JurPC Web-Dok. 160/2011 - DOI 10.7328/jurpcb/20112610155

Thomas Haug *

"Accountability": Die Rechenschaftspflicht im europäischen Datenschutzrecht

JurPC Web-Dok. 160/2011, Abs. 1 - 21




Als im Jahre 1995 die heute noch geltende EU-Datenschutzrichtlinie 95/96/EG erlassen wurde, war die heutige Dimension des Bedürfnisses an Datenschutz noch nicht absehbar. Seit 1995 wurde die Übertragung und die Verarbeitung personenbezogener Daten durch das heutige Hochgeschwindigkeits-Internet und andere technische Weiterentwicklungen, wie etwa das Cloud-Computing, einfacher, schneller und auch zunehmend global.(1) Deshalb plant die EU-Kommission nun, die Datenschutzrichtlinie zu modernisieren, um sie den Anforderungen der fortgeschrittenen Informationstechnologie anzupassen. Ziel ist "ein umfassendes, kohärentes Konzept, das die lückenlose Einhaltung des Grundrechts des Einzelnen auf Schutz seiner Daten in der EU und anderswo garantiert".(2) JurPC Web-Dok.
160/2011, Abs. 1
Um dieses Ziel zu erreichen, plant die EU-Kommission in Ziffer 2.2.4. des "Gesamtkonzeptes für den Datenschutz" unter anderem auch, die für die Datenverarbeitung Verantwortlichen durch die Einführung einer Rechenschaftspflicht ("accountability") noch stärker in die Verantwortung zu nehmen. Abs. 2
Was der Begriff der "accountability" genau bedeutet und woher er ursprünglich kommt, soll im Folgenden erläutert und untersucht werden. Abs. 3

I)  Herkunft der "data protection accountability" aus dem angloamerikanischen Rechtsraum

Das Rechtsprinzip der "data protection accountability" ist eigentlich keine Erfindung des 21. Jahrhunderts, sondern wurde bereits 1980 in den OECD-Richtlinien verankert(3). Obwohl es somit schon mehr als 30 Jahre alt ist, fand es erst in jüngerer Vergangenheit größere Beachtung. Dies dürfte auch daran gelegen haben, dass der Begriff der "accountability" selbst im englischen Sprachgebrauch eher konturlos wirkt. Der Sprachendienst (Generaldirektion Übersetzungen) der EU-Kommission übersetzt "accountability" jedenfalls mit "Rechenschaft" bzw. "Rechenschaftspflicht" in die deutsche Sprache. Abs. 4
Zwingend ist diese Übersetzung des Begriffes "accountability" indes nicht. Denn naheliegend und geeignet ist auch der Begriff "Verantwortlichkeit" im gesellschaftlich-moralischen Sinne. Eine solche Übersetzung ist gerade auch vor dem Hintergrund geboten, dass der Begriff der "accountability" nicht nur im Datenschutzrecht Verwendung findet, sondern mit der "social corporate accountability" und der "political accountability" auch in anderen rechtlich relevanten Gebieten Anklang findet. Abs. 5
Betrachtet man die "data protection accountability" somit im Zusammenhang mit ihren Geschwisterbegriffen der "social corporate accountability" und der "political accountability", so zeigt sich, dass die sich darin widerspiegelnde moralische Verantwortung nicht nur die nach innen gekehrte Seite menschlicher Verantwortlichkeit darstellt ("forum internum"), sondern sich gerade auch im nach außen wirkenden Handeln ausdrücken muss ("forum externum"). Im englischen Sprachgebrauch wird dies besonders daran deutlich, dass für erstere das Wort "responsibility" zutreffend ist, für das letztere dagegen beispielsweise der Begriff "responsibility directed to an external agent".(4) Abs. 6
"Accountability" bedeutet dem Verständnis seiner angloamerikanischen Herkunft nach also die sich im nach außen wirkenden Handeln ausdrückende Verantwortlichkeit. Diese Verantwortlichkeit darf jedoch nicht mit der Verantwortung im Sinne von rechtlicher Haftung ("legal responsibility" / "liability" / "compliance") verwechselt werden. Die "data protection accountability" lässt nach dem angloamerikanischen Verständnis die rechtlichen Regelungen zum Datenschutz nämlich gerade unberührt und baut auf ihnen auf. Abs. 7
Dies muss insbesondere vor dem Hintergrund gesehen werden, dass der Aspekt der Freiwilligkeit im angloamerikanischen Rechtsraum speziell auch wegen des dort dominanten Gedankens der Selbstregulierung ohnehin eine bedeutende Rolle spielt. Es entspricht nämlich der Rechtstradition des Common Law, dass viele sektorspezifischen (Datenschutz)Gesetze nur ein niedriges Schutzniveau aufweisen und deswegen durch Selbstregulierung flankiert und ergänzt werden. Mit anderen Worten lebt das angloamerikanische Datenschutzrecht gerade davon, dass die "accountability" das Datenschutzniveau anhebt. Abs. 8

II)  Konkrete Umsetzung der "accountability" in den USA

In den USA hat sich eine Arbeitsgruppe von Wirtschaftsvertretern, Verbraucherschutzverbänden, Regierungsbeamten und Rechtsanwälten (The Centre for Information Policy Leadership)(5) mit dem Prinzip der Datenschutz-"accountability" beschäftigt. Abs. 9
Ihrer Auffassung nach entspricht das Handeln eines Unternehmens dem Prinzip der "accountability", wenn es durch sein Bekenntnis bzw. seine Bereitschaft (engl. "commitment") zum Datenschutz geprägt ist. Dafür sei erforderlich, dass das Unternehmen alles Handeln danach ausrichtet, den Schutz personenbezogener Daten so effektiv wie möglich zu gewährleisten ("privacy governance"). Am besten lasse sich die den effektiv-möglichsten Datenschutz anstrebende "privacy governance" in einem "code of conduct" festschreiben. Die Arbeitsgruppe hat einen Vorschlag für einen solchen "code of conduct" erarbeitet, der die sich widerstrebenden Interessen ausgleichen und dabei den Anforderungen der "data protection accountability" gerecht werden soll. Er enthält u.a. Vorgaben zur Einhaltung anerkannter externer Datenschutzstandards (Gesetzen, OECD- Richtlinien u.ä., industry best practices), Mechanismen zur Umsetzung der Datenschutzmaßnahmen (z.B. durch Schulungen oder Unterstützungsstellen zur verantwortlichen Entscheidungsfindung), Überwachung der Einhaltung des code of conduct, und zur Risikobewertung durch unabhängige interne und externe Audits. Abs. 10

III)  Der europäische "accountability"-Begriff

Anders als nach seiner angloamerikanischen Herkunft, wo man unter "accountability" eine über gesetzliche Regelungen hinaus gehende freiwillige Verantwortlichkeit versteht, will die EU-Kommission darunter "Rechenschaft" verstehen, die wohl als Rechenschaftspflicht in der neuen Datenschutzrichtlinie festgeschrieben werden wird. Dabei sollen keine neuen materiellen Datenschutzvorschriften eingeführt werden, sondern lediglich die bereits geltenden Datenschutzvorschriften effektiver umgesetzt werden. Abs. 11
Dementsprechend versteht auch die sog. Art. 29-Datenschutzgruppe der EU(6), die im letzten Jahr ein Working Paper zum Begriff der der "accountability" heraus gegeben hat(7), darunter eine auf "die Umsetzung der Grundsätze des Datenschutzes" bezogene Rechenschaftspflicht(8), also eine überprüfbare Wahrnehmung von Verantwortung.(9) Ihrer Auffassung nach sind Verantwortung und Rechenschaftspflicht "zwei Seiten einer Medaille und wesentliche Bestandteile der Good Governance".(10) Daher schlägt die  Art. 29-Gruppe die Aufnahme folgender Vorschrift in die neue Datenschutzrichtlinie vor: Abs. 12
Der für die Verarbeitung Verantwortliche trifft geeignete und wirksame Maßnahmen, die die Einhaltung der in der Richtlinie festgelegten Grundsätze und Verpflichtungen enthalten. Abs. 13
Der für die Verarbeitung Verantwortliche weist gegenüber der Kontrollstelle auf deren Verlangen die Einhaltung des Absatzes 1 nach. Abs. 14
Als solche Maßnahmen im Sinne des Absatzes 1 benennen die  Art. 29- Datenschutzgruppe und die EU-Kommission etwa die Einführung einer betrieblichen Datenschutzregelung (code of conduct), die weitere Förderung des "privacy by design"-Konzeptes, die - in Deutschland bereits - verpflichtende Benennung eines Datenschutzbeauftragten, oder auch die Pflicht zu einer Datenschutzfolgenabschätzung in bestimmten Fällen(11), wie etwa die Durchführung von internen und externen Audits.(12) Abs. 15
Die Idee zu Datenschutzaudits aufgreifend will die EU-Kommission nun sondieren, ob EU-weit einheitliche Zertifizierungsregelungen für Verfahren, Technologien, Produkte und Dienste, die hinsichtlich des Datenschutzes unbedenklich sind, eingeführt werden sollten.(13) Dies ist insbesondere auch aus deutscher Perspektive eine begrüßenswerte Idee, da sich der deutsche Gesetzgeber bisher noch immer nicht dazu durchringen konnte, in § 9a BDSG objektive Anforderungen an die Durchführung von Datenschutzaudits aufzustellen. Abs. 16

IV)  Unterschiede des angloamerikanischen und europäischen Begriffsverständnisses

Wie soeben aufgezeigt, unterscheidet sich der EU-Ansatz der "accountability" von seiner ursprünglich angloamerikanischen Begriffsherkunft. Während nach angloamerikanischem Verständnis damit eine über die gesetzlichen Regelungen hinaus gehende freiwillige Verantwortlichkeit der Unternehmen gemeint ist, will die EU "accountability" als gesetzlich verpflichtende Rechenschaftspflicht ausgestalten. Von den "technischen Mitteln" der Umsetzung unterscheiden sich beide Ansätze indes nicht: Beiden bedienen sich beispielsweise der Festlegung unternehmensspezifischer Datenschutzziele in sog. "code of conducts" oder auch der Möglichkeit externer Auditierungen. Gleichwohl unterscheiden sich diese Maßnahmen in ihrer Wirkung: Während die freiwilligen Maßnahmen für Unternehmen im angloamerikanischen Rechtsraum durch die Wahrnehmung der Verbraucher als "good practice" einen wichtigen Wettbewerbs- und Vermarktungsfaktor darstellen, ist dieser Effekt nach europäischem Modell wegen der dann für alle Unternehmen geltenden gesetzlichen Verpflichtung nicht zu erwarten. Abs. 17
Vielmehr steht zu befürchten, dass Unternehmen in der EU mit zusätzlichen Verwaltungskosten belastet werden. Dass dies faktisch zu einem besseren und effektiveren Datenschutz innerhalb der EU führen wird, bezweifelt selbst die  Art. 29-Datenschutzgruppe der EU und betont, "[…] dass die Einhaltung des Grundsatzes der Rechenschaftspflicht nicht notwendigerweise bedeutet, dass der für die Verarbeitung Verantwortliche auch die in der Richtlinie dargelegten wesentlichen Grundsätze einhält; weder lässt sich also aus ihr eine Rechtsvermutung in Bezug auf die Einhaltung ableiten, noch kann sie einen der wesentlichen Grundsätze ersetzen. Ein für die Verarbeitung Verantwortlicher kann die von ihm getroffenen Maßnahmen durchgeführt haben und dennoch gegen die Datenschutzvorschriften verstoßen."(14) Gleichwohl hält die  Art. 29-Gruppe die Wahrscheinlichkeit eines Datenschutzverstoßes für geringer, wenn der Grundsatz der Rechenschaftspflicht eingehalten wird.(15) Abs. 18

V)  Zusammenfassung und Ausschau

Seinem angloamerikanischen Ursprung nach wird das Prinzip der "accountability" als von Unternehmensseiten freiwillig erbrachte "good practice" verstanden. Diesen Aspekt ignoriert die EU-Kommission jedoch wohl aus politischen Gründen, indem sie das Prinzip der "accountability" zukünftig ausdrücklich in der Richtlinie als "Rechenschaftspflicht" festschreiben lassen will. Abs. 19
Diese gesetzlich verankerte Rechenschaftspflicht wird europäische Unternehmen mit zusätzlichen Verwaltungskosten belasten. Ob der Datenschutz in Europa dadurch eine wesentliche Verbesserung erfährt, wird sogar von der  Art. 29-Datenschutzgruppe der EU angezweifelt. Abs. 20
Code of Conducts, Binding Corporate Rules, Privacy by Design und Datenschutzaudits werden im Gegenzug einen deutlichen Auftrieb erfahren. Durch ihren gesetzlichen Pflichtcharakter aber wird eine große Chance vertan, Datenschutzaudits als zusätzlichen Wettbewerbs- und Vermarktungsfaktor für die den Datenschutz ernst nehmenden Unternehmen zu etablieren.
JurPC Web-Dok.
160/2011, Abs. 21

F u ß n o t en Abs. 22
(1) Vgl. Mitteilung der EU-Kommission KOM(2010)609 vom 04.11.2010 ("Gesamtkonzept für den Datenschutz in der Europäischen Union") - Ziffer 1; Memo/10/542 der EU-Kommission vom 04.11.2010 ("Data protection reform - frequently asked questions"). Abs. 23
(2) Gesamtkonzept der EU-Kommission, aaO., Ziffer 1. Abs. 24
(3) OECD Guidelines on the Protection of Privacy and Transborder Flows of Personal Data, Paragraph 14, abrufbar unter http://www.oecd.org/document/18/0,3343,en_2649_34255_1815186_1_1_1_1,00&&en-USS_01DBC.html Abs. 25
(4) Vgl. dazu Bennett, International privacy standards: Can accountability be adequate? Privacy Laws & Business International Newsletter, August 2010, S. 21. Abs. 26
(5) The Centre for Information Policy Leadership, abrufbar unter http://www.hunton.com/resources/sites/general.aspx?id=45 Abs. 27
(6) Die Arbeitsgruppe wurde gemäß Artikel 29 der Richtlinie 95/46/EG eingesetzt. Sie ist das unabhängige Beratungsgremium der Europäischen Union in Datenschutzfragen. Ihre Aufgaben sind in Artikel 30 der Richtlinie 95/46/EG sowie in Artikel 15 der Richtlinie 2002/58/EG festgelegt. Abs. 28
(7) Working Paper 173, angenommen am 13. Juli 2010, abrufbar unter http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2010/wp173_de.pdf Abs. 29
(8) Working Paper 173, aaO., Ziffer 22. Abs. 30
(9) Working Paper 173, aaO., Ziffer 21. Abs. 31
(10) Working Paper 173, aaO., Ziffer 21. Abs. 32
(11) Gesamtkonzept der EU-Kommission, aaO., Ziffer 2.2.4. Abs. 33
(12) Working Paper 173, aaO., Ziffer 41. Abs. 34
(13) Gesamtkonzept der EU-Kommission, aaO., Ziffer 2.2.4. Abs. 35
(14) Working Paper 173, aaO., Ziffer 38. Abs. 36
(15) Working Paper 173, aaO., Ziffer 38.
Abs. 37
* Dr. Thomas Haug, LL.M. (Exeter), Dipl. Jur. (Deutsches und internationales Informations- und Medienrecht) ist zur Zeit Rechtsreferendar am Landgericht Frankfurt am Main.
[ online seit: 18.10.2011 ]
Zitiervorschlag: Autor, Titel, JurPC Web-Dok., Abs.
Zitiervorschlag: Haug, Thomas, "Accountability": Die Rechenschaftspflicht im europäischen Datenschutzrecht - JurPC-Web-Dok. 0160/2011