Rechenschaftspflicht (gemäß Artikel 5 Abs. 2 DSGVO) beim Einsatz von Tracking Tools

Das BayLDA hat in seinem Tätigkeitsbericht für 2019 nochmals das Thema Rechenschaftspflicht im Zusammenhang mit dem Einsatz von Tracking Tools erörtert.
Hintergrund ist nach Ansicht des BayLDA, dass viele Unternehmen ihre eigenen Verarbeitungstätigkeiten oft nicht hinreichend kennen und sich auch nur oberflächlich oder überhaupt nicht mit den rechtlichen Anforderungen durch die DS-GVO beschäftigen. Da oftmals die Website-Erstellung und -Pflege durch externe Agenturen abgewickelt werden, ist von Seiten des Unternehmens kein oder nur geringes Wissen über den Einsatz bzw. die Verwendung von Tracking-Tools vorhanden. Oftmals findet sich auch eine Einbindung von Tracking Tools zur Werbefinanzierung in das Webangebot. In vielen Fällen findet dies auch ohne das Wissen der Geschäftsleitung oder/und des internen/externen Datenschutzbeauftragten statt. An dieser Stelle ist sicher noch in vielen Unternehmen ein verbessertes Verständnis über eingesetzte Tracking-Tools nötig.
Das Thema Rechenschaftspflicht stellt eine der wenigen großen Veränderungen des neuen Datenschutzrechts dar. Deshalb wollen wir diese Thematik noch einmal tiefer aufgreifen.
Das BayLDA hat bereits im Oktober 2018 mit der Prüfung der Einhaltung der Rechenschaftspflicht bei Großkonzernen begonnen und weist darauf hin, dass es bei einer solchen Prüfung nicht ausreicht die Datenschutzbestimmungen der Website auszudrucken und zusätzlich zu erklären “Werbung ist ein berechtigtes Interesse und deshalb darf man das”. Laut BayLDA waren viele Verantwortliche der geprüften Unternehmen mit der Thematik der Rechenschaftspflicht überfordert.
Was also ist notwendig, um eine Rechenschaftspflicht zu erfüllen?
Die DSGVO enthält bereits eine Vielzahl an Nachweispflichten, die der Verantwortliche erfüllen muss, wie z.B. der Interesseabwägung gem. Art. 6 i.V.m. Erwägungsgrund 47. ein Verzeichnis von Verarbeitungstätigkeiten (Art. 30 DS-GVO), die Datenschutzfolgenabschätzung (Art. 35 DS-GVO), genehmigte Verhaltensregeln (Art. 40 DS-GVO), Zertifizierung (Art. 42 DS-GVO), Meldungen über Datenschutzverletzungen (Art. 33 DS-GVO) und Verträge zur Auftragsverarbeitung (Art. 28 Abs. 3 DS-GVO), …. Die Rechenschaftspflicht kann weiter durch sonstige Datenschutzdokumentation, wie z.B. Rechtsgutachten, Mitarbeiterschulungen, interne/externe Audits Konzepte zur Sicherstellung der Betroffenenrechte, Zertifizierungen nach DIN- und ISO-Normen, Vertragsmanagement, Einführung von Datenschutzrichtlinien, Prozesse der Datenschutzorganisation erfolgen.
Zweck der Dokumentation ist, dass der Verantwortliche prüft ob eine Datenverarbeitung rechtmäßig erfolgt ist und/oder ob noch weitere Maßnahmen einzuleiten sind, um eine rechtmäßige Verarbeitung sicherzustellen. Darüber hinaus hat sich der Verantwortliche nach Prüfung der oben genannter Nachweispflichten und der Datenschutzdokumentation umfassend mit den weitergehenden Anforderungen beschäftigt und ist in der Lage in einem angemessenen Umfang seinen Transparenzpflichten (Art. 12 ff DS-GVO)nachzukommen.
Als Hilfestellung hierzu haben die deutschen Datenschutzaufsichtsbörden im Nachgang zu Ihrer Positionsbestimmung zur Anwendbarkeit des Telemediengesetzes 2018 dieses Dokument ergänzt und 2019 eine Orientierungshilfe der Aufsichtsbehörden für Anbieter von Telemedien veröffentlicht. Die hier definierten Vorgaben wurden im Rahmen des EuGH Planet 49-Urteils Oktober 2019 bestätigt.

Weitere Informationen können Sie unter datenschutz@riscreen.de erhalten.

Leave a comment