseln zu ergreifenden zusätzlichen Schutzmaßnahmen siehe EDSA, Empfehlungen 01/2020 zu Maßnahmen zur Ergänzung von Übermittlungstools zur Gewährleistung des unionsrechtlichen Schutzniveaus für personenbezogene Daten, https://edpb.europa.eu/our-work-tools/documents/public-consultations/2020/recommendations-012020-measures-supplement_de,