Unternehmen sind als Verantwortliche im Sinne der Datenschutz-Grundverordnung (DSGVO) für die Einhaltung des Datenschutzes verantwortlich.
Zentrale Vorschrift ist hier Art. 5 Abs. 2 DSGVO: "Der Verantwortliche ist für die Einhaltung des Absatzes 1 verantwortlich und muss dessen Einhaltung nachweisen können („Rechenschaftspflicht“)."
In Abs. 1 sind übrigens die Grundsätze der ordnungsgemäßen Datenverarbeitung aus Sicht der DSGVO geregelt. Dazu zählt der Grundsatz der Datenminimierung, die Löschung nicht mehr benötigter Daten oder auch die Frage der Rechtmäßigkeit der Datenverarbeitung, was das Vorhandensein einer Erlaubnisvorschrift voraussetzt.
Ähnliches ergibt sich aus Art. 24 Abs. 1 DSGVO, der sich auf die zu treffenden technischen und organisatorischen Maßnahmen bezieht:
"Der Verantwortliche setzt unter Berücksichtigung der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der Risiken für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen um, um sicherzustellen und den Nachweis dafür erbringen zu können, dass die Verarbeitung gemäß dieser Verordnung erfolgt. 2Diese Maßnahmen werden erforderlichenfalls überprüft und aktualisiert."
Wie kann der Verantwortliche nun diese Rechenschaftspflicht erfüllen und nachweisen, dass er die zu erwartenden Maßnahmen getroffen hat?
Grundsätzlich gibt es ja die Aussage, dass bei der Erfüllung der Aufgaben des Datenschutzes ein risikobasierter Ansatz zu treffen sei / getroffen werden kann.
Art. 39 Abs. 2 DSGVO: "Der Datenschutzbeauftragte trägt bei der Erfüllung seiner Aufgaben dem mit den Verarbeitungsvorgängen verbundenen Risiko gebührend Rechnung, wobei er die Art, den Umfang, die Umstände und die Zwecke der Verarbeitung berücksichtigt.". Ferner auch Art. 24 DSGVO (s.o.).
Dies darf allerdings nicht so interpretiert werden, dass gesetzliche Verpflichtungen, z.B. in Hinblick auf technische Sicherheitsanforderungen nicht erfüllt werden müssten. Es lässt sich also nur schwer sagen, inwiefern dies einem eine Erleichtung verschaffen könnte. Audits bzw. Datenschutzkontrollen tragen aber jedenfalls dem risikobasierten Ansatz Rechnung, da hier in der Regel nur Stichproben genommen werden und priorisiert werden kann.
Die Erfüllung der Rechenschaftspflichten wird üblicherweise durch eine Kombination verschiedenen Maßnahmen erfolgen:
Mehr dazu kann auch in der Rubrik zum Datenschutzmanagement nachgelesen werden.
Eine Datenschutzkontrolle bzw. eine Bestandsaufnahme hat dabei die Aufgabe zu prüfen, ob bestimmte Bestandteile des Datenschutzmanagements den gesetzlichen Anforderungen, dem Stand der Wissenschaft oder einer Best Practice entsprechen. Sofern entsprechende DIN/ISO-normierte Managmentsysteme betrieben werden, kann natürlich auch die Erfüllung der entsprechen DIN-Norm anhand der durch die Norm geforderten Dokumentation und Nachweisdokumente geprüft werden. Den rechtlichen verbindlichen und bußgeldrelevanten Rahmen stellen aber immer die jeweiligen Datenschutzgesetze!
Wir empfehlen Ihnen regelmäßige Datenschutzkontrollen einzuplanen und durchzuführen. Das hat einen positiven Einfluss auf die Umsetzung des Datenschutzes und verbessert Ihre Position, wenn mal Abstimmungsbedarf mit einer Aufsichtsbehörde für den Datenschutz besteht, deutlich.
In unserem nächsten Artikel beschäftigten wir uns mit dem Thema Kontrollen von Subunternehmern, z.B. Callcenter.
Die Audits die wir anbieten, werden durchgeführt von:
RA Michael Bock, LL.M. (Informationsrecht)
Datenschutzbeauftragte (TüV Zertifikat)
Datenschutzauditor (TüV-Zertifikat)
Zertifizierter Compliance Officer (SHB)
Information Security Officer according ISO/IEC 27000 Series - TüV Zertifikat
Information Security Auditor/ Lead Auditor - TÜV Zertifikat
SCRUM Master - TÜV Zertifikat
