Nach Art. 5 Abs. 2 DSGVO ist jeder Verantwortliche dazu verpflichtet, die Einhaltung aller datenschutzrechtlichen Grundsätze (im Sinne des Art. 5 Abs. 1 DSGVO) nachweisen zu können. Insgesamt bezieht sich diese Rechenschaftspflicht also auf jegliche Dokumente, die die Einhaltung der datenschutzrechtlichen Anforderungen belegen können. Herzstück der Dokumentation ist dabei das Verzeichnis von Verarbeitungstätigkeiten gemäß Art. 30 Abs. 1 DSGVO und die Dokumentation der umgesetzten technischen und organisatorischen Maßnahmen. Aber auch weitere datenschutzrelevante Dokumente und Nachweise sind von wesentlicher Bedeutung, wie z. B.
Quelle: Philian Hole | 16. März 2022 | https://www.datenschutz-notizen.de/
- Verpflichtungserklärungen auf das Datengeheimnis,
- Meldung des bestellten Datenschutzbeauftragten an die zuständige Aufsichtsbehörde,
- Datenschutz-Schulungen und deren Inhalte,
- Datenschutz-Folgenabschätzungen,
- Gutachten zur Rechtmäßigkeit der Verarbeitung und Interessenabwägungen,
- Auftragsverarbeitungsverträge,
- Geeignete Garantien (Kapitel V DSGVO) für Übermittlungen an Drittländer,
- Richtlinien und Prozesse zur Meldung von Datenschutzverletzungen,
- Richtlinien und Prozesse zur Beantwortung von Betroffenenanfragen,
- Datenschutzverletzungen sowie Benachrichtigungen an betroffene Personen,
- Korrespondenz im Zusammenhang mit Betroffenenanfragen,
- Datenschutzhinweise gemäß Artikel 13 und 14 DSGVO oder auch
- Einwilligungserklärungen.
Um der Rechenschaftspflicht in angemessener Art und Weise nachkommen zu können, ist die Etablierung einer funktionierenden Datenschutz-Organisation essentiell. Datenschutz-Management-Systeme können zudem erheblich dazu beitragen, die notwendigen Nachweise zu pflegen und zu dokumentieren.
Bedeutung für Datenschutzhinweise und Einwilligungserklärungen
Datenschutzhinweisen und Einwilligungserklärungen kommt vor dem Hintergrund der aufgezeigten Rechenschaftspflicht eine besondere Relevanz zu, da diesen oftmals eine gewisse Außenwirkung anhaftet und diese die Rechtmäßigkeit zahlreicher Verarbeitungen tangieren. Besonders deutlich wird dies am Beispiel von Webseiten.
Die auf Webseiten hinterlegte Datenschutzerklärung ist eine Information gemäß Art. 13 DSGVO und sollte entsprechend vorgehalten werden. Es muss dabei nachweisbar sein, dass die Information leicht abrufbar hinterlegt war, ohne die Kenntnisnahme (z. B. mittels einer Checkbox, etc.) explizit zu bestätigen, da dies wiederum dem Datenminimierungsgrundsatz zuwiderlaufen würde. Der Verantwortliche muss jedoch nicht nur die Zurverfügungstellung, sondern auch die konkreten Inhalte der Information nachweisen können. Werden relevante inhaltliche Änderungen an der genutzten Information vorgenommen, ist es dementsprechend empfehlenswert, neben der neuen Version und deren Gültigkeitsbeginn auch die alte Version weiter vorzuhalten.
Über den Einwilligungsbanner wird eine Einwilligung in Verarbeitungsvorgänge bzw. die Platzierung von Cookies, Nutzung von Fingerprints, etc. eingeholt, die nach Art. 7 Abs. 1 DSGVO nachweisbar sein muss. Für diesen Nachweis ist aber nicht zwangsweise die unterschriebene oder in sonstiger Weise protokollierte Einwilligungserklärung erforderlich. Allgemein gilt, dass es bei der Einholung einer elektronischen, mündlichen oder konkludenten Einwilligung sowie der bereitgestellten Information nach Art. 13 DSGVO ausreichend sein kann, den konkreten Prozess der Einwilligungseinholung sowie den jeweiligen Inhalt der Einwilligungserklärung zum Zeitpunkt der Einwilligungserteilung zu dokumentieren. Dies hat die deutsche Datenschutzkonferenz (DSK) auch in dem kürzlich erschienenen Update der Orientierungshilfe zur Verarbeitung von personenbezogenen Daten für Zwecke der Direktwerbung verdeutlicht (hier abrufbar).
Insgesamt sollten also jede Änderung und damit jede verwendete Version der Datenschutzerklärung sowie die Inhalte des Einwilligungsbanners nachgehalten werden. Inhalte der Datenschutzerklärung können dabei auch für die Beurteilung der Wirksamkeit der Einwilligung von Bedeutung sein, da eine Einwilligung im Sinne des Art. 4 Nr. 11 DSGVO stets eine ausreichende Information voraussetzt. Zudem können hierbei entsprechende Hinweise auf das Widerrufsrecht im Falle von Werbemaßnahmen im Sinne des § 7 Abs. 3 UWG äußerst relevant sein.
Dauer der Aufbewahrung
Für die Speicherung und Aufbewahrung von Nachweisen im Sinne des Art. 5 Abs. 2 DSGVO gibt es keine konkreten Aufbewahrungsfristen. Wie lange die datenschutzrechtlich relevanten Dokumente aufbewahrt werden sollten, richtet sich daher nach den möglichen negativen Folgen und Haftungssituationen für den Verantwortlichen. Im Falle von Abmahnungen bei vermeintlich unzulässiger elektronischer Werbung im Sinne des § 7 UWG, bei Schadensersatzforderungen nach Art. 82 DSGVO oder bei Prüfungen und Bußgeldverfahren von Aufsichtsbehörden, etc. würde es regelmäßig stark nachteilig für den Verantwortlichen sein, wenn er die entsprechenden Nachweise der datenschutzkonformen Verarbeitung nicht erbringen kann. Dementsprechend sollten Verantwortliche genau prüfen, wie lange mit entsprechenden Maßnahmen der Aufsichtsbehörde oder der Geltendmachung von Schadensersatzansprüchen einer betroffenen Person zu rechnen ist. Sind Bußgelder oder zivilrechtliche Ansprüche im Zusammenhang mit einer Verarbeitung personenbezogener Daten denkbar, empfiehlt es sich die Aufbewahrungsdauer der entsprechenden Nachweise an den bußgeldrechtlichen und zivilrechtlichen Regelverjährungsfristen (i. d. R. drei Jahre ab Kenntnis, § 31 Abs. 2 Nr. 1 OWiG bzw. § 195 BGB) auszurichten. In Einzelfällen, z. B. bei Schadensersatzforderungen nach Art. 82 DSGVO, können Ansprüche jedoch auch erst nach zehn bzw. 30 Jahren verjähren (vgl. § 199 Abs. 3 BGB)
Letztlich muss aber der Verantwortliche die bestehenden Risiken abwägen und entscheiden, welcher Aufwand betrieben werden soll, um der Rechenschaftspflicht bestmöglich gerecht zu werden. Denn auch für die Rechenschaftspflicht gilt der – die DSGVO prägende – risikobasierte Ansatz.
Fazit
Verantwortliche sollten grundsätzlich eine Datenschutzorganisation implementieren, die gewährleistet, dass der Rechenschaftspflicht in angemessener Weise entsprochen werden kann. Insbesondere in Bezug auf Informationen gemäß Artt. 13 und 14 DSGVO sowie Einwilligungserklärungen ist hierbei zu berücksichtigen, dass auch inhaltliche Änderungen entsprechend nachgehalten werden.