Datenschutz
EU-Datenschutzgrundverordnung
Seit dem 25. Mai 2018 ist die europaweit gültige Datenschutzgrundverordnung in Kraft. Damit soll in Europa ein nahezu einheitliches Datenschutzniveau herrschen. Auch für deutsche Unternehmen bedeutet dies, dass sie ihre Prozesse hinsichtlich der Verarbeitung personenbezogener Daten, sowohl derjenigen der Kunden wie auch der Mitarbeiter, datenschutzkonform ausgestalten müssen.
- Was ist zu tun?
- Verantwortlichkeit liegt bei Geschäftsleitung
- Rechtmäßigkeit der Verarbeitung von personenbezogenen Daten, Art. 6 Abs. 1 DS-GVO
- Das personenbezogene Datum
- Die Einwilligung
- Sonderregelung für die Einwilligung von Kindern, Art. 8 DS-GVO
- Privacy by Default
- Privacy by Design
- Die Verarbeitung besonderer Kategorien personenbezogener Daten
- Das "Recht-auf-vergessen-werden", Art. 17 DS-GVO
- Videoüberwachung, § 4 BDSG
- Das Recht auf Datenübertragbarkeit, Art. 20 DS-GVO
- Informationspflichten, Art. 13, 14 DS-GVO
- Die Verarbeitung von personenbezogenen Daten im Auftrag, Art. 28 DS-GVO
- Der Datenschutzbeauftragte, Art. 37 ff. DS-GVO, § 38 BDSG (Neu)
- Verzeichnis aller (Daten-)Verarbeitungsaktivitäten, Art. 30 DS-GVO
- Die Übermittlung personenbezogener Daten ins Ausland, Art. 44 ff. DS-GVO
- Meldepflichten bei "Datenpannen", Art. 33, 34 DS-GVO
Hinweis: Dieses Merkblatt dient der unverbindlichen Information und hat - insbesondere vor dem Hintergrund der sich aktuell teilweise erst noch entwickelnden Rechtslage - keinen Anspruch auf Vollständigkeit! Im Zweifel empfiehlt es sich immer, eine im Datenschutzrecht erfahrene Rechtsanwältin oder Rechtsanwalt zu kontaktieren.
Was ist zu tun?
Sämtliche Prozesse, bei denen personenbezogene Daten verarbeitet werden, sollten – beispielsweise mithilfe des Fragebogens – ermittelt und datenschutzrechtlich bewertet werden, mithin eine Bestandsaufnahme gemacht und geprüft werden, welche datenschutzrechtlichen Maßnahmen im Unternehmen vorhanden und ob sie mit der DS-GVO kompatibel sind. Das muss zu Beginn der Tätigkeitsaufnahme, aber auch immer wieder im laufenden Betrieb geschehen.
Insbesondere:
- Wurde bei den Einwilligungen, die von Kunden und anderen Personen für die Verarbeitung personenbezogener Daten eingeholt wurden, auf ein jederzeitiges Widerrufsrecht hingewiesen? Falls nicht, müsste dies nachgeholt werden.
- Werden besonders umfangreich Daten verarbeitet oder werden hierfür besondere Technologien eingesetzt, die die Rechte der betroffenen Person besonders gefährden, ist eine Risikobewertung im Rahmen einer Datenschutz-Folgenabschätzung notwendig. Diese muss bei vorhandenen Verarbeitungen nachgeholt werden.
- Sind mit den IT-Dienstleistern Vereinbarungen zur Auftragsverarbeitung geschlossen worden? Falls ja, müssen sie überprüft werden: Genügen die technisch-organisatorischen Maßnahmen bei dem Dienstleister den Anforderungen an das Schutzniveau der Daten? Auch hier muss eine Risikobewertung durchgeführt werden. Falls solche Vereinbarungen bisher nicht geschlossen wurden, sollten sie jetzt bereits unter Beachtung des neuen Rechts formuliert werden.
Verantwortlichkeit liegt bei Geschäftsleitung
Eindeutig ist, dass die Leitung des Unternehmens die Verantwortung für die Umsetzung der DS-GVO trägt. Sie ist nicht auf einen betrieblichen Datenschutzbeauftragten delegierbar. Seine Aufgabe – unabhängig davon, ob er ein Mitarbeiter ist oder ein Externer – besteht zukünftig im Wesentlichen in der Überwachung der datenschutzrechtlichen Prozesse und der Beratung.
Die Aufsicht über den datenschutzkonformen Umgang mit den personenbezogenen Daten durch Unternehmen führen die jeweiligen Landesdatenschutzbehörden. In Hessen ist dies der Hessische Beauftragte für Datenschutz und Informationsfreiheit. Bei Verstößen können künftig Bußgelder bis zu 20 Mio. Euro bzw. 4% des weltweiten Umsatzes festgesetzt werden.
Nachfolgende Hinweise sollen Ihnen das datenschutzkonforme Handeln in ihrem Unternehmen erleichtern:
Rechtmäßigkeit der Verarbeitung von personenbezogenen Daten, Art. 6 Abs. 1 DS-GVO
Die DS-GVO enthält - ähnlich wie bereits das BDSG - eine Reihe von Vorschriften, in denen Erlaubnistatbestände für die Verarbeitung personenbezogener Daten geregelt sind. Laut Art. 6 Abs. 1 DS-GVO ist die Verarbeitung personenbezogener Daten nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist:
a) Die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben;
Bitte beachten Sie, dass die Einwilligung einer betroffenen Person in die Verarbeitung ihrer personenbezogenen Daten wirksam sein muss. Eine unwirksame Einwilligungserklärung ist nicht nur keine taugliche Rechtsgrundlage für die Verarbeitung; sie kann auch bußgeldrechtliche und wettbewerbsrechtliche Folgen für den Verwender haben. Weitere Hinweise dazu finden Sie auf diesem Merkblatt unter dem Punkt "Die Einwilligung".
b) die Verarbeitung ist für die Erfüllung eines Vertrages, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen;
Welche personenbezogenen Daten für die Erfüllung eines Vertrages "erforderlich" sind, hängt vom Einzelfall ab. Die Verarbeitung bestimmter personenbezogener Daten ist jedenfalls dann immer erforderlich, wenn der Vertrag ohne diese Daten nicht erfüllt werden kann. Generell sollte hier sicherheitshalber ein strenger Maßstab angelegt werden.
Mit vorvertraglichen Maßnahmen sind bspw. Vertragsverhandlungen oder auch die Kontaktaufnahme zum Abschluss eines Vertrages gemeint. Allerdings muss die Anfrage nach dem Wortlaut der Vorschrift von der betroffenen Person, also dem Kunden, kommen. Das heißt, dass der Zweck der Verarbeitung der Kontaktdaten des Kunden für "vorvertragliche Maßnahmen" entfällt, wenn es zu keinem Vertragsschluss kommt. Für eine weitergehende Verarbeitung der Daten, insbesondere für eine weitergehende werbliche Ansprache, bedürfte es dann eines anderen Rechtfertigungstatbestandes, i.d.R. also einer Einwilligung. Zwischen Unternehmern erscheint die Verarbeitung personenbezogener Daten allerdings darüber hinaus noch vertretbar, wenn es sich um eine laufende Geschäftsbeziehung zwischen den Unternehmern handelt und sonst nichts gegen die weitere Verwendung der Daten spricht, insb. ein etwaig entgegenstehender Wille des Betroffenen.
c) die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt;
Gemeint sind hier Verpflichtungen kraft Unionsrecht oder des (einschlägigen) Rechts eines Mitgliedsstaates. Vertragliche Verpflichtungen gegenüber Dritten, an denen der Betroffene nicht beteiligt ist, sind als Rechtsgrundlage alleine nicht ausreichend.
d) die Verarbeitung ist erforderlich, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen;
Dieser Rechtfertigungstatbestand ist nur dann einschlägig, wenn offensichtlich kein anderer Tatbestand einschlägig ist, der eine Verarbeitung der jeweiligen Daten erlauben würde. Generell geht es um Notlagen oder genauer: Um lebenswichtige Interessen - einschließlich der körperlichen Unversehrtheit oder des Lebens - der betroffenen Person.
e) die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde;
f) die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.
Hierbei handelt es sich um eine Interessenabwägungsklausel, über deren Reichweite sich im Einzelfall möglicherweise viel diskutieren lässt. Für die unternehmerische Praxis bietet es sich daher unbedingt an, für die Verarbeitung von personenbezogenen Daten zuerst eine andere Rechtsgrundlage zu suchen. Denn in aller Regel sollte sich die Verarbeitung der Daten auf eine andere, bessere (speziellere) Rechtsgrundlage stellen lassen.
Das personenbezogene Datum
An der Definition des personenbezogenen Datums hat sich durch die DS-GVO praktisch nicht viel verändert. Die DS-GVO liefert in Art. 4 Nr. 1 eine Definition, wann eine natürliche Person identifizierbar ist und der sachliche Anwendungsbereich der DS-GVO dadurch eröffnet ist. Als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann. Die DS-GVO findet also - wie in gewisser Weise bereits das BDSG - auf anonyme oder rein statistische Daten keine Anwendung.
Wann eine natürliche Person anhand bestimmter Daten identifizierbar sein kann, kann im Einzelfall schwierig zu beurteilen sein. Dieses Problem stellt sich jedoch bereits bei der Anwendung des Bundesdatenschutzgesetzes. Zu berücksichtigende Kriterien für die Beurteilung dieser Frage sind laut Erwägungsgrund 26 zur DS-GVO, welchen zeitlichen, finanziellen und technischen Aufwand jemand nach allgemeinem Ermessen wahrscheinlich nutzen würde, um diese Identifizierung einer betroffenen Person zu ermöglichen.
Die Einwilligung
Die Einwilligung des Betroffenen ist in Art. 4 Nr. 11 DS-GVO definiert. Eine Einwilligung ist demnach „… jede für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist.“
Einwilligungen müssen damit folgende Voraussetzungen erfüllen:
- Die betroffene Person muss ausreichend über Umfang der verarbeiteten Daten und den Zweck der Verarbeitung informiert werden.
- Die Einwilligungserklärung muss leicht zugänglich und in leicht verständlicher Form in einer klaren und einfachen Sprache verfasst sein.
- Die betroffene Person muss auf ihr Recht, die Einwilligung mit Wirkung für die Zukunft widerrufen zu können, hingewiesen werden.
- Beachtung des „Koppelungsverbotes“. Das heißt, dass ein Vertragsschluss nicht von der Einwilligung in die Verarbeitung von personenbezogenen Daten abhängig gemacht werden darf, die für die Durchführung des Vertrages nicht erforderlich sind.
- Beim Ankreuzen, dem Setzen von Häkchen oder Anklicken von Kästchen muss die betroffene Person dieses aktiv tun. Sind Kreuze oder Häkchen schon vom Verantwortlichen gesetzt, führt dieses zur Unwirksamkeit der Einwilligung. (Siehe auch "Privacy by Default")
- Falls bei einer minderjährigen Person unter 16 Jahren erforderlich, das Vorliegen einer Zustimmung der gesetzlichen Vertreter.
Die DS-GVO verlangtnicht, dass eine Einwilligung schriftlich erteilt werden muss. Es sind also auch andere Formen, insbesondere auch die elektronische, ausdrücklich zugelassen. Aus praktischer Sicht ist generell jedoch anzuraten, dass eine erteilte Einwilligung – gleich in welcher Form diese erteilt worden ist – aus Beweisgründen im eigenen Interesse dokumentiert werden sollte. Denn schließlich sieht Art. 7 Abs. 1 DS-GVO explizit vor, dass der Verantwortliche das Vorhandensein einer Einwilligung des Betroffenen nachzuweisen hat, wenn die Verarbeitung seiner personenbezogenen Daten auf dessen Einwilligung beruht.
Zu beachten ist außerdem, dass im Bereich der elektronischen Informations- und Kommunikationsdienste, die keine Telekommunikationsdienste gem. § 3 Nr. 24 und 25 Telekommunikationsgesetz (TKG) oder § 2 des Rundfunkstaatsvertrages sind (sog. Telemedien) schon nach geltendem Recht gem. § 13 Abs. 2 TMG zusätzliche Voraussetzungen für die Erteilung einer Einwilligungserklärung in elektronischer Form bestehen, die den Regelungen in der DS-GVO teilweise ähnlich, bzw. annähernd deckungsgleich sind:
Die Einwilligung kann im Bereich der Telemedien demnach elektronisch erklärt werden, wenn der Diensteanbieter sicherstellt, dass
- der Nutzer seine Einwilligung bewusst und eindeutig erteilt hat,
- die Einwilligung protokolliert wird,
- der Nutzer den Inhalt der Einwilligung jederzeit abrufen kann und
- der Nutzer die Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen kann.
Nach aktueller Rechtsprechung sind auch für Cookies, also kleine Textdateien, die auf dem Computer des Nutzers gespeichert werden, um diesen, bzw. die IP-Adresse, zu identifizieren, Einwilligungen notwendig. Insbesondere gilt das, wenn sog. Analyse-Tools genutzt werden, die das Surfverhalten der Nutzer ermitteln können. Hierzu kann man elektronische Consentmanager einsetzen. Nur absolut notwendige Cookies, die die Seitennutzung überhaupt erst sachgerecht ermöglichen, etwa einen stufenwisen elektronischen Bestellvorgang, sind einwilligungsfrei.
Art. 7 DS-GVO sieht noch weitere Bedingungen für eine Einwilligungserklärung, bzw. deren Widerruf, vor.
Sofern eine schriftlich erteilte Einwilligungserklärung mehrere Sachverhalte betrifft, muss das Ersuchen des Verantwortlichen um die Einwilligungserklärung in einer verständlichen und leicht zugänglichen Form in einer klaren und einfachen Sprache so verfasst sein, dass erkennbar ist, welcher Sachverhalt von der Einwilligungserklärung betroffen ist (vgl. Abs. 2).
Eine erteilte Einwilligung muss vom Betroffenen jederzeit widerrufbar sein. Der Widerruf der Einwilligung muss so einfach wie ihre Erteilung sein (vgl. Abs. 3).
Einwilligungen, die nach dem bis zum 25. Mai 2018 geltenden Datenschutzrecht abgegeben wurden, sind wirksam, solange diese Einwilligungen den neuen Regeln der DS-GVO entsprechen.
Tipp: Hilfreiche Hinweise zur Verarbeitung von personenbezogenen Daten für Werbung finden Sie in den Auslegungshilfen "Kurzpapier Nr. 3" der Datenschutzkonferenz (DSK).
Sonderregelung für die Einwilligung von Kindern, Art. 8 DS-GVO
Die DS-GVO bestimmt in Art. 8, dass Minderjährige erst dann in die Verarbeitung ihrer personenbezogenen Daten wirksam einwilligen können, wenn sie das 16. Lebensjahr vollendet haben. Anderenfalls benötigen sie eine Zustimmung ihrer gesetzlichen Vertreter, i.d.R. der Eltern. Die Mitgliedstaaten können auch ein niedrigeres Alter vorsehen.
Privacy by Default
Hierunter ist die Technikgestaltung durch datenschutzfreundliche Voreinstellungen gemeint. Verarbeiter von personenbezogenen Daten sollen dadurch verpflichtet werden Einstellungen festzulegen, die gewährleisten, dass nur diejenigen personenbezogenen Daten erhoben und verarbeitet werden, die für den jeweiligen Zweck unbedingt erforderlich sind. Insbesondere die Menge der personenbezogenen Daten, der Umfang deren Verarbeitung, deren Speicherdauer und deren Zugänglichkeit sollen dadurch begrenzt werden. Privacy by Default ergänzt damit den nach aktueller Rechtslage bereits geltenden Grundsatz der Datensparsamkeit.
Privacy by Design
Hierbei ist eine datenschutzfreundliche Technikgestaltung gemeint. Dadurch werden die Verarbeiter personenbezogener Daten verpflichtet, technische und organisatorische Maßnahmen zur Einhaltung der Anforderungen der DS-GVO einzuführen. In welcher Form solche Maßnahmen einzuführen sind, obliegt einem gewissen Beurteilungsspielraum des Verarbeiters. Kriterien für diesen Beurteilungsspielraum sind laut DS-GVO der Stand der Technik, Implementierungskosten und die Art, der Umfang, die Umstände und die Zwecke der Datenverarbeitung sowie die Eintrittswahrscheinlichkeit und Schwere möglicher Risiken für die Rechte und Freiheiten der von der Datenverarbeitung betroffenen natürlichen Personen.
Tipp: Bei der Einführung neuer Software im Unternehmen oder bei der Programmierung sollte darauf geachtet werden, dass diese technisch so ausgelegt ist, dass die Software nur diejenigen personenbezogenen Daten erhebt, die für die jeweiligen Zwecke der Datenverarbeitung tatsächlich erforderlich sind.
Die Verarbeitung besonderer Kategorien personenbezogener Daten
Die DS-GVO enthält einen Katalog, nach welchen Bedingungen die Verarbeitung besonderer Kategorien personenbezogener Daten zulässig ist. Besondere Kategorien personenbezogener Daten sind laut Art. 9 Abs. 1 DS-GVO Daten, aus denen sich
- die rassische und ethnische Herkunft,
- politische Meinungen,
- religiöse oder weltanschauliche Überzeugungen oder
- die Gewerkschaftszugehörigkeit
ergeben, sowie die Verarbeitung von
- genetischen Daten,
- biometrischen Daten zur eindeutigen Identifizierung,
- Gesundheitsdaten oder
- Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person.
Hinweis: Ist eine Verarbeitung besonderer Kategorien personenbezogener Daten beabsichtigt, empfiehlt es sich, dieses genau anhand des umfangreichen Kataloges in Art. 9 Abs. 2 DS-GVO zu prüfen. Die in einem Unternehmen häufigsten Fälle dürften dabei die Zulässigkeit der Verarbeitung aufgrund einer wirksamen Einwilligung (Art. 9 Abs. 2 lit. a) DS-GVO) und die Verarbeitung zur Ausübung von sich aus dem Arbeitsrecht oder dem Recht der sozialen Sicherung ergebenden Rechten und Pflichten (Art. 9 Abs. 2 lit. b) DS-GVO), also insbesondere Meldungen gegenüber den Sozialversicherungsträgern, sein.
Das BDSG war hier, verglichen mit der DS-GVO, kürzer gefasst und beschränkte sich im Wesentlichen auf eine Definition besonderer personenbezogener Daten und die Absenkung des Schwellenwertes zur Benennung eines betrieblichen Datenschutzbeauftragten.
Die Datenschutz-Folgenabschätzung (PIA), Art. 35 DS-GVO
Die Datenschutz-Folgenabschätzung, bzw. Risikofolgenabschätzung oder auch Privacy Impact Assessment (PIA) wirft gerade unter Praktikern immer noch viele Fragen auf. In der Tat ist vieles in Bezug auf PIA nicht abschließend geklärt. Bei PIA handelt es sich begrifflich um eine Überprüfung datenschutzrechtlich relevanter Prozesse in einem Unternehmen. Sie ersetzt die alte Vorabprüfung.
Eine PIA ist nicht in jedem Fall der Verarbeitung personenbezogener Daten vorgeschrieben. Nur wenn durch eine Datenverarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen mit sich bringt, ist eine PIA durchzuführen. Die verantwortliche Stelle prüft in einem ersten Schritt also, ob ein solches hohes Risiko überhaupt vorliegt. In welchen Fällen ein hohes Risiko in diesem Sinne vorliegt, ist bislang noch nicht abschließend geklärt. Sicher dürfte sein, dass jedenfalls in Fällen ...
Eine PIA ist nicht in jedem Fall der Verarbeitung personenbezogener Daten vorgeschrieben. Nur wenn durch eine Datenverarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen mit sich bringt, ist eine PIA durchzuführen. Die verantwortliche Stelle prüft in einem ersten Schritt also, ob ein solches hohes Risiko überhaupt vorliegt. In welchen Fällen ein hohes Risiko in diesem Sinne vorliegt, ist bislang noch nicht abschließend geklärt. Sicher dürfte sein, dass jedenfalls in Fällen ...
- des Einsatzes neuer Technologien,
- der Verarbeitung großer Mengen personenbezogener Daten,
- einer großen Zahl betroffener Personen,
- besonders sensibler Daten,
- des Profilings oder
- der Überwachung
... die Frage nach der Erforderlichkeit einer PIA zu prüfen sein dürfte, ob die Verarbeitung also voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen mit sich bringt.
Gem. Art. 35 Abs. 3 DS-GVO ist eine PIA außerdem insbesondere in folgenden Verarbeitungssitationen erforderlich:
- Systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen, die sich auf automatisierte Verarbeitung einschließlich Profiling gründet und die ihrerseits als Grundlage für Entscheidungen dient, die Rechtswirkung gegenüber natürlichen Personen entfalten oder diese in erheblicher Weise beeinträchtigen,
- umfangreiche Verarbeitung besonderer Kategorien von personenbezogenen Daten oder von Daten über strafrechtliche Verurteilungen oder
- systematische umfangreiche Überwachung öffentlich zugänglicher Bereiche.
Hinweis: Weitere Informationen und Beispiele, wann die Verarbeitung besonderer Kategorien personenbezogener Daten umfangreich ist, finden Sie unten unter "Datenschutzbeauftragte".
Unternehmen sollten, solange keine endgültige Rechtssicherheit besteht, bei der Prüfung der Erforderlichkeit einer PIA im Zweifel eher konservativ vorgehen, um Schwierigkeiten mit den Aufsichtsbehörden möglichst zu vermeiden. Sind überhaupt keine Daten mit Personenbezug betroffen, besteht jedoch keine datenschutzrechtliche Problematik. Das ist zum Beispiel bei rein statistischen Daten der Fall, sofern diese keinen Bezug auf eine bestimmte oder bestimmbare natürliche Person zulassen.
Tipp: Die Artikel-29-Datenschutzgruppe hat auf ihrer Webseite ein Dokument mit weiteren Hinweisen zur PIA veröffentlicht.
Die Aufsichtsbehörden, also regelmäßig die Landesdatenschutzbeauftragten, sind gem. Art. 35 Abs. 4 DS-GVO verpflichtet, im Rahmen einer sog. Positivliste zu veröffentlichen, welche Verfahren in jedem Fall einer Risikofolgenabschätzung zu unterziehen sind. Diese Liste finden Sie hier. Im Interesse einer einheitlichen Anwendung der DS-GVO werden diese Listen im Rahmen des Kohärenzverfahrens gem. Art. 64 Abs. 1 lit. a) DS-GVO auf europäischer Ebene abzustimmen sein. Die Aufsichtsbehörden haben außerdem die Möglichkeit über eine Negativliste zu veröffentlichen, welche Verfahren gerade keiner Risikofolgenabschätzung bedürfen. Eine solche Negativliste ist jedoch nicht zwingend vorgeschrieben.
Hinweis: Näheres finden Sie im "Kurzpapier Nr. 5" Datenschutz-Folgenabschätzung nach Art. 35 DS-GVO.
Das "Recht-auf-vergessen-werden", Art. 17 DS-GVO
Hierbei handelt es sich um das "Recht auf Löschung". Eine betroffene Person hat das Recht zur Löschung, wenn der Zweck der Verarbeitung entfallen ist, die betroffene Person der Verarbeitung widerspricht oder gegen die Verarbeitung Widerspruch einlegt, die Verarbeitung der personenbezogenen Daten unrechtmäßig erfolgt, eine Pflicht des Verantwortlichen zur Löschung der Daten besteht oder der Betroffene als Kind seine Einwilligung zur Verarbeitung der Daten in den Fällen von Art. 8 DS-GVO gegeben hat.
Das Recht auf Löschung besteht jedoch nicht ausnahmslos. Das Recht zur Löschung gilt demnach beispielsweise nicht, wenn die Verarbeitung
- zur Ausübung des Rechts auf freie Meinungsäußerung und Information,
- zur Erfüllung einer rechtlichen Verpflichtung oder zur Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt oder in der Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde oder
- zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen
erforderlich ist.
Hinweis: Hier hilft die Auslegungshilfe Nr. 5 "Recht auf Löschung / "Recht auf Vergessenwerden".
Videoüberwachung, § 4 BDSG
Regelungen zur Videoüberwachung enthält die DS-GVO nicht.
Die Videoüberwachung öffentlich zugänglicher Räume ist in § 4 BDSG geregelt. Diese ist demnach zulässig, soweit sie
- zur Aufgabenerfüllung öffentlicher Stellen,
- zur Wahrnehmung des Hausrechts oder
- zur Wahrnehmung berechtigter Interessen für konkret festgelegte Zwecke
erforderlich ist.
Der Düsseldorfer Kreis der Datenschutzbeauftragten der Länder hat hierzu eine Orientierungshilfe herausgebracht.
Bei der Videoüberwachung von öffentlich zugänglichen großflächigen Anlagen (z.B. Einkaufszentren) sowie Fahrzeugen und öffentlich zugänglichen Einrichtungen des öffentlichen Schienen-, Schiffs- und Busverkehrs (Busse, Züge, Fähren, Fähranleger, Bahnhöfe usw.) gilt der Schutz von Leben, Gesundheit und Freiheit der sich dort aufhaltenden Personen als besonders wichtiges Interesse.
Tipp: Der Umstand der Videoüberwachung sowie der Name und und die Kontaktdaten des Verantwortlichen sind gem. § 4 Abs. 2 BDSG durch geeignete Maßnahmen zum frühest möglichen Zeitpunkt erkennbar zu machen. Das kann z.B. durch einen Hinweis am Eingang zu den Geschäftsräumen geschehen.
Soweit von einer Videoüberwachung auch Mitarbeiter der verantwortlichen Stelle betroffen sind, kann die Videoüberwachung unter Umständen mitbestimmungspflichtig sein. Solche Fälle sollten im Zweifelsfall arbeitsrechtlich von einem Rechtsanwalt/einer Rechtsanwältin oder einem Arbeitgeberverband (bei bestehender Mitgliedschaft) überprüft werden. Informationen zu diesem Thema finden Sie außerdem auf der Webseite der BfDi.
Das Recht auf Datenübertragbarkeit, Art. 20 DS-GVO
Hinter diesem - entfernt an die Rufnummernportierung nach § 46 Abs. 3 und 4 TKG erinnernden - Begriff verbirgt sich nichts anderes, als dass Betroffene ihre personenbezogenen Daten von einem Dienstanbieter, z.B. einem Social-Media-Dienst oder einem E-Mail-Provider, auf einen anderen übertragen können sollen. Dazu sollen Betroffene die von ihnen bereitgestellten personenbezogenen Daten in einem strukturierten, gängigen, maschinenlesbaren und interoperablen Format vom Verantwortlichen erhalten können. An die Anbieter digitaler Dienste werden daher besondere Anforderungen hinsichtlich der technischen Umsetzung gestellt. Eine entsprechende Regelung gibt es im BDSG bisher nicht. Laut Erwägungsgrund Nr. 68 zur DS-GVO soll das Recht der betroffenen Person, sie betreffende personenbezogene Daten zu übermitteln oder zu empfangen, für den Verantwortlichen allerdings nicht die Pflicht begründen, technisch kompatible Datenverarbeitungssysteme zu übernehmen oder beizubehalten.
Die Artikel-29-Datenschutzgruppe hat auf ihrer Webseite ein Dokument mit weiteren Hinweisen Datenübertragbarkeit veröffentlicht.
Das Recht auf Datenübertragbarkeit gilt nicht für eine Verarbeitung, die für die Wahrnehmung einer im öffentlichen Interesse liegenden Aufgabe erforderlich ist oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde. Außerdem geht das Recht nur so weit, wie Rechte und Freiheiten anderer Personen beeinträchtigt werden. Das dürfte regelmäßig der Fall sein, wenn personenbezogene Daten anderer Personen von dem zu übertragenen Datensatz tangiert werden, insb. in diesem enthalten sind.
Informationspflichten, Art. 13, 14 DS-GVO
Hinweis: Die Informationspflichten gem. Art. 13 DS-GVO betreffen Fälle, in denen die personenbezogenen Daten bei den/der betroffenen Person/en erhoben werden. Sofern personenbezogene Daten nicht bei den betroffenen Personen erhoben werden, richten sich die Informationspflichten nach Art. 14 DS-GVO.
Informationspflichten gem. Art. 13 DS-GVO
Die DS-GVO sieht umfangreiche Informationspflichten des Verantwortlichen gegenüber dem Betroffenen vor. Soweit die betroffene Person nicht schon über die jeweiligen Informationen verfügt, muss der Verantwortliche zum Zeitpunkt der Erhebung der Daten folgendes mitteilen (den genauen Wortlaut entnehmen Sie bei Bedarf bitte dem Text in Art. 13 DS-GVO):
- Den Namen und die Kontaktdaten des Verantwortlichen und ggf. seines Vertreters,
- ggf. die Kontaktdaten des Datenschutzbeauftragten,
- die Zwecke und die Rechtsgrundlage der Verarbeitung der Daten,
- die berechtigten - die Grundfreiheiten und Grundrechte der betroffenen Person überwiegenden - Interessen des Verantwortlichen gem. Art. 6 Abs. 1 lit. f) DS-GVO,
- ggf. die Empfänger oder Kategorien von Empfängern der personenbezogenen Daten,
- ggf. die Absicht des Verantwortlichen die Daten an ein Drittland oder eine internationale Organisation zu übermitteln sowie ggf. das Fehlen einer positiven Entscheidung über das Vorhandensein eines angemessenen Datenschutzniveaus in jenem Drittland,
- die Dauer der Verarbeitung oder die Kriterien für die Ermittlung der Dauer der Speicherung der Daten,
- das Bestehen eines Rechts auf Auskunft sowie eines Rechts auf Berichtigung, Löschung oder Einschränkung der Verarbeitung oder auf ein Widerspruchsrecht sowie auf das Recht zur Datenübertragbarkeit,
- das Recht zum Widerruf einer gegebenen Einwilligung der betroffenen Person mit dem Hinweis, dass eine bis zum Widerruf durchgeführte Datenverarbeitung rechtmäßig bleibt,
- das Bestehen eines Beschwerderechts bei der Aufsichtsbehörde,
- ob die Bereitstellung personenbezogener Daten gesetzlich oder vertraglich vorgeschrieben oder für einen Vertragsschluss erforderlich ist. Auch auf eine etwaige Verpflichtung des Betroffenen zur Bereitstellung ist hinzuweisen, sowie auf die Folgen der Nichtbereitstellung und
- das Bestehen einer automatisierten Entscheidungsfindung, Profiling sowie deren involvierte Logik, Tragweite und Auswirkungen auf die betroffene Person.
Informationspflichten gem. Art. 14 DS-GVO
Werden personenbezogene Daten nicht bei den Betroffenen erhoben, treffen den Verantwortlichen die Informationspflichten gem. Art. 14 DS-GVO. Diese Informationspflichten entsprechen denjenigen in Art. 13 DS-GVO (s.o.), wobei der Verantwortliche der betroffenen Person/en zusätzlich folgendes mitzuteilen hat:
- Die Kategorien personenbezogener Daten, die verarbeitet werden,
- aus welcher Quelle die personenbezogenen Daten stammen und ggf. ob sie aus öffentlich zugänglichen Quellen stammen,
- ggf. die Absicht, die personenbezigenen Daten für einen anderen Zweck weiterzuverarbeiten, als den, für den die Daten ursprünglich erlangt wurden.
Die Informationspflicht gem. Art. 14 DS-GVO besteht allerdings in folgenden Fällen nicht:
- Die betroffene Person verfügt bereits über die Informationen.
- Die Erteilung der Information erweist sich als unmöglich oder würde einen unverhältnismäßigen Aufwand erfordern. In diesen Fällen hat der Verantwortliche jedoch geeignete Maßnahmen zum Schutz der Rechte und Freiheiten sowie der berechtigten Interressen der betroffenen Person/en zu treffen, einschließlich der Bereitstellung dieser Informationen für die Öffentlichkeit.
- Die Erlangung oder Offenlegung der Daten ist in bestimmten Rechtsvorschriften der EU oder der Mitgliedstaaten ausdrücklich geregelt.
- Die Daten unterliegen gemäß dem Unionsrecht oder dem Recht der Mitgliedstaaten dem Berufsgeheimnis einschließlich einer satzungsmäßigen Geheimhaltungspflicht und sind daher als vertraulich zu behandeln.
Wann ist die Informationspflicht gem. Art. 14 DS-GVO zu erfüllen?
Sofern eine Informationspflicht gem. Art. 14 DS-GVO besteht, hat der Verantwortliche dieser Pflicht innerhalb eines Monats nachzukommen. Sofern die Daten für die Kommunikation mit der betroffenen Person verwendet werden sollen, ist die Pflicht spätestens zum Zeitpunkt der ersten Mitteilung zu erfüllen. Falls die Offenlegung an einen anderen Empfänger beabsichtigt ist, ist die Pflicht spätestens zum Zeitpunkt der ersten Offenlegung zu erfüllen.
Tipp: Weitere Hinweise zu den Informationspflichten gem. Art 13 und 14 DS-GVO erhalten Sie auf der Auslegungshilfe "Kurzpapier Nr. 10".
Die Verarbeitung von personenbezogenen Daten im Auftrag, Art. 28 DS-GVO
Zunächst ist festzuhalten, dass Auftragsdatenverarbeiter nach der DS-GVO Auftragsverarbeiter heißen. Der Auftraggeber wird in der DS-GVO als Verantwortlicher bezeichnet. Eine Auftrags(daten)verarbeitung kann auf Grundlage eines entsprechenden Vertrages oder auf Grundlage von Standardvertragsklauseln stattfinden.
Der Verantwortliche hat laut Art. 28 Abs. 1 DS-GVO zu gewährleisten, dass er nur mit Auftragsverarbeitern zusammenarbeitet, die hinreichend Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen ("TOMs") so durchgeführt werden, dass die Verarbeitung im Einklang mit der DS-GVO erfolgt und der Schutz der Rechte der betroffenen Personen gewährleistet ist.
Im Unterschied zu den Regelungen in § 11 BDSG ist die Unterbeauftragung durch den Auftragsverarbeiter laut Art. 28 Abs. 2 DS-GVO ohne eine vorherige gesonderte oder allgemeine Genehmigung des Verantwortlichen in schriftlicher Form nicht möglich. Bei einer allgemein erteilten Genehmigung des Verantwortlichen steht diesem gegen die Hinzuziehung oder die Ersetzung von Unterauftragnehmern durch den Auftragsverarbeiter ein Einspruchsrecht zu.
Tipp: Das bayerische Landesamt für Datenschutzaufsicht stellt auf seiner Webseite eine Formulierungshilfe für einen Auftragsverarbeitungsvertrag i.S.v. Art. 28 DS-GVO zur Verfügung. Bitte beachten Sie, dass Vertragsmuster immer auf den jeweiligen Einzelfall angepasst werden müssen und erst nach anwaltlicher Prüfung verwendet werden sollten.
Hinweis: Zusätzliche Informationen zur Auftragsverarbeitung finden auf der Auslegungshilfe "Kurzpapier Nr. 13".
Der Datenschutzbeauftragte, Art. 37 ff. DS-GVO, § 38 BDSG (Neu)
Abweichend von den Regelungen der DS-GVO haben gem. § 38 Abs. 1 BDSG (Neu) nicht-öffentliche Stellen (gemeint sind damit insbesondere private Unternehmen) bei denen in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind, einen Datenschutzbeauftragten zu bestellen.
Unabhängig von der Zahl der ständig mit der Verarbeitung personenbezogener Daten beschäftigten Mitarbeiter ist ein Datenschutzbeauftragter zu bestellen, wenn die Verarbeitung der Daten zum Zwecke der Übermittlung oder der Markt- oder Meinungsforschung stattfindet. Auch soweit personenbezogene Daten verarbeitet werden, die einer Datenschutz-Folgenabschätzung gem. Art. 35 DS-GVO (s.o.) unterliegen, haben nicht-öffentliche Stellen unabhängig von der Zahl der mit der Datenverarbeitung beschäftigten Personen einen Datenschutzbeauftragten zu benennen, vgl. § 38 Abs. 1 S. 2 BDSG (Neu). So führt gem. Art. 35 Abs. 3 lit. b) DS-GVO schon die umfangreiche Verarbeitung besonderer Kategorien personenbezogener Daten oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten zur Pflicht zur Durchführung einer Datenschutz-Folgenabschätzung.
Wann ist eine Verarbeitung besonderer Kategorien personenbezogener Daten umfangreich?
Leider ist hier keine auf Einzelfälle anwendbare Zahlenangabe o.ä. möglich. Gleichwohl gibt es Anhaltspunkte, an denen man sich orientieren kann. So gilt laut Erwägungsgrund Nr. 91 zur DS-GVO die Verarbeitung besonderer personenbezogener Daten bspw. dann nicht als umfangreich, wenn die Verarbeitung personenbezogene Daten von Patienten oder von Mandanten betrifft und durch einen einzelnen Arzt, sonstigen Angehörigen eines Gesundheitsberufes oder Rechtsanwalt erfolgt. Bei der Prüfung, ob eine umfangreiche Verarbeitung stattfindet, empfiehlt die Art. 29-Gruppe laut dem "Working Paper" Nr. 243 folgende Faktoren zu berücksichtigen: die Zahl der betroffenen Personen – entweder als bestimmte Zahl oder als Anteil an der maßgeblichen Bevölkerung, das Datenvolumen und/oder das Spektrum an in Bearbeitung befindlichen Daten, die Dauer oder Permanenz der Datenverarbeitungstätigkeit und die geografische Ausdehnung der Verarbeitungstätigkeit.
Beispiele für eine Umfangreiche Verarbeitung stellen dar (Auszug aus "Working Paper" Nr. 243):
- die Verarbeitung von Patientendaten im gewöhnlichen Geschäftsbetrieb eines Krankenhauses,
- die Verarbeitung von Reisedaten natürlicher Personen, die ein Verkehrsmittel des kommunalen ÖPNV nutzen (z. B. Nachverfolgung über Netzkarten),
- die Verarbeitung von Geolokalisierungsdaten von Kunden einer internationalen Fast-food-Kette in Echtzeit zu statistischen Zwecken durch einen auf Dienstleistungen dieser Art spezialisierten Auftragsverarbeiter,
- die Verarbeitung von Kundendaten im gewöhnlichen Geschäftsbetrieb eines Versicherungsunternehmens oder einer Bank,
- die Verarbeitung personenbezogener Daten durch eine Suchmaschine zu Zwecken der verhaltensbasierten Werbung,
- die Verarbeitung von Daten (Inhalte, Datenverkehrsaufkommen, Standort) durch Telefon- oder Internetdienstleister
Hinweis: Die Art. 29-Gruppe plant aktuell die Veröffentlichung von weiteren Beispielen für maßgebliche Schwellenwerte für die Bestimmung eines Datenschutzbeauftragten.
In Anlehnung an Art. 37 Abs. 1 lit. c) DS-GVO dürfte außerdem davon auszugehen sein, dass die Verarbeitung besonderer personbezogener Daten die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters darstellen muss. Die Kerntätigkeit ist dabei die Haupttätigkeit; die Verarbeitung besonderer Kategorien personenbezogener Daten als Nebentätigkeit oder in reiner Unterstützungsfunktion reicht nicht aus, selbst wenn diese an sich unverzichtbar sein sollte.
Beispiele für die Verarbeitung besonderer Kategorien personenbezogener Daten als Kerntätigkeit:
- Führen von Krankenakten in einem Krankenhaus
- Überwachung von Einkaufszentren und öffentlicher Plätze durch ein privates Sicherheitsunternehmen.
Beispiele in denen die Verabeitung besonderer Kategorien personenbezogener Daten keine Kerntätigkeit darstellt:
- Entlohung der Mitarbeiter
- Standard IT-Support
Der betriebliche Datenschutzbeauftragte wird von dem zur Benennung verpflichteten Unternehmen auf Grundlage seiner beruflichen Qualifikation und insbesondere des Fachwissens auf dem Gebiet des Datenschutzrechts und der datenschutzrechtlichen Praxis benannt. Ggf. sollte der Datenschutzbeauftragte im Rahmen von Weiterbildungen entsprechend qualifiziert werden.
Die Aufgaben eines betrieblichen Datenschutzbeauftragten ergeben sich aus Art. 39 DS-GVO (kompakte Darstellung):
- Unterrichtung und Beratung des Unternehmens und der Beschäftigten in datenschutzrechtlichen Fragen,
- Überwachung der Einhaltung datenschutzrechtlicher Vorschriften und Schulung der Mitarbeiter,
- Beratung - auf Anfrage - im Zusammenhang mit der Datenschutz-Folgenabschätzung gem. Art. 35 DS-GVO und
- Zusammenarbeit mit der Aufsichtsbehörde (Der betriebliche Datenschutzbeauftragte dient als Anlaufstelle für die Aufsichtsbehörden).
Ob das Amt des Datenschutzbeauftragten intern von einem Mitarbeiter oder von einem Dienstleister als externer Datenschutzbeauftragter wahrgenommen wird, liegt alleine in der Entscheidung der nicht-öffentlichen Stelle (Unternehmen). Eine schriftliche Benennung des (internen) Datenschutzbeauftragten sieht die DS-GVO nicht mehr vor. Neben seiner Tätigkeit als Datenschutzbeauftragter darf dieser auch andere Aufgaben und Pflichten übernehmen, solange kein Interessenkonflikt zur Tätigkeit als Datenschutzbeauftragter besteht. Ein solcher Interessenkonflikt kann bei Positionen innerhalb des leitenden Managements bestehen. Das "Working Paper" Nr. 243 nennt als "Faustregel" folgende Beispiele:
- Leiter des Unternehmens,
- Leiter des operativen Geschäftsbereichs,
- Finanzvorstand,
- leitender medizinischer Direktor,
- Leiter der Marketingabteilung.
- Leiter der Personalabteilung,
- Leiter der IT-Abteilung.
Mit einem externen Dienstleister ist ein Dienstleistungsvertrag zu schließen. Auch wenn eine bestimmte Form für diesen Dienstleistungsvertrag nicht vorgeschrieben ist, sollte aus Gründen der Rechtssicherheit der Dienstvertrag schriftlich geschlossen werden.
Hinweis: Gem. Art. 37 Abs. 7 DS-GVO sind die Kontaktdaten des/der Datenschutzbeauftragten zu veröffentlichen und der Aufsichtsbehörde (In Hessen ist das der Beauftragte für Datenschutz und Informationsfreiheit) mitzuteilen.
Generell gilt, dass der Datenschutzbeauftragte in der Lage sein muss, mit Betroffenen zu kommunizieren und mit den zuständigen Aufsichtsbehörden zusammen zu arbeiten. Sofern die Bestellung eines Datenschutzbeauftragten verpflichtend ist, ist die Abberufung des Datenschutzbeauftragten in entsprechender Anwendung des § 626 BGB nur aus wichtigem Grund zulässig. Die Kündigung des Arbeitsverhältnisses ist während und bis zu einem Jahr nach der Tätigkeit als Datenschutzbeauftragter ebenfalls nur aus wichtigem Grund zulässig, § 6 Abs. 4 S. 2, 3 i.V.m. § 38 Abs. 2 BDSG (neu).
Verzeichnis aller (Daten-)Verarbeitungsaktivitäten, Art. 30 DS-GVO
Die DS-GVO schreibt vor, dass Unternehmen ein Verzeichnis aller Verarbeitungstätigkeiten führen müssen, bei denen personenbezogene Daten verarbeitet werden. Diese Pflicht gilt allerdings nicht für Unternehmen, die weniger als 250 Mitarbeiter beschäftigen, sofern die Verarbeitung
nicht ein Risiko für die Rechte und Freiheiten der Betroffenen bedeutet,
nicht nur gelegentlich erfolgt,
keine besondere Kategorien personenbezogener Daten oder
keine Daten über strafrechtliche Verurteilungen und über bestimmte Straftaten einschließt.
Sofern eine Pflicht zur Führung eines solchen Verzeichnisses besteht, muss das Verzeichnis gem. Art. 30 DS-GVO folgende Angaben enthalten:
- den Namen und die Kontaktdaten des Verantwortlichen und ggf. des gemeinsam mit ihm verantwortlichen Vertreters sowie eines etwaigen Datenschutzbeauftragten,
- die Zwecke der Verarbeitung,
- eine Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten,
- die Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, einschließlich Empfänger in Drittländern oder internationalen Organisationen,
- ggf. Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation,
- wenn möglich die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien,
- wenn möglich eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen.
Tipp: In nebenstehender Linkliste finden ein Muster für ein Verzeichnis nach Art. 30 DS-GVO.
Das Verfahrensverzeichnis muss der Aufsichtsbehörde auf Anfrage vorgelegt werden. Das Verzeichnis kann auch in einem elektronischen Format geführt werden.
Die Übermittlung personenbezogener Daten ins Ausland, Art. 44 ff. DS-GVO
Die Frage nach der Zulässigkeit der Übermittlung personenbezogener Daten ist sehr aktuell und von stetig wachsender Bedeutung. Die zunehmende Digitalisierung, die ständig wachsende Menge der verarbeiteten Daten und die dezentrale Verarbeitung digitaler Daten rund um den Globus machen dies deutlich. Speichert man beispielsweise als Verantwortlicher oder Auftragsverarbeiter personenbezogene Daten in einer Cloud, sollte man sich deshalb vorher mit der Zulässigkeit der Übermittlung der Daten in andere Staaten beschäftigt haben.
In die DS-GVO sind einige Grundgedanken eingeflossen, die bereits nach aktuellem Recht Gültigkeit haben. Dazu gehört beispielsweise, dass die Übermittlung von personenbezogenen Daten auch nach der DS-GVO als sogenanntes Verbot mit Erlaubnisvorbehalt ausgestaltet ist. Das heißt, dass eine Übermittlung personenbezogener Daten ins Ausland verboten ist, solange die Übermittlung nicht nach der DS-GVO zulässig ist. Aus der rechtspolitischen Diskussion der letzte Jahre ist auch der Aspekt des "angemessenen Datenschutzniveaus" im Empfängerstaat bereits bekannt. Daher bestimmt die DS-GVO in Art. 44 S. 2 selbst:
"Alle Bestimmungen dieses Kapitels sind anzuwenden, um sicherzustellen, dass das durch diese Verordnung gewährleistete Schutzniveau für natürliche Personen nicht untergraben wird."
Diesem Ziel versucht die DS-GVO durch detaillierte Regelungen nachzukommen. Über die für die Frage der Zulässigkeit der Übermittlung relevantesten Regelungen soll im Folgenden ohne Anspruch auf Vollständigkeit ein kurzer Überblick gegeben werden. Auf Bezüge zur Frage der - nahezu inhaltsgleichen - Zulässigkeit der Übermittlung personenbezogener Daten an internationale Organisationen wird dabei aus Gründen der Vereinfachung verzichtet.
Die Übermittlung innerhalb der EU
Im Geltungsbereich der DS-GVO kann wegen der europaweiten Angleichung des datenschutzrechtlichen Rechtsrahmens von einem angemessenen Schutzniveau ausgegangen werden. Die Übermittlung personenbezogener Daten innerhalb der EU ist nach der DS-GVO also grundsätzlich unproblematisch. Trotzdem sollte bei der Übermittlung personenbezogener Daten auch innerhalb der EU darauf geachtet werden, dass die Daten nicht in Hände gegeben werden, denen die Zuverlässigkeit für den rechtskonformen Umgang mit personenbezogenen Daten offensichtlich fehlt.
Die Übermittlung in EWR-Staaten
Auch in den EWR-Staaten Norwegen, Island, Lichtenstein und der Schweiz kann ab dem 25. Mai 2018 von einem angemessenen Schutzniveau ausgegeangen werden, sofern diese die Regelungen der DS-GVO in ihr nationales Recht übernehmen.
Die Übermittlung in Drittstaaten
Die Übermittlung personenbezogener Daten in Drittstaaten ist zulässig, wenn die Kommission beschlossen hat, dass das betreffende Drittland ein angemessenes Schutzniveau bietet (vgl. Art. 45 Abs. 1 S. 1 DS-GVO). Einer Genehmigung bedarf es für die Übermittlung der Daten dann nicht.
Unternehmen, die ihren Sitz in den USA haben, konnten sich bis Juli 2020 auf einer Liste des US-Handelsministeriums registrieren lassen (EU-US Privacy-Shield), wenn diese ein angemessenes Schutzniveau gewährleisten. Diese Möglichkeit hat der EuGH durch sein Urteil vom 16.07.2020 - C-311/18 (Schrems II) nunmehr mit sofortiger Wirkung ausgeschlossen, da ein angemessenes Schutzniveau für die Verarbeitung von personenbezogenen Daten in den Vereinigten Staaten nicht herrscht. Dies stellt wiederum europäische Unternehmen vor erhebliche Schwierigkeiten, wenn Daten in die USA übermittelt werden. Abhilfe können nur dezidiert vereinbarte Sicherungsmaßnahmen vor staatlichen Zugriffen schaffen, was aber praktisch kaum umzusetzen sein dürfte. Nach dieser Rechtsprechung dürfte derzeit das Nutzem einer eigenen Firmenfacebookseite, sog. Fanpage, unzulässig sein.
Die Kommission überwacht fortlaufend die Entwicklung des Schutzniveaus in den Drittstaaten, deren Angemessenheit des Schutzniveaus von ihr festgestellt worden ist. Beschlüsse über die Festellung des Schutzniveaus können von der Kommission widerrufen oder geändert werden, wenn Informationen darüber vorliegen, dass in dem jeweiligen Drittland kein angemessenes Schutzniveau mehr gewährleistet ist.
Tipp: Bei welchen Drittstaaten die Kommission ein angemessenes Schutzniveau festgestellt hat, können Sie auf der Webseite der Kommission "Commission decisions on the adequacy of the protection of personal data in third countries" erfahren.
Falls kein Beschluss der Kommission über das Vorliegen eines angemessenen Schutzniveaus vorliegt, darf ein Verantwortlicher oder ein Auftragsverarbeiter personenbezogene Daten an ein Drittland nur übermitteln, sofern der Verantwortliche oder der Auftragsverarbeiter geeignete Garantien vorgesehen hat und sofern den betroffenen Personen durchsetzbare Rechte und wirksame Rechtsbehelfe zur Verfügung stehen, Art. 46 Abs. 1 DS-GVO. Was für Garantien das sein können, ohne dass eine besondere Genehmigung einer Aufsichtsbehörde dafür erforderlich wäre, stellt die DS-GVO in Absatz 2 lit. a) bis f) selbst dar. Diese Garantien bestehen in (In aller Kürze dargestellt):
- einem rechtlich bindenden und durchsetzbaren Dokument zwischen den Behörden und öffentlichen Stellen,
- verbindlichen internen Datenschutzvorschriften gem. Art. 47 DS-GVO,
- Standardvertragsklauseln, die von der Kommission gem. dem Prüfverfahren nach Art. 93 Abs. 2 DS-GVO erlassen werden,
- von einer Aufsichtsbehörde angenommene Standardvertragsklauseln,
- genehmigte Verhaltensregeln gem. Art. 40 DS-GVO oder
- einem genehmigten Zertifizierungsmechanismus gem. Art. 42 DS-GVO zur Anwendung der geeigneten Garantien.
Gem. Art. 46 Abs. 3 DS-GVO können geeignete Garantien vorbehaltlich einer Genehmigung durch die zuständige Aufsichtsbehörde auch insbesondere bestehen in:
- Vertragsklauseln, die zwischen dem Verantwortlichen oder dem Auftragsverarbeiter und dem Verantwortlichen, dem Auftragsverarbeiter oder dem Empfänger der personenbezogenen Daten im Drittland vereinbart wurden oder
- Bestimmungen, die in Verwaltungsvereinbarungen zwischen Behörden oder öffentlichen Stellen aufzunehmen sind und durchsetzbare und wirksame Rechte für die betroffenen Personen einschließen.
Für die Übermittlung in Drittstaaten sieht die DS-GVO noch eine Reihe von praktisch relevanten Ausnahmen für bestimmte Fälle vor, in denen weder ein Angemessenheitsbeschluss der Kommission (s.o.), noch geeignete Garantien nach Art. 46 DS-GVO bzgl. des Schutzniveaus (s.o.) vorliegen.
Dabei handelt es sich um folgende Fälle (Etwas verkürzte Darstellung):
- Es liegt eine wirksame Einwilligung der betroffenen Person vor,
- die Übermittlung ist für die Erfüllung eines Vertrages zwischen der betroffenen Person und dem Verantwortlichen oder zur Durchführung von vorvertraglichen Maßnahmen auf Antrag der betroffenen Person erforderlich,
- die Übermittlung ist zum Abschluss oder zur Erfüllung eines im Interesse der betroffenen Person von dem Verantwortlichen mit einer anderen natürlichen oder juristischen Person geschlossenen Vertrages erforderlich,
- die Übermittlung ist aus wichtigen Gründen des öffentlichen Interesses notwendig,
- die Übermittlung ist zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich,
- die Übermittlung ist zum Schutz lebenswichtiger Interessen der betroffenen Person oder anderer Personen erforderlich, sofern die betroffene Person aus physischen oder rechtlichen Gründen keine Einwilligung abgeben kann oder
- die Übermittlung erfolgt aus einem Register, das entweder der Öffentlichkeit offen steht oder allen anderen, die ein berechtigtes Interesse an der Einsichtnahme haben (Bsp.: Handelsregister).
Hinweis: Sollte es bei einem Brexit keine Regelungen zum Datenschutzrecht zwischen der EU und Großbritannien geben, ist Großbritannien ab dem 31. Dezember 2020 datenschutzrechtlich ein Drittland. Unternehmen, die über dieses Datum hinaus eine Verarbeitung von personenbezogenen Daten in Großbritannien planen, sollten sich deshalb - falls dann kein Angemessenheitsbeschluss der Kommission vorliegen sollte - geeignete datenschutzrechtliche Garantien i.S.d. Art. 46 DS-GVO einplanen und umsetzen.
Ein letzter Auffangtatbestand findet sich anschließend in Art. 49 Abs. 1 S. 2 DS-GVO.
Hinweis: Auch wenn die Übermittlung personenbezogener Daten ins Ausland gem. Art. 44 ff. der DS-GVO zulässig ist, müssen die übrigen Vorschriften der DS-GVO eingehalten werden.
Meldepflichten bei "Datenpannen", Art. 33, 34 DS-GVO
Sollte es zu datenschutzrechtlich relevanten Vorfällen kommen, umgangssprachlich "Datenpannen", treffen den Verantwortlichen unter Umständen empfindliche Meldepflichten. Datenschutzrechtlich relevante Vorfälle sind Fälle der Verletzung des Schutzes personenbezogener Daten. Grundsätzlich hat der Verantwortliche jede Verletzung des Schutzes personenbezogener Daten zu melden.
Zu unterscheiden sind Meldepflichten gegenüber der jeweiligen Aufsichtsbehörde und Benachrichtigungspflichten gegenüber den betroffenen Personen. Kommt ein Verantwortlicher einer bestehenden Meldepflicht nicht nach, kann dieses Maßnahmen der Aufsichtsbehörden gem. Art. 58 Abs. 2 a) bis h), i) DS-GVO bis hin zur Verhängung von Bußgeldern gem. Art. 83 DS-GVO i.V.m. § 41 ff. BDSG (Neu) zur Folge haben.
Meldungen an die Aufsichtsbehörde, Art. 33 DS-GVO
Wie bereits erwähnt hat der Verantwortliche grundsätzlich jede Verletzung des Schutzes personenbezogener Daten zu melden. Die Meldepflicht besteht gegenüber den Aufsichtsbehörden gem. Art. 33 Abs. 1 DS-GVO allerdings nicht, wenn die Verletzung nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt. Es ist abzuwarten, ob und wie weit die Aufsichtsbehörden diese schwer definierbare Einschränkung konkretisieren werden.
Die Meldung ist binnen 72 Stunden nach Kenntnis der Verletzung abzugeben. Sollte eine Meldung erst nach Ablauf dieser Frist erfolgen, hat der Verantwortliche dieses zu begründen.
Die Meldung muss mindestens die folgenden Informationen enthalten:
- eine Beschreibung der Art der Verletzung, soweit möglich mit Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen, der betroffenen Kategorien und der ungefähren Zahl der betroffenen Datensätze;
- den Namen und die Kontaktdaten des Datenschutzbeauftragten oder einer sonstigen Anlaufstelle für weitere Informationen;
- eine Beschreibung der wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten;
- eine Beschreibung der von dem Verantwortlichen ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung und gegebenenfalls Maßnahmen zur Abmilderung ihrer nachteiligen Auswirkungen.
Der Verantwortliche ist außerdem verpflichtet die Verletzungen zu dokumentieren. Dazu gehört auch die Dokumentation aller im Zusammenhang mit der Verletzung stehenden Fakten, die Auswirkungen der Verletzung und die getroffenen Abhilfemaßnahmen. Diese Dokumentation muss der Aufsichtsbehörde die Überprüfung ermöglichen, ob der Verantwortliche seinen Meldepflichten nach Art. 33 DS-GVO nachgekommen ist.
Benachrichtigung an natürliche Personen, Art. 34 DS-GVO
Eine Benachrichtigungspflicht gegenüber natürlichen Personen, also regelmäßig gegenüber den Betroffenen, setzt voraus, dass die Verletzung personenbezogener Daten voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten zur Folge hat. Ob ein Risiko als hoch einzustufen ist, ist nach objektiven Kriterien zu beurteilen (vgl. Erwägungsgrund 76). Ob dabei dieselben Maßstäbe gelten, wie bei der Datenschutz-Folgenabschätzung (s.o.) ist noch offen.
Eine Benachrichtigung betroffener Personen ist nicht erforderlich, wenn einer der in Art. 34 Abs. 3 DS-GVO genannten Ausnahmetatbestände greift:
- Der Verantwortliche hat geeignete technische und organisatorische Sicherheitsvorkehrungen getroffen und diese Vorkehrungen auf die von der Verletzung betroffenen personenbezogenen Daten angewandt, insbesondere solche, durch die die personenbezogenen Daten für alle Personen, die nicht zum Zugang zu den personenbezogenen Daten befugt sind, unzugänglich gemacht werden, etwa durch Verschlüsselung,
- der Verantwortliche durch nachfolgende (d.h. nach dem Vorfall durchgeführte) Maßnahmen sichergestellt hat, das das hohe Risiko für die Rechte und Freiheiten der betroffenen Personen aller Wahrscheinlichkeit nach nicht mehr besteht oder
- die Benachrichtigung mit einem unverhältnismäßigen Aufwand verbunden wäre. In diesem Fall hat der Verantwortliche stattdessen eine öffentliche Bekanntmachung oder eine ähnliche Maßnahme durchzuführen, durch die die betroffenen Personen vergleichbar wirksam informiert werden.
Wenn eine Benachrichtigungspflicht besteht, hat der Verantwortliche den betroffenen Personen in klarer und einfacher Sprache die Art der Verletzung des Schutzes personenbezogener Daten zu beschreiben. Außerdem hat die Benachrichtigung die Informationen zu enthalten, wie sie die Meldung an die Aufsichtsbehörde zu enthalten hat (siehe oben zur Meldepflicht gegenüber der Aufsichtsbehörde).
Stand: Mai 2024