Zum Hauptinhalt springen
Datenschutz / DSGVO

Rechenschaftspflicht (Accountability)

Die Pflicht des Verantwortlichen, die Einhaltung aller DSGVO-Grundsätze nachweisen zu können (Art. 5 Abs. 2 DSGVO).

Die Rechenschaftspflicht ist eines der sieben Grundprinzipien der DSGVO und in Art. 5 Abs. 2 DSGVO verankert. Sie besagt, dass der Verantwortliche nicht nur für die Einhaltung aller übrigen Grundsätze des Art. 5 Abs. 1 DSGVO – Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz, Zweckbindung, Datenminimierung, Richtigkeit, Speicherbegrenzung sowie Integrität und Vertraulichkeit – verantwortlich ist, sondern diese Einhaltung auch aktiv nachweisen können muss. Die Beweislast liegt damit beim Verantwortlichen.

Konkret bedeutet dies: Unternehmen müssen ihre Datenschutzprozesse so gestalten und dokumentieren, dass sie im Falle einer Prüfung durch die Aufsichtsbehörde oder einer Beschwerde durch betroffene Personen lückenlos nachweisen können, dass sie die DSGVO einhalten. Instrumente der Rechenschaftspflicht sind unter anderem das Verarbeitungsverzeichnis (Art. 30 DSGVO), dokumentierte Datenschutzfolgenabschätzungen (Art. 35 DSGVO), schriftliche Auftragsverarbeitungsverträge (Art. 28 DSGVO), die Dokumentation von Einwilligungen sowie Schulungsnachweise für Mitarbeiter.

Für den Compliance Officer ist die Rechenschaftspflicht die übergreifende Leitlinie für die gesamte Datenschutzarbeit: Es reicht nicht, datenschutzkonform zu handeln – dieses Handeln muss auch beweisbar sein. Ein gut gepflegtes Datenschutz-Managementsystem, das alle Maßnahmen, Entscheidungen und Prüfvorgänge lückenlos dokumentiert, ist daher nicht nur eine gesetzliche Anforderung, sondern auch ein wirksames Instrument zur Risikominimierung und zur Demonstration von Vertrauenswürdigkeit gegenüber Kunden und Geschäftspartnern.

Rechtliche Grundlage

Art. 5 Abs. 2 DSGVO

Praxisbeispiel

Die zuständige Datenschutz-Aufsichtsbehörde kündigt eine anlasslose Prüfung Ihres Unternehmens an und fordert binnen 14 Tagen die Vorlage des Verarbeitungsverzeichnisses, eine Übersicht aller AVVs, Nachweise über durchgeführte Mitarbeiterschulungen sowie die Dokumentation etwaiger DSFAs. Als Compliance Officer können Sie auf ein vollständig gepflegtes Datenschutz-Managementsystem verweisen: Alle geforderten Unterlagen sind aktuell, vollständig und innerhalb weniger Stunden zusammenstellbar. Die Rechenschaftspflicht ermöglicht es Ihnen, der Behörde innerhalb der Frist einen strukturierten Nachweis zu liefern, der die Ernsthaftigkeit Ihrer Datenschutzbemühungen dokumentiert.

Häufige Fragen

Die Rechenschaftspflicht (Art. 5 Abs. 2 DSGVO) verpflichtet den Verantwortlichen, die Einhaltung aller DSGVO-Grundsätze nicht nur sicherzustellen, sondern auch aktiv nachweisen zu können. Die Beweislast liegt beim Verantwortlichen, nicht bei der Aufsichtsbehörde.
Durch lückenlose Dokumentation aller datenschutzrelevanten Maßnahmen: ein aktuelles Verarbeitungsverzeichnis, dokumentierte DSFAs, schriftliche AVVs, Einwilligungsnachweise, Schulungsnachweise und interne Datenschutzrichtlinien. Ein Datenschutz-Managementsystem erleichtert die strukturierte Pflege dieser Nachweise erheblich.
Kann ein Unternehmen auf Anfrage der Aufsichtsbehörde die Einhaltung der DSGVO nicht nachweisen, drohen Bußgelder auch dann, wenn die Verarbeitung selbst rechtmäßig war. Die fehlende Dokumentation gilt als eigenständiger Verstoß und kann mit bis zu 10 Mio. Euro oder 2 % des Jahresumsatzes geahndet werden.

So unterstützt preeco Sie

Erfahren Sie, wie unsere Software Sie bei diesem Thema unterstützt.

Mehr erfahren

Verwandte Begriffe

Verarbeitungsverzeichnis (VVT) Datenschutzbeauftragter (DSB) Technische und organisatorische Maßnahmen (TOMs) Audit Compliance-Management-System (CMS)
Zurück zum Glossar