Für Rechen­schafts­pflich­ten gilt das Prin­zip der Beweis­last­um­kehr

Was haben ein Inge­nieur und ein Daten­schutz­veran­twort­licher gemein­sam? Sie haben es „schwör“, könnte man den alt bekann­ten Satz erwei­tern.

Der Daten­schutz­ver­ant­wort­li­che hat die Arena sei­ner Ver­ant­wor­tung in Sachen Rechen­schafts­pflich­ten der Daten­schutz­grund­ver­ord­nung betre­ten. Inklu­sive der Beweis­last, wie sie im alten Daten­schutz­recht vor dem 25. Mai 2018 noch auf­sei­ten der Auf­sichts­be­hör­den lag. So steht es in Art. 5 Absatz 2 (Grund­sätze für die Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten) und im Art. 24 Absatz 1 (Ver­ant­wor­tung des für die Ver­ar­bei­tung Ver­ant­wort­li­chen) der DSGVO. Nach­kom­men kann der Ver­ant­wort­li­che die­ser Pflich­ten nur durch aus­führ­li­che Doku­men­ta­tio­nen aller Ver­ar­bei­tungs­pro­zesse: „Es lebe die Büro­kra­tie!“

… wo kein Klä­ger, da kein Rich­ter?

Von wegen. Wer meint, er könne sich bei Bedarf schnell etwas zusam­men­schus­tern, was er der Auf­sichts­be­hörde als Teil von gefor­der­ten Doku­men­ta­tio­nen vor­le­gen kann, steht defi­ni­tiv auf der fal­schen Seite. Sank­tio­nen sind dann vor­pro­gram­miert, Buß­gel­der rut­schen in gefähr­li­che Nähe. Und Aus­re­den hel­fen dann auch nicht mehr wei­ter. Wei­tere Kos­ten sind ein­zu­pla­nen für die Man­dats­be­auf­tra­gung eines Juris­ten und/oder für einen exter­nen Daten­schutz­beauf­tragten. Wer also zu spät kommt, den bestraft auch in die­sem Fall das Leben und nicht zuletzt die Unter­neh­mens­kasse, von etwai­gen Image­schä­den ein­mal ganz abge­se­hen.

Das Sze­na­rio beginnt oft mit einem Fra­gen­ka­ta­log

Der Geschäfts­füh­rer betritt am frü­hen Mor­gen sein Büro. Seine Sekre­tä­rin hat bereits Sta­pel von Post auf dem Schreib­tisch gelegt: „Was Beson­de­res heute dabei“, fragt er, pflicht­be­wusst ver­neint die Sekre­tä­rin mit einem kur­zen Kopf­schüt­teln. „Na ja, bis auf einen Brief der Daten­schutz­be­hörde. Wir sol­len denen ein paar Fra­gen beant­wor­ten.“
„Gut, ich küm­mere mich darum“, ver­spricht der Chef und nimmt sich vor, sich das Schrei­ben am nächs­ten Mor­gen ein­mal anzu­schauen. Aus einem Tag wer­den drei. Anschlie­ßend wird er zer­knirscht den­ken: „Hätte ich doch bloß sofort reagiert!“

Die Auf­sichts­be­hörde hat bei­spiels­weise fol­gende Fra­gen gestellt:

  1. Wel­che Vor­be­rei­tun­gen bezüg­lich der DSGVO haben Sie getrof­fen?
  2. Wir stel­len sie sicher, dass Ihre Geschäfts­ab­läufe, bei denen per­so­nen­be­zo­gene Daten ver­ar­bei­tet wer­den, in Ihr Ver­zeich­nis über die Ver­ar­bei­tungs­tä­tig­kei­ten auf­ge­nom­men wer­den? Schi­cken Sie uns eine Über­sicht der Ver­fah­ren!
  3. Mit wel­cher Rechts­grund­lage ver­ar­bei­ten Sie per­so­nen­be­zo­gene Daten? Wir benö­ti­gen ein Mus­ter einer Ein­wil­li­gung!
  4. Wie stel­len Sie die Betrof­fe­nen­rechte sicher? Skiz­zie­ren Sie damit ver­bun­de­nen Pro­zesse detail­liert, gehen Sie auch auf Ihre Infor­ma­ti­ons­pflich­ten ein!
  5. Wel­che tech­ni­schen und orga­ni­sa­to­ri­schen Maß­nah­men haben Sie zur Ver­ar­bei­tung und zum Schutz per­so­nen­be­zo­ge­ner Daten umge­setzt? Schi­cken Sie uns Ihr Berech­ti­gungs­kon­zept sowie Ihre Grund­sätze „Pri­vacy by Design“ sowie „Pri­vacy by Default“ zu.
  6. Sie haben als Ver­ant­wort­li­cher Mel­de­pflich­ten. Skiz­zie­ren Sie uns den Pro­zess, ins­be­son­dere bei Daten­schutz­vor­fäl­len!
  7. Ist ein Daten­schutz­beauf­trag­ter in Ihre Orga­ni­sa­tion ein­ge­bun­den? Gehen Sie auf des­sen fach­lich qua­li­fi­zier­ten Exper­ti­sen ein!

Das Schrei­ben endet mit einer Frist­set­zung für die Beant­wor­tung: „Wie soll ich denn das alles schaf­fen?“ Die Frage des Geschäfts­füh­rers ist berech­tigt und guter Rat teuer. Dann fällt ihm ein, sein Rechts­an­walt und sein inter­ner Daten­schutz­beauf­trag­ter sind ja im Urlaub …

Von der Auf­trags­be­ar­bei­tung über eine Daten­schutz-Fol­gen­ab­schät­zung bis zur Behand­lung von Daten­pan­nen

Mit Hätte, Wenn und Aber ist dem guten Mann jetzt nicht zu hel­fen. Im schlimms­ten Fall dro­hen bei feh­len­den Doku­men­ta­tio­nen Abmah­nun­gen, Scha­dens­er­satz­an­sprü­che und/oder Buß­gel­der. Sicher ist aller­dings, dass die soge­nannte Beweis­last schwer auf den Schul­tern des Ver­ant­wort­li­chen drückt. Seine Infor­ma­ti­ons­pflich­ten sind in Art. 31 DSGVO beschrie­ben, der Titel des Para­gra­fen ist an die „Zusam­men­ar­beit mit der Auf­sichts­be­hörde“ ver­knüpft: „Der Ver­ant­wort­li­che und ein Auf­trags­ver­ar­bei­ter und gege­be­nen­falls deren Ver­tre­ter arbei­ten auf Anfrage mit der Auf­sichts­be­hörde bei der Erfül­lung ihrer Auf­ga­ben zusam­men!“ Punkt. Alleine mit der Umset­zung der gesetz­li­chen For­de­run­gen über das Ver­zeich­nis von Ver­ar­bei­tungs­tä­tig­kei­ten dürf­ten viele Ver­ant­wort­li­che bereits über­for­dert sein. Und Ver­stöße gegen Art. 30 und Art. 33 Absatz 5 zie­hen unwei­ger­lich ein „direk­tes“ Buß­geld der Auf­sichts­be­hörde nach sich.

Unter­schiede zwi­schen pro­ak­ti­ven und reak­ti­ven Infor­ma­ti­ons­pflich­ten

Jeder Daten­schutz­be­auf­tragte sollte sich mit den Infor­ma­ti­ons­pflich­ten nach Art. 12, 13, 14 und 15 DSGVO aus­ken­nen. In die­sem Abschnitt geht es weit­ge­hend um die Aus­übung und Behand­lung von Betrof­fe­nen­rech­ten.
Wer­den bei­spiels­weise Daten direkt bei betrof­fe­nen Per­so­nen erho­ben, sind diese über die Ver­ar­bei­tung ihrer Daten zu infor­mie­ren. Aus­nahme: Diese Pflicht wurde zuvor schon ein­mal erfüllt. Um sich gegen­über der Behörde und dem eige­nen Unter­neh­men abzu­si­chern, müs­sen sämt­li­che Vor­komm­nisse detail­liert doku­men­tiert sein. Wobei die Infor­ma­ti­ons­pflicht nicht erst mit dem Inkraft­tre­ten der DSGVO am 25. Mai 2018 beginnt. Der Ver­ant­wort­li­che muss also in jedem Fall prü­fen, ob er sei­nen Pflich­ten auch bereits vor die­ser Zeit nach­ge­kom­men ist. Auch wenn zuvor die Kon­takt­da­ten des Daten­schutz­beauf­tragten noch nicht zur Ver­öf­fent­li­chungs­pflicht zählte.
Reak­tiv bedeu­tet in die­sem Zusam­men­hang, einem Betrof­fe­nen auf Nach­frage mit­zu­tei­len, wel­che Daten mit wel­chen Rechts­grund­la­gen, wann, wie lange und wo hin­ter­legt sind und wann sie einer auto­ma­ti­sier­ten Löschung unter­lie­gen. Zu nen­nen sind dabei die Daten­ka­te­go­rien, wie bei­spiels­weise im Zusam­men­hang einer abge­lehn­ten Bewer­bung des Betrof­fe­nen.

Zusätz­lich wich­tig:

Sol­che Infor­ma­ti­ons­pflich­ten sind dem Betrof­fe­nem in prä­zi­ser, trans­pa­ren­ter, ver­ständ­li­cher und leicht zugäng­li­cher Form mit­zu­tei­len, ergän­zend in einer kla­ren und ein­fa­chen Spra­che, die von jedem Betrof­fe­nen ver­stan­den wer­den kann.
Den Ver­ant­wort­li­chen ist zu emp­feh­len, alle Pro­zesse rund um Infor­ma­ti­ons- und Doku­men­ta­ti­ons­pflich­ten stän­dig zu über­prü­fen, zu ergän­zen bezie­hungs­weise auf die aktu­elle Situa­tion hin zu erneu­ern. Die­ses Vor­ge­hen ist mög­lichst zu auto­ma­ti­sie­ren, um Daten­pan­nen, Sank­tio­nen und Buß­gel­dern vor­zu­beu­gen. Abschlie­ßend sei noch­mals wie­der­holt, dass die Rechen­schafts­pflich­ten in der Ver­ant­wor­tung der Ver­ant­wort­li­chen lie­gen. Sie kön­nen die damit ver­bun­de­nen Pflich­ten also nicht ernst genug neh­men.

DSGVO Kontakt - Telefon Rückruf

OK

Vielen Dank für Ihre Nachricht, wir melden uns bei Ihnen.