Gemäß Artikel 5 Absatz 2 DSGVO ist der Verantwortliche für die Einhaltung aller in Artikel 5 Absatz 1 genannten Grundsätze der Datenschutz-Grundverordnung verantwortlich und muss dessen Einhaltung nachweisen können. Dazu gehört auch der Grundsatz der Rechenschaftspflicht.
Der Grundsatz der Rechenschaftspflicht der DSGVO ist risikobasiert: Je höher das Risiko der Datenverarbeitung für die Grundrechte und -freiheiten der betroffenen Personen ist, desto umfassender sind die Maßnahmen, die zur Minderung dieser Risiken erforderlich sind.[1] Der Grundsatz der Rechenschaftspflicht beruht auf mehreren Pflichten der Verantwortlichen, darunter: Transparenzpflichten (Artikel 12–14); Gewährleistung der Ausübung der Datenschutzrechte (Artikel 15–22); Führung eines Verzeichnisses von Datenverarbeitungstätigkeiten (Artikel 30); Meldung etwaiger Datenschutzverletzungen an eine nationale Aufsichtsbehörde (Artikel 33) und Benachrichtigung der betroffenen Personen (Artikel 34); sowie, in Fällen mit höherem Risiko, Beauftragung eines Datenschutzbeauftragten und Durchführung einer Datenschutz-Folgenabschätzung (Artikel 35).
Checkliste[2]:
Der Verantwortliche hat dokumentiert, wie unerwünschte Auswirkungen des Systems oder Werkzeugs erkannt, gestoppt und vor einer Wiederholung geschützt werden. Der Verantwortliche hat alle Maßnahmen der Organisation und die implementierten Garantien dokumentiert, um die Einhaltung der Datenschutzverordnung zu gewährleisten. Wenn Daten für vereinbare Zwecke verwendet werden, hat der Verantwortliche die Durchführung einee Vereinbarkeitsprüfung angemessen dokumentiert. Der Verantwortliche hat alle durchgeführten Datenschutz-Folgenabschätzungen, die Tätigkeiten des entsprechenden Datenschutzbeauftragten und seine Interaktionen mit den entsprechenden Datenschutzbehörden (falls zutreffend) dokumentiert. |
Quellenangaben
1Siehe Artikel 24, 25 und 32 DSGVO, die von den Verantwortlichen verlangen, unter Berücksichtigung der „Eintrittswahrscheinlichkeit und Schwere der Risiken für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen umzusetzen“. ↑
2Diese Checkliste wurde auf der Grundlage der EDSA erstellt, Leitlinien 04/2020 für die Verwendung von Standortdaten und Tools zur Kontaktnachverfolgung im Zusammenhang mit dem Ausbruch von COVID-19. Angenommen am 21. April 2020 ↑