Auch wenn viele Unternehmen den Aufwand scheuen: Verantwortliche haben nach der DSGVO eine Rechenschaftspflicht. Sie ist in den Grundsätzen für die Verarbeitung personenbezogener Daten (Artikel 5 DSGVO) zu finden.
Der Verantwortliche im Unternehmen ist für die Einhaltung der Grundsätze für die Verarbeitung personenbezogener Daten verantwortlich und muss das auch nachweisen können.
Nach DSGVO nachzuweisen sind:
die Rechtmäßigkeit der Datenverarbeitung und damit die Rechtsgrundlagen,
die Verarbeitung nach Treu und Glauben, die Transparenz, die Information und die Auskunft im Rahmen der Betroffenenrechte,
die Einhaltung der Zweckbindung,
die Umsetzung der Datenminimierung, Richtigkeit, Berichtigung und Einschränkung der Verarbeitung,
die Speicherbegrenzung und Löschung,
die Integrität und Vertraulichkeit sowie die Sicherheit der Verarbeitung.
Dazu müssen Verantwortliche zum einen die jeweils ergriffenen Maßnahmen dokumentieren, zum anderen die Kontrolle, ob die Maßnahmen wirksam sind.
Die Aufsichtsbehörden weisen darauf hin, dass es keine genauen Vorgaben zur Art und Weise der Dokumentation gibt. Sie erwarten jedoch, dass Verantwortliche ein aussagekräftiges Konzept vorlegen.
Zu so einem Konzept tragen Dokumente bei wie
interne Datenschutzrichtlinien,
Anweisungen für Beschäftigte zur datenschutzgerechten Datenverarbeitung und nicht zuletzt
das Verzeichnis von Verarbeitungstätigkeiten (Artikel 30 DSGVO).
Nach Artikel 24 DSGVO müssen die nachzuweisenden Maßnahmen „unter Berücksichtigung der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der Risiken für die Rechte und Freiheiten natürlicher Personen geeignet“ sein, um einen wirksamen Datenschutz zu erzielen.
Daraus ergibt sich: Unternehmen und öffentliche Stellen müssen also nicht nur dokumentiert darlegen können, was sie für den Datenschutz genau tun, sondern auch, warum sie es tun.
Kommt es zu einer Datenschutzverletzung, muss der Verantwortliche in jedem Fall die Datenpanne dokumentieren. Er muss auch nachweisen können, was er alles getan hat, um den Vorfall zu vermeiden. Und was getan wurde, um die Auswirkungen der Datenschutzverletzung zu minimieren.
Ebenso müssen Verantwortliche Nachweise dafür haben, dass sie nur solche Auftragsverarbeiter nutzen, die gewährleisten, dass sie die Vorgeben der DSGVO einhalten.
Ein weiteres Beispiel für erforderliche Nachweise ist die Dokumentation von Einwilligungen, wenn diese als Rechtsgrundlage der Verarbeitung dienen sollen.
Kommt es zu einer Prüfung durch die zuständige Aufsicht, dürfen die Nachweise nicht fehlen, sonst können Sanktionen die Folge sein.