91
Da die Grundsätze in Art. 5 Abs. 1in der DS-GVO konkretisiert werden, kommt der Bußgeldbewährung über die Öffnungsklauseln zur Rechtmäßigkeit eine eigenständige Bedeutung zu. Ein Verstoß gegen die Zulässigkeitstatbestände des BDSG n.F. und bereichsspezifischer Regeln ist damit in gleiche Weise sanktioniert wie die nach Art. 6 ff.
92
Zudem kann ein Betroffener für etwaige Schäden nach Art. 82Schadensersatz verlangen.[116]
C. Praxishinweise
I. GDD-Praxishilfe DS-GVO IX „Accountability“
93
Die GDD hat eine Praxishilfe zur Accountability herausgegeben. Die Accountabilitiy sollte danach durch folgende Maßnahmensichergestellt werden:[117]
– |
Eine betriebliche Datenschutz-Policysoll den Mitarbeitern eine Orientierung über allgemein einzuhaltende Anforderungen geben. Sie legt u.a. Verantwortlichkeiten fest und konkretisiert die Zusammenarbeit mit dem betrieblichen oder behördlichen Datenschutzbeauftragten. |
– |
Eine Sensibilisierung der mit Verarbeitungsvorgängen befassten Mitarbeiter und eine zielorientierte Schulung zum Datenschutz stellen generell eines der wichtigsten Mittel der Datenschutzorganisation dar, um präventiv auf datenschutzkonformes Handeln hinzuwirken. |
– |
Eine Verpflichtung auf die Vertraulichkeitist Basis Accountability und des Datenschutzmanagements nach Art. 24. Sie ersetz die Verpflichtung auf das Datengeheimnis nach § 5 BDSG a.F.[118]. Art. 28 Abs. 3 lit. b verpflichtet Auftragsverarbeiter die mit der Datenverarbeitung betrauten Personen auf die Vertraulichkeit zu verpflichten. |
– |
Das Herstellen einer umfassenden Transparenzder Verarbeitung der personenbezogenen Daten ist wesentliche Verpflichtung der Accountability nach Art. 5. Hierzu gehört, dass zu jedem der folgenden Artikel der Nachweis erbracht wird, wie die Umsetzung im Unternehmen erfolgt ist. Zum Nachweis der Umsetzung der Accountability ist unternehmensbezogen und risikoorientiert zu jedem einzelnen Element der Betroffenenrechte zu prüfen und zu dokumentieren, welche Prozesse und Maßnahmen bestehen. |
– |
Mit der DS-GVO wird die Meldung von Verletzungen des Schutzes personenbezogener Datenan die Aufsichtsbehörde und an betroffene Personen ( Art. 33und 34) auf alle verantwortlichen Stellen ausgedehnt. Die Meldung solcher „Datenpannen“, bzw. von solchen Sicherheitsvorfällen ist wesentlicher Teil der Accountability, denn nur so kann die verantwortliche Stelle den Nachweis des verantwortlichen Umgangs mit personenbezogen Daten auch für die Fälle erbringen, in denen Fehler auftreten, die „voraussichtlich zu einem Risiko für die Rechte und Freiheiten natürlicher Personen“ führen. Bei einem hohen Risiko sind auch die betroffenen Personen zu informieren. |
– |
Herzstück eines transparenten und effizienten Datenschutzmanagements ist, wie schon bislang das Verfahrensverzeichnis, ein vollständiges, aktuell gehaltenes Verzeichnis der Verarbeitungstätigkeiten.[119] |
– |
Verarbeitungen, mit denen voraussichtlich ein hohes Risiko für die Persönlichkeitsrechte von Betroffenen verbunden ist, bedürfen der Datenschutzfolgenabschätzung (DSFA). Auch um zum Ergebnis zu kommen, dass/wo solche Risiken nicht vorliegen, bedarf es eines systematischen Ansatzes zur datenschutzrechtlichen Risikoanalyse. Dies geschieht sinnvollerweise im Zuge der Erfassung der einzelnen Verarbeitungstätigkeiten. Somit bietet es sich an, auch die Dokumentation der Risikoanalysen und der DSFA an das VVT anzufügen. |
– |
Der sog. PDCA-Zyklus („Plan-Do-Check-Act“)[120] nach Deming beschreibt einen kontinuierlichen Verbesserungsprozess und ist die Grundlage aller Qualitätsmanagement-Systeme. PDCA findet sich z.B. auch in der ISO 27001. Er findet seine Rechtsgrundlage in Art. 24. |
II. Relevanz für öffentliche und nichtöffentliche Stellen
94
Die Grundsätze nach Art. 5verpflichten Behörden und Unternehmen in gleicher Weise. Behörden haben nach dem Prinzip der Rechtmäßigkeit insbesondere das bereichsspezifische Datenschutzrecht anzuwenden bzw. den Zweckbindungsgrundsatz bei der hoheitlichen Aufgabenerfüllung zu beachten. Öffentliche und nichtöffentliche Stellen sind damit auch zur Accountability verpflichtet.
95
Verantwortliche können die Grundsätze für die Verarbeitung personenbezogener Daten nach Art. 5nutzen, in dem sie sich bei der Datenverarbeitung generell an den Grundsätzen orientieren. Mit Blick auf die Entwicklung und den Einsatz von neuen Technologien, wie bspw. KI-Systemen, lässt sich ein Handlungsrahmen für die datenschutzrechtlichen Vorgaben ableiten, der den Verantwortlichen zur Orientierung dienen kann.[121]
III. Relevanz für betroffene Personen
96
Den betroffenen Personen stehen aus den Grundsätzen des Art. 5keine eigenständigen Rechtsansprüche gegen den Verantwortlichen zu. Diese sind vielmehr in den Betroffenenrechten konkretisiert. Macht der Betroffene nach Art. 82 Abs. 1einen Anspruch wegen eines materiellen oder immateriellen Schadengeltend und kann der Verantwortliche die Einhaltung der Grundsätze nicht nachweisen, geht dies zu seinen Lasten. Die Regelung des Art. 82 Abs. 3 führt de facto zu einer Beweislastumkehr.
IV. Relevanz für Aufsichtsbehörden
97
Die Nachweispflicht hat ihre Bedeutung auch bei Überprüfungen durch die Aufsichtsbehörde. Sie kann gem. Art. 58 Abs. 1 lit. a vom Verantwortlichen die Bereitstellung von Informationen verlangen. Kann der Verantwortliche die Einhaltung der Grundsätze und deren Konkretisierung in der DS-GVO und Normen, für die eine Öffnung besteht nicht nachweisen, liegt ein Datenschutzverstoß vor.
[1]
Die Autoren danken Herrn stud. iur. David Merten für die Unterstützung bei der Durchsicht des Manuskriptes.
[2]
Siehe auch Auernhammer- Kramer Art. 5 Rn. 1, der von der Magna Charta der zulässigen Datenverarbeitung spricht, um den Stellenwert der Norm hervorzuheben; Vgl. auch Sydow- Reimer Art. 5 Rn. 1.
[3]
Vgl. dazu Kommentierung zu den Art. 12 ff. DS-GVO.
[4]
Vgl. dazu Kommentierung zu § 4 BDSG Rn. 11.
[5]
Gierschmann- Buchholtz/Stentzel Art. 5 Rn. 2; Siehe auch Kommentierungen zu Art. 14 DS-GVO Rn. 43und Art. 22 DS-GVO Rn. 69.
[6]
Auernhammer- Kramer Art. 5 Rn. 3; Gola- Schomerus BDSG, § 3a Rn. 8.
[7]
Schantz/Wolff- Wolff Das neue Datenschutzrecht, Rn. 382.
[8]
Härting Datenschutz-Grundverordnung, Rn. 86; Paal/Pauly- Frenzel Art. 5 Rn. 2; Plath- Plath Art. 5 Rn. 2; a.A. Laue/Kremer Das neue Datenschutzrecht in der betrieblichen Praxis, § 1 Rn. 136.
[9]
Auernhammer- Kramer Art. 5 Rn. 4.
[10]
Vgl. hierzu Kommentierung zu Art. 83 Abs. 5 lit. a DS-GVO Rn. 113.
[11]
Zum Charakter der Grundsätze vertiefend Roßnagel ZD 2018, 342 ff.
[12]
Gierschmann- Buchholtz/Stentzel Art. 5 Rn. 4.
[13]
Ehmann/Selmayr- Heberlein Art. 5 Rn. 5.
[14]
Gierschmann- Buchholtz/Stentzel Art. 5 Rn. 8.
[15]
Ehmann/Selmayr- Heberlein Art. 5 Rn. 6.
[16]
Schantz/Wolff- Wolff Rn. 387.
[17]
Kühling/Buchner- Herbst Art. 5 Rn. 7; Paal/Pauly- Frenzel Art. 5 Rn. 13.
Читать дальше