Die Rechenschaftspflicht nach DSGVO: Eine neue Denkweise
Wer sich mit Datenschutz beschäftigt, stößt früher oder später auch auf das Thema Rechenschaftspflicht, das ist durchaus nichts Neues. Auch die bestehende EU-Datenschutzrichtlinie beinhaltet die Grundsätze von Transparenz und Fairness und verpflichtet Organisationen dazu, personenbezogene Daten verantwortungsbewusst zu behandeln und über ihre Verarbeitung Rechenschaft abzulegen.
Die Datenschutz-Grundverordnung (DSGVO) widmet dem Prinzip der Rechenschaftspflicht aber sogar einen eigenen Artikel. Gemäß Artikel 24 sollen Organisationen „geeignete technische und organisatorische Maßnahmen“ umsetzen, um „den Nachweis dafür erbringen“ zu können, dass sie der Verordnung entsprechen. Dies setzt auch „die Anwendung geeigneter Datenschutzvorkehrungen“ voraus, ferner ist die Organisation verpflichtet, diese Maßnahmen erforderlichenfalls zu überprüfen und zu aktualisieren.
Diese Bestimmungen sollen Organisationen dazu anhalten, Programme zur Datenschutz-Compliance sowie Datenschutzverwaltungssysteme fest in ihre Datenschutzverfahren zu integrieren.
Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen ist das Fundament des Rechenschaftsprinzips und der neuen Denkweise, die durch die DSGVO angestrebt werden.
Welche Maßnahmen eine Organisation nun genau ergreifen sollte, um den Compliance-Nachweis zu erbringen, hängt unter anderem von ihrer Größe und Struktur sowie der Datenverarbeitung ab, die sie vornimmt. Es gibt keine Einheitslösung für alle, sondern jeder muss seinen eigenen Weg hin zur Compliance gehen. Der eigentliche Sinn des Rechenschaftsprinzips besteht jedoch darin, dass Organisationen die Verantwortung für die Art und Weise übernehmen, wie sie und ihre Auftragsverarbeiter die Daten, mit denen sie zu tun haben, über deren gesamten Lebenszyklus schützen.
Die DSGVO setzt mehr Eigeninitiative und eine ganzheitlichere Betrachtung voraus als der bestehende gesetzliche Rahmen. Organisationen, die der DSGVO entsprechen möchten, müssen diese neue Denkweise und umfassendere Sicht der Dinge verinnerlichen. Für sie muss der Datenschutz bereits beim ersten Entwurf eines Produktes oder einer Dienstleistung und bis hin zum Ende des Daten-Lebenszyklus eine wesentliche Rolle spielen.
Ein Unternehmen, das als Verantwortlicher dem Rechenschaftsprinzip entsprechen will, wird möglicherweise einige der nachfolgenden Verfahrensweisen einführen müssen:
- Ausführlichere Aufzeichnungen von Verarbeitungsvorgängen pflegen. Dazu gehören der Verarbeitungszweck und die Art der Daten, Empfängerkategorien, Kategorien betroffener Personen, die Übermittlung personenbezogener Daten ins Ausland inklusive Nachweis eines geeigneten Schutzniveaus, Terminpläne für die Datenlöschung und eine allgemeine Beschreibung der technischen und organisatorischen Sicherheitsmaßnahmen, denen alle Verarbeitungsaktivitäten unterliegen.
- Effektive und transparente Kommunikation mit betroffenen Personen über die Verarbeitung ihrer personenbezogenen Daten sowie ihre Rechte gewährleisten.
- Abonnement- und Antragsformulare, Datenschutzhinweise und andere relevante Website-Bedingungen umfassend analysieren.
- Verfahren zur Einholung von Einwilligungen betroffener Personen überprüfen, um sicherzustellen, dass sie eindeutig, präzise und aus freiem Willen gegeben werden und leicht widerrufbar sind.
- Umsetzung geeigneter technischer und organisatorischer Maßnahmen zum angemessenen Schutz der Rechte und Freiheiten betroffener Personen sicherstellen. Ebenso sicherstellen, dass Auftragsverarbeiter ausreichende Garantien geben, sodass diese Schutzmaßnahmen auch dann gewährleistet sind, wenn Dritte im Auftrag der Organisation handeln.
- Vereinbarungen über die Datenverarbeitung überprüfen, um die Einhaltungen der vorgeschriebenen DSGVO-Bestimmungen sicherzustellen, beispielsweise die Verpflichtung zur Unterstützung der Rechte betroffener Personen, Sicherheit und Datenschutz-Folgenabschätzung und Ernennung untergeordneter Auftragsverarbeiter.
- Einen Datenschutzbeauftragten benennen, der die Compliance sicherstellt und Kunden als Ansprechpartner für Datenschutzfragen zur Verfügung steht.
- In der Lage sein zu identifizieren, wann die Datenverarbeitung mit hohem Risiko verbunden sein könnte, um dieses im Zuge einer Datenschutz-Folgenabschätzung zu analysieren und die erforderlichen Schutzmaßnahmen zu ergreifen.
Die Rechenschaftspflicht ist kein einmalig anzuwendender Grundsatz, sondern sollte langfristig Bestandteil des Datensicherheitsdenkens der Organisation werden und erfordert, dass Organisationen einen aktiven und systemischen Ansatz wählen.
Jede Organisation muss ihre Verfahrensweisen im Hinblick auf die Rechenschaftspflicht überprüfen. Die neue Denkweise, die dieses Prinzip erfordert, ist ein wichtiger Schritt, um die Compliance mit der DSGVO zu gewährleisten.
Weitere Informationen entnehmen Sie bitte unserem DSGVO-Guidance-Center. Dort finden Sie auch Tipps zur DSGVO und Informationen, wie wir unsere Nutzer auf ihrem Weg zur Compliance unterstützen.
Beachten Sie bitte, dass dieser Artikel ausschließlich zu Informationszwecken dient und keine Rechtsberatung darstellt. Wenn Sie weitere Informationen benötigen, wenden Sie sich bitte an Bristows LLP (www.bristows.com).