Datenschutz HubEinzelthemenGrundsätze der Verarbeitung

Rechenschaftspflicht (Art. 5 Abs. 2 DSGVO)

Accountability als Grundsatz der DSGVO: Einhaltung und Nachweis der Grundsätze, Dokumentationspflichten, Aufbewahrungsfrist, Beweislast des Verantwortlichen.

Nach Art. 5 Abs. 2 DSGVO ist der Verantwortliche für die Einhaltung der Grundsätze des Absatzes 1 verantwortlich und muss deren Einhaltung nachweisen können. Der Grundsatz bündelt die beiden zentralen Aspekte des Konzepts der Accountability (Artikel-29-Datenschutzgruppe, WP 173, Opinion 3/2010 on the principle of accountability, v. 13.07.2010).

Das Wichtigste in Kürze

  • Die Rechenschaftspflicht hat zwei Dimensionen: die Einhaltung der Grundsätze des Art. 5 Abs. 1 DSGVO und den Nachweis dieser Einhaltung.
  • Neu gegenüber der Datenschutz-Richtlinie ist allein die Nachweispflicht; Art. 24 Abs. 1 DSGVO erweitert sie auf die Einhaltung der gesamten DSGVO.
  • Der Nachweis verlangt Dokumentation, etwa Verzeichnis von Verarbeitungstätigkeiten, Einwilligungsnachweise, Datenschutz-, Lösch- und Berechtigungskonzepte sowie DSFA-Unterlagen.
  • Der Maßstab ist risikobasiert: je eingriffsintensiver die Verarbeitung, desto höher die Anforderungen.
  • Ein Verstoß ist bußgeldbewehrt; zudem trägt der Verantwortliche die Darlegungs- und Beweislast für die Einhaltung der Grundsätze.

1 Überblick

1.1 Neuerung gegenüber der Richtlinie

Die Pflicht zur Einhaltung der Grundsätze bestand bereits unter Art. 6 der Datenschutz-Richtlinie 95/46/EG. Neu hinzugekommen ist die Pflicht, die Einhaltung nachzuweisen. Art. 5 Abs. 2 DSGVO bezieht sich nur auf die Grundsätze des Absatzes 1; Art. 24 Abs. 1 DSGVO erweitert die Anforderung auf die Einhaltung der DSGVO insgesamt.

1.2 Rechtsfolge

Ein Verstoß gegen die Rechenschaftspflicht ist bußgeldbewehrt. Darüber hinaus wirkt der Grundsatz auf die Darlegungs- und Beweislast in Streitfällen aus. Der EuGH hat im Fall Orange România ausdrücklich bestätigt, dass der Verantwortliche nachweisen muss, dass die Verarbeitung auf einer wirksamen Rechtsgrundlage beruht (EuGH, Urt. v. 11.11.2020, C-61/19, Orange România, Rn. 42).

2 Inhalt der Pflicht

2.1 Zwei Dimensionen

Der Grundsatz der Rechenschaftspflicht enthält zwei Dimensionen:

  • Einhaltung: Der Verantwortliche muss die Grundsätze des Art. 5 Abs. 1 DSGVO beachten.
  • Nachweisbarkeit: Er muss die Einhaltung gegenüber Aufsichtsbehörden und ggf. im Streit mit Betroffenen nachweisen können.

Der Nachweis erfordert eine Dokumentation der Verarbeitung und der zu ihrer Einhaltung getroffenen Maßnahmen. Typische Werkzeuge sind das Verzeichnis von Verarbeitungstätigkeiten (Art. 30 DSGVO), die Dokumentation der Einwilligungen (Art. 7 Abs. 1 DSGVO), Datenschutzkonzepte, Lösch- und Berechtigungskonzepte sowie die Dokumentation der Datenschutz-Folgenabschätzungen (Art. 35 DSGVO).

2.2 Risikobasierter Ansatz

Art. 24 Abs. 1 DSGVO macht den Maßstab deutlich: Der Verantwortliche muss (abhängig vom Risiko seiner Datenverarbeitung für die Rechte und Freiheiten der betroffenen Personen) geeignete technische und organisatorische Maßnahmen ergreifen, um sicherzustellen und den Nachweis zu erbringen, dass die Verarbeitung im Einklang mit der DSGVO erfolgt. Die Anforderungen steigen mit der Eingriffstiefe der Verarbeitung.

Die Rechenschaftspflicht ist Ausdruck der Eigenverantwortung des Verantwortlichen. Die DSGVO hat die traditionelle Meldepflicht vor Beginn einer Datenverarbeitung abgeschafft und durch den risikoorientierten Ansatz der Datenschutz-Folgenabschätzung (Art. 35 DSGVO) und die anschließende Konsultation der Aufsichtsbehörde (Art. 36 DSGVO) ersetzt.

3 Aufbewahrung und Darlegungslast

3.1 Aufbewahrungsfrist

Die DSGVO regelt keine allgemeine Aufbewahrungsfrist. In der Praxis wird eine Mindestfrist von drei Jahren vorgeschlagen, die aus der Verfolgungsverjährung nach § 31 Abs. 3 S. 1 OWiG abgeleitet wird. Für bestimmte Bereiche (etwa die Dokumentation von Einwilligungen oder die Protokollierung besonders sensibler Verarbeitungen) können aber abweichende Zeiträume sachgerecht sein.

3.2 Darlegungs- und Beweislast

Aus der Rechenschaftspflicht folgt eine Darlegungs- und Beweislast des Verantwortlichen, soweit es um die Einhaltung der Grundsätze des Art. 5 Abs. 1 DSGVO geht. Sie ergibt sich schon daraus, dass die tatsächlichen Motive und Überlegungen hinter einer Verarbeitung in der Sphäre des Verantwortlichen liegen. Etwas anderes gilt für Umstände, die naturgemäß aus der Sphäre der betroffenen Person stammen (etwa für die besondere Situation beim Widerspruchsrecht nach Art. 21 Abs. 1 DSGVO, deren Vorliegen die betroffene Person darzulegen hat).

4 Verzahnung mit den anderen Grundsätzen

Die Rechenschaftspflicht wirkt als Querschnittsgrundsatz. Sie zwingt den Verantwortlichen, alle übrigen Grundsätze nicht nur einzuhalten, sondern ihre Einhaltung so zu dokumentieren, dass sie gegenüber Dritten belegbar ist.

Verantwortlicher

Der Verantwortliche als Adressat der Rechenschaftspflicht.

Verzeichnis von Verarbeitungstätigkeiten

Art. 30 DSGVO: zentrales Dokumentationsinstrument.

Datenschutz-Folgenabschätzung

Art. 35 DSGVO: Nachweis bei Hochrisiko-Verarbeitungen.

Über den Autor

Über den Autor

Dieser Beitrag wurde von Dr. Thomas Helbing, Fachanwalt für IT-Recht in München, verfasst.

Dr. Helbing wird seit 2020 durchgehend bis heute (2026) vom Handelsblatt als einer der „Deutschlands besten Anwälte" im Bereich IT-Recht und Datenschutzrecht ausgezeichnet.

Laut Kanzleimonitor.de (Ausgaben 2024–2026) zählt er zu den führenden Anwälten für Datenschutz und IT-Recht und ist unter den Top-100 Anwälten in Deutschland (2024/25) gelistet. Kanzleimonitor gilt als besonders aussagekräftige Marktstudie, da sie ausschließlich auf persönlichen Empfehlungen von Unternehmensjuristen basiert.

Dr. Helbing verfügt über langjährige Beratungserfahrung im Datenschutz- und IT-Recht und berät Mandanten unterschiedlichster Größen, vom Startup über wachstumsstarke SaaS-Unternehmen und Unicorns bis hin zu internationalen Konzernen.

Sein beruflicher Hintergrund umfasst das gesamte Spektrum der Praxis im IT- und Technologierecht. Er begann seine Laufbahn in einer internationalen Großkanzlei, sammelte anschließend Inhouse-Erfahrung in einem DAX-Unternehmen und ist selbst Unternehmer und Gründer mehrerer digitaler Projekte. Darüber hinaus verfügt er über praktische Programmiererfahrung, wodurch er technische Systeme, Softwarearchitekturen und digitale Geschäftsmodelle nicht nur juristisch, sondern auch aus technischer Perspektive versteht.

Zu seinen Mandanten zählen seit vielen Jahren unter anderem Technologieunternehmen und SaaS-Anbieter, führende deutsche Forschungseinrichtungen sowie eine systemrelevante deutsche Großbank. Seine Beratungsschwerpunkte liegen insbesondere in den Bereichen DSGVO-Compliance, Datenökonomie, SaaS, KI-Regulierung und IT-Vertragsrecht.

Integrität und Vertraulichkeit (Art. 5 Abs. 1 lit. f DSGVO)

Datensicherheit als Grundsatz der DSGVO: Schutz vor unbefugter Verarbeitung, Verlust und Zerstörung; Verhältnis zu Art. 32 DSGVO; risikobasierter Ansatz bei den Sicherheitsmaßnahmen.

Verzeichnis von Verarbeitungstätigkeiten (Art. 30 DSGVO)

Pflichtinhalte, Form, Vorlage und KMU-Ausnahme des Verarbeitungsverzeichnisses nach Art. 30 DSGVO: eigenständige Pflichten von Verantwortlichem und Auftragsverarbeiter, Praxisaufbau, Reformvorschlag COM(2025) 501.

Auf dieser Seite

1 Überblick1.1 Neuerung gegenüber der Richtlinie1.2 Rechtsfolge2 Inhalt der Pflicht2.1 Zwei Dimensionen2.2 Risikobasierter Ansatz3 Aufbewahrung und Darlegungslast3.1 Aufbewahrungsfrist3.2 Darlegungs- und Beweislast4 Verzahnung mit den anderen Grundsätzen