DSGVO - BDSG - TTDSG

2. Zweckbindung (lit. b)

22

Gemäß Art. 5 Abs. 1 lit. b Hs. 1 DSGVO müssen personenbezogene Daten für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden.

a) Grundsatz: Erhebung für festgelegte, eindeutige und legitime Zwecke

23

Aus der Vorgabe, dass personenbezogene Daten für festgelegte Zwecke erhoben werden müssen, ergibt sich im Umkehrschluss das Verbot der Datenerhebung zu noch unbekannten Zwecken.49 Folglich muss die Fixierung des Zwecks der Verarbeitung grundsätzlich spätestens mit deren Beginn erfolgen.50 Der Zweckbindungsgrundsatz kann insofern als ein Selbstregulierungsinstrument verstanden werden, das den Verantwortlichen zu einer Reflexion über die Ziele seiner Datenverarbeitung zwingt.51 Art. 5 Abs. 1 lit. b DSGVO sieht für die Festlegung des Zwecks zwar keine bestimmte Form vor, jedoch ist aus Gründen der Beweisbarkeit eine textliche52 oder schriftliche53 Fixierung ratsam, zumal der Zweck der Datenverarbeitung den betroffenen Personen im Rahmen der Transparenzpflichten regelmäßig ohnehin mitzuteilen ist (siehe oben Rn. 16ff.). Sofern eine Verarbeitung mehreren Zwecken dient,54 sollte der Verantwortliche freilich sämtliche Zwecke hinreichend definieren.

24

Zudem muss der Verarbeitungszweck eindeutig angegeben werden. Bezugnehmend auf die englische Sprachfassung55 ist davon auszugehen, dass der Zweck hinreichend konkret bestimmt sein muss,56 sodass zu allgemeine Angaben wie beispielsweise „für Marketing-Zwecke“ dem notwendigen Detaillierungsgrad nicht entsprechen dürften.57 Das Erfordernis einer konkreten Zweckfestlegung und deren Mitteilung gegenüber der betroffenen Person sind nicht zuletzt auch ein Ausdruck der Transparenz der Datenverarbeitung.58 Der konkret erforderliche Detaillierungsgrad ist einzelfallabhängig;59 wesentliche Faktoren sind etwa:60

 – die Anzahl der betroffenen Personen,

 – der von der Verarbeitung betroffene geografische Bereich oder

 – das im gegebenen Verarbeitungskontext übliche Maß.

25

Der Zweck der Verarbeitung ist legitim, sofern er mit der Rechtsordnung in Gänze in Einklang steht, mithin also kein rechtlich missbilligtes Interesse verfolgt wird.61 Der Verarbeitungszweck muss somit jeglichem geschriebenen Recht und Gewohnheitsrecht, Primär- und Sekundärrecht, Verordnungen, bindenden Präzedenzfällen, Verfassungsprinzipien, Grundrechten sowie der Rechtsprechung entsprechen (siehe auch Art. 6 Rn. 84, 160).62

b) Ausnahme: Weiterverarbeitung in mit diesen Zwecken vereinbarer Weise

26

Gemäß dem Zweckbindungsgrundsatz darf eine etwaige Weiterverarbeitung der personenbezogenen Daten dem Zweck ihrer Erhebung nicht zuwiderlaufen. In Art. 6 Abs. 4 DSGVO (siehe Art. 6 Rn. 173) werden eine Reihe von Faktoren aufgelistet, anhand derer beurteilt werden kann, ob die (Weiter-)Verarbeitung zu einem anderen Zweck mit demjenigen, zu dem die personenbezogenen Daten ursprünglich erhoben wurden, vereinbar ist.63 Die aufgeführten Kriterien sind nicht abschließend64 und umfassen etwa den Zusammenhang, in dem die personenbezogenen Daten erhoben wurden (lit. b), sowie die möglichen Folgen der beabsichtigten Weiterverarbeitung für die betroffenen Personen (lit. d). Weiterverarbeitungen für im öffentlichen Interesse liegende Archivzwecke, für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke werden nach Maßgabe des Art. 5 Abs. 1 lit. b Hs. 2 DSGVO privilegiert, indem sie nicht als mit dem ursprünglichen Erhebungszweck unvereinbar angesehen werden. Da diese Ausnahmen das Potenzial haben, das Prinzip der Zweckbindung erheblich auszuhöhlen, sind sie restriktiv auszulegen.65 In der Praxis kann dem Auftreten einer Zweckänderung und den damit einhergehenden Problemen vorgebeugt werden, indem bereits zu Beginn des Verarbeitungsvorgangs eine Reihe konkreter Zwecke festgelegt wird, auf die später zurückgegriffen werden kann.

3. Datenminimierung (lit. c)

27

Personenbezogene Daten müssen dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein, Art. 5 Abs. 1 lit. c DSGVO. Zur Wahrung dieses Grundsatzes der Datenminimierung muss die Datenverarbeitung nicht auf ein absolutes Minimum beschränkt werden, sondern sie muss lediglich ein dem Verarbeitungszweck angemessenes Niveau aufweisen.66 Wie dieses Niveau im Einzelfall auszugestalten ist, ist vom Verantwortlichen vor Beginn der Verarbeitungstätigkeit anhand einer Verhältnismäßigkeitsprüfung zu bestimmen.67

28

Der Datenminimierungsgrundsatz steht prinzipiell der gängigen Praxis entgegen, Daten nicht nur in einem Hauptsystem, sondern darüber hinaus auch in diversen Nebenakten oder „Schattendatenbanken“ vorzuhalten, also Systemen, auf denen Kopien von Datensätzen jenseits zentral gesteuerter Backup-Routinen gespeichert sind (wie bspw. lokale Kopien, Excel-Datenbanken oder, soweit sie gem. Art. 2 DSGVO dem Anwendungsbereich der Verordnung unterfallen, auch Papierakten). Ob und inwieweit die Datenspeicherung in solchen Schattendatenbanken zulässig ist, ist stets eine Frage des Einzelfalls und in erster Linie davon abhängig, ob eine doppelte Aktenführung – etwa zur ordnungsgemäßen Wahrnehmung der Personalverwaltung – erforderlich ist und mithin gerechtfertigt werden kann. Grundsätzlich ist die Verwendung von Nebenakten und Schattendatenbanken zwar nicht ausgeschlossen, jedoch sollte damit sparsam verfahren werden, da sich sämtliche die Hauptakte betreffende organisatorische Pflichten (beispielsweise Lösch-, Berichtigungs- und Auskunftspflichten sowie die Pflicht zur Implementierung technischer und organisatorischer Maßnahmen) auch auf etwaige Nebenakten erstrecken.68

29

Eine konkrete Ausprägung erfährt der Datenminimierungsgrundsatz durch Art. 25 DSGVO, der den Datenschutz durch Technikgestaltung (privacy by design) und durch datenschutzfreundliche Voreinstellungen (privacy by default) zum Gegenstand hat.69 Gemäß Art. 25 Abs. 1 DSGVO ist der Verantwortliche dazu verpflichtet, geeignete technische und organisatorische Maßnahmen – wie beispielsweise die Pseudonymisierung – zur Einhaltung der Anforderungen der DSGVO zu treffen. Diese Maßnahmen müssen für die Wahrung aller Datenschutzgrundsätze ausgelegt sein, wobei die Norm ausdrücklich auf den Grundsatz der Datenminimierung Bezug nimmt. Nach Maßgabe des Art. 25 Abs. 2 DSGVO ist darüber hinaus durch Voreinstellungen sicherzustellen, dass eine Verarbeitung lediglich erfolgt, solange und soweit die personenbezogenen Daten für den jeweiligen bestimmten Verarbeitungszweck erforderlich sind. Auch hierbei handelt es sich um eine unmittelbare Ausprägung des Grundsatzes der Datenminimierung.70 Demgemäß verstößt es gegen Art. 5 DSGVO, wenn ein Archivsystem keine Möglichkeit bereitstellt, personenbezogene Daten wieder zu löschen.71

4. Richtigkeit (lit. d)

30

Der Verarbeitungsgrundsatz der Richtigkeit erfordert, dass personenbezogene Daten sachlich richtig und erforderlichenfalls auf dem neuesten Stand sind, Art. 5 Abs. 1 lit. d Hs. 1 DSGVO. Überdies sind gem. Art. 5 Abs. 1 lit. d Hs. 2 DSGVO angemessene Maßnahmen zu treffen, damit personenbezogene Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung unrichtig sind, unverzüglich gelöscht oder berichtigt werden.

31

Personenbezogene Daten sind sachlich richtig, wenn die gespeicherte Information mit der Realität übereinstimmt.72 Der Pflicht zur Ergreifung angemessener Maßnahmen zur unverzüglichen Löschung oder Berichtigung unrichtiger Daten nach Art. 5 Abs. 2 lit. d Hs. 2 DSGVO kann der Verantwortliche nur durch regelmäßige aktive Überprüfungen der Richtigkeit seiner Datenbestände effektiv nachkommen.73 Während der Grundsatz sachlicher Richtigkeit vorbehaltlos formuliert ist, müssen personenbezogene Daten nur „erforderlichenfalls“ auch auf dem neusten Stand sein, Art. 5 Abs. 1 lit. d Hs. 1 DSGVO. Dass Daten auf dem neusten Stand sind, ist insbesondere dann nicht erforderlich, wenn es sich um „historische Daten“ handelt, also solche, die unmittelbar mit einem bestimmten Zeitpunkt verknüpft sind:74 Beispielsweise kann es der Zweck der Verarbeitung im Falle der Speicherung von Gesundheitsdaten im Rahmen einer Untersuchung gebieten, dass ebendiese Daten bei einer Änderung des Gesundheitszustands nicht berichtigt werden.75 Umgekehrt kann der Verarbeitungszweck die Aktualität der Daten aber auch wesensnotwendig voraussetzen, wie etwa bei der Speicherung von Zutrittsberechtigungen.76

32

Der Richtigkeitsgrundsatz wird insbesondere durch das Recht der betroffenen Person auf Berichtigung gem. Art. 16 DSGVO näher ausgestaltet.77 Gemäß Art. 16 Abs. 1 DSGVO hat die betroffene Person das Recht, von dem Verantwortlichen unverzüglich die Berichtigung sie betreffender unrichtiger personenbezogener Daten zu verlangen. Dass das Vorhandensein unrichtiger personenbezogener Daten die einzige „echte“ Tatbestandsvoraussetzung dieses Anspruchs ist, dürfte in der Praxis diverse Fragen aufwerfen. Gerade im Lichte des risikobasierten Ansatzes der DSGVO erscheint es bedenklich, dass in Art. 16 Abs. 1 DSGVO weder eine Erheblichkeitsschwelle vorgesehen ist, noch der Berichtigungsaufwand für den Verantwortlichen Berücksichtigung findet. So könnte beispielsweise ein Verantwortlicher, der ein digitales Medium (beispielsweise ein eBook) mit fehlerhaften Kontaktdaten des Urhebers veröffentlicht hat, im Zuge des Berichtigungsanspruchs dazu verpflichtet sein, das – eigentlich „fertige“ – Werk zu berichtigen und jedem Käufer die berichtigte Version zur Verfügung zu stellen. Zwar kann das Recht aus Art. 16 DSGVO gem. Art. 85 Abs. 1 sowie 89 Abs. 2 DSGVO zum Schutz des Rechts auf freie Meinungsäußerung und Informationsfreiheit, einschließlich der Verarbeitung zu journalistischen Zwecken und zu wissenschaftlichen, künstlerischen oder literarischen Zwecken bzw. zu wissenschaftlichen oder historischen Forschungszwecken durch mitgliedstaatliche Regelungen beschränkt werden; von dieser Öffnungsklausel ist im deutschen Recht jedoch nur bedingt Gebrauch gemacht worden.78

5. Speicherbegrenzung (lit. e)

33

Ferner müssen personenbezogene Daten in einer Form gespeichert werden, welche die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist, Art. 5 Abs. 1 lit. e DSGVO. Zur Verwirklichung dieses Grundsatzes der Speicherbegrenzung muss der Verantwortliche die Speicherfrist für personenbezogene Daten auf das unbedingt erforderliche Mindestmaß beschränken79 sowie Fristen für Löschungen oder regelmäßige Überprüfungen vorsehen.80 Vor allem der Umgang mit Schattendatenbanken wird regelmäßig zu erheblichen Problemen führen (siehe hierzu bereits oben Rn. 28). Denn etwaige Löschpflichten beziehen sich nicht nur auf das Hauptsystem, sondern auf sämtliche Kopien des zu löschenden Datensatzes. Die Einbindung von Schattendatenbanken in ein einheitliches Löschkonzept dürfte daher praktisch kaum umsetzbar sein.

34

Zur effektiven Umsetzung der Speicherbegrenzung in Unternehmensstrukturen bietet sich das Aufstellen von sog. Data Retention Policies bzw. Löschkonzepten an.81 Die Notwendigkeit der Erstellung und Umsetzung strukturierter Löschkonzepte wurde in der Unternehmenspraxis jedoch bisher nahezu vollständig ignoriert.82 Daher wird die Einhaltung des Grundsatzes der Speicherbegrenzung für Verantwortliche sowohl in rechtlicher als auch technischer Hinsicht eine schwer zu bewältigende Aufgabe darstellen.83

35

Zur Bewältigung derartiger Probleme84 müssen technische und organisatorische Lösungen gefunden werden, die es ermöglichen, einem Datensatz konkrete Löschmodalitäten unter Berücksichtigung etwaiger Löschpflichten und -bedürfnisse zuzuordnen. Im Zuge dessen bietet etwa die DIN 66398 („Leitlinie zur Entwicklung eines Löschkonzepts mit Ableitung von Löschfristen für personenbezogene Daten“) eine praktische Hilfestellung für die Erstellung eines individuellen Löschkonzepts.85

36

Im Regelfall dürfte sich ein mehrstufiges Verfahren unter Einbeziehung aller Fachbereiche eines Unternehmens anbieten:

 – Identifizierung der für das Unternehmen geltenden gesetzlichen Aufbewahrungspflichten,86

 – Identifizierung der für das Unternehmen relevanten und sich aus dem Geschäft des Unternehmens ergebenden „Aufbewahrungsbedürfnisse“,

 – Identifizierung der im Unternehmen verarbeiteten Datenarten,

 – Zuweisung von konkreten Aufbewahrungs- und Löschfristen zu den konkreten Datenarten,

 – Identifizierung von Ausnahmen von den Löschfristen (beispielsweise kürzere Aufbewahrung im Falle des Widerrufs von Einwilligungen oder Ausübung von Löschrechten bzw. längere Aufbewahrung, wenn die Daten zur Geltendmachung, Ausübung oder Verteidigung von Löschansprüchen erforderlich sind),

 – organisatorische und technische Sicherstellung der (vollständigen) Löschung,

 – Dokumentation der Löschprozesse/ggf. konkreter Löschungen.

37

Der Grundsatz der Speicherbegrenzung wird durch das Recht der betroffenen Person, unter bestimmten Voraussetzungen die Löschung ihrer personenbezogenen Daten zu verlangen, konkretisiert, Art. 17 Abs. 1 DSGVO.87 Der Verantwortliche ist jedoch auch ohne ein solches Begehren des Betroffenen zur unverzüglichen Löschung der – beispielsweise aufgrund einer Zweckerreichung88 – obsolet gewordenen Daten verpflichtet.89 Dies ergibt sich entweder direkt aus der Formulierung des Art. 17 Abs. 1 DSGVO („der Verantwortliche ist verpflichtet“, siehe Art. 17 Rn. 22),90 jedenfalls aber aus dem Speicherbegrenzungsgrundsatz des Art. 5 Abs. 1 lit. e DSGVO.91 Ähnlich wie beim Zweckbindungsgrundsatz (vgl. oben Rn. 26) gelten auch im Rahmen des Grundsatzes der Speicherbegrenzung Ausnahmen im Hinblick auf im öffentlichen Interesse liegende Archivzwecke, wissenschaftliche und historische Forschungszwecke sowie statistische Zwecke, Art. 5 Abs. 1 lit. e Hs. 2 DSGVO.

6. Integrität und Vertraulichkeit (lit. f)

38

Schließlich müssen personenbezogene Daten gemäß dem Grundsatz der Integrität und Vertraulichkeit in einer Weise verarbeitet werden, die durch geeignete technische und organisatorische Maßnahmen eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich dem Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung, Art. 5 Abs. 1 lit. f DSGVO. Der Begriff der Integrität bezieht sich auf die Unversehrtheit der Daten und zielt auf die Verhinderung ihrer unbeabsichtigten Unbrauchbarmachung ab, wohingegen der Grundsatz der Vertraulichkeit den Schutz vor unbefugter Kenntnisnahme und Verarbeitung umfasst.92

39

Der Grundsatz der Integrität und Vertraulichkeit wird etwa durch die Regelungen in Art. 32 Abs. 1 Hs. 2 lit. b DSGVO sowie Art. 28 Abs. 3 Satz 2 lit. b DSGVO substanziiert;93

 – Gem. Art. 32 Abs. 1 Hs. 2 lit. b DSGVO ist der Verantwortliche zur Ergreifung technischer und organisatorischer Maßnahmen verpflichtet,94 die insbesondere solche Maßnahmen mit einschließen, welche die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherstellen.95

 – Nach Maßgabe des Art. 28 Abs. 3 Satz 2 lit. b DSGVO muss ein Auftragsverarbeitungsvertrag die Pflicht des Auftragsverarbeiters zur Gewährleistung, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen, enthalten (siehe Art. 28 Rn. 46).

III. Rechenschaftspflicht (Abs. 2)

40

Der Regelungsgehalt des Art. 5 Abs. 2 DSGVO erschöpft sich nicht allein darin, den Verantwortlichen zur Einhaltung der vorgenannten Verarbeitungsgrundsätze zu verpflichten, sondern ihm wird vielmehr auch die Pflicht auferlegt, die Einhaltung der Grundsätze erforderlichenfalls nachweisen zu können. Diese Rechenschaftspflicht96 und die mit ihr einhergehende Notwendigkeit umfangreicher Dokumentationsmechanismen gehen über die bloße Sicherstellungspflicht, die nach Art. 6 Abs. 2 DSRl vorgesehen war, hinaus.97 Gegenüber der alten Rechtslage hat nunmehr die Eigenverantwortung sowie insbesondere die Dokumentationspflicht des Verantwortlichen an Bedeutung gewonnen.98

1. Inhalt und Umfang

41

Im Rahmen ihrer Rechenschaftspflicht müssen Verantwortliche – nicht aber andere Adressaten der DSGVO, insbesondere Auftragsverarbeiter99 – im Falle einer entsprechenden Anweisung der Aufsichtsbehörde nach Art. 58 Abs. 1 lit. a DSGVO (siehe Art. 58 Rn. 11) dazu imstande sein, die Einhaltung der Grundsätze des Art. 5 Abs. 1 lit. a bis f nachzuweisen.100 Dies könnte dazu führen, dass dem Verantwortlichen gegenüber der Aufsichtsbehörde die Beweislast für die Rechtmäßigkeit seines Handelns auferlegt wird.101 Die Annahme einer Beweislastumkehr im Bußgeld- bzw. Strafverfahren ist jedoch mit der Unschuldsvermutung nach Art. 48 Abs. 1 GRCh nur schwerlich in Einklang zu bringen.102 Ob die Rechenschaftspflicht daher lediglich als materielle Nachweispflicht oder aber auch als prozessuale Beweislastregel zu verstehen ist, wird erst die behördliche und gerichtliche Praxis zeigen.103 Im Hinblick auf etwaige zivilrechtliche Schadensersatzprozesse ergibt sich hingegen unmittelbar aus Art. 82 Abs. 3 DSGVO, dass der Verantwortliche den Entlastungsbeweis führen muss (siehe Art. 82 Rn. 74ff.).104

42

Zum Nachweis der Einhaltung der in Art. 5 Abs. 1 lit. a DSGVO niedergelegten Grundsätze (Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz) sollte der Verantwortliche insbesondere auf die folgenden Aspekte besonderes Augenmerk legen:

 – Alle bestehenden Verarbeitungstätigkeiten sollten schriftlich dokumentiert werden. Zur Führung eines solchen Verzeichnisses von Verarbeitungstätigkeiten ist der Verantwortliche (und in eingeschränktem Maße auch der Auftragsverarbeiter) nach Maßgabe des Art. 30 DSGVO im Regelfall sogar ausdrücklich verpflichtet. Diese Übersicht sollte empfehlenswerterweise auch die Rechtsgrundlage für jeden bestehenden Verarbeitungsprozess enthalten.

 – Sofern eine Datenübermittlung in Drittländer erfolgt, sollte der einschlägige Erlaubnistatbestand der Art. 44ff. DSGVO (beispielsweise ein Angemessenheitsbeschluss der EU-Kommission, der Abschluss von EU-Standardvertragsklauseln oder verbindliche interne Datenschutzvorschriften) dokumentiert werden.

 – Es sollte festgehalten werden, ob und inwieweit die Betroffenen über die Datenverarbeitung informiert und welche Maßnahmen (wie beispielsweise das Vorhalten einer Datenschutzerklärung oder interner Mitarbeiterleitfäden) diesbezüglich getroffen worden sind. Insbesondere sollte möglichst präzise dokumentiert werden, auf welche Weise die Informationspflicht gem. Art. 13, 14 DSGVO umgesetzt worden ist. In diesem Zusammenhang sollte auch dokumentiert werden, wann und wie eine betroffene Person über ihre Rechte (namentlich die Rechte auf Auskunft, Berichtigung, Löschung, Einschränkung, Widerspruch, Widerruf der Einwilligung sowie die Rechte bei automatisierten Entscheidungsfindungen) aufgeklärt worden ist.

 – Auch die Dokumentation der in Bezug auf die Ausübung von Betroffenenrechten getroffenen Maßnahmen (z.B. erfolgte Auskunftserteilungen oder Datenübertragungen, durchgeführte Löschungen oder Einschränkungen der Verarbeitung, Berichtigungen, Fristen der Beantwortung der Anfragen) ist ratsam.

 – Im Hinblick auf automatisierte Entscheidungen mit relevanten Auswirkungen für die betroffenen Personen (Art. 22 DSGVO) sollten die entsprechenden Entscheidungsprozesse sowie die Gründe hierfür festgehalten werden (Art. 22 Abs. 2 DSGVO). Ferner sollte dokumentiert werden, inwieweit der Betroffene die Möglichkeit hatte, auf den Entscheidungsfindungsprozess einzuwirken (Art. 22 Abs. 3 DSGVO).

43

Zur Wahrung der Rechenschaftspflicht im Hinblick auf die Grundsätze der Zweckbindung, Datenminimierung, Richtigkeit, Speicherbegrenzung sowie Integrität und Vertraulichkeit ist die gewissenhafte Dokumentation der folgenden Aspekte von besonderer Relevanz:

 – Spätestens zu Beginn einer jeden Verarbeitung sollte(n) deren Zweck(e) schriftlich festgehalten werden. Dies kann ggf. im Rahmen eines Verzeichnisses von Verarbeitungstätigkeiten geschehen (vgl. bereits Rn. 42).

 – Im Fall einer Zweckänderung sollte die Rechtsgrundlage für die Weiterverarbeitung angegeben werden, sofern der Betroffene insoweit keine Einwilligung erteilt hat. Ggf. sollte dokumentiert werden, aus welchen Gründen der neue Zweck mit dem Erhebungszweck vereinbar ist. Ferner sollte nachweisbar sein, dass der Betroffene über den neuen Verarbeitungszweck informiert worden ist.

 – Der Verantwortliche sollte schriftlich fixieren, welche Maßnahmen er zur Umsetzung des Verarbeitungsgrundsatzes der Datenminimierung getroffen hat. Dies umfasst insbesondere die Maßnahmen zur Umsetzung des Datenschutzes durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen gem. Art. 25 DSGVO (beispielsweise Maßnahmen zur Verschlüsselung/Pseudonymisierung sowie datensparsame Konfigurationen).

 

 – Zudem sollten die ergriffenen Maßnahmen zur Sicherstellung, dass die personenbezogenen Daten auf dem neuesten Stand und korrekt sind, dokumentiert werden.

 – Die Aufzeichnungen des Verantwortlichen sollten darüber hinaus Informationen über die bestehenden Löschkonzepte und deren Umsetzung sowie eine Protokollierung vorgenommener Löschungen beinhalten.

 – Schließlich sollte festgehalten werden, welche technischen und organisatorischen Maßnahmen in Umsetzung der Art. 32 Abs. 1 Hs. 2 lit. b, 28 Abs. 3 Satz 2 lit. b DSGVO implementiert worden sind (beispielsweise Notfallmaßnahmen, Sicherungsmaßnahmen für IT-Systeme oder Zugriffsbeschränkungen).105

44

Problematisch ist, dass in Art. 5 Abs. 2 DSGVO keine zeitliche Grenze für die Befähigung zum Nachweis vorgesehen ist, sodass zum Teil von der Notwendigkeit einer grundsätzlich dauerhaften Aufbewahrung der Dokumentationen ausgegangen wird.106 Eine solchermaßen weitreichende Nachweispflicht dürfte vom Verordnungsgeber im Lichte des die DSGVO prägenden risikobasierten Ansatzes sowie des Grundsatzes der Verhältnismäßigkeit allerdings nicht intendiert gewesen sein.107 Wie lange Dokumentationen zum Nachweis der DSGVO-Konformität aufbewahrt werden sollten, lässt sich jedoch konkreter bestimmen, wenn man das Ziel der Haftungsvermeidung als Ausgangspunkt betrachtet: Sofern der Verantwortliche nicht nachweisen kann, dass seine Verarbeitungstätigkeit den Grundsätzen des Art. 5 Abs. 1 DSGVO entspricht, droht ein Bußgeld gem. Art. 83 Abs. 5 lit. a DSGVO. Da die Verordnung keine Aussage über die Verjährung der aufsichtsbehördlichen Befugnisse zur Verhängung einer Geldbuße trifft, könnte insofern hilfsweise mittels einer extensiven Auslegung des Art. 83 Abs. 8 DSGVO auf mitgliedstaatliche gesetzliche Bestimmungen zurückgegriffen werden (siehe Art. 83 Rn. 154f.).108 Im Zuge dessen könnte auf § 41 Abs. 2 Satz 1 BDSG abgestellt werden, der im Hinblick auf Verfahren wegen eines Verstoßes nach Art. 83 Abs. 4 bis 6 der Verordnung die Vorschriften des OWiG für entsprechend anwendbar erklärt. Bei Heranziehung der OWiG-Vorschriften würde man zu dem Ergebnis gelangen, dass die Verletzung der Rechenschaftspflicht nach Art. 5 Abs. 2, 83 Abs. 5 lit. a DSGVO gem. § 31 Abs. 2 Nr. 1 OWiG spätestens nach drei Jahren aufgrund der dann eingetretenen Verfolgungsverjährung nicht mehr geahndet werden könnte und eine Dokumentation nur für diesen Zeitraum geboten ist. Weitere Details sind jedoch noch ungeklärt und insbesondere erscheint fraglich, ob hinsichtlich des Verjährungsbeginns nach § 31 Abs. 3 Satz 1 OWiG die Grundsätze zur echten Unterlassungsordnungswidrigkeit entsprechend herangezogen werden können,109 zumal ein Verstoß nicht nur bußgeldrelevant ist, sondern auch andere Maßnahmen der Aufsichtsbehörde oder zivilrechtliche Ansprüche nach sich ziehen kann. Im Ergebnis erscheint ein Richtwert von drei Jahren als erster Ausgangspunkt für die Abwägung, wie lange Nachweise aufbewahrt werden sollten, dennoch sinnvoll. Im Rahmen dieser Abwägung sollte freilich nicht nur die Vermeidung von Bußgeldern, sondern aus Risikogesichtspunkten auch die Relevanz der dokumentierten Sachverhalte sowie die Abwehr etwaiger Schadensersatzansprüche nach Art. 82 DSGVO Berücksichtigung finden, da der Verantwortliche diesbezüglich die Beweislast trägt (siehe oben Rn. 41). Schadensersatzansprüche nach Art. 82 DSGVO verjähren unabhängig von der Kenntnis des Klägers gem. § 199 Abs. 3 BGB innerhalb von zehn bzw. dreißig Jahren und bei Kenntnis des Klägers von den maßgeblichen Umständen innerhalb von drei Jahren.110

45

Die Erfüllung der Rechenschaftspflicht unterliegt keinen formellen Anforderungen, jedoch ist eine schriftliche bzw. textliche Dokumentation empfehlenswert (zu praktischen Umsetzungsmaßnahmen siehe Rn. 47f.).111

46

Bedient sich der Verantwortliche eines Auftragsverarbeiters, bleibt er in vollem Umfang für die Datenverarbeitung verantwortlich.112 Damit der Verantwortliche seiner Nachweispflicht auch im Falle einer Auftragsverarbeitung effektiv nachkommen kann, sollte er dem Auftragnehmer vertragliche Dokumentationspflichten auferlegen.113