Knowledge Hub
Datenschutz

Wenn Unternehmen Betroffene verantwortlich machen: Rechenschaftspflicht erklärt

Verfasst von
Max Hortmann
13 Nov 2025
Lesezeit:
Diesen Beitrag teilen

Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO: Struktur, Nachweislast und Folgen unzureichender Dokumentation

I. Einleitung: Die Rechenschaftspflicht als tragende Säule der DSGVO

Die Rechenschaftspflicht aus Art. 5 Abs. 2 DSGVO verpflichtet Verantwortliche, nicht nur sämtliche Datenschutzgrundsätze einzuhalten, sondern diese Einhaltung jederzeit nachweisen zu können. Damit unterscheidet sich die DSGVO grundlegend von früheren Datenschutzregimen. Sie arbeitet nicht primär mit externen Kontrollen, sondern auferlegt dem Verantwortlichen eine permanente, nachweisbare Selbstkontrolle.

Viele Verstöße gegen die DSGVO beruhen nicht auf klaren Rechtsverletzungen im engeren Sinne, sondern auf fehlender oder unzureichender Dokumentation. Die Rechtsprechung — insbesondere das FG Berlin-Brandenburg, das Thüringer Finanzgericht und das FG Schleswig-Holstein — zeigt, dass fehlende Dokumentation als eigenständiger Verstoß gilt.

Auch der EuGH hebt in C-340/21 hervor, dass Verantwortliche jederzeit den Nachweis erbringen müssen, dass Prozesse, Strukturen und technische Maßnahmen DSGVO-konform aufgebaut sind. Die Rechenschaftspflicht ist daher nicht ein rein administratives Element, sondern die rechtliche Grundvoraussetzung für jede Verarbeitung personenbezogener Daten.

II. Rechtlicher Rahmen: Art. 5 Abs. 2 DSGVO und seine systematische Einordnung

1. Inhalt und Bedeutung des Art. 5 Abs. 2 DSGVO

Art. 5 Abs. 2 DSGVO verpflichtet den Verantwortlichen, die Einhaltung der in Art. 5 Abs. 1 DSGVO genannten Grundsätze nachzuweisen. Dazu gehören:

  • Rechtmäßigkeit,
  • Verarbeitung nach Treu und Glauben,
  • Transparenz,
  • Zweckbindung,
  • Datenminimierung,
  • Richtigkeit,
  • Speicherbegrenzung,
  • Integrität und Vertraulichkeit.

Damit verpflichtet Art. 5 Abs. 2 DSGVO den Verantwortlichen zu einer doppelten Struktur:

  1. Einhaltung der Grundsätze
  2. Nachweisbarkeit der Einhaltung

Fehlt der Nachweis, ist der Verstoß gegeben.

2. Verbindung zu Art. 24 DSGVO

Art. 24 DSGVO operationalisiert die Rechenschaftspflicht. Verantwortliche müssen geeignete technische und organisatorische Maßnahmen (TOM) implementieren, dokumentieren und fortlaufend anpassen.

Das LG Wuppertal betont, dass Organisationsfehler regelmäßig Verstöße gegen Art. 24 DSGVO darstellen — unabhängig davon, ob konkrete Schäden eingetreten sind.

3. Verbindung zu Art. 30 DSGVO (Verzeichnis der Verarbeitungstätigkeiten)

Das Verzeichnis aller Verarbeitungstätigkeiten ist ein zentrales Instrument der Rechenschaftspflicht.

Das FG Berlin-Brandenburg hat klargestellt, dass ein unvollständiges oder unzutreffendes Verzeichnis ein eigenständiger Verstoß gegen die DSGVO ist.

4. Verbindung zu Art. 32 DSGVO (Sicherheit der Verarbeitung)

Art. 32 fordert technische Nachweisbarkeit, insbesondere:

  • Protokolle,
  • Zugriffsnachweise,
  • Monitoring,
  • Sicherheitsarchitektur.

Die Rechtsprechung (LG Baden-Baden, OVG Hamburg) betont, dass fehlende Nachweise zur Sicherheit einer Verarbeitung regelmäßig Art. 32 verletzt.

III. Typische Dokumentations- und Rechenschaftsfehler in der Praxis

1. Fehlende oder unvollständige Verzeichnisse nach Art. 30 DSGVO

In zahlreichen Organisationen sind Verarbeitungsverzeichnisse:

  • unvollständig,
  • veraltet,
  • nicht strukturiert,
  • nicht angepasst an reale Datenflüsse.

Dies führt zu einer fehlenden Systemübersicht, die das FG Berlin-Brandenburg konsequent als Verstoß einstuft.

2. Unklare oder fehlende Rollen- und Berechtigungskonzepte

Zugriffsberechtigungen müssen klar definiert und dokumentiert werden.
Fehlt die Dokumentation, kann:

  • nicht festgestellt werden, wer zu welchem Zeitpunkt Zugriff hatte,
  • keine Kontrolle durch Aufsichtsbehörden erfolgen,
  • die Einhaltung von Art. 32 DSGVO nicht belegt werden.

3. Fehlende Protokollierung

Viele Systeme enthalten:

  • keine Zugriffsprotokolle,
  • keine Änderungsprotokolle,
  • keine Löschprotokolle,
  • keine Übertragungshistorien.

Dies widerspricht der Rechtsprechung, die betont, dass technische Nachweisbarkeit ein Kernelement der DSGVO ist.

4. Speicherung personenbezogener Daten ohne nachvollziehbare Entscheidungsgrundlage

Art. 5 Abs. 1 lit. e DSGVO verlangt Speicherbegrenzung.
Fehlt ein Löschkonzept oder ist es nicht dokumentiert, ist der Verstoß gegeben.

5. Fehlende Risikoanalysen

Art. 24 und 32 DSGVO verlangen fortlaufende Risikoanalysen.
Fehlt die Dokumentation einer Risikoanalyse, wird regelmäßig ein struktureller Verstoß angenommen.

6. Mangelhafte Umsetzung von Privacy by Design (Art. 25 DSGVO)

Die fehlende Dokumentation der technischen Konzeption des Systems ist ein Indikator für fehlende Datenschutzintegration.

IV. Dogmatische Bewertung: Warum unzureichende Dokumentation rechtswidrig ist

1. Dokumentation ist kein „Beweismittel“, sondern ein Pflichtbestandteil

Die DSGVO sieht Dokumentation nicht als Beweiserleichterung, sondern als eigenständige gesetzliche Verpflichtung.
Der EuGH stellt klar, dass Verantwortliche den Nachweis der DSGVO-Compliance jederzeit erbringen können müssen.

2. Keine Umkehr der Rechenschaftspflicht

Betroffene müssen keine Verstöße nachweisen.
Die Pflicht zur Darstellung liegt vollständig beim Verantwortlichen.

3. Dokumentationslücken bedeuten automatisch Rechtsverstöße

Die Rechtsprechung bekräftigt, dass:

  • fehlende Protokolle,
  • fehlende Register,
  • unklare Berechtigungsmodelle

selbstständige Verstöße darstellen, auch wenn die Verarbeitung selbst korrekt gewesen wäre.

4. Der Kontrollverlust als Rechtsverletzung

Fehlt die Dokumentation, kann der Betroffene seine Rechte nicht wirksam ausüben.
Dies wurde in mehreren Entscheidungen (LG Leipzig, LG Bonn, OLG Frankfurt) als immaterieller Schaden nach Art. 82 DSGVO anerkannt.

V. Folgen für Betroffene

Betroffene können ohne transparente Dokumentation nicht nachvollziehen:

  • welche Daten existieren,
  • wie sie verarbeitet werden,
  • wer Empfänger ist,
  • wie lange Daten gespeichert werden,
  • ob Daten gelöscht wurden,
  • ob Daten weitergegeben wurden.

Dies führt zu struktureller Intransparenz und behindert die Geltendmachung von Rechten nach Art. 15–21 DSGVO.

Die Rechtsprechung erkennt diese Lage als immateriellen Schaden an.

VI. Folgen für Verantwortliche

1. Schadensersatz nach Art. 82 DSGVO

Fehlende Rechenschaftsstrukturen führen regelmäßig zu Schadensersatzansprüchen.

2. Bußgelder nach Art. 83 DSGVO

Aufsichtsbehörden sehen die Rechenschaftspflicht als Kernnorm.
Verstöße werden hart sanktioniert.

3. Organisationsverschulden nach Art. 24 DSGVO

Fehlende Dokumentation ist ein Indikator für unzureichende Organisation.
Gerichte wie LG Wuppertal sehen darin einen klaren Verstoß.

4. Strukturelle Compliance-Risiken

Organisationen riskieren:

  • ineffiziente Prozesse,
  • unvollständige Auskünfte,
  • fehlerhafte Löschkonzepte,
  • nicht kontrollierbare Datenflüsse.
„Futuristische Darstellung von Datenschutz, Datenfluss und IT-Sicherheitsarchitektur im Kontext der DSGVO und moderner Compliance-Prozesse.“
„Abstrakte digitale Grafik zur DSGVO-Compliance, die moderne Datenverarbeitung, IT-Sicherheit und Datenschutzstrukturen in Unternehmen visualisiert.“

VII. Anforderungen an eine DSGVO-konforme Rechenschaftsstruktur

Ein wirksames Modell zur Umsetzung der Rechenschaftspflicht muss folgende Elemente enthalten:

  1. Aktuelle Verarbeitungstätigkeiten nach Art. 30 DSGVO
    – vollständig, präzise, strukturiert.
  2. Zugriffs- und Änderungsprotokolle
    – technische Nachvollziehbarkeit sämtlicher Vorgänge.
  3. Dokumentierte Risiko- und Schutzmaßnahmen
    – regelmäßige Aktualisierung.
  4. Berechtigungs- und Rollenmodelle
    – klare Definition und Überprüfung.
  5. Löschkonzepte und Speicherbegrenzungen
    – nachweisbare Umsetzung.
  6. Interne Kommunikationslinien
    – klare Eskalationsmechanismen.
  7. Privacy-by-Design-Dokumentation
    – technische Implementierungsprotokolle.
  8. Regelmäßige Audits
    – internes und externes Monitoring.

Diese Anforderungen entsprechen der Rechtsprechung von EuGH, LG Wuppertal, FG Berlin-Brandenburg, OVG Hamburg und weiteren Fachgerichten.

VIII. Handlungsempfehlungen für Betroffene

Betroffene sollten:

  • im Rahmen von Auskunftsersuchen präzise Angaben zur Dokumentation verlangen,
  • insbesondere nach Empfängern, Speicherfristen, Herkunft und Protokollen fragen,
  • bei fehlenden oder unklaren Angaben nachfassen,
  • Verstöße bei Aufsichtsbehörden melden,
  • Schadensersatz prüfen lassen, wenn strukturelle Transparenzmängel vorliegen.

IX. Schlussbetrachtung

Die Rechenschaftspflicht ist der Dreh- und Angelpunkt der DSGVO. Sie bestimmt nicht nur die Einhaltung der Grundsätze, sondern gibt den Rahmen für alle technischen und organisatorischen Maßnahmen vor. Fehlt die Dokumentation, ist die Verarbeitung nicht DSGVO-konform — unabhängig von der materiellen Rechtslage. Die Rechtsprechung hat klar gemacht, dass die Nachweislast vollständig beim Verantwortlichen liegt und Dokumentationslücken als eigenständige Verstöße bewertet werden.

Organisationen müssen daher robuste, nachweisbare und fortlaufende Strukturen entwickeln, die sowohl technische als auch organisatorische Anforderungen erfüllen.

CTA

Wenn Sie prüfen möchten, ob ein Unternehmen seine Rechenschaftspflichten erfüllt oder ob strukturelle Dokumentationsmängel vorliegen, stehe ich Ihnen für eine fundierte und vertrauliche Beratung zur Verfügung.
Telefon: 0160 9955 5525
Kontakt: https://www.hortmannlaw.com/contact

Wenn Sie weitere Hintergrundanalysen zum Datenschutz suchen, finden Sie hier die wichtigsten vertiefenden Beiträge:

  1. DSGVO-Auskunft im Spamfilter
    https://www.hortmannlaw.com/articles/dsgvo-auskunft-spamfilter
  2. Unvollständige Auskünfte nach Art. 15 DSGVO
    https://www.hortmannlaw.com/articles/art15-dsgvo-unvollstaendige-auskunft
  3. Rückfragen als Datenfalle
    https://www.hortmannlaw.com/articles/rueckfrage-datenfalle-dsgvo
  4. Social-Media-Überwachung durch Unternehmen
    https://www.hortmannlaw.com/articles/social-media-ueberwachung-dsgvo
  5. Organisationsfehler nach Art. 24 DSGVO
    https://www.hortmannlaw.com/articles/art24-dsgvo-organisationsfehler
  6. Privacy by Design – warum es in der Praxis scheitert
    https://www.hortmannlaw.com/articles/privacy-by-design-scheitert
  7. DSGVO-Probleme in Großunternehmen
    https://www.hortmannlaw.com/articles/dsgvo-grossunternehmen-probleme
  8. Zutritts- und Sicherheitsdaten als DSGVO-Risiko
    https://www.hortmannlaw.com/articles/zutrittsdaten-dsgvo-sicherheitsbereiche
  9. E-Mail-Systeme als Schwachstelle der DSGVO-Compliance
    https://www.hortmannlaw.com/articles/email-systeme-dsgvo-risiko
  10. Einwilligung unter Druck – unzulässige Kopplungen
    https://www.hortmannlaw.com/articles/dsgvo-einwilligung-druck
  11. Schadensersatz bei Kontrollverlust nach Art. 82 DSGVO
    https://www.hortmannlaw.com/articles/art82-dsgvo-kontrollverlust
  12. Kameraüberwachung im Garten – Datenschutz unter Nachbarn
    https://www.hortmannlaw.com/articles/kamerauberwachung-im-garten---datenschutz-unter-nachbarn
  13. Privatsphäre-Schutz für Hochvermögende
    https://www.hortmannlaw.com/articles/privatsphaere-schutz-hochvermoegende
  14. Art. 9 DSGVO & digitale Intimsphäre
    https://www.hortmannlaw.com/articles/datenschutz-intimsphaere-art9-dsgvo-digitale-sexarbeit
  15. DeFi, Krypto-Betrug & Datenschutz
    https://www.hortmannlaw.com/articles/defi-compliance-datenschutz-krypto-betrug-anwalt
  16. Crypto.com & DSGVO-Pflichten
    https://www.hortmannlaw.com/articles/dsgvo-crypto-com-pflichten-krypto-betrug
  17. Datenlecks im Krypto-Betrug
    https://www.hortmannlaw.com/articles/datenlecks-krypto-betrug
  18. Verfahrens- & Systemdaten im Netz
    https://www.hortmannlaw.com/articles/gesundheits-verfahrensdaten-im-netz
  19. Love Scam & Datenmissbrauch
    https://www.hortmannlaw.com/articles/love-scam-datenmissbrauch-opfer-anwalt
  20. Datenschutzpflichten von Krypto-Plattformen
    https://www.hortmannlaw.com/articles/die-rolle-von-krypto-plattformen-im-zusammenhang-mit-der-DSGVO
  21. KI, Datenschutz & Strafrecht – Verantwortungsmatrix
    https://www.hortmannlaw.com/articles/ki-haftung-datenschutz-und-strafrecht-die-neue-verantwortungsmatrix
  22. Was eine Datenschutzverletzung wirklich kostet
    https://www.hortmannlaw.com/articles/was-kostet-eigentlich-eine-datenschutzverletzung

Max Hortmann
Rechtsanwalt
,
Hortmann Law

Suchen Sie dringend diskrete, juristische Unterstüzung?

Wir helfen Ihnen gerne persönlich weiter – schildern Sie uns Ihr Anliegen und wir finden gemeinsam eine Lösung.

Kontakt aufnehmen
Verwandte Artikel

Das könnte Sie auch interessieren

Entdecken Sie weitere Beiträge zu aktuellen Themen rund um Digitalrecht, Cybercrime, Datenschutz, KI und Steuerrecht. Unsere verwandten Artikel geben Ihnen zusätzliche Einblicke und vertiefende Analysen.

Datenschutz

Schadensersatz nach Art. 82 DSGVO: Kontrollverlust als immaterieller Schaden

Moderne Rechtsprechung: Wann Kontrollverlust genügt, warum keine „Bagatelle“ nötig ist, und wie Betroffene Ansprüche sichern.

Artikel lesen
Datenschutz
11/13/2025
November 13, 2025

DSGVO-Einwilligung unter Druck: Unzulässige Kopplungen erkennen

Unternehmen setzen Betroffene oft unter faktischen Druck. Dieser Beitrag zeigt, wann eine Einwilligung nicht freiwillig ist.

Artikel lesen
Datenschutz
11/13/2025
November 13, 2025

E-Mail-Systeme als DSGVO-Risiko: Warum interne Kommunikation versagt

Interne E-Mails sind die größte Schwachstelle: Filter, Weiterleitungen, fehlende Protokolle – detaillierter Risikobericht.

Artikel lesen
Mehr anzeigen