Die Rechenschaftspflicht ist ein zentraler Punkt in der Datenschutzgrundverordnung. Auch Ihr Unternehmen muss diese Vorschrift beachten!
Unlängst wurde der VfB Stuttgart 1893 AG von dem Landesbeauftragten für den Datenschutz und die Informationsfreiheit in Baden-Württemberg Stefan Brink mit einem Bußgeld in Höhe von 300.000,00 € wegen fahrlässiger Verletzung der datenschutzrechtlichen Rechenschaftspflicht gemäß Art. 5 Abs. 2 DSGVO belegt.
Was ist diese Rechenschaftspflicht überhaupt?
Die Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO verpflichtet den Verantwortlichen zur Einhaltung der Grundsätze zur Verarbeitung von personenbezogenen Daten. Dies sind zusammengefasst folgende Punkte:
• Rechtmäßigkeit der Verarbeitung
• Verarbeitung nach Treu und Glauben
• Transparenz
• Zweckbindung
• Datenminimierung
• Richtigkeit der Daten
• Speicherbegrenzung
• Integrität und Vertraulichkeit der Daten
Der Verantwortliche ist aber nicht nur zur Einhaltung der Grundsätze verpflichtet, sondern er muss deren Einhaltung auch nachweisen.
Wie sieht das in der Praxis aus?
Ein Beispiel: Sie verarbeiten die E-Mail-Adresse eines Interessenten und stützen sich dabei auf die Rechtsgrundlage des „berechtigten Interesses“ gem. Art. 6 Abs. 1 S. 1 lit. f) DSGVO. Damit Sie den o.g. Grundsatz der Rechtmäßigkeit nachweisen können, müssen Sie die Abwägung der Interessen nicht nur „durchspielen“, sondern auch aufschreiben und intern ablegen.
Sie sollten also ein Datenschutzmanagementsystem implementieren, mit dem die Einhaltung dieser Grundsätze einfach umsetzbar ist. Hier werden sowohl alle vorhandenen Belehrungen und Informationen, Maßnahmen und auch Prozesse dokumentiert und verwaltet. Hierunter fallen bspw. die Belehrungen der Betroffenen, die Dokumentation der technischen und organisatorischen Maßnahmen, das Erstellen und Aktualisieren eines Verarbeitungsverzeichnisses sowie die dahinterstehenden Prozesse.
Auf Nachfrage der Aufsichtsbehörde ist der Verantwortliche somit in der Lage seiner Rechenschaftspflicht nachzukommen. Wichtig ist hierbei, dass das Unternehmen nur die Dokumente und Angaben herausgeben muss und auch sollte, die von der Behörde angefragt werden.
In keinem Fall müssen Dokumente vorgelegt werden, die das Unternehmen belasten. Eine Verpflichtung zur Selbstbezichtigung besteht nämlich in keinem Fall.
Wie kam es nun zu dem Bußgeld gegen den VfB?
Die Ermittlungen der Aufsichtsbehörden hatten ergeben, dass leitende Mitarbeiter der Verantwortlichen wiederholt Mitgliederdaten an Dritte geschickt hatten, darunter auch Festnetz- und Handynummern, E-Mail-Adressen oder Angaben zu Teilnahmen an zurückliegenden Mitgliederversammlungen ohne dass es hierfür eine entsprechende Rechtsgrundlage gab.
Bei der Bemessung der Bußgeldhöhe wurde von der Behörde berücksichtigt, dass der Verantwortliche sich kooperativ und ein vernünftiges Nachtatverhalten gezeigt hatte. Anderenfalls hätte das Bußgeld noch deutlich höher ausfallen können.
Die Aufsichtsbehörden haben auch verlauten lassen, dass Verstöße gegen die Rechenschaftspflicht die am meisten mit Bußgeldern geahndeten Verstöße darstellen.
Wir stellen mit unseren Kunden im Rahmen der Bearbeitung des „SiDIT-Fahrplans“ die Erfüllung der Anforderungen im Rahmen der Rechenschaftspflicht sicher.
Sollten Sie Handlungs- und/oder Beratungsbedarf bzgl. der Rechenschaftspflicht nach Art. 5 Abs 2 DSGVO haben, sprechen Sie uns gerne an. Wir sind bundesweit tätig und unterstützen Sie gerne: 0931 – 780 877-0 oder info@sidit.de
Kein Kommentar