In „Datenschutz verstehen: Die EU-Verordnung in Kurzform“ wurde die uneingeschränkte Rechenschaftspflicht der Verantwortlichen als erste von mehreren Maßnahmen genannt, die die Datenschutz-Grundverordnung ergreift, um die von dem Verantwortlichen durch die Verarbeitung gewonnene Macht zu begrenzen und sie mit der Macht der betroffenen Personen in Einklang zu bringen.Siehe 1.6.1 Die Verantwortlichen sind in vollem Umfang rechenschaftspflichtig für Details.

In der Datenschutz-Grundverordnung wird dieser Grundsatz wie folgt definiert:

Definition laut Art. 5 Absatz 2DSGVO: Der Verantwortliche istfür die Einhaltungdes Absatzes 1 verantwortlich und muss dessen Einhaltung nachweisen können („Rechenschaftspflicht“).

Absatz 1 bezieht sich auf die Grundsätze, die in den sechs vorangegangenen Abschnitten erörtert wurden, nämlich

• Rechtmäßigkeit, Verarbeitung nach Treu und Glauben und Transparenz;
• Zweckbindung;
• Datenminimierung;
• Richtigkeit;
• Speicherbegrenzung; und
• Integrität und Vertraulichkeit.

Anders ausgedrückt ist ein Verantwortlicher für lautArtikel 5 Absatz 2 für zwei Dinge voll verantwortlich:

• Einhaltungdieser sechs Grundsätze,
• Nachweis der Einhaltung der Vorschriften.

Die Rechenschaftspflicht ist also kein neuer Grundsatz, den die Verantwortlichen einhalten müssen, sondern sie gibt den Verantwortlichen vor, wie die sechs Grundsätze anzuwenden sind.

Beachten Sie, dass die Verpflichtung, die Einhaltung der Vorschriften nachzuweisen, einen großen Schritt über die bloße Verpflichtung zur Einhaltung hinaus darstellt.Insbesondere liegt die „Beweislast“ bei dem Verantwortlichen; ein Verantwortlicher, der nicht in der Lage oder nicht willens ist, die Einhaltung nachzuweisen, verstößt gegen die Datenschutz-Grundverordnung.

Was bedeutet es, die Vorschriften einzuhalten?

Während Art. 5 Absatz 2 nur von der Einhaltung der sechs Grundsätze spricht, muss dies eigentlich auf die gesamte Datenschutz-Grundverordnung ausgedehnt werden.Dies ist dadurch begründet, dass alle anderen Artikel dazu dienen, die Grundsätze zu präzisieren oder genauer zu beschreiben, wie sie umgesetzt werden müssen.

In der Datenschutz-Grundverordnung ist durchgängig festgelegt, wie die Einhaltung der Vorschriften erreicht werden soll, nämlich durch die Umsetzung technischer oder organisatorischer Maßnahmen.In Art. 24, der die Pflichten des Verantwortlichen beschreibt, heißt es im ersten Absatz ausdrücklich, dass die Verantwortlichen auf diese Weise die DSGVO einhalten (und ihre Einhaltung nachweisen); Art. 25 Absatz 1 besagt, dass Datenschutz durch Technikgestaltung darauf hinausläuft, solche Maßnahmen während des gesamten Lebenszyklus der Verarbeitungstätigkeit zu ergreifen; in Art. 25 Absatz 2 wird ebenfalls die Verwendung solcher Maßnahmen durch datenschutzfreundliche Voreinstellungen betont; Art. 28 Absatz 1 besagt, dass auch die Auftragsverarbeiter solche Maßnahmen ergreifen müssen; Art. 32 besagt, dass auch die Einhaltung der Sicherheitsanforderungen durch die Durchführung solcher Maßnahmen erreicht wird; und Art. 89 Absatz 1 besagt, dass die für die „Verarbeitung zu im öffentlichen Interesse liegenden Archivzwecken, zu wissenschaftlichen oder historischen Forschungszwecken oder zu statistischen Zwecken“ erforderlichen Garantien das Vorhandensein solcher Maßnahmen gewährleisten.

Da technische und organisatorische Maßnahmen für die Einhaltung der Vorschriften von so zentraler Bedeutung sind, wurde jeder der sechs oben genannten Grundsätze mit Beispielen für solche Maßnahmen abgeschlossen.

Die Einhaltung der Datenschutzanforderungen kann als Verfahren betrachtet werden.Nach dem Konzept des „Datenschutzes durch Technikgestaltung“(siehe Art. 25 Absatz 1 DSGVO) werden in jeder Lebenszyklusphase der Verarbeitungstätigkeit die Risiken für die Rechte und Freiheiten natürlicher Personen bewertet und geeignete Abhilfemaßnahmen ergriffen.Die DSGVO verwendet eine sehr weit gefasste Definition des Begriffs „technische und organisatorische Maßnahmen“.Er umfasst im Grunde alles, was ein Verantwortlicher tut, um die DSGVO einzuhalten.Daher kann sogar der oben erwähnte Bewertungsschritt als eine Maßnahme an sich betrachtet werden.

Was bedeutet es, die Einhaltung der Vorschriften nachzuweisen?

In Anbetracht der Tatsache, dass die Einhaltung der Vorschriften durch die Umsetzung geeigneter Maßnahmen erreicht wird, ist es nicht verwunderlich, dass der Nachweis der Einhaltung diese Maßnahmen dokumentiert.

Dies geht zum Beispiel aus Art. 30 Absatz 1 Buchstabe g hervor, der vorschreibt, die sicherheitsrelevanten Maßnahmen in den Verzeichnissenvon Verarbeitungstätigkeitenaufzuführen.Es ist auch von zentraler Bedeutung in Art. 35 über die Datenschutz-Folgenabschätzung, die wohl das wichtigste Instrument ist, das die Datenschutz-Grundverordnung für den Nachweis der Einhaltung der Vorschriften vorsieht.Insbesondere Art. 35 Absatz 7 Buchstabe d fordert die Verantwortlichen auf, die Maßnahmen zu erklären, die sie zum Schutz personenbezogener Daten ergriffen haben, und die Einhaltung der DSGVO nachzuweisen.

Eine ausführlichere Erörterung der Dokumentation der Verarbeitung im Allgemeinen und der Datenschutz-Folgenabschätzungen im Besonderen findet sich im Abschnitt „Wichtigste Instrumente und Maßnahmen“weiter unten.In diesen beiden Abschnitten wird auch die Bedeutung technischer und organisatorischer Maßnahmen hervorgehoben.

Größenvorteile bei der Einhaltung der Vorschriften und deren Nachweis

Wie oben dargelegt, wird die Einhaltung der Vorschriften durch die Umsetzung technischer und organisatorischer Maßnahmen erreicht.Aus den obigen Ausführungen ist ersichtlich, dass die Einhaltung der Vorschriften eine große Anzahl solcher Maßnahmen erfordern kann.Dies kann es erschweren, den tatsächlichen Schutz, den diese Maßnahmen bieten, und die einheitliche und konsequente Anwendung dieses Schutzes zu beurteilen.

Um diese Schwierigkeit abzumildern, bietet die Datenschutz-Grundverordnung einige Arten von „Abstraktionsmechanismen“, die es ermöglichen, eine Reihe von zusammenhängenden Maßnahmen als eine einzige Einheit zu betrachten.Insbesondere sieht die DSGVO zwei solcher Mechanismen in Art. 24 vor, der die „Verantwortung des für die Verarbeitung Verantwortlichen“ beschreibt:

• Datenschutzvorkehrungen(siehe Art. 24 Absatz 2DSGVO), und
• genehmigte Verhaltensregeln(siehe Art. 24 Absatz 3 und 40).

Datenschutzvorkehrungenist ein Mechanismus, um die Anwendung von Maßnahmen systematisch zu gestalten.Dadurch wird ein einheitlicher und konsistenter Satz von Maßnahmen in ähnlichen Situationen gewährleistet.Anstatt beispielsweise für jeden einzelnen von vielen sehr ähnlichen Servern beurteilen zu müssen, welche Sicherheitsmaßnahmen angemessen sind, kann eine einzige Richtlinie einmal geschrieben und auf alle Server angewendet werden.Insbesondere bei komplexen und umfangreichen Verarbeitungsvorgängen führt dies zu einer potenziell sehr bedeutenden Skaleneffizienz, die sogar mehrere unabhängige Verarbeitungsvorgänge desselben Verantwortlichen umfassen kann.

Der Mechanismus der genehmigten Verhaltensregelndehnt diese Größenvorteile über einen einzelnen Verantwortlichen hinaus auf einen ganzen Verarbeitungssektor aus.Diese Verhaltensregeln werden von Verbänden und anderen Einrichtungen ausgearbeitet, die Kategorien von Verantwortlichen oder Auftragsverarbeitern vertreten (siehe Art. 40 Absatz 2DSGVO).Beziehen sich Verhaltensregeln nicht auf Verarbeitungstätigkeiten in mehreren Mitgliedstaaten, kann die zuständige Aufsichtsbehörde siegenehmigen (siehe Art. 40 Absatz 5DSGVO) und anschließend registrieren und veröffentlichen (siehe Art. 40 Absatz 6 DSGVO).Bezieht sich ein Entwurf von Verhaltensregeln auf Verarbeitungstätigkeiten in mehreren Mitgliedstaaten, wird ein ähnliches Verfahren angewandt, an dem der Europäische Datenschutzausschuss beteiligt ist (siehe Art. 40 Absatz 7DSGVO).Verhaltensregeln bieten den Aufsichtsbehörden, die die Einhaltung der Datenschutz-Grundverordnung überwachen müssen, offensichtlich auch eine Größenvorteil.

Sowohl genehmigte Verhaltensregelnals auch Zertifizierungen (gemäß Artikel 42 DSGVO) können den Verantwortlichen beim Nachweis der Einhaltung der Vorschriften helfen (siehe Artikel 24 Absatz 3 DSGVO).