Rz. 45
Bislang normierte Art. 6 Abs. 2 Datenschutzrichtlinie, dass "der für die Verarbeitung Verantwortliche für die Einhaltung [der Datenschutzgrundsätze]"zu sorgen“ hat. Art. 5 Abs. 2 DSGVO nimmt diesen Gedanken auf, formuliert jedoch abweichend von der bisherigen Richtlinienbestimmung wie folgt:
Zitat
"Der Verantwortliche ist für die Einhaltung des Absatzes 1 [= der Datenschutzgrundsätze] verantwortlich und muss dessen Einhaltung nachweisen können ("Rechenschaftspflicht")."
Rz. 46
Diese Formulierung beinhaltet eine wesentliche Verschärfung im Vergleich mit der bisherigen Rechtslage. So kann "für etwas zu sorgen" mit "sich bemühen um", "bestrebt sein", "sich kümmern", "sich alle Mühe geben" übersetzt bzw. gleichgesetzt werden. Hierbei handelt es sich um einen nicht zwangsläufig nach außen erkennbaren Vorgang, der sich in datenschutzrechtlicher Hinsicht in der Zuweisung der Verantwortung für die Datenverarbeitung erschöpft. Art. 5 Abs. 2 DSGVO nimmt diesen Aspekt im ersten Teilsatz auf ("ist verantwortlich") und erweitert diese Verpflichtung um eine den Verantwortlichen treffende "Nachweispflicht". Schon unter Wortlautgesichtspunkten, ist der Verantwortliche daher unter Geltung der DSGVO wesentlich mehr gefordert, als dies bislang der Fall war. Warum der europäische Gesetzgeber diese Verschärfung in die Verordnung aufgenommen hat, erklärt die Verordnung nicht; selbst in den Erwägungsgründen findet die neue "Rechenschaftspflicht" nur ein einziges Mal Erwähnung. Auch an dieser Stelle erfährt der Grundsatz der "Rechenschaftspflicht" keine nähere Ausgestaltung. Handelt es sich also um einen "unbestimmten Rechtsbegriff", den der Gesetzgeber für den Fall der Nichtbeachtung nur versehentlich mit einer Ordnungsgeldandrohung von bis zu 20 Millionen EUR oder, im Fall eines Unternehmens von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs versehen hat und damit die Gefahr einer Undurchsetzbarkeit in Kauf nimmt?
Rz. 47
Nein! Der Grundsatz der "Rechenschaftspflicht" ist tatsächlich nicht so neu und so unbestimmt, wie es auf den ersten Blick scheint. Vielmehr hat sich die Art. 29-Datenschutzgruppe bereits im Jahre 2009 anlässlich des durch die Kommission eingeleiteten Konsultationsverfahrens zu dem Rechtsrahmen für das Grundrecht auf den Schutz personenbezogener Daten für die Aufnahme einer Rechenschaftspflicht in einen neunen Datenschutzrechtsrahmen ausgesprochen und hierzu u.a. ausgeführt:
Rz. 48
Zitat
"Zur Bekämpfung dieses Problems wäre es angebracht, in den umfassenden Rechtsrahmen den Grundsatz der Rechenschaftspflicht aufzunehmen. Dieser Grundsatz würde die für die Verarbeitung Verantwortlichen dazu verpflichten, die notwendigen Maßnahmen zu ergreifen, um sicherzustellen, dass die wesentlichen Grundsätze und Verpflichtungen der geltenden Richtlinie bei der Verarbeitung personenbezogener Daten eingehalten werden. Eine solche Bestimmung würde die Forderung unterstreichen, dass Strategien undMechanismen eingeführt werden müssen, mit denen die wesentlichen Grundsätze und Verpflichtungen der geltenden Richtlinie wirkungsvoll werden. Sie würde den Bedarf an wirkungsvollen Schritten unterstreichen, die zu einer wirkungsvollen internen Durchführung der wesentlichen Verpflichtungen und Grundsätze führen, die in der aktuellen Richtlinie verankert sind. Darüber hinaus würde der Grundsatz der Rechenschaftspflicht von den für die Verarbeitung Verantwortlichen verlangen, dass sie für die notwendigen internen Mechanismen sorgen, damit sie gegenüber externen interessierten Parteien, einschließlich der nationalen Datenschutzbehörden, die Einhaltung beweisen können. Die daraus resultierende Forderung nach Beweisen für die für Einhaltungszwecke durchgeführten angemessenen Maßnahmen wird die Durchsetzung von anzuwendenden Vorschriften sehr vereinfachen."
Rz. 49
Bereits damals war eine Art "Maßnahmenkatalog" zur Umsetzung des "Grundsatzes der Rechenschaftspflicht" formuliert worden, nach dem der Verantwortlich u.a. dazu verpflichtet werden sollte
▪ |
"Berichte über die Einhaltung der Vorschriften" abzufassen und |
▪ |
"Audits durch neutrale Parteien" durchzuführen oder diese durch |
▪ |
"Gütesiegel, als Kontrolle und Bewertung, ob die angenommenen internen Maßnahmen, mit denen die Einhaltung der Vorschriften sichergestellt werden soll, die personenbezogenen Daten wirkungsvoll verwalten, schützen und sichern" zu ersetzen. |
Weiter sollten die Führungskräfte des Verantwortlichen über die Einhaltung der Bestimmungen des Datenschutzes bestätigen und versichern, dass angemessene Maßnahmen für den Schutz der personenbezogenen Daten ergriffen wurden. Die im Einzelnen geforderten Maßnahmen zur Durchsetzung der Rechenschaftspflicht sollten anpassbar sein und "unter anderem die Art des Unternehmens berücksichtigen, seine Größe, ob es eine GmbH ist und die Art, Natur und Menge der zu verarbeitenden personenbezogenen Daten".
Rz. 50
Eine weitere Konkretisierung hat der "Grundsatz ...