Zur Navigation springen Zum Inhalt springen Zum Footer springen

Umsetzung der Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO

(2)

Die Datenschutz-Grundverordnung wird ab dem 25. Mai 2018 mit einem „Fallbeileffekt“ das neue, europaweit weitgehend einheitlich geregelte Datenschutzrecht. Die DSGVO wird ohne eine weitere Übergangsfrist dann uneingeschränkt ihre Wirkung entfalten und alle Unternehmen betreffen, die nicht ausschließlich „analog“ arbeiten. Die Verordnung gilt unabhängig von der Unternehmensgröße und der Branchenzugehörigkeit.

Die Regelungen des Datenschutzes sind grundsätzlich anzuwenden, sobald personenbezogene Daten verarbeitet werden. Im Zusammenhang mit der Wichtigkeit der Daten für ein Unternehmen und der Anzahl an Daten, die jeden Tag in Unternehmen verarbeitet werden, wird man weniger danach fragen, ob das Thema Datenschutz ein Unternehmen betrifft, sondern vielmehr, wie weitgehend dieses ist.

Im Angesicht der Vielzahl der Änderungen Neuerungen, die die Verordnung ab Mai 2018 mit sich bringt, ist es fahrlässig, die Rechenschaftspflicht nach Art. 5 Abs. 2 der DSGVO außer Acht zu lassen.

Nach dieser Vorschrift ist der Verantwortliche für die Einhaltung der Verpflichtungen des Abs. 1 verantwortlich und muss deren Einhaltung nachweisen.

In Art. 5 Abs. 1 DSGVO werden die Prinzipien der Verarbeitung von personenbezogenen Daten genannt:

  • Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz
  • Zweckbindung
  • Richtigkeit
  • Speicherbegrenzung
  • Integrität und Vertraulichkeit

Die in Art. 5 Abs. 2 genannte Rechenschaftspflicht bezieht sich hierbei auf alle Anforderungen, die die DSGVO an die rechtmäßige Verarbeitung von personenbezogenen Daten stellt. Beispielhaft sei hier die Datenschutzfolgeabschätzung nach Artikel 35, 36 DSGVO zu nennen. Nach dieser Vorschrift muss derjenige, der personenbezogene Daten verarbeitet, bei einem hohen Risiko für die Rechte und Freiheiten natürlicher Personen vorab eine Analyse möglicher Folgen einer Verletzung erstellen. Soweit er hierbei Risiken erkannt hat, muss er diesbezügliche Sicherheitsvorkehrungen, Maßnahmen und Verfahren implementieren, die einen Datenschutzverstoß möglichst verhindern sollen.

Hierbei ist ein besonderes Augenmerk auf die technisch organisatorischen Maßnahmen zu legen, die der Verantwortliche umsetzen und nachweisen muss. Hierzu gehören insbesondere geeignete Maßnahmen zum Schutz der von der Verarbeitung betroffenen Daten. Es darf nur mit Vertragspartnern zusammengearbeitet werden, die ebenfalls nachweisen können, dass sie personenbezogene Daten durch geeignete technische organisatorische Maßnahmen schützen. Die eingesetzte IT-Landschaft ist insoweit abzusichern, dass Vertraulichkeit Integrität und Verfügbarkeit der Daten immer gewährleistet sind.

Auch innerhalb des Unternehmens sind strukturelle Maßnahmen zu ergreifen, die zur Umsetzung der Datenschutz-Grundverordnung notwendig sind. Der Verantwortliche hat ein Verzeichnis aller Verarbeitungstätigkeiten zu führen. Sämtliche Vorkommnisse, Anweisungen, oder mögliche Übermittlungen sind zu dokumentieren. Soweit die Voraussetzungen des Art. 37-39 vorliegen, ist ein Datenschutzbeauftragter zu bestellen. Schließlich hat der Verantwortliche am Ende des Datenverarbeitungsvorganges dafür Sorge zu tragen, dass Daten nicht nur aus Ausweis unverzüglich zu löschen sind, es muss auch sichergestellt werden dass alle diesbezüglichen Informationen den berechtigten Personen zu gehen.

Fasst man Vorgenanntes zusammen, wird der Verantwortliche sich nicht den Gedanken entziehen können, ein geeignetes Datenschutzmanagementsystem zu kreieren und zu implementieren. Hilfestellung bietet hierbei die Struktur schon existierender Sicherheitsmanagementsysteme, wie zum Beispiel der ISO 27001.


Rechtstipp vom 28.02.2017
aus dem Rechtsgebiet IT-Recht

Sie haben Fragen? Gleich Kontakt aufnehmen!

Rechtstipps zum Thema

Rechtstipps des Autors

Alle Rechtstipps von Rechtsanwalt Thomas Feil (Feil Rechtsanwaltsgesellschaft mbH)

Damit Sie wissen, wann Sie im Recht sind

Neue Urteile, hilfreiche Tipps und Kurioses im wöchentlichen anwalt.de-Newsletter.