85
Unter diesen Voraussetzungen ist fraglich, ob die Rechenschaftspflicht des Art. 5 Abs. 2 eng oder weit zu verstehen ist. So wird vertreten, dass eine enge Auslegung der Rechenschaftspflicht im Einklang mit der DS-GVO steht. Eine weitreichende Auslegung der Vorschrift sei indessen aus mehreren Gründen, wie dem Willen des Gesetzgebers, der Systematik und dem Wortlaut, bedenklich.[103] Demgegenüber steht die weite Auslegung der Rechenschaftspflicht. Diese hat eine umfassende Organisationspflicht des Verantwortlichen zur Folge, die bereits vor der eigentlichen Datenverarbeitung Wirkung entfaltet und daher auch mit Beginn der ersten Verarbeitung sanktioniert werden kann Martini für enge Auslegung der Pflichte.
86
Bereits aus Gründen der Rechtsicherheit ist es für den Verantwortlichen sinnvoll von einem weiten Verständnis der Rechenschaftspflicht auszugehen. Sicherlich ist es verlockend, von einem engen Begriffsverständnis der Rechenschaftspflicht auszugehen, da damit für den Verantwortlichen ein geringerer Dokumentationsaufwand zu leisten ist. Der Verantwortliche kann sich einen Rückzug auf rechttheoretische Überlegungen zur Begrenzung seiner Rechenschaftspflicht nach Art. 5 Abs. 2 jedoch nicht leisten. Ein Verstoß gegen die Pflichten des Art. 5 Abs. 2 ist bußgeldbewährt. Solange keine höchstrichterliche Rechtsprechung in diesem Bereich erfolgt ist, muss der Verantwortliche die Rechenschaftspflichten erfüllen, die sich aus einem weiten Begriffsverständnis ergeben. Dazu ist auch der Zweck der Rechenschaftspflichten zu beachten. Bei der Rechenschaftspflicht der DS-GVO geht es um die Umsetzung der Grundsätze des Datenschutzes.[104] Es sind interne Maßnahmen und Verfahren zur effektiven Umsetzung bestehender Datenschutzgrundsätze festzulegen, ihre Wirksamkeit sicherzustellen und eine Pflicht zum Nachweis einzuführen.[105] Betroffene und Aufsichtsbehörden sollen einfacher prüfen können, ob die personenbezogenen Daten rechtmäßig verarbeitet werden.[106] Es geht also um eine Verbesserung der Beweislage und damit um eine Reaktion auf bisherige Lücken bei der hinreichenden Dokumentation von Verarbeitungsvorgängen.[107] Eine enge Auslegung der Rechenschaftspflichten des Art. 5 Abs. 2 würde diese Ziele konterkarieren.[108] Zumindest muss der Verantwortliche die Informationen vorhalten, die sich aus direkten Dokumentationspflichten, also die Pflichten, die der Normtext der DS-GVO enthält, vorhalten. Diese direkten Dokumentationspflichten finden sich in Art. 7 Abs. 1, Art. 24 Abs. 1, Art. 28 Abs. 3 lit. a und h, Art. 30 Abs. 1, Art. 33 Abs. 5, Art. 35 Abs. 7 und Art. 36 Abs. 3.
87
Inhaltlich ist der Grundsatz der Rechenschaftspflicht deutlich in Art. 24 Abs. 1 abgebildet. Danach muss der Verantwortliche die TOM ergreifen, um sicherzustellen und den Nachweis zu erbringen, dass die Verarbeitung im Einklang mit der DS-GVO erfolgt. Der Verantwortliche haftet also nicht nur für den Erfolg der Einhaltung der datenschutzrechtlichen Vorgaben. Er muss bereits im Vorfeld interne Compliance-Maßnahmen ergreifen, um Verstöße gegen die DS-GVO zu vermeiden.[109] Im Zentrum der Pflichten des Verantwortlichen steht die Dokumentation folgender Sachverhalte[110]:
| – | Die einzelnen Verarbeitungen: Art. 30, mit erweiterten Dokumentationspflichten nach Art. 30 Abs. 1 S. 2 und Abs. 2, Abs. 3, |
| – | Erfüllung der Informationspflicht: Art. 12–14, |
| – | Folgenabschätzung: Art. 35, mit erweiterten Dokumentationspflichten nach Art. 35 Abs. 7, |
| – | Maßnahmen der Datensicherheit: Art. 32, |
| – | Datenschutzverletzungen: Art. 33 mit erweiterten Dokumentationspflichten nach Art. 33 Abs. 5, |
| – | Rechtfertigung der Einwilligung: Art. 7 Abs. 1. |
88
Art. 5 Abs. 2 schreibt nicht vor, in welcher Form der Nachweis der Einhaltung des Art. 5 Abs. 1 erfolgen muss. Die DS-GVO konkretisiert aber in verschiedenen Regelungen solche Nachweispflichten. Diese sind zwar nicht immer zwingend anzuwenden, dienen aber als guter Anhaltspunkt für vergleichbare Sachverhalte. Eine mögliche Form des Nachweises ist das Verzeichnis der Verarbeitungstätigkeiten nach Art. 30. Zur Führung eines solchen Verzeichnisses sind aber Unternehmen oder Einrichtungen, die weniger als 250 Mitarbeiter beschäftigen gem. Art. 30 Abs. 5 grundsätzlich nicht verpflichtet. Zum Nachweis bietet es sich aber an. Erfolgt der Datenschutz durch Technikgestaltung oder durch datenschutzfreundlich Voreinstellungen[111], kann dies ebenfalls dem Nachweis der Einhaltung der Grundsätze der Verordnung dienen.[112]
89
Im Ergebnis führt der Grundsatz der Rechenschaftspflicht zu erheblichen zusätzlichen Dokumentations- und Nachweispflichten in der Praxis. Unternehmen müssen nicht nur sicherstellen, die einzelnen Anforderungen der DS-GVO zu erfüllen, sondern dies jeweils auch nachweisen können. Bei der Planung von Prozessen und Strukturen zum Erfüllen der Anforderungen der Verordnung sollte die entsprechende Dokumentation gleich mit geplant werde.[113] Es empfiehlt sich daher, frühzeitig mit der IT-Abteilung, der Software- und Systementwicklung sowie den Fachbereichen die Dokumentationsanforderungen und -möglichkeiten zu erörtern. Der Umfang der Rechenschaftspflicht lässt es erforderlich erscheinen, ein Datenschutz-Management-System zu implementieren.[114]
IX. Sanktionen
90
Ein Verstoß gegen die Grundsätze des Art. 5 ist gem. Art. 83 Abs. 5 lit. a mit dem höheren Bußgeld in Höhe von bis zu 20 Mio. EUR oder 4 % des weltweiten Jahresumsatzes bedroht. Hierzu zählt auch ein Verstoß gegen die Rechenschaftspflichten gem. Art. 5 Abs. 2.[115]
91
Da die Grundsätze in Art. 5 Abs. 1 in der DS-GVO konkretisiert werden, kommt der Bußgeldbewährung über die Öffnungsklauseln zur Rechtmäßigkeit eine eigenständige Bedeutung zu. Ein Verstoß gegen die Zulässigkeitstatbestände des BDSG n.F. und bereichsspezifischer Regeln