datenrecht.ACADEMY

DSGVO-Compliance auf die smarte Art.

Rechenschaftspflicht – Artikel 5 Absatz 2 DSGVO

Der Verantwortliche ist für die Einhaltung des Absatzes 1 verantwortlich und muss dessen Einhaltung nachweisen können („Rechenschaftspflicht“).
Artikel 5 Absatz 2 DSGVO

Rechenschaftspflichten oder Grundsatz der Accountability nach DSGVO

Auf den ersten Blick klingt die Rechenschaftspflicht aus Artikel 5 Absatz 2 DSGVO einfach. Allerdings setzt an dieser Vorschrift eine der wesentlichen Vorgaben für eine dokumentierte Datenschutz-Compliance an. Es ist unter anderem Artikel 5 DSGVO, der Unternehmen im Rahmen der DSGVO zur Einführung von Datenschutz-Dokumentationen bzw. Datenschutz-Managementsystemen zwingt.

Vimeo Video

Teilen Sie diesen Beitrag zur DSGVO:

Rechenschaftspflicht bedeutet dabei, dass der Verantwortliche nachweisen und belegen können muss, dass er die Grundsätze der DSGVO einhält und die Verarbeitung personenbezogener Daten entsprechend der Grundverordnung erfolgt, er also auch angemessene technischer und organisatorische Maßnahmen ergriffen hat.

Grundsatz der Accountability

Der Grundsatz der Rechenschaftspflichten aus Artikel 5 Absatz 2 DSGVO wird auch mit dem entsprechenden englischen Begriff als Grundsatz der »Accountability« bezeichnet.

Das entscheidende Stichwort aus Artikel 5 Absatz 2 DSGVO lautet »nachweisen«. Eigentlich ein ganz einfaches Wort, doch in letzter Konsequenz schwer in eine Strategie zu packen. Im Grunde genommen geht es darum, sich selbst und auf Anfrage Dritten gegenüber, z.B. einer Aufsichtsbehörde oder im Rahmen eines Partner-Audits, die erfolgreiche Umsetzung der DSGVO-Konformität dokumentiert vorlegen zu können. Die einzelnen Ausgestaltungsmöglichkeiten sind naturgemäß breit gefächert. Es zeigt sich aber, dass die folgenden Komponenten zur Erfüllung der Accountibilty unverzichtbar sind:

  • Führung eines Verzeichnisses von Verarbeitungstätigkeiten, vgl. Artikel 30 DSGVO;

  • Dokumentation von Datenpannen und dem Umgang mit ihnen, vgl. Artikel 33 Absatz 5 DSGVO;

  • Dokumentation des Umgangs mit Betroffenenrechten, vgl. Kapitel 3 der DSGVO;

  • Durchführung von Datenschutz-Folgenabschätzungen in den erforderlichen Fällen, vgl. Artikel 35 DSGVO und insoweit

  • die vorherige Konsultation der Aufsichtsbehörde gemäß Artikel 36 DSGVO;

  • Bestellung eines Datenschutzbeauftragten, sofern gesetzlich erforderlich, vgl. Artikel 37 DSGVO, § 38 BDSG.

Datenschutz-Managementsystem (DSMS)

Schon in kleineren Unternehmen bedeuten diese Vorgaben einen nicht unerheblichen Aufwand. Die besondere Herausforderung in diesem Zusammenhang ist es vor allen Dingen, diese »Accountability« am Laufen zu halten bzw. zu organisieren, oder wie es so schön heißt: zu managen. In mittleren und größeren Unternehmen führt dies dann regelmäßig zu einem Projekt genannt »Datenschutz-Managementsystem - DSMS«.

Die Einführung und Umsetzung eines DSMS dient insbesondere der Absicherung der Wahrung bestimmter durch den Verantwortlichen vorgegebener Abläufe, mittels derer die Einhaltung der gesetzlichen datenschutzrechtlichen Vorgaben durch den Verantwortlichen sichergestellt werden soll.

Das DSMS sollte unter anderem die folgenden »Bestandteile« aufweisen:

  • Datenschutzrichtlinie;

  • Informationssicherheitsrichtlinie;

  • Datenpannenprozess;

  • Löschkonzept;

  • Vorgaben zur Einbindung relevanter Stakeholder (Datenschutzbeauftragter, Rechtsabteilung, Informationssicherheit) vor der Aufnahme neuer/der Änderung bestehender Datenverarbeitungen;

  • zentrale Stelle(n) für die Bearbeitung von Betroffenenrechten;

  • Schulungen zum Datenschutz;

  • Abrufbarkeit wesentlicher Informationen zum Datenschutz an einer zentralen Stelle, z. B. in einem für alle Mitarbeiter zugänglichen Teamraum.

In meinen Onlinekursen führe ich Sie Schritt für Schritt, multimedial und interaktiv zu einer funktionierenden Accountability und zeige Ihnen wie Sie erfolgreich ein Datenschutz-Managementsystem umsetzen.

Stacks Image 40

Kostenlose* Webinare der datenrecht.ACADEMY

*Die Teilnahme an den aufgeführten Webinaren kostet kein Geld. Als Gegenleistung für die Teilnahme an einem der genannten Webinare notiere ich Sie als Empfänger meines regelmäßigen Newsletters und von Werbeinformationen über die datenrecht.ACADEMY. Nach Bestätigung Ihrer Daten sind Sie für meinen E-Mail-Newsletter angemeldet und erhalten von mir regelmäßig aktuelle Informationen zum gesamten Datenrecht, zu meinen Online-Kursen und Dienstleistungen sowie zu weiteren Webinaren. Sie können sich jederzeit kostenfrei für die Zukunft vom Newsletter und vom Empfang von Werbung per E-Mail an mail@andreasriehn.biz oder durch Anklicken des Abmelde-Links am Ende des Newsletters abmelden. Weitere Informationen finden Sie in meiner Datenschutzerklärung (Menüpunkt »Datenschutz«).

Zuletzt aktualisiert am 27.03.2023 um 17:40 Uhr.
Hier geht es zum DSGVO-Praxiskurs der datenrecht.ACADEMY

Hier klicken zum DSGVO-Praxiskurs