Top Ten der DSGVO, #2: Der Grundsatz der Rechenschaftspflicht

Der Grundsatz der Rechenschaftspflicht

Die Datenschutz-Grundverordnung (DSGVO) führt einen neuen Grundsatz in die europäischen Datenschutzbestimmungen ein: den der Rechenschaftspflicht. Der DSGVO zufolge ist der Verantwortliche verpflichtet, die Einhaltung aller Grundsätze des Datenschutzes sicherzustellen. Ausserdem verlangt die DSGVO von Ihrer Organisation, die Einhaltung aller dieser Grundsätze nachweisen zu können. Welche Schritte sollte Ihre Organisation also unternehmen, um eine solche Kultur zu entwickeln und die Einhaltung der Rechenschaftspflicht nachzuweisen?

Erstens muss sich die Organisation klar darüber sein, welche Grundsätze eingehalten werden müssen. Die DSGVO beinhaltet sechs Grundsätze. Dies sind die Grundsätze der Rechtmässigkeit, der Richtigkeit, der Zweckbindung, der Datenminimierung, der Daten- und Speicherminimierung sowie der Integrität und Vertraulichkeit. Die Einhaltung dieser Grundsätze kann am besten sichergestellt werden, indem Sie dafür sorgen, dass Ihre interne Datenschutzstruktur richtig und umfassend aufgebaut ist.

Auf die Umsetzung dieser Grundsätze wurde in der DSGVO durchgehend Rücksicht genommen. So ist Ihre Organisation laut DSGVO beispielsweise verpflichtet, geeignete, in der DSGVO beschriebene technische und organisatorische Massnahmen zu treffen. Einige (neue) in der DSGVO erwähnte Massnahmen sind: dokumentierte Prozesse/Richtlinien, Folgenabschätzungen zum Datenschutz (Data Protection Impact Assessments – DPIA), vorgeschlagene Methoden der Datensicherung, Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen, ein/e verpflichtende/r Datenschutzbeauftragte/r (Data Protection Officer – DPO) für die umfangreiche Verarbeitung personenbezogener Daten und die Führung eines Verzeichnisses über Ihre Verarbeitungsaktivitäten. Besonderes Augenmerk wird auf (branchenspezifische) Verhaltensregeln und Selbstzertifizierung, die Meldung von Verletzungen des Schutzes personenbezogener Daten und auf Transparenzerfordernisse gelegt.

Kultureller und organisatorischer Wandel

Eine starke Governance-Struktur ist wichtig, wenn es darum geht, den Datenschutz zu standardisieren und die Daten durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen zu schützen. Damit der kulturelle und organisatorische Wandel in Ihrer Organisation im Hinblick auf die Einhaltung der DSGVO gelingt, müssen Sie sich unbedingt die Unterstützung der Interessenträger sichern. Durch die Entwicklung interner Mitarbeiterrichtlinien kann die Einhaltung der gesetzlichen Bestimmungen bezüglich der Verarbeitung und Sicherung von Daten sichergestellt werden. Bauen Sie Schulungen und Sensibilisierungsprogramme für alle ein, die an der Verarbeitung personenbezogener Daten beteiligt sein werden. Ihre Organisation kann auch die Unterzeichnung eines branchenspezifischen Verhaltenskodex, die Erstellung interner Richtlinien und die Entwicklung eines Überprüfungsverfahrens für Datenanalysen in Erwägung ziehen.

Durch einen unterzeichneten Verhaltenskodex kann Compliance nachgewiesen werden, insbesondere wenn Zertifikate von den Zertifizierungsstellen ausgestellt werden. Diese Dinge sind gemäss DSGVO nicht verpflichtend, werden aber ausdrücklich empfohlen. Die Entwicklung eigener Ethikstandards betreffend der Verarbeitung personenbezogener Daten kann Ihre Bemühungen im Bereich Rechenschaftspflicht zusätzlich unterstreichen. Die Risiken neuer Initiativen werden gegen mögliche Nutzen abgewogen. Neben der Frage: «Dürfen wir das aus rechtlicher Sicht?» sollten auch andere Fragen gestellt werden, um eine ethisch vertretbare Nutzung der Daten sicherzustellen, zum Beispiel: «Wollen wir das tun, und wie wird das von unseren Kunden wahrgenommen?».

Ausserdem verpflichtet die DSGVO Ihre Organisation, interne Verzeichnisse über alle Ihre Verarbeitungsaktivitäten zu führen. Ihre Organisation ist unter anderem verpflichtet, die Zwecke der Verarbeitung und eine Beschreibung der technischen und organisatorischen Sicherheitsmassnahmen aufzuzeichnen.

Neu in der DSGVO ist die Anforderung, eine/n Datenbeauftragte/n (Data Privacy Officer – DPO) innerhalb der Organisation zu ernennen. Obwohl diese Anforderung nur unter bestimmten Umständen verpflichtend ist, kann ein/e DPO die Aktivitäten Ihrer Organisation und die Verarbeitungsaktivitäten überwachen und Ihnen so helfen, die DSGVO einzuhalten.

Fazit

Mit der DSGVO gewinnt der Grundsatz der Rechenschaftspflicht an Bedeutung. Ihre Organisation ist nicht nur verpflichtet, die in der DSGVO enthaltenen Grundsätze einzuhalten, sondern sie muss diese Einhaltung auch nachweisen. Um dem Grundsatz der Rechenschaftspflicht zu entsprechen, muss eine umfassende Governance-Struktur eingerichtet werden. Die Einhaltung des Grundsatzes der Rechenschaftspflicht bedeutet für Ihre Organisation einen kulturellen und organisatorischen Wandel. Mithilfe starker technischer und organisatorischer Massnahmen kann Ihre Organisation die Einhaltung der DSGVO nachweisen.