Rechenschaftspflicht nach DSGVO: So weisen Unternehmen ihre Pflichten nach
Die Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO verpflichtet Unternehmen, die Einhaltung der Datenschutzgrundsätze nicht nur zu gewährleisten, sondern aktiv nachweisen zu können. Der Nachweis besteht aus konkreten Dokumenten: einem Verzeichnis der Verarbeitungstätigkeiten (Art. 30), dokumentierten technischen und organisatorischen Maßnahmen (Art. 32), Auftragsverarbeitungsverträgen (Art. 28) und Schulungsnachweisen. Fehlt der Nachweis, gilt im Zweifel: nicht getan.
Von der Provimedia Redaktion · Stand: Juli 2026 · Dieser Beitrag ist eine allgemeine Information und keine Rechtsberatung.
Was bedeutet Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO?
Artikel 5 Absatz 2 der DSGVO formuliert einen einzigen, aber weitreichenden Satz: Der Verantwortliche ist für die Einhaltung der sechs Grundsätze aus Absatz 1 verantwortlich und muss deren Einhaltung nachweisen können ("rechenschaftspflichtig"). Das unterscheidet die DSGVO von vielen älteren Datenschutzregelungen: Es reicht nicht, sich datenschutzkonform zu verhalten. Ein Unternehmen muss im Ernstfall – bei einer Kontrolle der Aufsichtsbehörde, nach einer Datenpanne oder bei einer Beschwerde – belegen können, dass es die Regeln eingehalten hat.
Praktisch bedeutet das: Dokumentation ist kein Bürokratie-Selbstzweck, sondern die eigentliche Pflicht. Wer nichts dokumentiert, kann im Streitfall nichts vorweisen, selbst wenn intern alles korrekt gelaufen ist.
Wofür genau müssen Sie Rechenschaft ablegen?
Die Rechenschaftspflicht bezieht sich auf die sechs Grundsätze aus Art. 5 Abs. 1 DSGVO, die jede Datenverarbeitung gleichzeitig erfüllen muss:
- Rechtmäßigkeit, Treu und Glauben, Transparenz – es braucht eine Rechtsgrundlage und Offenheit gegenüber Betroffenen.
- Zweckbindung – Daten nur für den Zweck nutzen, für den sie erhoben wurden.
- Datenminimierung – nur so viele Daten wie nötig.
- Richtigkeit – Daten müssen sachlich richtig und aktuell sein.
- Speicherbegrenzung – Daten nur so lange aufbewahren, wie sie gebraucht werden.
- Integrität und Vertraulichkeit – angemessener Schutz vor Verlust und unbefugtem Zugriff.
Für jeden dieser Grundsätze muss ein Unternehmen im Zweifel zeigen können, wie es ihn umsetzt, nicht nur behaupten, dass es ihn beachtet.
Welche Nachweise zählen in der Praxis?
Die DSGVO schreibt keine einzelne Nachweis-Checkliste vor, in der Praxis hat sich aber ein Kern an Dokumenten etabliert, der aus verschiedenen Einzelvorschriften folgt:
| Nachweis-Baustein | Rechtsgrundlage | Was er belegt |
|---|---|---|
| Verzeichnis von Verarbeitungstätigkeiten (VVT) | Art. 30 DSGVO | Welche Datenverarbeitungen es gibt, zu welchem Zweck und auf welcher Rechtsgrundlage. |
| Technische und organisatorische Maßnahmen (TOM) | Art. 32 DSGVO | Wie Daten technisch und organisatorisch geschützt werden. |
| Auftragsverarbeitungsverträge (AVV) | Art. 28 Abs. 3 DSGVO | Dass externe Dienstleister vertraglich auf Datenschutz verpflichtet sind. |
| Nachweis von Einwilligungen | Art. 7 Abs. 1 DSGVO | Dass eine Einwilligung tatsächlich und nachweisbar erteilt wurde. |
| Schulungsnachweise der Mitarbeiter | Art. 39 Abs. 1 lit. b DSGVO | Dass Beschäftigte für Datenschutz sensibilisiert und geschult wurden. |
| Datenschutz-Folgenabschätzung (bei hohem Risiko) | Art. 35 DSGVO | Dass Risiken vor Einführung neuer, riskanter Verarbeitungen bewertet wurden. |
Der Schulungsnachweis ist dabei kein Randthema: Artikel 39 Absatz 1 Buchstabe b nennt "Sensibilisierung und Schulung der an den Verarbeitungsvorgängen beteiligten Mitarbeiter" ausdrücklich als Aufgabe, die im Rahmen der Datenschutzorganisation überwacht wird. Eine dokumentierte, datierte Teilnahme an einer Schulung ist damit ein konkreter, prüfbarer Baustein der Rechenschaftspflicht – unabhängig davon, ob ein eigener Datenschutzbeauftragter bestellt ist.
Was passiert, wenn Sie nichts nachweisen können?
Verstöße gegen die Grundsätze aus Art. 5 DSGVO – und damit auch gegen die Rechenschaftspflicht aus Absatz 2 – gehören zur oberen Bußgeldkategorie: bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist (Art. 83 Abs. 5 DSGVO).
Maßgeblich für die tatsächliche Höhe im Einzelfall sind unter anderem Schwere und Dauer des Verstoßes sowie die vom Verantwortlichen getroffenen technischen und organisatorischen Maßnahmen (Art. 83 Abs. 2 DSGVO) – wer nachweislich vorgesorgt hat, steht bei der Bemessung besser da als jemand ganz ohne Dokumentation. Diese Zahlen sind ein gesetzlicher Rahmen, keine Prognose für jeden Einzelfall: Sie zeigen, warum Nachweisfähigkeit mehr ist als Formalismus.
In vier Schritten zur nachweisbaren Rechenschaftspflicht
- Bestandsaufnahme: Welche personenbezogenen Daten verarbeiten Sie, zu welchem Zweck, mit welchen Dienstleistern? Grundlage für das VVT.
- Dokumente anlegen: VVT, TOM-Übersicht und AVV mit allen relevanten Dienstleistern erstellen bzw. aktualisieren.
- Mitarbeiter schulen und den Nachweis sichern: Eine datierte Teilnahmebestätigung je Person schließt die Doku-Lücke, die Art. 39 Abs. 1 lit. b anspricht.
- Aktuell halten: Bei neuen Tools, neuen Dienstleistern oder Rechtsänderungen Dokumente und Schulung nachziehen.
Ein digitales Schulungsprogramm deckt Schritt 3 effizient ab. Unser KI-Zertifikat ist bereits online buchbar und liefert einen datierten, QR-verifizierbaren Nachweis nach demselben Prinzip; die passende DSGVO-Grundlagenschulung für Mitarbeiter folgt in Kürze.
Häufige Fragen (FAQ)
Was ist die Rechenschaftspflicht nach der DSGVO?
Die Pflicht aus Art. 5 Abs. 2 DSGVO, die Einhaltung der sechs Datenschutzgrundsätze aus Art. 5 Abs. 1 nicht nur zu gewährleisten, sondern aktiv nachweisen zu können – zum Beispiel gegenüber einer Aufsichtsbehörde.
Welche Nachweise brauche ich konkret?
In der Praxis vor allem ein Verzeichnis der Verarbeitungstätigkeiten (Art. 30), dokumentierte TOM (Art. 32), Auftragsverarbeitungsverträge (Art. 28) und Nachweise über Mitarbeiterschulungen (Art. 39 Abs. 1 lit. b).
Reicht ein Teilnahmezertifikat einer Schulung als Nachweis?
Ein Teilnahmezertifikat belegt, dass eine Person geschult wurde – das ist ein einzelner, aber anerkannter Baustein der Rechenschaftspflicht. Es ersetzt nicht die anderen Nachweise wie VVT oder AVV und ist keine amtliche DSGVO-Zertifizierung des Unternehmens.
Was droht ohne ausreichenden Nachweis?
Verstöße gegen die Grundsätze aus Art. 5 DSGVO können mit Bußgeldern bis zu 20 Mio. Euro oder 4 % des weltweiten Jahresumsatzes geahndet werden (Art. 83 Abs. 5 DSGVO). Die tatsächliche Höhe hängt vom Einzelfall ab, unter anderem von den getroffenen Schutzmaßnahmen.
Quellen
- Verordnung (EU) 2016/679 (DSGVO), Art. 5, Art. 7 Abs. 1, Art. 28 Abs. 3, Art. 30, Art. 32, Art. 35, Art. 39 Abs. 1 lit. b, Art. 83 Abs. 2 und Abs. 5 – eur-lex.europa.eu
Beitrag teilen
Bleiben Sie auf dem Laufenden
Erhalten Sie die neuesten Artikel, Insights und Branchen-Updates direkt in Ihr Postfach.
Ähnliche Beiträge
Weitere Artikel, die Sie interessieren könnten.
KI und Datenschutz: Was Mitarbeiter bei ChatGPT & Co. beachten müssen
Ein Prompt mit Kundendaten ist datenschutzrechtlich eine ganz normale Verarbeitung. Die wichtigsten DSGVO-Regeln für ChatGPT, Copilot & Co. am Arbeitsplatz – und wo der EU AI Act zusätzlich greift.
"DSGVO-Zertifizierung" nach Art. 42 vs. Teilnahmezertifikat: der Unterschied
Eine "DSGVO-Zertifizierung" nach Art. 42 und ein Teilnahmezertifikat einer Schulung sind zwei grundverschiedene Dinge. Was jede davon wirklich bedeutet – und warum der Unterschied für Sie zählt.
Auftragsverarbeitungsvertrag (AVV): Wann Sie ihn brauchen und was rein muss
Sobald ein externer Dienstleister personenbezogene Daten in Ihrem Auftrag verarbeitet, ist ein Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO Pflicht. Die Pflichtinhalte und eine Prüf-Checkliste.
Bereit für Ihr KI-Kompetenz-Zertifikat?
Sichern Sie sich das anerkannte KI-Zertifikat – flexibel, online und EU-AI-Act-konform.