Aktuell im ITRB

Detailtiefe der Darstellung technisch-organisatorischer Maßnahmen nach Art. 32 DSGVO in der betrieblichen Datenschutzdokumentation (Dressel, ITRB 2019, 279)

Mit Inkrafttreten der DSGVO am 25.5.2016 fand im Datenschutzrecht ein Paradigmenwechsel statt, der in mehrfacher Hinsicht geänderte Anforderungen an die Datenschutz-Compliance und damit erforderliche Anpassungen für die betriebliche Datenschutzaufbau- und -ablauforganisation insb. auch im Bereich der Datenschutzdokumentation mit sich brachte. Neben der unmittelbaren Wirkung der gemeinschaftsrechtlichen Datenschutzregelungen in sämtlichen Mitgliedstaaten und den drastisch erhöhten potentiellen gemeinschaftsrechtlichen Bußgeldsanktionen bei Datenschutzverletzungen beschäftigte die mit der DSGVO Umsetzung befassten Unternehmen und deren Verantwortliche vor allem auch die Frage, was das mit der DSGVO neu eingeführte Prinzip der Rechenschaftspflicht für die Ausgestaltung der betrieblichen Datenschutz-Compliance und für die praktische Umsetzung der Dokumentation im Einzelnen bedeutet. Dies soll nachfolgend anhand einiger Beispiele insb. für den Bereich der Datensicherheit näher beleuchtet werden.


I. Zweck und Funktionsweise der datenschutzrechtlichen Rechenschaftspflicht

II. Anforderungen der Rechenschaftspflicht an die betriebliche Dokumentation technisch-organisatorischer Maßnahmen der Datensicherheit nach Art. 32 DSGVO

III. Darstellung der notwendigen Dokumentationstiefe technisch-organisatorischer Maßnahmen anhand ausgewählter Einzelbeispiele

1. Stand der Technik, Art. 32 Abs. 1 DSGVO

a) Verschlüsselung, Art. 32 Abs. 1 lit. a DSGVO

b) Cloud Computing

c) Contentmanagementsysteme (CMS)

2. Standard Datenschutzmodell (SDM)

3. Datenschutzmanagement (DSM) mit IT-Grundschutz bzw. ISO 27001 ff.

IV. Fazit
 

I. Zweck und Funktionsweise der datenschutzrechtlichen Rechenschaftspflicht

War es eines der Hauptziele der neuen europäischen Regulierung, mehr Transparenz für von der Verarbeitung Betroffene zu schaffen, musste auch die Nachweispflicht mittels Dokumentation in der Datenschutzgrundverordnung geregelt werden. Grundsätzlich ist diese Verpflichtung in Art. 5 Abs. 2 DSGVO enthalten, wonach der für die Verarbeitung Verantwortliche die Einhaltung der wesentlichen Grundsätze für die Verarbeitung personenbezogener Daten nach Art. 5 Abs. 1 DSGVO jederzeit nachweisen können muss. Diese Rechenschaftspflicht, im angloamerikanischen Rechtsraum als „Accountability“ bezeichnet, wird von vielen – vor allem kleineren – Unternehmen als gesteigerte Bürokratie empfunden, die in der betrieblichen Datenschutzdokumentation zu einem erhöhtem Aufwand führt. Ob dieses Prinzip der Rechenschaftspflicht, das die Darlegungs- und Beweislast des Verantwortlichen dahingehend begründet, dass er mit seinem Datenschutzmanagement die Anforderungen der DSGVO einhält, in seiner Wirkung tatsächlich zu einer Umkehr der Beweislast führt, ist bislang noch nicht letztverbindlich durch die Rechtsprechung entschieden. Mit der Dokumentation muss nach der Sicherstellung der Anforderungen durch das Unternehmen für den Fall einer aufsichtsbehördlichen Überprüfung oder eines Auskunftsersuchens eines Betroffenen der jederzeitige Nachweis der Erfüllung der gesetzlichen Anforderungen möglich sein.

Jedenfalls sind Unternehmen und deren Auftragsverarbeiter in jedem Fall gut beraten, wenn sie zur Vermeidung der Haftung i.S.d. Art. 82 DSGVO zur möglichen Führung des Entlastungsbeweises (Art. 82 Abs. 2 DSGVO) die Erfüllung der gesetzlichen Anforderungen mit Hilfe der betrieblichen Datenschutzdokumentation jederzeit nachweisen können. Außerdem dient diese Dokumentation auch der Entlastung der Unternehmensorgane, wenn ihnen im Zusammenhang mit der Erfüllung der Anforderungen an die betriebliche Datenschutz-Compliance ein Auswahl- und Organisationsverschulden vorgeworfen wird. Eine Verletzung dieser Aufsichts- und Organisationspflichten der verantwortlichen Stelle wird (...)
 


Verlag Dr. Otto Schmidt vom 29.11.2019 15:45
Quelle: Verlag Dr. Otto Schmidt

zurück zur vorherigen Seite