Über die Dokumentationspflicht des Verantwortlichen nach Art. 33 Abs. 5 DSGVO

Die neue Datenschutzgrundverordnung (DSGVO) erlegt dem Verantwortlichen in Art. 33 Abs. 1 DSGVO die Pflicht auf, der zuständigen Aufsichtsbehörde zu melden, wenn eine Verletzung des Schutzes personenbezogener Daten voraussichtlich ein Risiko für die Rechte und Freiheiten des Betroffenen darstellt. Art. 33 Abs. 1 DSGVO wird nach Inkrafttreten der Verordnung die bereits nach § 42a Bundesdatenschutzgesetz (BDSG) geltende Meldepflicht des Verantwortlichen ersetzen. Eine Neuerung bringt Art. 33 DSGVO insoweit, dass der Verantwortliche nach Absatz 5 nun auch jede Verletzung des Schutzes personenbezogener Daten zu dokumentieren hat. Inhalt, Anforderungen und Besonderheiten der neuen Dokumentationspflicht legt der europäische Gesetzgeber nur andeutungsweise fest; sie sollen daher Thema des folgenden Beitrags sein.

Sinn und Zweck der neuen Dokumentationspflicht

Der nach Art. 5 Abs. 2 DSGVO geltende Grundsatz der Rechenschaftspflicht bestimmt, dass der Verantwortliche für die selbstständige Umsetzung datenschutzrechtlicher Pflichten verantwortlich ist und deren Einhaltung nachweisen können muss. Da der Verantwortliche aus diesem Grund auch das Entscheidungsmandat über die Mitteilungsbedürftigkeit eingetretener Datenpannen (Art. 33 Abs. 1 DSGVO) hat und diesbezügliche Fehler schwerwiegende Konsequenzen haben können, bedarf es einer hinreichenden Kontrolle seiner Beurteilungen durch die Aufsichtsbehörde. Diese Kontrolle soll Art. 33 Abs. 5 DSGVO ermöglichen, wonach der Verantwortliche etwaige Verletzungen des Schutzes personenbezogener Daten zu dokumentieren hat. Konkret hat das Dokumentationserfordernis damit zwei Funktionen: Wenn der Verantwortliche eine Meldung abgegeben hat, soll sie einerseits eine Überprüfung ermöglichen, ob die Meldung sachlich richtig war, um daran gegebenenfalls aufsichtsrechtliche oder sanktionsrechtliche Maßnahmen zu knüpfen. Zum anderen erhält die Aufsichtsbehörde in Konstellationen, in denen der Verantwortliche von einer Meldung wegen eines zu geringen Risikos (Abs. 1 S. 1 Hs. 2) abgesehen hat, eine Grundlage, um die Richtigkeit dieser Wertung überprüfen zu können.

Wann muss dokumentiert werden?

Damit die Aufsichtsbehörde das Verhalten des Verantwortlichen für die soeben benannten Zwecke auch dann nachvollziehen und ggfs. bewerten kann, wenn dieser mangels größeren Risikos für den Betroffenen eine Meldung für entbehrlich gehalten hat, muss eine Dokumentation bei jeder unberechtigten Offenlegung personenbezogener Datensätze erfolgen. Die Dokumentationspflicht besteht somit bei allen Vorfällen, die eine Verletzung des Schutzes personenbezogener Daten zum Gegenstand haben.

Inhalt der Dokumentation

Nach Art. 33 Abs. 5 DSGVO hat der Verantwortliche die Datenpanne einschließlich aller im Zusammenhang mit der Verletzung des Schutzes personenbezogener Daten stehenden Fakten, deren Auswirkungen und die ergriffenen Abhilfemaßnahmen zu dokumentieren. Die zunächst zu dokumentierenden Fakten sind inhaltlich deckungsgleich mit den Informationen, die der Verantwortliche gemäß Abs. 3 lit. a), c) und d) DSGVO auch der Aufsichtsbehörde zu melden hat. Da eine Kontrolle stets ein Mehr an Informationen erfordert, muss die Dokumentationspflicht umfassender sein als die Meldepflicht. Zu dokumentieren sind daher auch die Auswirkungen, die sich durch die Datenpanne für die betroffene Person ergeben können. Es geht mithin um die in Erwägungsgrund 85 DSGVO bestimmten Schäden für natürliche Personen, wie etwa den Kontrollverlust über ihre personenbezogenen Daten, finanzielle Einbußen oder die Einschränkung ihrer Rechte. Die Datenpanne kann aber auch andere rein immaterielle Auswirkungen haben: Diskriminierungen, Identitätsdiebstähle oder Rufschädigungen sind mögliche Folgen einer Verletzung personenbezogener Daten. Auch diese Angaben unterliegen der Dokumentationspflicht. Die ergriffenen Abhilfemaßnahmen sind umfassend darzustellen, um beurteilen zu können, ob der Verantwortliche dem Umfang seiner Pflichten in hinreichender Weise nachgekommen ist. Dies ergibt sich auch aus Erwägungsgrund 87 der DSGVO: Für eine hinreichende Bewertung seines Verhaltens ist zu ermitteln, ob alle geeigneten technischen Schutz- sowie organisatorischen Maßnahmen getroffen wurden. Ein Abgleich zwischen den dokumentierten Abhilfemaßnahmen, die er getroffen hat und denen, die er hätte treffen müssen, dienen insofern auch dem Überblick über schuldhafte Pflichtverletzungen, die mit Bußgeldern belegt und zur Prävention einer wiederholten Vergehens hilfreich werden können.

Ausblick

Der Verantwortliche hat die Dokumentation der zuständigen Aufsichtsbehörde nicht zuzuleiten, sondern sie lediglich in einer dem Beweis zugänglichen Form aufzubewahren, um der Aufsichtsbehörde die Kontrolle zu ermöglichen. Wie eingangs erwähnt, war die Dokumentationspflicht bis dato einfachgesetzlich nicht geregelt. Die Vorschrift wird aufgrund zahlreicher unbestimmter Rechtsbergriffe für Rechtsunsicherheit sorgen; allerdings werden die Ausführungen der Rechtsprechung und des Europäischen Datenschutzausschusses in dieser Sache Klarheit bringen und sind bis dahin abzuwarten.

 

Haben Sie Fragen zum Thema digitale Sprachassistenten? Kontaktieren Sie gerne: RA Nicole Schmidt, LL.M. Leistung: Anwaltliche Beratung

 

–––

Sie suchen einen erfahrenen Partner rund um das Thema Datenschutz? Setzen Sie sich mit uns in Verbindung.