DS-GVO/BDSG. David Klein
Читать онлайн.| Название | DS-GVO/BDSG |
|---|---|
| Автор произведения | David Klein |
| Жанр | Языкознание |
| Серия | Heidelberger Kommentar |
| Издательство | Языкознание |
| Год выпуска | 0 |
| isbn | 9783811488519 |
92
Zudem kann ein Betroffener für etwaige Schäden nach Art. 82 Schadensersatz verlangen.[116]
I. GDD-Praxishilfe DS-GVO IX „Accountability“
93
Die GDD hat eine Praxishilfe zur Accountability herausgegeben. Die Accountabilitiy sollte danach durch folgende Maßnahmen sichergestellt werden:[117]
| – | Eine betriebliche Datenschutz-Policy soll den Mitarbeitern eine Orientierung über allgemein einzuhaltende Anforderungen geben. Sie legt u.a. Verantwortlichkeiten fest und konkretisiert die Zusammenarbeit mit dem betrieblichen oder behördlichen Datenschutzbeauftragten. |
| – | Eine Sensibilisierung der mit Verarbeitungsvorgängen befassten Mitarbeiter und eine zielorientierte Schulung zum Datenschutz stellen generell eines der wichtigsten Mittel der Datenschutzorganisation dar, um präventiv auf datenschutzkonformes Handeln hinzuwirken. |
| – | Eine Verpflichtung auf die Vertraulichkeit ist Basis Accountability und des Datenschutzmanagements nach Art. 24. Sie ersetz die Verpflichtung auf das Datengeheimnis nach § 5 BDSG a.F.[118]. Art. 28 Abs. 3 lit. b verpflichtet Auftragsverarbeiter die mit der Datenverarbeitung betrauten Personen auf die Vertraulichkeit zu verpflichten. |
| – | Das Herstellen einer umfassenden Transparenz der Verarbeitung der personenbezogenen Daten ist wesentliche Verpflichtung der Accountability nach Art. 5. Hierzu gehört, dass zu jedem der folgenden Artikel der Nachweis erbracht wird, wie die Umsetzung im Unternehmen erfolgt ist. Zum Nachweis der Umsetzung der Accountability ist unternehmensbezogen und risikoorientiert zu jedem einzelnen Element der Betroffenenrechte zu prüfen und zu dokumentieren, welche Prozesse und Maßnahmen bestehen. |
| – | Mit der DS-GVO wird die Meldung von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde und an betroffene Personen (Art. 33 und 34) auf alle verantwortlichen Stellen ausgedehnt. Die Meldung solcher „Datenpannen“, bzw. von solchen Sicherheitsvorfällen ist wesentlicher Teil der Accountability, denn nur so kann die verantwortliche Stelle den Nachweis des verantwortlichen Umgangs mit personenbezogen Daten auch für die Fälle erbringen, in denen Fehler auftreten, die „voraussichtlich zu einem Risiko für die Rechte und Freiheiten natürlicher Personen“ führen. Bei einem hohen Risiko sind auch die betroffenen Personen zu informieren. |
| – | Herzstück eines transparenten und effizienten Datenschutzmanagements ist, wie schon bislang das Verfahrensverzeichnis, ein vollständiges, aktuell gehaltenes Verzeichnis der Verarbeitungstätigkeiten.[119] |
| – | Verarbeitungen, mit denen voraussichtlich ein hohes Risiko für die Persönlichkeitsrechte von Betroffenen verbunden ist, bedürfen der Datenschutzfolgenabschätzung (DSFA). Auch um zum Ergebnis zu kommen, dass/wo solche Risiken nicht vorliegen, bedarf es eines systematischen Ansatzes zur datenschutzrechtlichen Risikoanalyse. Dies geschieht sinnvollerweise im Zuge der Erfassung der einzelnen Verarbeitungstätigkeiten. Somit bietet es sich an, auch die Dokumentation der Risikoanalysen und der DSFA an das VVT anzufügen. |
| – | Der sog. PDCA-Zyklus („Plan-Do-Check-Act“)[120] nach Deming beschreibt einen kontinuierlichen Verbesserungsprozess und ist die Grundlage aller Qualitätsmanagement-Systeme. PDCA findet sich z.B. auch in der ISO 27001. Er findet seine Rechtsgrundlage in Art. 24. |
II. Relevanz für öffentliche und nichtöffentliche Stellen
94
Die Grundsätze nach Art. 5 verpflichten Behörden und Unternehmen in gleicher Weise. Behörden haben nach dem Prinzip der Rechtmäßigkeit insbesondere das bereichsspezifische Datenschutzrecht anzuwenden bzw. den Zweckbindungsgrundsatz bei der hoheitlichen Aufgabenerfüllung zu beachten. Öffentliche und nichtöffentliche Stellen sind damit auch zur Accountability verpflichtet.
95
Verantwortliche können die Grundsätze für die Verarbeitung personenbezogener Daten nach Art. 5 nutzen, in dem sie sich bei der Datenverarbeitung generell an den Grundsätzen orientieren. Mit Blick auf die Entwicklung und den Einsatz von neuen Technologien, wie bspw. KI-Systemen, lässt sich ein Handlungsrahmen für die datenschutzrechtlichen Vorgaben ableiten, der den Verantwortlichen zur Orientierung dienen kann.[121]
III. Relevanz für betroffene Personen
96
Den betroffenen Personen stehen aus den Grundsätzen des Art. 5 keine eigenständigen Rechtsansprüche gegen den Verantwortlichen zu. Diese sind vielmehr in den Betroffenenrechten konkretisiert. Macht der Betroffene nach Art. 82 Abs. 1 einen Anspruch wegen eines materiellen oder immateriellen Schaden geltend und kann der Verantwortliche die Einhaltung der Grundsätze nicht nachweisen, geht dies zu seinen Lasten. Die Regelung des Art. 82 Abs. 3 führt de facto zu einer Beweislastumkehr.
IV. Relevanz für Aufsichtsbehörden
97
Die Nachweispflicht hat ihre Bedeutung auch bei Überprüfungen durch die Aufsichtsbehörde. Sie kann gem. Art. 58 Abs. 1 lit. a vom Verantwortlichen die Bereitstellung von Informationen verlangen. Kann der Verantwortliche die Einhaltung der Grundsätze und deren Konkretisierung in der DS-GVO und Normen, für die eine Öffnung besteht nicht nachweisen, liegt ein Datenschutzverstoß vor.
Anmerkungen
Die Autoren danken Herrn stud. iur. David Merten für die Unterstützung bei der Durchsicht des Manuskriptes.
Siehe auch Auernhammer-Kramer Art. 5 Rn. 1, der von der Magna Charta der zulässigen Datenverarbeitung spricht, um den Stellenwert der Norm hervorzuheben; Vgl. auch Sydow-Reimer Art. 5 Rn. 1.
Vgl. dazu Kommentierung zu den Art. 12 ff. DS-GVO.