Begriffe der EU DSGVO: Was Accountability konkret bedeutet

Im Zuge der EU DSGVO sind einige neue Begrifflichkeiten ins Gespräch gekommen – oder sie werden zumindest neu interpretiert. Darunter befindet sich auch die Rechenschaftspflicht, oder auch Accountability. Um dieser gerecht zu werden, sind einige Maßnahmen im Vorfeld zum 25. Mai 2018 notwendig. Was Sie darüber unbedingt wissen sollten und welche Punkte zur Nachweisbarkeit und Transparenz zu erfüllen sind, lesen Sie in diesem Grundlagenbeitrag zur EU DSGVO.

EU DSGVO: Was Accountability von Unternehmen fordert

Mit der Accountability, zu Deutsch Rechenschaftspflicht, kommt eine grundlegende Veränderung auf die Unternehmensführung zu. Denn diese ist in der Regel verantwortlich für die Verarbeitung von personenbezogenen Daten. Dabei werden die Verfahrensverzeichnisse, die bereits zuvor gefordert waren, auf ein neues Level gehoben. Im Sinne der EU DSGVO stellt die Accountability nun Anforderungen an etwa ein spezielles Verzeichnis, in dem Verarbeitungstätigkeiten dokumentiert werden. Ausgenommen davon sind Kleinstunternehmen und KMU

  • mit weniger als 250 Mitarbeitern und deren Datenverarbeitung
  • keine sensiblen Daten betrifft
  • nur gelegentlich stattfindet
  • kein Risiko der Verletzung der Interessen der Betroffenen darstellt.

In einem ordnungsgemäß geführten Verfahrensverzeichnis müssen der Zweck, die Fristen zur Löschung und eine Beschreibung der Kategorien der Daten und der Empfänger sowie der Datensicherheitsmaßnahmen (technisch wie organisatorisch) dargelegt werden. Hinweis: Sollten Sie das Erstellen der Verfahrensverzeichnisse auslagern, ist dennoch der Verantwortliche, meist die Unternehmensführung, für die Vollständigkeit und Richtigkeit haftbar (Art. 5 Abs. 2).

Die Rolle des Verantwortlichen im Hinblick auf Accountability

Der Verantwortliche für die Verarbeitung von personenbezogenen Daten im Unternehmen muss

  • die gesetzlichen Vorgaben und Grundsätze einhalten
  • das rechtmäßige Einhalten nachweisen können
  • damit einen wichtigen Teil der betrieblichen Compliance sicherstellen.

Im Vergleich zu nun auslaufenden Anforderungen an die Rechenschaftspflicht kommen weitere Pflichten zur Dokumentation und zur Nachweisbarkeit auf die Verantwortlichen zu. Die daher zu erstellenden Verzeichnisse bauen vorrangig auf Artikel 5 Absatz 1 und Artikel 24 Absatz 1, aber auch Artikel 40 und 42 bezüglich genehmigter Verhaltensregeln und Zertifizierungen.

Definitiv in den Verzeichnissen enthalten sein müssen (Art. 5, Abs. 1 a-f):

  1. Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz
  2. Zweckbindung
  3. Datenminimierung
  4. Richtigkeit
  5. Speicherbegrenzung
  6. Integrität und Vertraulichkeit.

Art. 24 Abs. 1 nimmt auch eine Einschätzung des Risikos durch die Verarbeitung der personenbezogenen Daten sowie die Maßnahmen zur Datensicherheit in die Accountability durch die Verantwortlichen mit auf. Weitere Hinweise zur Umsetzung, etwa die technische Einrichtung von Datenmanagementsystemen, finden sich in Erwägungsgrund 78.

Sobald dem Verantwortlichen eine Verletzung des Datenschutzes hinsichtlich personenbezogenen Daten bekannt werden, hat dieser den Sachverhalt an die Aufsichtsbehörde zu melden – und zwar innerhalb von 72 Stunden. Eine Ausnahme gilt dann, wenn der Verantwortliche in Übereinstimmung mit der Accountability nachweisen kann, dass diese Verletzung aller Voraussicht nach kein Risiko für natürliche Personen, ihrer persönlichen Rechte und Freiheiten darstellt.

Wir wünschen Ihnen viel Erfolg bei der Umsetzung und dem Anlegen der Verzeichnisse; auf eine wasserdichte Accountability!

 

Anmerkung der Redaktion: Dieser Beitrag stellt weder eine rechtliche Beratung noch einen Ersatz derselben dar.

Kennen Sie schon die Leinwände von Inspiring Art?