Der Grundsatz der Rechenschaftspflicht im Datenschutzrecht (gem. Art. 5 Abs. 2 DSGVO)

Inhalt

Abkürzungsverzeichnis

1. Einleitung

2. Begriffe
2.1 Personenbezogene Daten
2.2 Verarbeitung
2.3 Verantwortlicher

3. Grundsätze

4. Rechenschaftspflicht
4.1 Definition
4.2 Rechenschaft gegenüber Betroffene
4.3 Rechenschaft gegenüber Aufsichtsbehörden
4.4 Rechenschaft gegenüber Aktionäre

5. Fazit

Literaturverzeichnis

Abkürzungsverzeichnis

AG Aktiengesellschaft

DSGVO Datenschutzgrundverordnung

1. Einleitung

Daten sind unumgänglich für die Unternehmenswelt. Vor allem personenbezogene Daten können beispielsweise dabei helfen, kundenspezifische Werbungen zu generieren. Durch die Einführung der DSGVO (Datenschutzgrundverordnung) am 25. Mai 2018 haben ei­nige Unternehmen eine neue Herausforderung bekommen. Eines der Artikeln beinhaltet die Grundsätze für die Verarbeitung personenbezogener Daten.¹ Sie bietet die Grundlage für die datenschutzkonforme Verarbeitung personenbezogener Daten.

Die Einhaltung der Grundsätze unterliegt einer Rechenschaftspflicht. Der Verantwortli­che ist dafür zuständig, die in Art. 5 Abs. 1 DSGVO genannten Grundsätze einzuhalten und diese bei Bedarf nachzuweisen.² Die Adressaten sind dabei die Aufsichtsbehörden, der Betroffene und die Shareholder. Wenn dies nicht beachtet wird, drohen Geldbuße von „bis zu 20 000 000 EUR oder im Fall eines Unternehmens von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahr, je nachdem, wel­cher der Beträge höher ist“.³

Die Zielsetzung der Arbeit ist es, die Grundsätze gemäß Art. 5 Abs. 1 DSGVO aufzuzei­gen und die Rechenschaftspflicht gemäß Art. 5 Abs. 2 DSGVO gegenüber deren Adres­saten näher zu erläutern.

Um die Grundsätze besser zu verstehen, werden erstmal im Kapitel 2.1 Personenbezo­gene Daten, im Kapitel 2.2 Verarbeitung und im Kapitel 2.3 Verantwortlicher gemäß Art. 4 DSGVO beschrieben.

Im Kapitel 3 werden die einzelnen Grundsätze für die Verarbeitung personenbezogener Daten gemäß Art. 5 Abs. 1 dargestellt. Hierbei geht es um die Rechtmäßigkeit, Verarbei­tung nach Treu und Glauben, Transparenz, die Zweckbindung, die Datenminimierung, die Richtigkeit, die Speicherbegrenzung und schließlich um die Integrität und Vertrau- lichkeit.⁴

Im Anschluss wird im Kapitel 4.1 die Rechenschaftspflicht veranschaulicht. Im Kapitel 4.2 geht es dann um die Rechenschaft gegenüber Betroffene, im Kapitel 4.3 um die Re­chenschaft gegenüber Aufsichtsbehörden und im Kapitel 4.4 um die Rechenschaft gegenüber Aktionäre. Kapitel 5 bildet zum Abschluss ein Fazit, das die einzelnen Grunds­ätze aufzählt und die Rechenschaftspflicht aufzeigt.

2. Begriffe

2.1 Personenbezogene Daten

Mit der DSGVO soll sichergestellt werden, dass der Umgang mit personenbezogenen Daten verantwortungsbewusster und kontrollierter wird.⁵ Personenbezogene Daten sind in der DSGVO „alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen“.⁶ Grundsätzlich kann jede Art von Information auf eine Person bezogen werden. Es kommt außerdem darauf an, welche Möglichkeiten der Ver­antwortliche hat, die betreffende Informationen zu verarbeiten.⁷ Sobald der Zuständige damit eine Person identifizieren kann, handelt es sich um personenbezogene Daten. Eine Kundennummer erscheint beispielsweise für Personen, die nichts mit diesem Un­ternehmen zu tun haben, nicht als personenbezogene Daten. Sobald der Mitarbeiter da­mit eine Person identifizieren kann, geht es um Daten, die sich auf eine Person bezie­hen. Auch die IP-Adresse zählt zu den Informationen, die auf eine Person bezogen wer­den kann. Diese besteht aus einer Reihung von Zahlen, die in der Lage sind, Geräte in Netzwerken und im Internet zu identifizieren.⁸

2.2 Verarbeitung

Bei den Grundsätzen geht es vor allem um die Verarbeitung der personenbezogene Da­ten. Die Verarbeitung im Sinne der DSGVO beschreibt jede einzelne Aktivität oder eine Aneinanderreihung dieser Aktivitäten im Zusammenhang mit personenbezogene Da- ten.⁹ Hierbei spielt es keine Rolle, ob es mit manuellen oder automatisierten Verfahren ausgeführt wird.¹⁰ Die Verarbeitung umfasst zum Beispiel „das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Ver­breitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung“¹¹ personenbezogener Daten. Diese Tätigkeiten übernimmt dann der Auftragsverarbeiter. Dieser ist „eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet“.¹² Bei einem Online-Shop bei­spielsweise werden ebenfalls Daten verarbeitet. Um etwas bestellen zu können, muss der Kunde zumindest seinen Namen, seine Adresse und ein gültiges Zahlungsmittel an­geben. Diese werden dann vom Anbieter erhoben und zum Zweck des Einkaufs gespei­chert. Daher zählt dieser Prozess auch zu Verarbeitung.

2.3 Verantwortlicher

Der Verantwortliche ist ein weiterer Adressat für die Einhaltung der Pflichten aus der DSGVO.¹³ Sie ist eine „natürliche oder juristische Person, Behörde, Einrichtung oder an­dere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Ver­arbeitung von personenbezogenen Daten entscheidet“.¹⁴ Nicht zu verwechseln sind diese mit Verarbeitern, die im Auftrag vom Verantwortlichen die Datenverarbeitung durchfüh­ren. Der Betroffene selbst ist ebenfalls nicht für die Verarbeitung der Daten verantwort­lich. „Der Verantwortliche entscheidet über die Art und Weise der Verarbeitung.“¹⁵ Eine natürliche Person beschreibt hierbei eine Person, die nach der Geburt die Rechtsfähigkeit erlangt.¹⁶ Sie ist dabei Träger von Rechten und Pflichten.¹⁷ Wenn sich mehrere natürliche Personen zusammenschließen oder ihre Vermögen teilen, wird dies als eine juristischen Person bezeichnet.¹⁸ Dies kann beispielsweise eine Gesellschaft mit beschränkter Haf­tung sein.

3. Grundsätze

Der erste Grundsatz beschreibt, dass die Datenverarbeitung auf rechtmäßiger Weise er­folgen soll.¹⁹ Von einer rechtmäßigen Datenverarbeitung spricht man, „wenn eine Ein­willigung der betroffenen Person vorliegt, zur Erfüllung eines Vertrages oder zur Durchführung vorvertraglicher Maßnahmen, zur Erfüllung einer rechtlichen Verpflich­tung, zum Schutze lebenswichtiger Interessen, zur Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt oder aufgrund einer Interessenabwägung erforderlich ist.“²⁰ Dabei muss mindestens eines dieser Punkte er­füllt werden.²¹

Außerdem dürfen personenbezogene Daten nur nach Treu und Glauben verarbeitet wer- den.²² Damit ist gemeint, dass das Ausnutzen von Fehlvorstellungen der betroffenen Per­son oder der Missbrauch dessen Vertrauen untersagt ist. Hierbei wird auf die Interessen der Betroffenen Rücksicht genommen.²³

Der Grundsatz der Transparenz beschreibt, „dass alle Informationen und Mitteilungen zur Verarbeitung dieser personenbezogenen Daten leicht zugänglich und verständlich und in klarer und einfacher Sprache abgefasst sind.“²⁴

Die Datenverarbeitung darf nur stattfinden, wenn die eindeutige Zwecke genannt werden und legitim sind.²⁵ Zudem geht es im Grundsatz der Datenminimierung darum, die Daten „dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt“²⁶ sind. Die zu verarbeitende Daten müssen sachlich richtig und falls erforderlich auf dem aktuellsten Stand gebracht werden.²⁷ Dabei ist es wichtig, die notwendigen technologischen Möglichkeiten bereitzustellen, um diesen Punkt zu er­füllen und gegebenenfalls die Daten, die unrichtig sind, zu löschen.²⁸

Der Verantwortliche muss in regelmäßigen Abständen überprüfen, ob die festgelegten Zwecke durch die Datenverarbeitung erreicht werden. Falls das nicht der Fall ist, dürfen diese Daten nicht mehr gespeichert werden.²⁹

Darüber hinaus muss bei der Datenverarbeitung durch geeignete technische und organi­satorische Maßnahmen sichergestellt werden, dass sie „vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zer­störung oder unbeabsichtigter Schädigung“³⁰ geschützt sind.

4. Rechenschaftspflicht

4.1 Definition

Die Rechenschaftspflicht wird meistens in Verbindung mit Art. 24 Abs. 1 DSGVO ge- bracht.³¹ Der Verantwortliche ist hierbei dafür zuständig, geeignete technologische und organisatorische Maßnahmen zu treffen. Damit soll es möglich sein, ein Nachweis erbrin­gen zu können, dass man sich an die DSGVO hält.³² Bei der Rechenschaftspflicht ist der Verantwortliche bei der Verarbeitung dazu verpflichtet, sich an die im Art. 5 Abs. 1 DSGVO genannten Grundsätze einzuhalten. Diese muss er bei Bedarf in Rechenschaft ablegen können.³³ Die getroffenen Vorkehrungen zur Einhaltung der Grundsätze muss für jeden einzelnen Grundsatz nachweisbar sein.³⁴ „Dieses ist laufend zu kontrollieren, zu aktualisieren und nach Verarbeitungszwecken, Löschfristen und Maßnahmen zur tech­nischen und organisatorischen Datensicherheit (z. B. die Anonymisierung und Verschlüs­selung personenbezogener Daten) zu differenzieren.“³⁵

Bei einem Verstoß der Grundsätze, insbesondere der Grundsatz Rechenschaftspflicht dro­hen Geldbuße „von bis zu 20 000 000 EUR oder im Fall eines Unternehmens von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäfts- jahrs“³⁶. Der höhere Betrag wird dabei in Betracht gezogen. Eine Befreiung der Haftung gemäß Art. 82 Abs. 3 ist dabei nicht möglich.³⁷

[...]

¹ Vgl. Art. 5 DSGVO.

² Vgl. Art. 5 Abs. 2 DSGVO.

³ Art. 83 Abs. 5 lit. a DSGVO.

⁴ Vgl. Art. 5 Abs. 1 DSGVO.

⁵ Vgl. Voigt, P., von dem Bussche, A., DSGVO, 2018, S. 3.

⁶ Art. 4 Abs. 1 DSGVO.

⁷ Erwägungsgrund 26

⁸ Vgl. Kartheuser, I., Gilsdorf, F., EuGH, 2016.

⁹ Vgl. Art. 4 Abs. 2 DSGVO.

¹⁰ Vgl. Art. 4 Abs. 2 DSGVO.

¹¹ Art. 4 Abs. 2 DSGVO.

¹² Art. 4 Abs. 8 DSGVO.

¹³ Vgl. Raschauer, N., Datenschutz-Grundverordnung, 2018, Rn. 114.

¹⁴ Art. 4 Abs. 7 DSGVO.

¹⁵ http://eu-datenschutz-grundverordnung.net/verantwortlicher/, Zugriff am 12.07.2020.

¹⁶ Vgl. § 1 BGB.

¹⁷ Vgl. http://rechtskunde-online.de/inhalte/themen-zivilrecht/rechtsfahigkeit/, Zugriff am 12.07.2020.

¹⁸ Vgl. http://rechtskunde-online.de/inhalte/themen-zivilrecht/rechtsfahigkeit/, Zugriff am 12.07.2020.

¹⁹ Vgl. Art. 5 Abs. 1 lit. a DSGVO.

²⁰ http://www.dr-datenschutz.de/datenschutz-grundverordnung-rechtmaessigkeit-der-datenverarbeitung/, Zugriff am 14.07.2020.

²¹ Vgl. Art. 6 Abs. 1 Satz 1 DSGVO.

²² Vgl. Art. 5 Abs. 1 lit. a DSGVO.

²³ Vgl. Schantz, P., Datenschutz-Grundverordnung, Art. 5 Rn. 8.

²⁴ Erwägungsgrund 39 Satz 3 DSGVO.

²⁵ Vgl. Art. 5 Abs. 1 lit. b DSGVO.

²⁶ Art. 5 Abs. 1 lit. c DSGVO.

²⁷ Vgl. Art. 5 Abs. 1 lit. d DSGVO.

²⁸ Vgl. Art. 5 Abs. 1 lit. d DSGVO.

²⁹ Vgl. Art. 5 Abs. 1 lit. e DSGVO; Leeb/Liebhaber, JuS 2018, 534, 537.

³⁰ Art. 5 Abs. 1 lit. f DSGVO.

³¹ Vgl. Hansch, G., ZD 2019, 245, 245.

³² Vgl. Art. 24 Abs. 1.

³³ Vgl. Art. 5 Abs. 2.

³⁴ Vgl. Schenck, S., Mueller-Stöfen, T., GWR 2017, 171, 172.

³⁵ Schanz, M., RDG 2018, 158, 159

³⁶ Art. 83 Abs. 5.

³⁷ Vgl. Rossnagel, A., ZD 2018, 339, 341.