Rechenschaftspflicht für Verantwortliche und Auftragsverarbeiter
Die EU-weite Datenschutz-Grundverordnung (DSGVO) wird nach einer Übergangsphase von zwei Jahren am 25. Mai 2018 auch in Österreich wirksam werden. Sie bringt, neben einem Wegfall der in Österreich geltenden Meldepflicht für Datenanwendungen im Datenverarbeitungsregister, eine Reihe von neuen Dokumentationspflichten (Rechenschaftspflicht) für Verantwortliche und Auftragsverarbeiter mit sich. Zentraler Baustein, um der normierten Rechenschaftspflicht zu genügen, ist das vom Verantwortlichen und Auftragsverarbeiter zu führende Verzeichnis der Verarbeitungstätigkeiten. Zusätzlich müssen auch das Vorhandensein von Einwilligungen (Art. 7 Abs. 1), das Ergebnis von Datenschutz-Folgenabschätzungen (Art. 35 Abs. 7) sowie geeignete, technische und organisatorische Datensicherheitsmaßnahmen (Art. 32 Abs. 1) durch entsprechende Dokumentationen vom Verantwortlichen und/oder Auftragsverarbeiter nachgewiesen werden können.
Verzeichnis der Verarbeitungstätigkeiten
Dieses Verzeichnis der Verabreitungstätigkeiten betrifft sämtliche – auch teilweise – automatisierte Verarbeitungen sowie nicht automatisierte Verarbeitungen personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen. Grundsätzlich ist jeder Verantwortliche (z. B. Unternehmen, Freiberufler, Verein) und Auftragsverarbeiter zur Erstellung und Führung eines solchen Verzeichnisses verpflichtet. Es wird in der Praxis wegen der Unterschiede bei den eingesetzten Verfahren notwendigerweise oft aus einer Reihe von Einzelbeiträgen bestehen müssen. Das Verfahrensverzeichnis wird somit die Summe der einzelnen Verfahrensbeschreibungen sein. [1]
Einwilligungen durch betroffene Personen
Beruht die Verarbeitung der personenbezogenen Daten auf einer Einwilligung, muss der Verantwortliche nachweisen können, dass die betroffene Person in die Verarbeitung ihrer personenbezogenen Daten rechtmäßig eingewilligt hat. Grundsätzlich kann die Einwilligung durch die betroffenen Person auch mündlich oder elektronisch erfolgen. Aus Gründen der späteren Nachweisbarkeit der erfolgten Einwilligung empfiehlt sich mE die Schriftform oder ein Double-Opt-In Verfahren. Die Einwilligung muss auch nach Jahren noch nachweisbar sein, was insbesondere bei schriftlichen Erklärungen eine Herausforderung darstellen könnte. Stichwort: Personenbezogenes Dokumenten Management System.
Ferner sind bestehende Einwilligungen bis zur Anwendbarkeit der DSGVO im Mai 2018 upzudaten, eine weitere Übergangsfrist ist nicht vorgesehen. Ab diesem Datum müssen alle genutzten Einwilligungen den verschärften Anforderungen der DSGVO genügen.
Ergebnis der Datenschutzfolgenabschätzungen
Hat die Form der geplanten Datenverarbeitung von personenbezogenen Daten ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge, so muss der Verantwortliche vorab eine Datenschutzfolgenabschätzung der Verarbeitungsvorgänge in Hinblick auf den Schutz personenbezogener Daten durchführen.
In Hinblick auf geltende Prüfpflichten sind die Inhalte und Ergebnisse einer durchgeführten Datenschutzfolgenabschätzung durch den Verantwortlichen schriftlich zu dokumentieren.
Dokumentation der technischen und organisatorischen Datensicherheitsmaßnahmen
Verantwortliche und Auftragsverarbeiter haben, um ein dem Risiko angemessenes (Daten-)Schutzniveau zu gewährleisten, unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen zu treffen.
Die zur ordnungsgemäßen Verarbeitung von personenbezogenen Daten getroffenen Maßnahmen sind ua in Hinblick auf geltende Nachweis- und Prüfpflichten für Verantwortliche und Auftragsverarbeiter zwangsläufig zu dokumentieren.
Geldbußen bei Verstößen gegen die Rechenschaftspflicht
Verstöße durch eine fehlende oder nicht vollständige Dokumentationen oder das Nichtvorlegen der Dokumentationen nach Aufforderung durch die Aufsichtsbehörde können von der Datenschutzbehörde mit Geldbußen von bis zu 20 Mio EUR oder im Fall eines Unternehmens von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs sanktioniert werden.
Empfehlung hinsichtlich Rechenschaftspflicht
Aus unserer Sicht ist es für Unternehmen empfehlenswert, rechtzeitig mit der Planung und Umsetzung einer strukturierten Datenschutzdokumentation, zB vollständiges Verzeichnis von Verarbeitungstätigkeiten. Eine vollständige und aktuelle Datenschutzdokumentation dient als wesentliche Grundlage für dem Verantwortliche und Auftragsverarbeiter zur Erfüllung der, gemäß Art. 5 Abs. 2 DSGVO vorgesehenen Rechenschaftspflicht zur ordnungsgemäßen Verarbeitung von personenbezogenen Daten im Unternehmen.
Die ordnungsgemäße Erfüllung der Rechenschaftspflicht durch den Verantwortlichen bzw dem Auftragsverarbeiter ist bei der Entscheidung durch die Datenschutzbehörde über die Verhängung einer Geldbuße und über deren Betrag gebührend zu berücksichtigen.
Quellen
[1] Verzeichnis von Verarbeitungstätigkeiten – Art. 30 DS-GVO, Datenschutzkonferenz.