DSGVO – Was sagt die DSGVO zur Rechenschaftspflicht?

Dokumentation gehört im Datenschutz und vielen anderen Bereichen einfach mit dazu. Können die Vorgaben der Datenschutzmaßnahmen nicht nachgewiesen werden, so erfüllt man damit ebenso wenig die Rechenschaftspflicht.
Doch was gehört in der Datenschutzgrundverordnung DSGVO alles zur Rechenschaftspflicht?

 

 

Was besagt die DSGVO zur Rechenschaftspflicht

Sowohl Unternehmen als auch jegliche Form der öffentlichen Einrichtungen müssen sich Richtlinien des Datenschutzes halten und sind auch für die personenbezogene Daten verantwortlich.
Dies sagt der Artikel 5 DSGVO Rechenschaftspflicht Accountability zu der ganzen Sache.

Gleiches gilt für Artikel 24 DSGVO Nachweispflicht, welcher besagt, dass ein Verantwortlicher einen Nachweis dafür aufbringen muss, dass personenbezogene Daten nach der Datenschutzgrundverordnung bearbeitet werden.
Kann er das nicht, dann hat dies Konsequenzen und kann ebenso Strafen mit sich ziehen.

 

Das gehört in die Nachweis- bzw. Rechenschaftspflicht mit rein

Wesentliche Datenschutz-Maßnahmen in Form von wesentlichen Aktivitäten und Arbeitsergebnisse gehören laut den Behörden einfach mit dazu.
Wichtige Dokumentationen müssen einfach festgehalten werden, sodass auch nichts verloren geht. Technische und organisatorische Maßnahmen (TOM) müssen hierbei umgesetzt werden.
Der Nachweis, dass eine informierte Einwilligung vorliegt, hat beispielsweise vom Verantwortlichen nachgewiesen zu werden.
Zudem haben Unternehmen ihre Beschäftigten im Datenschutz zu schulen und Schulungsnachweise zu erbringen.

 

TIPP:  DSGVO – Warum besteht Schulungspflicht der Mitarbeiter im Datenschutz

https://datenschutzbeauftragter-dsgvo.com/dsgvo-warum-besteht-schulungspflicht-der-mitarbeiter-im-datenschutz/

 

Diese weiteren Dokumentationen sind nach der DSGVO wichtig

Die Datenschutzgrundverordnung hat an mehreren Stellen eine Dokumentationspflicht vorgesehen.
Dazu gehört auch das Verzeichnis von Verarbeitungstätigkeiten, die Dokumentation von Datenschutzverletzungen und die Dokumentation von Weisungen.
Zu dokumentieren ist damit, wie groß das Risiko einer Person, bei einer Datenschutzverletzung ist.

 

TIPP: DSGVO – Warum ein Verzeichnis für Verarbeitungstätigkeiten

https://datenschutzbeauftragter-dsgvo.com/dsgvo-warum-ein-verzeichnis-fuer-verarbeitungstaetigkeiten-so-wichtig-ist/

Dementsprechend muss es eine genaue Begründung geben, da der reine Nachweis nicht ausreicht.
Nach Artikel 58 DSGVO kann die Behörde verlangen, dass alle Informationen sofort bereit gestellt werden müssen.
Diese Verpflichtungen müssen in solchen Momenten erfüllt werden. Freiwillige Instrumente wie Verhaltensregeln, können hierbei unterstützend wirken

 

Der Transparenzgrundsatz in Verbindung mit der Rechenschaftspflicht

Die Transparenz hat das Recht der Personen auf den Schutz ihrer Daten erst eingeleitet.
Verbraucher dürfen immer erfahren, wann ihre Daten gespeichert werden.

Deswegen müssen Unternehmen darüber lückenlos Auskunft geben können.
Untergeordnete Bereiche sind in diesem Transparenzgrundsatz enthalten. Es handelt sich dabei um Folgende:

– Betroffenenrechte
– Verzeichnis von Verarbeitungstätigkeiten
– Grundsätze von Privacy by Design / Privacy by Default
– Mitarbeiterdatenschutz
– Auftragsdatenverarbeitung
– Meldepflicht und Datenpannen

Im Zweifelsfall sollen Unternehmen und öffentliche Einrichtungen den Prozess selbst zeigen und notwendige Informationen bereitstellen können.

 

TIPP: DSGVO Transparenzgrundsatz – Was ist enthalten

https://datenschutzbeauftragter-dsgvo.com/dsgvo-transparenzgrundsatz-was-ist-enthalten/

 

Die Datenschutz-Folgenabschätzung

Führt Ihr Unternehmen eine Datenschutz-Folgenabschätzung durch, dann muss dies ebenso dokumentiert werden.
Nach Art 35 DSGVO wird dies unweigerlich gefordert und so sollte eine Umsetzung stattfinden.
Empfohlen wird die Verarbeitung der Daten, trotz bestimmter Risiken, weiterzuführen und dies anschließend genau zu begründen.
Genauso ist es, wenn im Rahmen der DSFA, ein Datenschutzbeauftragter konsultiert wird.
Wird trotz alledem vom Rat abgewichen, so ist dies mit festzuhalten.

 

Die Rolle der TOM im Bezug auf die Verarbeitung personenbezogener Daten

TOM Technische Organisatorische Maßnahmen sind gemäß Art 32 der Datenschutzgrundverordnung vorgeschriebene Maßnahmen, die für die Sicherheit bei der Verarbeitung personenbezogener Daten, sorgen sollen.
Verantwortliche haben die Pflicht geeignete Maßnahmen hierfür zu finden und umzusetzen, um ein angemessenes Schutzniveau garantieren zu können.
Dies geschieht alles unter Berücksichtigung des technischen Standes, der Art, Umstände sowie dem Zweck der Verarbeitung und vielem mehr.
Alle Kriterien des TOM und beispielhafte Maßnahmen ergeben sich aus alle aus dem Gesetz.

Dazu gibt es unterschiedliche Einzelmaßnahmen, die im Ganzen in definierter Reihenfolge stehen.

 

  1. Zutrittskontrolle: An erster Stelle befindet sich die Zutrittskontrolle, welche verhindern soll, dass Unbefugte keinen Zutritt zu Datenverarbeitungsanlagen haben.

 

  1. Zugangskontrolle: Anschließend folgt die Zugangskontrolle, die dafür sorgt, dass Unbefugte jene Anlagen auch nicht nutzen können.

 

  1. Kontrolle der Weitergabe: An dritter Stelle steht die Kontrolle der Weitergabe. Jene gewährleistet, dass die Daten weder kopiert, gelesen, verändert oder gar gelöscht werden können.

 

  1. Kontrolle der Eingabe: Die Eingabekontrolle hingegen überprüft, wer Daten überhaupt verändern oder entfernen darf.

 

  1. Auftragskontrolle: Darauffolgend gibt es noch die Auftragskontrolle, die dafür da ist, dass wirklich nur Befugte, Daten weiterverarbeiten können.

 

  1. Kontrolle der Verfügbarkeit & Trennungsgebot: Zum Schluss kommen noch die Verfügbarkeitskontrolle und das Trennungsgebot. Bei Ersterem werden Daten vor Zerstörung und Verlust geschützt. Zweiteres sorgt für die Trennung zur Weiterverarbeitung.

 

 

TIPP: DSGVO – Die Rechtmäßige Verarbeitung von personenbezogenen Daten. Welche Verarbeitungszwecke und Rechtfertigungsgründe sind möglich.

https://datenschutzbeauftragter-dsgvo.com/dsgvo-rechtmaessige-verarbeitung-personenbezogenen-daten-welche-verarbeitungszwecke-rechtfertigungsgruende-sind-moeglich/

 

TIPP: Richtiges Dokumentenmanagement in Zeiten der DSGVO

https://datenschutzbeauftragter-dsgvo.com/richtiges-dokumentenmanagement-zeiten-dsgvo/