Kategorien
Neueste Beiträge
Nachweispflicht eines Verantwortlichen
Wenn wir über das Thema Datenschutz schreiben, erwähnen wir unermüdlich die hohe Bedeutung der zu erstellenden Datenschutzdokumente. Dabei handelt es sich um Dokumente wie die Datenschutzinformationen, die Richtlinien für Prozesse, die Datenschutzbelange betreffen, die Leitlinie etc. Was hat es aber mit der Nachweispflicht eines Verantwortlichen auf sich?
Die Nachweispflicht in der DSGVO
Die DSGVO selbst weist explizit auf die Nachweispflicht, auch Rechenschaftspflicht genannt, eines Verantwortlichen hin. In Art. 5 Abs. 2 DSGVO ist geregelt, dass ein Verantwortlicher die Einhaltung der Grundsätze der Verarbeitung nach Art. 5 Abs. 1 DSGVO nachweisen können muss.
Die Grundsätze der Verarbeitung gemäß der DSGVO
Wenn ein Verantwortlicher personenbezogene Daten verarbeitet, muss er die Grundsätze der Verarbeitung dieser Daten einhalten. Die Grundsätze sind folgende:
1) Rechtmäßigkeit und Transparenz der Verarbeitung und Verarbeitung nach Treu und Glauben (Art. 5 Abs. 1 lit. a) DSGVO),
2) Zweckbindung (Art. 5 Abs. 1 lit. b) DSGVO),
3) Datenminimierung (Art. 5 Abs. 1 lit. c) DSGVO),
4) Richtigkeit der verarbeiteten Daten (Art. 5 Abs. 1 lit. d) DSGVO),
5) Speicherbegrenzung der verarbeiteten Daten (Art. 5 Abs. 1 lit. e) DSGVO),
6) Integrität und Vertraulichkeit der Verarbeitung (Art. 5 Abs. 1 lit. F) DSGVO).
In unserem Beitrag „Grundsätze für die Verarbeitung personenbezogener Daten“ gehen wir ausführlicher auf die Grundsätze selbst ein.
Die Folge der Grundsätze
Nun ist es lobenswert, aber eben nicht ausreichend, wenn ein Verantwortlicher diese Grundsätze einhält. Er muss dies auch nachweisen können. Den Nachweis erbringt ein Verantwortlicher am besten durch die Dokumentation.
Verzeichnis von Verarbeitungstätigkeiten
Dieses Ziel lässt sich damit erreichen, dass ein Verantwortlicher ein Verzeichnis von Verarbeitungstätigkeiten gemäß Art. 30 DSGVO erstellt. Allerdings ist hier darauf zu achten, dass Verarbeitungsvorgänge sich ändern können. Es kann also sein, dass bestimmte Prozesse, durch die ein Verantwortlicher personenbezogenen Daten verarbeitet, nicht mehr stattfinden, sich ändern oder es neue Verarbeitungsprozesse gibt. Das bedeutet, das Verzeichnis von Verarbeitungstätigkeiten ist stets auf dem neuesten Stand zu halten. Hat ein Verantwortlicher durch das Verzeichnis von Verarbeitungstätigkeiten einen Überblick über die Verarbeitungsprozesse, kann er auch entsprechende Arbeitsanweisungen zur Verarbeitung von personenbezogenen Daten unternehmensintern kommunizieren.
Zudem stellt das Verzeichnis von Verarbeitungstätigkeiten eine der Grundlagen der Prüfung und Beratung durch den Datenschutzbeauftragten dar. Schließlich kann die Datenschutzaufsichtsbehörde sich das Verzeichnis von Verarbeitungstätigkeiten im Rahmen ihrer umfangreichen Untersuchungsbefugnisse – mehr zu diesen hier – vorlegen bzw. zusenden lassen (siehe Art. 58 DSGVO).
Richtlinien zum Datenschutz und zur -sicherheit
Die Nachweispflicht kann ein Verantwortlicher auch durch den Erlass prozessbezogener Richtlinien im jeweiligen Anwendungsbereich der Richtlinie erfüllen. So ist es einerseits für die Beschäftigten möglich, sich jederzeit über die für sie zutreffenden Arbeitsanweisungen zu informieren. Andererseits kann ein Verantwortlicher mit diesen nachweisen, dass er technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO ergriffen hat. – Mehr zu den Richtlinien zum Datenschutz erfahren Sie hier. –
Auftragsverarbeitungsverträge und Verträge zur gemeinsamen Verantwortlichkeit
Auch datenschutzrechtlich ggf. notwendige Verträge dienen der Nachweispflicht eines Verantwortlichen. So hält ein Verantwortlicher mit einem Auftragsverarbeiter mithilfe des Auftragsverarbeitungsvertrages gemäß Art. 28 Abs. 3 DSGVO die Rechten und Pflichten beider Parteien fest. Liegt eine gemeinsame Verantwortung nach Art. 26 DSGVO vor, regeln beide Parteien, wer aus Sicht des Datenschutzes wofür verantwortlich ist und personenbezogene Daten inwiefern verarbeiten darf.
Interessenabwägungen
Es kommt vor, dass ein Verantwortlicher ein berechtigtes Interesse nach Art. 6 Abs. 1 lit. f) DSGVO an der Verarbeitung von personenbezogenen Daten hat; bei einem öffentlichen Interesse im Bereich der öffentlichen Gesundheit ist Art. 9 Abs. 2 lit. f) DSGVO zutreffend. Hier ist es wichtig, die Abwägung des Interesses des Verantwortlichen an der Datenverarbeitung mit den Interessen der betroffenen Personen und deren Recht auf den Schutz ihrer personenbezogenen Daten zu dokumentieren, um ggf. einen Nachweis bereitstellen zu können.
Datenschutz-Folgenabschätzung
Weiterführend kann sich dann durch u. a. eine Prüfung hierfür ergeben, dass eine Datenschutz-Folgenabschätzung gemäß Art. 35 DSGVO durchzuführen ist. Zuerst ist dabei zu ermitteln, ob ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen als Folge einer Datenverarbeitung bestehen könnte (Schwellwertanalyse). Im Rahmen einer Datenschutz-Folgenabschätzung ist zu prüfen und zu dokumentieren, ob die vorgesehenen Maßnahmen (z. B. Sicherheitsvorkehrungen, Garantien etc.) ausreichend sind, um die geprüften Risiken ausreichend absichern zu können.
Weitere Datenschutzdokumente
Der Verantwortliche muss nachweisen können, dass er die entsprechenden Datenschutzinformationen für die jeweiligen Verarbeitungen den betroffenen Personen zur Verfügung gestellt hat (siehe Artt. 13, 14 DSGVO). Ein Löschkonzept darf nicht fehlen und auch das Berechtigungskonzept ist nicht zu vernachlässigen. Es ist zu betrachten, wann bestimmte Verarbeitungsvorgänge ausschließlich mithilfe der dokumentierten Einwilligung einer betroffenen Person vorgenommen werden können. Abgeschlossenen Vertraulichkeitsverpflichtungen sind nachweisbar zu speichern. Jegliche Maßnahmen zum Schutz und zur Sicherheit der personenbezogenen Daten sind zu dokumentieren.
Es ist für jeden Verantwortlichen, jede Einrichtung, jede Arztpraxis, jedes Krankenhaus, jedes Unternehmen, jeden Verein etc. individuell zu betrachten, welche Dokumente existieren, zu aktualisieren oder zu erstellen sind. Die oben genannten Dokumente sind dabei nicht abschließend, sondern stellen nur Beispiele für die Erfüllung der Nachweispflicht dar.
Fazit
Es ist ein kurzer Absatz in der DSGVO, der eine große Bedeutung für die Datenschutzorganisation des Verantwortlichen bei etwaigen Nachfragen durch die Datenschutzaufsichtsbehörde haben kann. Allerdings nicht nur das: All diese Dokumente aktuell und parat zu haben, kann auch bei Datenschutzvorfällen helfen. So sind Verantwortliche in der Lage, möglichst schnell und innerhalb der ihnen gesetzten Fristen ihre Nachweispflicht erfüllen zu können.
Bei der Umsetzung Ihrer Nachweispflicht können wir helfen und Sie unterstützen. Kontaktieren Sie uns gern.