DSGVO - BDSG - TTDSG

39

Der Grundsatz der Integrität und Vertraulichkeit wird etwa durch die Regelungen in Art. 32 Abs. 1 Hs. 2 lit. b DSGVO sowie Art. 28 Abs. 3 Satz 2 lit. b DSGVO substanziiert;93

– Gem. Art. 32 Abs. 1 Hs. 2 lit. b DSGVO ist der Verantwortliche zur Ergreifung technischer und organisatorischer Maßnahmen verpflichtet,94 die insbesondere solche Maßnahmen mit einschließen, welche die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherstellen.95

– Nach Maßgabe des Art. 28 Abs. 3 Satz 2 lit. b DSGVO muss ein Auftragsverarbeitungsvertrag die Pflicht des Auftragsverarbeiters zur Gewährleistung, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen, enthalten (siehe Art. 28 Rn. 46).

40

Der Regelungsgehalt des Art. 5 Abs. 2 DSGVO erschöpft sich nicht allein darin, den Verantwortlichen zur Einhaltung der vorgenannten Verarbeitungsgrundsätze zu verpflichten, sondern ihm wird vielmehr auch die Pflicht auferlegt, die Einhaltung der Grundsätze erforderlichenfalls nachweisen zu können. Diese Rechenschaftspflicht96 und die mit ihr einhergehende Notwendigkeit umfangreicher Dokumentationsmechanismen gehen über die bloße Sicherstellungspflicht, die nach Art. 6 Abs. 2 DSRl vorgesehen war, hinaus.97 Gegenüber der alten Rechtslage hat nunmehr die Eigenverantwortung sowie insbesondere die Dokumentationspflicht des Verantwortlichen an Bedeutung gewonnen.98

41

Im Rahmen ihrer Rechenschaftspflicht müssen Verantwortliche – nicht aber andere Adressaten der DSGVO, insbesondere Auftragsverarbeiter99 – im Falle einer entsprechenden Anweisung der Aufsichtsbehörde nach Art. 58 Abs. 1 lit. a DSGVO (siehe Art. 58 Rn. 11) dazu imstande sein, die Einhaltung der Grundsätzedes Art. 5 Abs. 1 lit. a bis f nachzuweisen.100 Dies könnte dazu führen, dass dem Verantwortlichen gegenüber der Aufsichtsbehörde die Beweislast für die Rechtmäßigkeit seines Handelns auferlegt wird.101 Die Annahme einer Beweislastumkehrim Bußgeld- bzw. Strafverfahren ist jedoch mit der Unschuldsvermutung nach Art. 48 Abs. 1 GRCh nur schwerlich in Einklang zu bringen.102 Ob die Rechenschaftspflicht daher lediglich als materielle Nachweispflicht oder aber auch als prozessuale Beweislastregel zu verstehen ist, wird erst die behördliche und gerichtliche Praxis zeigen.103 Im Hinblick auf etwaige zivilrechtliche Schadensersatzprozesse ergibt sich hingegen unmittelbar aus Art. 82 Abs. 3 DSGVO, dass der Verantwortliche den Entlastungsbeweis führen muss (siehe Art. 82 Rn. 74ff.).104

42

Zum Nachweis der Einhaltung der in Art. 5 Abs. 1 lit. a DSGVO niedergelegten Grundsätze ( Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz) sollte der Verantwortliche insbesondere auf die folgenden Aspekte besonderes Augenmerk legen:

– Alle bestehenden Verarbeitungstätigkeiten sollten schriftlich dokumentiert werden. Zur Führung eines solchen Verzeichnisses von Verarbeitungstätigkeiten ist der Verantwortliche (und in eingeschränktem Maße auch der Auftragsverarbeiter) nach Maßgabe des Art. 30 DSGVO im Regelfall sogar ausdrücklich verpflichtet. Diese Übersicht sollte empfehlenswerterweise auch die Rechtsgrundlage für jeden bestehenden Verarbeitungsprozess enthalten.

– Sofern eine Datenübermittlung in Drittländer erfolgt, sollte der einschlägige Erlaubnistatbestand der Art. 44ff. DSGVO (beispielsweise ein Angemessenheitsbeschluss der EU-Kommission, der Abschluss von EU-Standardvertragsklauseln oder verbindliche interne Datenschutzvorschriften) dokumentiert werden.

– Es sollte festgehalten werden, ob und inwieweit die Betroffenen über die Datenverarbeitung informiert und welche Maßnahmen (wie beispielsweise das Vorhalten einer Datenschutzerklärung oder interner Mitarbeiterleitfäden) diesbezüglich getroffen worden sind. Insbesondere sollte möglichst präzise dokumentiert werden, auf welche Weise die Informationspflicht gem. Art. 13, 14 DSGVO umgesetzt worden ist. In diesem Zusammenhang sollte auch dokumentiert werden, wann und wie eine betroffene Person über ihre Rechte (namentlich die Rechte auf Auskunft, Berichtigung, Löschung, Einschränkung, Widerspruch, Widerruf der Einwilligung sowie die Rechte bei automatisierten Entscheidungsfindungen) aufgeklärt worden ist.

– Auch die Dokumentation der in Bezug auf die Ausübung von Betroffenenrechten getroffenen Maßnahmen (z.B. erfolgte Auskunftserteilungen oder Datenübertragungen, durchgeführte Löschungen oder Einschränkungen der Verarbeitung, Berichtigungen, Fristen der Beantwortung der Anfragen) ist ratsam.

– Im Hinblick auf automatisierte Entscheidungen mit relevanten Auswirkungen für die betroffenen Personen (Art. 22 DSGVO) sollten die entsprechenden Entscheidungsprozesse sowie die Gründe hierfür festgehalten werden (Art. 22 Abs. 2 DSGVO). Ferner sollte dokumentiert werden, inwieweit der Betroffene die Möglichkeit hatte, auf den Entscheidungsfindungsprozess einzuwirken (Art. 22 Abs. 3 DSGVO).

43

Zur Wahrung der Rechenschaftspflicht im Hinblick auf die Grundsätze der Zweckbindung, Datenminimierung, Richtigkeit, Speicherbegrenzung sowie Integrität und Vertraulichkeitist die gewissenhafte Dokumentation der folgenden Aspekte von besonderer Relevanz:

– Spätestens zu Beginn einer jeden Verarbeitung sollte(n) deren Zweck(e) schriftlich festgehalten werden. Dies kann ggf. im Rahmen eines Verzeichnisses von Verarbeitungstätigkeiten geschehen (vgl. bereits Rn. 42).

– Im Fall einer Zweckänderung sollte die Rechtsgrundlage für die Weiterverarbeitung angegeben werden, sofern der Betroffene insoweit keine Einwilligung erteilt hat. Ggf. sollte dokumentiert werden, aus welchen Gründen der neue Zweck mit dem Erhebungszweck vereinbar ist. Ferner sollte nachweisbar sein, dass der Betroffene über den neuen Verarbeitungszweck informiert worden ist.

– Der Verantwortliche sollte schriftlich fixieren, welche Maßnahmen er zur Umsetzung des Verarbeitungsgrundsatzes der Datenminimierung getroffen hat. Dies umfasst insbesondere die Maßnahmen zur Umsetzung des Datenschutzes durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen gem. Art. 25 DSGVO (beispielsweise Maßnahmen zur Verschlüsselung/Pseudonymisierung sowie datensparsame Konfigurationen).

– Zudem sollten die ergriffenen Maßnahmen zur Sicherstellung, dass die personenbezogenen Daten auf dem neuesten Stand und korrekt sind, dokumentiert werden.

– Die Aufzeichnungen des Verantwortlichen sollten darüber hinaus Informationen über die bestehenden Löschkonzepte und deren Umsetzung sowie eine Protokollierung vorgenommener Löschungen beinhalten.

– Schließlich sollte festgehalten werden, welche technischen und organisatorischen Maßnahmen in Umsetzung der Art. 32 Abs. 1 Hs. 2 lit. b, 28 Abs. 3 Satz 2 lit. b DSGVO implementiert worden sind (beispielsweise Notfallmaßnahmen, Sicherungsmaßnahmen für IT-Systeme oder Zugriffsbeschränkungen).105

44

Problematisch ist, dass in Art. 5 Abs. 2 DSGVO keine zeitliche Grenzefür die Befähigung zum Nachweis vorgesehenist, sodass zum Teil von der Notwendigkeit einer grundsätzlich dauerhaften Aufbewahrung der Dokumentationen ausgegangen wird.106 Eine solchermaßen weitreichende Nachweispflicht dürfte vom Verordnungsgeber im Lichte des die DSGVO prägenden risikobasierten Ansatzes sowie des Grundsatzes der Verhältnismäßigkeit allerdings nicht intendiert gewesen sein.107 Wie lange Dokumentationen zum Nachweis der DSGVO-Konformität aufbewahrt werden sollten, lässt sich jedoch konkreter bestimmen, wenn man das Ziel der Haftungsvermeidung als Ausgangspunkt betrachtet: Sofern der Verantwortliche nicht nachweisen kann, dass seine Verarbeitungstätigkeit den Grundsätzen des Art. 5 Abs. 1 DSGVO entspricht, droht ein Bußgeld gem. Art. 83 Abs. 5 lit. a DSGVO. Da die Verordnung keine Aussage über die Verjährung der aufsichtsbehördlichen Befugnisse zur Verhängung einer Geldbuße trifft, könnte insofern hilfsweise mittels einer extensiven Auslegung des Art. 83 Abs. 8 DSGVO auf mitgliedstaatliche gesetzliche Bestimmungen zurückgegriffen werden (siehe Art. 83 Rn. 154f.).108 Im Zuge dessen könnte auf § 41 Abs. 2 Satz 1 BDSG abgestellt werden, der im Hinblick auf Verfahren wegen eines Verstoßes nach Art. 83 Abs. 4 bis 6 der Verordnung die Vorschriften des OWiG für entsprechend anwendbar erklärt. Bei Heranziehung der OWiG-Vorschriften würde man zu dem Ergebnis gelangen, dass die Verletzung der Rechenschaftspflicht nach Art. 5 Abs. 2, 83 Abs. 5 lit. a DSGVO gem. § 31 Abs. 2 Nr. 1 OWiG spätestens nach drei Jahren aufgrund der dann eingetretenen Verfolgungsverjährungnicht mehr geahndet werden könnte und eine Dokumentation nur für diesen Zeitraum geboten ist. Weitere Details sind jedoch noch ungeklärt und insbesondere erscheint fraglich, ob hinsichtlich des Verjährungsbeginns nach § 31 Abs. 3 Satz 1 OWiG die Grundsätze zur echten Unterlassungsordnungswidrigkeit entsprechend herangezogen werden können,109 zumal ein Verstoß nicht nur bußgeldrelevant ist, sondern auch andere Maßnahmen der Aufsichtsbehörde oder zivilrechtliche Ansprüche nach sich ziehen kann. Im Ergebnis erscheint ein Richtwert von drei Jahrenals erster Ausgangspunkt für die Abwägung, wie lange Nachweise aufbewahrt werden sollten, dennoch sinnvoll. Im Rahmen dieser Abwägung sollte freilich nicht nur die Vermeidung von Bußgeldern, sondern aus Risikogesichtspunkten auch die Relevanz der dokumentierten Sachverhalte sowie die Abwehr etwaiger Schadensersatzansprüche nach Art. 82 DSGVO Berücksichtigung finden, da der Verantwortliche diesbezüglich die Beweislast trägt (siehe oben Rn. 41). Schadensersatzansprüche nach Art. 82 DSGVO verjähren unabhängig von der Kenntnis des Klägers gem. § 199 Abs. 3 BGB innerhalb von zehn bzw. dreißig Jahren und bei Kenntnis des Klägers von den maßgeblichen Umständen innerhalb von drei Jahren.110