75
Zum einen sollen Integrität und Vertraulichkeit den Schutz vor unbefugter oder unrechtmäßiger Verarbeitung gewährleisten. Eine unrechtmäßige Verarbeitung liegt vor, wenn hierfür keine Rechtsgrundlage vorliegt. Eine unbefugte Verarbeitung ist gegeben, wenn ein Dritter im Sinne von Art. 4 Nr. 10 ohne Befugnis eine Datenverarbeitung vornimmt. Deshalb ist durch technisch organisatorische Maßnahmen der unbefugte Zugang zu personenbezogenen Daten zu verhindern.[87]
76
Daneben soll ein unbeabsichtigter Verlust, eine unbeabsichtigte Zerstörung oder eine unbeabsichtigte Schädigung verhindert werden. Ein unbeabsichtigter Verlust, eine unbeabsichtigte Zerstörung oder unbeabsichtigte Schädigung von Daten liegt vor, wenn in der Sphäre des Verantwortlichen durch mit der Datenverarbeitung betrauten Personen Daten verlustig gehen, zerstört oder beschädigt werden. Das ist insbesondere dann der Fall, wenn Daten abhanden kommen oder derart geändert werden, dass sie nicht mehr oder nur noch eingeschränkt für den vorgesehenen Zweck verarbeitet werden können.
77
Welche Maßnahmen zum Schutz der Daten ergriffen werden müssen, hängt insbesondere von dem Risiko eines unberechtigten Zugriffs, der Art der Verarbeitung[88] sowie der Bedeutung der Daten für die Rechte und Interessen der betroffenen Personen ab.[89] So werden bspw. persönliche Finanz- oder Gesundheitsdaten eines höheren Schutzes bedürfen, als der Name oder das Alter einer Person. Nach ErwG 39 gehört zu den Schutzmaßnahmen zumindest, dass personenbezogene Daten so verarbeitet werden, dass ihre Sicherheit und Vertraulichkeit hinreichend gewährleistet ist, wozu auch gehört, dass Unbefugte keinen Zugang zu den Daten haben und weder die Daten noch die Geräte, mit denen diese verarbeitet werden, benutzen können.
78
Vergleichbare Anforderungen wie Art. 5 Abs. 1 lit. f stellte auch § 9 BDSG a.F. auf. Die Anlage zu § 9 BDSG a.F. listet technische und organisatorische Maßnahmen auf, die auch zur Erfüllung der Anforderungen des Art. 5 Abs. 1 lit. f eingesetzt werden können.[90] Zu beachten ist aber, dass diese Auflistung schon in Bezug auf § 9 BDSG a.F. nicht abschließend war. Sie erschöpft somit nicht die nach Art. 5 Abs. 1 lit. f möglichen und erforderlichen Maßnahmen.
79
Der Grundsatz der Vertraulichkeit und Integrität wird durch die in den Art. 25 und 32 geforderten technischen und organisatorischen Maßnahmen konkretisiert. Der Grundsatz der Vertraulichkeit und Integrität korrespondiert zudem mit den in Art. 33 und 34 geregelten Meldepflichten bei der Verletzung des Schutzes personenbezogener Daten.[91] Art. 28 Abs. 3 S. 2 lit. b nimmt auf die organisatorische Verpflichtung Bezug, indem er Auftragsverarbeiter verpflichtet, die mit der Datenverarbeitung betrauten Personen auf die Vertraulichkeit zu verpflichten.
VIII. Rechenschaftspflicht, Abs. 2 (Accountability)
80
Die Rechenschaftspflicht des Art. 5 Abs. 2 ist eines der gewichtigsten und umfänglichsten Gebote der DS-GVO.[92] Die Rechenschaftspflicht des Verantwortlichen nach Art. 5 Abs. 2 hat zwei Bestandteile: Die Einhaltung der Grundsätze des Art. 5 Abs. 1 wird ihm als Pflicht auferlegt, und er muss nachweisen können, dass er diese Pflicht befolgt.[93] Art. 5 Abs. 2 enthält damit die beiden wesentlichen Aspekte des Konzepts der „Accountability“.[94] Über den Grundsatz der Rechenschaftspflicht bekommt Art. 5 eine hohe eigenständige Bedeutung mit erheblicher Praxisrelevanz.
81
Der Grundsatz der Rechenschaftspflicht war als Verpflichtung, die Einhaltung der Grundsätze des Art. 6 Abs. 1 DSRL sicherzustellen, bereits in Art. 6 Abs. 2 DSRL enthalten. Die Verpflichtung des Verantwortlichen, die Einhaltung der Grundsätze nun auch nachweisen zu müssen, ist dagegen ein Novum im Rahmen der DS-GVO. Mit dem Grundsatz der Rechenschaftspflicht nimmt der Gesetzgeber die Verantwortlichen stärker in die Pflicht. Statt einer bürokratischen Vorabkontrolle möchte er stärker auf die Eigenverantwortung der Verantwortlichen setzen und diese als sanktionsbewehrten Grundsatz zum Fundament des neuen Datenschutzrechts machen.[95]
82
Adressat des Art. 5 Abs. 2 ist nach dem Wortlaut der Regelung lediglich der Verantwortliche (Art. 4 Nr. 7). Dabei können innerhalb eines Unternehmensverbunds auch mehre als gemeinsam Verantwortliche kooperieren (Art. 26). Der Auftragsverarbeiter (Art. 4 Nr. 8) wird von dieser Pflicht nicht erfasst.[96] Die Gesamtverantwortung und Nachweispflicht des Verantwortlichen umfasst auch die Verarbeitung durch den Auftragsverarbeiter, der die Verarbeitung in seinem Auftrag durchführt.[97] Von der Verantwortung, die von Art. 5 Abs. 2 ausgeht, kann sich der Verantwortliche durch einen Auftragsverarbeiter nicht befreien. Gänzlich ohne Pflichten bleibt der Auftragsverarbeiter nicht. Vielmehr werden die Pflichten an anderen Stellen der DS-GVO normiert und den Pflichten des Verantwortlichen angepasst. Beispielsweise sind hier die Dokumentationspflichten nach Art. 30 Abs. 2 oder der Schadensersatz des Betroffenen nach Art. 82 zu nennen.
83
Art. 5 Abs. 2 benennt keine zeitliche Grenze für das „Nachweisenkönnen“, so dass die Dokumentationen zunächst dauerhaft aufbewahrt werden müssen. Denkbar wäre die Verkürzung dieses zeitlichen Rahmens, wenn man die Vorschrift dahin verstünde, dass der Nachweis nur gegenüber der Verjährung unterliegenden Ansprüchen Dritter erbracht werden können muss.[98]
84
Ziel der Regelung ist es, die Unternehmen und sonstigen Verantwortlichen stärker in die Pflicht zu nehmen.[99] Adressat der Rechenschaftspflicht ist ausweislich des Wortlautes des Art. 5 Abs. 2 der Verantwortliche.[100] Der Verantwortliche muss insofern nicht nur seine Pflichten erfüllen, sondern auch nachweisen können, dass in seinem Verantwortungsbereich diese