Unternehmen sind beweispflichtig

Die neue Datenschutzverordnung hat die Beweislast umgekehrt. Gab es im alten Recht bisher keine Nachweispflicht für die Einhaltung der Datenschutzgrundsätze, so sind nun die Unternehmen gefordert.

Sie stehen in der Beweispflicht. Die Aufsichtsbehörde ist berechtigt, Stichprobenkontrollen durchzuführen — auch ohne Anfangsverdacht. Und sie erwartet ein lückenloses Verarbeitungsverzeichnis. Es geht um die Rechenschaftspflicht, im Fachjargon „Accountability": Das Unternehmen steht in der Verantwortung, die Einhaltung der DSGVO nachzuweisen —nicht nur jederzeit, sondern für fast jeden Vorgang, der die Verarbeitung personenbezogener Daten betrifft. 

Die Rechenschaftspflicht erstreckt sich über alle Artikel der neuen Grundverordnung, was die Dokumentation bürokratisch erheblich wachsen lässt. Ein Datenschutzbeauftragter mache daher unbedingt Sinn, doch auch hier sollte man warnen. Im Zweifelsfall ist nicht er, sondern das Unternehmen rechtlich verantwortlich. Das bedeutet es, dass Datenschutz Chefsache ist und bleiben muss. 

Was muss das Verarbeitungsverzeichnis leisten? Es hat die Rechtmäßigkeit für jedes Verfahren der Datenverarbeitung, jede Applikation zu bewerten. Es soll dokumentieren, wie das Unternehmen die Transparenz gewährleistet, das heißt die umfassende Aufklärung des Datengebers über seine Rechte. Selbst eine Newsletter-Bestellung nimmt neue Dimensionen an — aufgrund der erweiterten Datenschutzinformationen, die beizufügen sind.

Nicht minder anspruchsvoll verfährt die Verordnung im Fall von Datenpannen. So ist jede einzelne zu dokumentieren, ob meldepflichtig oder nicht. Mit Folgenwahrscheinlichkeit, Risikobewertung für die Betroffenen sowie Maßnahmen zur Behebung oder Abmilderung nachteiliger Auswirkungen. 

Ist das Risiko hoch, sind neben der Aufsichtsbehörde jetzt auch alle betroffenen Datengeber zu informieren. Sollte das Unternehmen die Panne als nicht meldepflichtig erachten, ist eine zusätzliche Dokumentation vorgeschrieben, die diese Entscheidung begründet.

Nicht zuletzt nimmt die neue Verordnung die Datenminimierung ernster als bisher. Sie verlangt für jeden Datensatz eine Begründung, warum er erhoben wird. Bis hin zur einzelnen Telefonnummer, die ein Unternehmen bei einem Interessenten abfragt. Und wenn sie erhoben wird, sind Aufklärung und Einwilligung des Datengebers unerlässlich.