Aktuelles
Anforderungen für Unternehmen durch die Datenschutzgrundverordnung (DS-GVO)
- Einführung und Tipps
- Der räumliche Anwendungsbereich, Artikel 3 DS-GVO
- Rechtmäßigkeit der Verarbeitung von personenbezogenen Daten, Artikel 6 Absatz 1 DS-GVO
- Das personenbezogene Datum
- Automatisierte und nicht-automatisierte Verarbeitung von Daten
- Das Profiling
- Die Einwilligung
- Sonderregelung für die Einwilligung von Kindern, Artikel 8 DS-GVO
- Privacy by Default
- Privacy by Design
- Die Verarbeitung besonderer Kategorien personenbezogener Daten
- Die Datenschutz-Folgenabschätzung (PIA), Artikel 35 DS-GVO
- Die zuständige Aufsichtsbehörde/„One-Stop-Shop“
- Das „Recht-auf-vergessen-werden“, Artikel 17 DS-GVO
- Das „Recht auf Einschränkung der Verarbeitung“, Artikel 18 DS-GVO
- Videoüberwachung, § 4 BDSG (Neu)
- Das Recht auf Datenübertragbarkeit, Artikel 20 DS-GVO
- Informationspflichten, Artikel 13, 14 DS-GVO
- Die Verarbeitung von personenbezogenen Daten im Auftrag, Artikel 28 DS-GVO
- Der Datenschutzbeauftragte, Artikel 37 fortfolgende DS-GVO, § 38 BDSG (Neu)
- Verzeichnis aller (Daten-)Verarbeitungsaktivitäten, Artikel 30 DS-GVO
- Die Übermittlung personenbezogener Daten ins Ausland, Artikel 44 fortfolgende DS-GVO
- Meldepflichten bei „Datenpannen“, Artikel 33, 34 DS-GVO
- Das Kohärenzverfahren, Artikel 63 DS-GVO
- Zertifizierung, Artikel 42 DS-GVO
- Bußgelder
Einführung und Tipps
Wichtiger Hinweis: Das Institut für Informations-, Telekommunikations- und Medienrecht an der Westfälischen Wilhelms-Universität Münster hat eine Musterdatenschutzerklärung für die Firmen-Website erarbeitet. Wir machen Sie darauf aufmerksam, dass die Datenschutzerklärung nur ein Muster ist und keine Gewähr auf Aktualität, Vollständigkeit und Richtigkeit bietet. Ein Mustertext kann weder jede individuelle Datenverarbeitung erfassen noch kann er die anwaltliche Beratung ersetzen. Wenden Sie sich dafür und für eine vertiefte und verbindliche Beratung zur DS-GVO bitte an die Rechtsanwaltskammer Hamm, um den Kontakt zu einem Fachanwalt zu erhalten.
Am 24. Mai 2016 ist die Datenschutzgrundverordnung (DS-GVO) in Kraft getreten. Nach einer Übergangszeit von zwei Jahren ist die DS-GVO ab dem 25. Mai 2018 anzuwenden. Außerdem tritt dann das neue Bundesdatenschutzgesetz in Kraft. Die DS-GVO und das neue Bundesdatenschutzgesetz (BDSG) enthalten zahlreiche neue Regelungen für die Verarbeitung personenbezogener Daten.
Tipp für kleine Unternehmen und Vereine: Das Bayerische Landesamt für Datenschutzaufsicht hat die wesentlichen Anforderungen der Datenschutzgrundverordnung an kleine Unternehmen und Vereine exemplarisch zusammengestellt.
Sie finden dort Informationen zu den Anforderungen und Muster für:
Weil in der Wirtschaft kaum ein Bereich vorstellbar ist, in welchem keine personenbezogenen Daten verarbeitet werden, lohnt es sich für jedes Unternehmen, sich die ändernde Rechtslage anzusehen und so frühzeitig zu erkennen, ob und in welchem Umfang Anpassungsbedarf besteht. Erschwerend kommt hinzu, dass die DS-GVO eine Vielzahl von Öffnungsklauseln enthält, die es den Mitgliedstaaten ermöglichen, die neuen Regelungen teilweise selbst auszugestalten. Das hat der deutsche Gesetzgeber mit dem am 12. Mai 2017 vom Bundesrat verabschiedeten Datenschutz-Anpassungs- und Umsetzungsgesetz (DSAnpUG), dem neuen Bundesdatenschutzgesetz, getan. Zur Beurteilung der sich ändernden Rechtslage ist also ein Blick in die Datenschutzgrundverordnung und das DSAnpUG erforderlich. Das macht den praktischen Umgang für den Rechtsanwender nicht leichter und wirkt der mit der DS-GVO eigentlich beabsichtigten Harmonisierung des europäischen Datenschutzrechts bis zu einem gewissen Grad entgegen. Hinzukommt, dass nach dem Inkraftreten der neuen Regelungen mit neuer Rechtsprechung zum Datenschutz zu rechnen ist. Denn die DS-GVO zeichnet sich teilweise durch eine Vielzahl offener Rechtsbegriffe aus, die entweder anhand bekannter Grundsätze oder von der Rechtsprechung auszulegen sind.
Tipp: Wenn Sie sich – bevor Sie sich mit den folgenden Details beschäftigen – schon jetzt einen groben Überblick darüber verschaffen wollen, welche Schritte Sie im Unternehmen zur Umsetzung der DS-GVO gehen könnten, schauen Sie sich das Kurzpapier der unabhängigen Datenschutzbehörden des Bundes und der Länder (Datenschutzkonferenz – DSK) Nr. 8 Maßnahmenplan „DS-GVO“ für Unternehmen an.
Tipp: Als Orientierung dafür, welche Fragen für eine Aufsichtsbehörde zum Datenschutz relevant sein können, kann der Fragebogen des bayerischen Landesamtes für Datenschutzaufsicht dienen (nicht barrierefrei, PDF-Datei · 381 KB).
Hinweis: Dieses Merkblatt dient der unverbindlichen Information und hat – insbesondere vor dem Hintergrund der sich aktuell teilweise erst noch entwickelnden Rechtslage – keinen Anspruch auf Vollständigkeit! Im Zweifel empfiehlt es sich immer, eine im Datenschutzrecht erfahrene Rechtsanwältin oder Rechtsanwalt zu kontaktieren.
Der räumliche Anwendungsbereich, Artikel 3 DS-GVO
Der räumliche Anwendungsbereich wird durch die DS-GVO wesentlich geändert. Die DS-GVO wird nicht nur für Unternehmen innerhalb der Europäischen Union (EU) gelten, sondern auch für Unternehmen aus Drittländern, wenn
- diese Unternehmen personenbezogene Daten
- von betroffenen Personen die sich in der Union befinden
- verarbeiten und diese Verarbeitung mit dem Angebot von Waren oder Dienstleistungen oder mit der Beobachtung des Verhaltens betroffener Personen in der Union in Verbindung steht.
Diese auch Marktortprinzip genannte Regelung dient dem Zweck, Unternehmen aus Drittländern mit Unternehmen aus der Union datenschutzrechtlich gleich zu stellen und räumliche Abgrenzungsprobleme zu vermeiden. In Anlehnung an den Erwägungsgrund 23 zur DS-GVO kann ein Angebot von Waren oder Dienstleistungen von einem Unternehmen aus einem Drittland beispielsweise schon dann vorliegen, wenn das Unternehmen die Bestellung in einer in der Union gebräuchlichen Sprache oder Währung ermöglicht oder Kunden in der Union als Referenz nennt.
Bei innergemeinschaftlichen, grenzüberschreitenden Sachverhalten lässt die DS-GVO offen, welches Recht von welchem Mitgliedstaat anzuwenden ist. Ist ein Verbraucher beteiligt, dürfte sich das in diesen Fällen anzuwenden Recht daher nach Artikel 6 Rom I-VO nach dem gewöhnlichen Aufenthalt des Verbrauchers richten, soweit nicht einer der Ausschlussgründe gemäß Artikel 1 Absatz 2 Rom I-VO vorliegt.
Hinweis: Hier kommen Sie zum Kurzpapier der DSK Nummer 7 Marktortprinzip: Regelungen für außereuropäische Unternehmen.
Rechtmäßigkeit der Verarbeitung von personenbezogenen Daten, Artikel 6 Absatz 1 DS-GVO
Die DS-GVO enthält – ähnlich wie bereits das BDSG – eine Reihe von Vorschriften, in denen Erlaubnistatbestände für die Verarbeitung personenbezogener Daten geregelt sind. Laut Artikel 6 Absatz 1 DS-GVO ist die Verarbeitung personenbezogener Daten nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist:
a) Die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben;
Bitte beachten Sie, dass die Einwilligung einer betroffenen Person in die Verarbeitung ihrer personenbezogenen Daten wirksam sein muss. Eine unwirksame Einwilligungserklärung ist nicht nur keine taugliche Rechtsgrundlage für die Verarbeitung; sie kann auch bußgeldrechtliche und wettbewerbsrechtliche Folgen für den Verwender haben. Weitere Hinweise dazu finden Sie auf diesem Merkblatt unter dem Punkt „Die Einwilligung“.
b) die Verarbeitung ist für die Erfüllung eines Vertrages, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen;
Welche personenbezogenen Daten für die Erfüllung eines Vertrages „erforderlich“ sind, hängt vom Einzelfall ab. Die Verarbeitung bestimmter personenbezogener Daten ist jedenfalls dann immer erforderlich, wenn der Vertrag ohne diese Daten nicht erfüllt werden kann. Generell sollte hier sicherheitshalber ein strenger Maßstab angelegt werden.
Mit vorvertraglichen Maßnahmen sind beispielsweise Vertragsverhandlungen oder auch die Kontaktaufnahme zum Abschluss eines Vertrages gemeint. Allerdings muss die Anfrage nach dem Wortlaut der Vorschrift von der betroffenen Person, also dem Kunden, kommen. Das heißt, dass der Zweck der Verarbeitung der Kontaktdaten des Kunden für „vorvertragliche Maßnahmen“ entfällt, wenn es zu keinem Vertragsschluss kommt. Für eine weitergehende Verarbeitung der Daten, insbesondere für eine weitergehende werbliche Ansprache, bedürfte es dann eines anderen Rechtfertigungstatbestandes, in der Regel also einer Einwilligung. Zwischen Unternehmern erscheint die Verarbeitung personenbezogener Daten allerdings darüber hinaus noch vertretbar, wenn es sich um eine laufende Geschäftsbeziehung zwischen den Unternehmern handelt und sonst nichts gegen die weitere Verwendung der Daten spricht, insbesondere ein etwaig entgegenstehender Wille des Betroffenen.
c) die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt;
Gemeint sind hier Verpflichtungen kraft Unionsrecht oder des (einschlägigen) Rechts eines Mitgliedsstaates. Vertragliche Verpflichtungen gegenüber Dritten, an denen der Betroffene nicht beteiligt ist, sind als Rechtsgrundlage alleine nicht ausreichend.
d) die Verarbeitung ist erforderlich, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen;
Dieser Rechtfertigungstatbestand ist nur dann einschlägig, wenn offensichtlich kein anderer Tatbestand einschlägig ist, der eine Verarbeitung der jeweiligen Daten erlauben würde. Generell geht es um Notlagen oder genauer: Um lebenswichtige Interessen - einschließlich der körperlichen Unversehrtheit oder des Lebens – der betroffenen Person.
e) die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde;
f) die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.
Hierbei handelt es sich um eine Interessenabwägungsklausel, über deren Reichweite sich im Einzelfall möglicherweise viel diskutieren lässt. Für die unternehmerische Praxis bietet es sich daher unbedingt an, für die Verarbeitung von personenbezogenen Daten zu erst eine andere Rechtsgrundlage zu suchen. Denn in aller Regel sollte sich die Verarbeitung der Daten auf eine andere, bessere (speziellere) Rechtsgrundlage stellen lassen.
Das personenbezogene Datum
An der Definition des personenbezogenen Datums ändert sich durch die DS-GVO praktisch nicht viel. Die DS-GVO liefert in Artikel 4 Nummer 1 eine Definition, wann eine natürliche Person identifizierbar ist und der sachliche Anwendungsbereich der DS-GVO dadurch eröffnet ist. Als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann. Die DS-GVO findet also – wie in gewisser Weise bereits das BDSG - auf anonyme oder rein statistische Daten keine Anwendung.
Wann eine natürliche Person anhand bestimmter Daten identifizierbar sein kann, kann im Einzelfall schwierig zu beurteilen sein. Dieses Problem stellt sich jedoch bereits bei der Anwendung des Bundesdatenschutzgesetzes. Zu berücksichtigende Kriterien für die Beurteilung dieser Frage sind laut Erwägungsgrund 26 zur DS-GVO, welchen zeitlichen, finanziellen und technischen Aufwand jemand nach allgemeinem Ermessen wahrscheinlich nutzen würde, um diese Identifizierung einer betroffenen Person zu ermöglichen.
Automatisierte und nicht-automatisierte Verarbeitung von Daten
Die Unterscheidung, ob eine automatisierte Verarbeitung oder eine nicht-automatisierte Verarbeitung stattfindet, wird insbesondere in folgenden Fällen relevant (es handelt sich hierbei um eine nicht abschließende Aufzählung typischer Fälle):
- Die Definition des Profiling setzt voraus, dass es sich dabei um eine automatisierte Verarbeitung personenbezogener Daten handelt. Allerdings dürften Fälle, in denen Profiling nicht-automatisiert stattfindet, in der wirtschaftlichen Praxis mittlerweile eine große Ausnahme darstellen.
- Betroffene Personen müssen gemäß Artikel 13 Absatz 2 lit. f) und Artikel 14 Absatz 2 lit g) DS-GVO über das Bestehen einer automatisierten Entscheidungsfindung informiert werden.
- Gleiches gilt für das Auskunftsrecht betroffener Personen. Diese müssen im Rahmen einer Auskunft über eine automatisierte Entscheidungsfindung informiert werden.
- Das „Recht auf Datenübertragbarkeit“ gemäß Artikel 20 DS-GVO setzt voraus, dass die jeweiligen personenbezogenen Daten im Rahmen einer automatisierten Verarbeitung verarbeitet werden.
Die Unterscheidung zwischen automatisierter und nicht-automatisierter Verarbeitung spielt nach dem aktuellem BDSG noch bei der Berechnung der Mitarbeiterzahl in Bezug auf die Verpflichtung zur Bestellung eines Datenschutzbeauftragten eine Rolle. Diese Unterscheidung wird ab dem 25. Mai 2018 überflüssig. Eine automatisierte Datenverarbeitung findet – grob gesagt – bereits bei der Verwendung eines handelsüblichen Computers, Laptops et cetera statt. Das gilt auch dann, wenn nur Standardprogramme für die Verarbeitung verwendet werden.
Das Profiling
Eine Neuerung der DS-GVO ist, dass das Profiling explizit geregelt wird. Profiling ist laut Artikel 4 Nummer 4 DS-GVO jede Art der automatisierten Verarbeitung personenbezogener Daten, die darin besteht, dass diese personenbezogenen Daten verwendet werden, um bestimmte persönliche Aspekte, die sich auf eine natürliche Person beziehen, zu bewerten, insbesondere um
- Aspekte bezüglich Arbeitsleistung,
- wirtschaftliche Lage,
- Gesundheit,
- persönliche Vorlieben,
- Interessen,
- Zuverlässigkeit,
- Verhalten,
- Aufenthaltsort oder
- Ortswechsel
dieser natürlichen Person zu analysieren oder vorherzusagen.
Sofern Profiling stattfindet und dieses gegenüber einer betroffenen Person rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt, ist dieses gemäß Artikel 22 Absatz 2 DS-GVO nur zulässig, wenn dieses für den Abschluss oder die Erfüllung eines Vertrages erforderlich oder auf Grund von Rechtsvorschriften der EU oder der Mitgliedstaaten oder einer Einwilligung der betroffenen Person möglich ist. Zudem muss der Verantwortliche gemäß Artikel 22 Absatz 3 DS-GVO Maßnahmen treffen, um Rechte, Freiheiten und berechtigte Interessen der betroffenen Person zu schützten.
Das zuvor in § 28b BDSG geregelte Scoring wird in der DS-GVO nicht mehr erwähnt. Allerdings fällt auch das Scoring unter den Begriff des Profiling!
Die Einwilligung
Die Einwilligung des Betroffenen ist nunmehr in Artikel 4 Nummer 11 DS-GVO definiert. Eine Einwilligung ist demnach „… jede für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist.“ Einwilligungen müssen damit folgende Voraussetzungen erfüllen:
- Die betroffene Person muss ausreichend über Umfang der verarbeiteten Daten und den Zweck der Verarbeitung informiert werden.
- Die Einwilligungserklärung muss leicht zugänglich und in leicht verständlicher Form in einer klaren und einfachen Sprache verfasst sein.
- Die betroffene Person muss auf ihr Recht, die Einwilligung mit Wirkung für die Zukunft widerrufen zu können, hingewiesen werden.
- Beachtung des „Koppelungsverbotes“. Das heißt, dass ein Vertragsschluss nicht von der Einwilligung in die Verarbeitung von personenbezogenen Daten abhängig gemacht werden darf, die für die Durchführung des Vertrages nicht erforderlich sind.
- Beim Ankreuzen, dem Setzen von Häkchen oder Anklicken von Kästchen muss die betroffene Person dieses aktiv tun. Sind Kreuze oder Häkchen schon vom Verantwortlichen gesetzt, führt dieses zur Unwirksamkeit der Einwilligung. (Siehe auch „Privacy by Default“)
- Falls bei einer minderjährigen Person unter 16 Jahren erforderlich, das Vorliegen einer Zustimmung der gesetzlichen Vertreter.
Neu ist, dass die DS-GVO nicht verlangt, dass eine Einwilligung schriftlich erteilt werden muss. Es sind also auch andere Formen, insbesondere auch die elektronische, ausdrücklich zugelassen. Allerdings ist auch nach dem aktuell geltenden BDSG eine andere Form möglich, soweit wegen der besonderen Umstände nicht eine andere Form angemessen gewesen ist. Aus praktischer Sicht ist generell jedoch anzuraten, dass eine erteilte Einwilligung – gleich in welcher Form diese erteilt worden ist – aus Beweisgründen im eigenen Interesse dokumentiert werden sollte. Denn schließlich sieht Art. 7 Abs. 1 DS-GVO explizit vor, dass der Verantwortliche das Vorhandensein einer Einwilligung des Betroffenen nachzuweisen hat, wenn die Verarbeitung seiner personenbezogenen Daten auf dessen Einwilligung beruht.
Zu beachten ist außerdem, dass im Bereich der elektronischen Informations- und Kommunikationsdienste, die keine Telekommunikationsdienste gemäß § 3 Nummer 24 und 25 Telekommunikationsgesetz (TKG) oder § 2 des Rundfunkstaatsvertrages sind (sogenannte Telemedien) schon nach geltendem Recht gemäß § 13 Absatz 2 TMG zusätzliche Voraussetzungen für die Erteilung einer Einwilligungserklärung in elektronischer Form bestehen, die den Regelungen in der DS-GVO teilweise ähnlich, beziehungsweise annähernd deckungsgleich sind:
Die Einwilligung kann im Bereich der Telemedien demnach elektronisch erklärt werden, wenn der Diensteanbieter sicherstellt, dass
- der Nutzer seine Einwilligung bewusst und eindeutig erteilt hat,
- die Einwilligung protokolliert wird,
- der Nutzer den Inhalt der Einwilligung jederzeit abrufen kann und
- der Nutzer die Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen kann.
Weitere Informationen zu Informationspflichten nach dem Telemediengesetz finden Sie in unserm Artikel „E-Commerce und Verbraucher“ und „Informationspflichten beim Onlinehandel“.
Artikel 7 DS-GVO sieht noch weitere Bedingungen für eine Einwilligungserklärung, beziehungsweise deren Widerruf, vor. Sofern eine schriftlich erteilte Einwilligungserklärung mehrere Sachverhalte betrifft, muss das Ersuchen des Verantwortlichen um die Einwilligungserklärung in einer verständlichen und leicht zugänglichen Form in einer klaren und einfachen Sprache so verfasst sein, dass erkennbar ist, welcher Sachverhalt von der Einwilligungserklärung betroffen ist (siehe Absatz 2). Eine erteilte Einwilligung muss vom Betroffenen jederzeit widerrufbar sein. Der Widerruf der Einwilligung muss so einfach wie ihre Erteilung sein (siehe Absatz 3).
Einwilligungen, die nach dem bis zum 25. Mai 2018 geltenden Datenschutzrecht abgegeben werden, bleiben übrigens wirksam, solange diese Einwilligungen den neuen Regeln der DS-GVO entsprechen.
Tipp: Hilfreiche Hinweise zur Verarbeitung von personenbezogenen Daten für Werbung finden Sie in dem „Kurzpapier Nr. 3“ der Datenschutzkonferenz (DSK).
Unternehmen sollten die von ihnen verwendeten Einwilligungserklärungen – gleich ob diese schriftlich oder elektronisch sind – auf die Vereinbarkeit mit der DS-GVO überprüfen und bis zum 25. Mai 2018 gegebenenfalls anpassen. Im Zweifel sollte dafür anwaltlicher Rat eingeholt werden, weil unwirksame Einwilligungserklärungen Bußgelder nach sich ziehen und Wettbewerbsverstöße darstellen können.
Sonderregelung für die Einwilligung von Kindern, Artikel 8 DS-GVO
Die DS-GVO bestimmt in Artikel 8, dass Minderjährige erst dann in die Verarbeitung ihrer personenbezogenen Daten wirksam einwilligen können, wenn sie das 16. Lebensjahr vollendet haben. Anderenfalls benötigen sie eine Zustimmung ihrer gesetzlichen Vertreter, in der Regel der Eltern. Die Mitgliedstaaten können auch ein niedrigeres Alter vorsehen.
Privacy by Default
Hierunter ist die Technikgestaltung durch datenschutzfreundliche Voreinstellungen gemeint. Verarbeiter von personenbezogenen Daten sollen dadurch verpflichtet werden Einstellungen festzulegen, die gewährleisten, dass nur diejenigen personenbezogenen Daten erhoben und verarbeitet werden, die für den jeweiligen Zweck unbedingt erforderlich sind. Insbesondere die Menge der personenbezogenen Daten, der Umfang deren Verarbeitung, deren Speicherdauer und deren Zugänglichkeit sollen dadurch begrenzt werden. Privacy by Default ergänzt damit den nach aktueller Rechtslage bereits geltenden Grundsatz der Datensparsamkeit.
Privacy by Design
Hierbei ist eine datenschutzfreundliche Technikgestaltung gemeint. Dadurch werden die Verarbeiter personenbezogener Daten verpflichtet, technische und organisatorische Maßnahmen zur Einhaltung der Anforderungen der DS-GVO einzuführen. In welcher Form solche Maßnahmen einzuführen sind, obliegt einem gewissen Beurteilungsspielraum des Verarbeiters. Kriterien für diesen Beurteilungsspielraum sind laut DS-GVO der Stand der Technik, Implementierungskosten und die Art, der Umfang, die Umstände und die Zwecke der Datenverarbeitung sowie die Eintrittswahrscheinlichkeit und Schwere möglicher Risiken für die Rechte und Freiheiten der von der Datenverarbeitung betroffenen natürlichen Personen.
Tipp: Bei der Einführung neuer Software im Unternehmen oder bei der Programmierung sollte darauf geachtet werden, dass diese technisch so ausgelegt ist, dass die Software nur diejenigen personenbezogenen Daten erhebt, die für die jeweiligen Zwecke der Datenverarbeitung tatsächlich erforderlich sind.
Die Verarbeitung besonderer Kategorien personenbezogener Daten
Die DS-GVO enthält einen Katalog, nach welchen Bedingungen die Verarbeitung besonderer Kategorien personenbezogener Daten zulässig ist. Besondere Kategorien personenbezogener Daten sind laut Artikel 9 Absatz 1 DS-GVO Daten, aus denen sich
- die rassische und ethische Herkunft,
- politische Meinungen,
- religiöse oder weltanschauliche Überzeugungen oder
- die Gewerkschaftszugehörigkeit
ergeben, sowie die Verarbeitung von
- genetischen Daten,
- biometrischen Daten zur eindeutigen Identifizierung,
- Gesundheitsdaten oder
- Daten zum Sexualleben oder der sexuellen Orientierung
einer natürlichen Person.
Hinweis: Ist eine Verarbeitung besonderer Kategorien personenbezogener Daten beabsichtigt, empfiehlt es sich, dieses genau anhand des umfangreichen Kataloges in Artikel 9 Absatz 2 DS-GVO zu prüfen. Die in einem Unternehmen häufigsten Fälle dürften dabei die Zulässigkeit der Verarbeitung aufgrund einer wirksamen Einwilligung (Artikel 9 Absatz 2 lit. a) DS-GVO) und die Verarbeitung zur Ausübung von sich aus dem Arbeitsrecht oder dem Recht der sozialen Sicherung ergebenden Rechten und Pflichten (Artikel 9 Absatz 2 lit. b) DS-GVO), also insbesondere Meldungen gegenüber den Sozialversicherungsträgern, sein.
Das BDSG war hier, verglichen mit der DS-GVO, kürzer gefasst und beschränkte sich im Wesentlichen auf eine Definition besonderer personenbezogener Daten und die Absenkung des Schwellenwertes zur Benennung eines betrieblichen Datenschutzbeauftragten.
Die Datenschutz-Folgenabschätzung (PIA), Artikel 35 DS-GVO
Die Datenschutz-Folgenabschätzung, beziehungsweise Risikofolgenabschätzung oder auch Privacy Impact Assessment (PIA) wirft gerade unter Praktikern immer noch viele Fragen auf. In der Tat ist vieles in Bezug auf PIA nicht abschließend geklärt. Bei PIA handelt es sich begrifflich um eine Überprüfung datenschutzrechtlich relevanter Prozesse in einem Unternehmen. Sie ersetzt die alte Vorabprüfung.
Eine PIA ist nicht in jedem Fall der Verarbeitung personenbezogener Daten vorgeschrieben. Nur wenn durch eine Datenverarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen mit sich bringt, ist eine PIA durchzuführen. Die verantwortliche Stelle prüft in einem ersten Schritt also, ob ein solches hohes Risiko überhaupt vorliegt. In welchen Fällen ein hohes Risiko in diesem Sinne vorliegt, ist bislang noch nicht abschließend geklärt. Sicher dürfte sein, dass jedenfalls in Fällen...
Eine PIA ist nicht in jedem Fall der Verarbeitung personenbezogener Daten vorgeschrieben. Nur wenn durch eine Datenverarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen mit sich bringt, ist eine PIA durchzuführen. Die verantwortliche Stelle prüft in einem ersten Schritt also, ob ein solches hohes Risiko überhaupt vorliegt. In welchen Fällen ein hohes Risiko in diesem Sinne vorliegt, ist bislang noch nicht abschließend geklärt. Sicher dürfte sein, dass jedenfalls in Fällen...
- des Einsatzes neuer Technologien,
- der Verarbeitung großer Mengen personenbezogener Daten,
- einer großen Zahl betroffener Personen,
- besonders sensibler Daten,
- des Profilings oder
- der Überwachung
...die Frage nach der Erforderlichkeit einer PIA zu prüfen sein dürfte, ob die Verarbeitung also voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen mit sich bringt.
Gemäß Artikel 35 Absatz 3 DS-GVO ist eine PIA außerdem insbesondere in folgenden Verarbeitungssitationen erforderlich:
- Systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen, die sich auf automatisierte Verarbeitung einschließlich Profiling gründet und die ihrerseits als Grundlage für Entscheidungen dient, die Rechtswirkung gegenüber natürlichen Personen entfalten oder diese in erheblicher Weise beeinträchtigen,
- umfangreiche Verarbeitung besonderer Kategorien von personenbezogenen Daten oder von Daten über strafrechtliche Verurteilungen oder
- systematische umfangreiche Überwachung öffentlich zugänglicher Bereiche.
Hinweis: Weitere Informationen und Beispiele, wann die Verarbeitung besonderer Kategorien personenbezogener Daten umfangreich ist, finden Sie unten unter „Der Datenschutzbeauftragte“.
Unternehmen sollten, solange keine endgültige Rechtssicherheit besteht, bei der Prüfung der Erforderlichkeit einer PIA im Zweifel eher konservativ vorgehen, um Schwierigkeiten mit den Aufsichtsbehörden möglichst zu vermeiden. Sind überhaupt keine Daten mit Personenbezug betroffen, besteht jedoch keine datenschutzrechtliche Problematik. Das ist zum Beispiel bei rein statistischen Daten der Fall, sofern diese keinen Bezug auf eine bestimmte oder bestimmbare natürliche Person zulassen.
Tipp: Die Artikel-29-Datenschutzgruppe hat auf ihrer Webseite ein Dokument mit weiteren Hinweisen zur PIA veröffentlicht.
Die Aufsichtsbehörden, also regelmäßig die Landesdatenschutzbeauftragten, sind gemäß Artikel 35 Absatz 4 DS-GVO verpflichtet, im Rahmen einer sog. Positivliste zu veröffentlichen, welche Verfahren in jedem Fall einer Risikofolgenabschätzung zu unterziehen sind. Eine solche Positivliste gibt es noch nicht (Stand März 2018). Im Interesse einer einheitlichen Anwendung der DS-GVO werden diese Listen im Rahmen des Kohärenzverfahrens gemäß Artikel 64 Absatz 1 lit. a) DS-GVO auf europäischer Ebene abzustimmen sein. Die Aufsichtsbehörden haben außerdem die Möglichkeit über eine Negativliste zu veröffentlichen, welche Verfahren gerade keiner Risikofolgenabschätzung bedürfen. Eine solche Negativliste ist jedoch nicht zwingend vorgeschrieben.
Hinweis: Hier kommen Sie zum Kurzpapier der DSK Nummer 5 Datenschutz-Folgenabschätzung nach Artikel 35 DS-GVO.
Die zuständige Aufsichtsbehörde/„One-Stop-Shop“
Durch die DS-GVO wird die Zuständigkeit der Aufsichtsbehörden vereinheitlicht. Federführende Aufsichtsbehörde ist demnach diejenige Behörde, in deren örtlichen Zuständigkeitsbereich das jeweilige datenverarbeitende Unternehmen seine Hauptniederlassung hat. Die Ermittlung des Ortes der Hauptniederlassung erfolgt dabei nach objektiven Kriterien: Es kommt grundsätzlich darauf an, wo effektiv und tatsächlich Managementtätigkeit in Bezug auf Grundsatzentscheidungen in Bezug auf die Zwecke und Mittel der Datenverarbeitung getroffen werden. Dieser Ort kann sich von dem satzungsmäßigen Sitz eines Unternehmens also unterscheiden.
Bei grenzüberschreitenden Sachverhalten der Verarbeitung personenbezogener Daten wird die federführende Aufsichtsbehörde der alleinige Ansprechpartner des datenverarbeitenden Unternehmens oder seines Auftragsverarbeiters sein.
Tipp: Unternehmen, die sich mit der grenzüberschreitenden Verarbeitung von personenbezogenen Daten beschäftigen, sollten bei Inkrafttreten der DS-GVO ihre federführende Aufsichtsbehörde kennen. Auf der Webseite des BfDi finden Sie eine Übersicht über die Datenschutzbeauftragten in den Bundesländern, der Aufsichtsbehörden für den nicht-öffentlichen Bereich, des Rundfunks, der Kirchen, in Europa und im übrigen Ausland.
Unabhängig davon kann sich jede andere Aufsichtsbehörde mit einem Fall beschäftigen, wenn diese eine entsprechende Beschwerde erreicht oder ein Verstoß gegen die DS-GVO vorliegt und von dem Sachverhalt nur eine Niederlassung in ihrem jeweiligen Mitgliedstaat betroffen ist oder nur betroffene Personen ihres Mitgliedsstaates erheblich betroffen sind.
Hinweis: Hier kommen Sie zur deutschen Übersetzung des „Working Papers Nummer 244“ der Artikel 29-Gruppe zu Leitlinien für die Bestimmung der federführenden Aufsichtsbehörde eines Verantwortlichen oder Auftragsverarbeiters mit weiteren Informationen.
Das „Recht-auf-vergessen-werden“, Artikel 17 DS-GVO
Hierbei handelt es sich um das „Recht auf Löschung“. Eine betroffene Person hat das Recht zur Löschung, wenn der Zweck der Verarbeitung entfallen ist, die betroffene Person der Verarbeitung widerspricht oder gegen die Verarbeitung Widerspruch einlegt, die Verarbeitung der personenbezogenen Daten unrechtmäßig erfolgt, eine Pflicht des Verantwortlichen zur Löschung der Daten besteht oder der Betroffene als Kind seine Einwilligung zur Verarbeitung der Daten in den Fällen von Artikel 8 DS-GVO gegeben hat.
Hinweis: Auch nach geltendem Recht sind personenbezogene Daten zu löschen, soweit es für deren Verarbeitung keine rechtliche Grundlage gibt, insbesondere wenn deren Speicherung unzulässig ist. In bestimmten Fällen tritt an die Stelle der Löschung die Sperrung von Daten, beispielsweise, wenn der Löschung gesetzliche oder vertragliche Aufbewahrungsfristen entgegenstehen.
Das Recht auf Löschung besteht jedoch nicht ausnahmslos. Das Recht zur Löschung gilt demnach beispielsweise nicht, wenn die Verarbeitung
- zur Ausübung des Rechts auf freie Meinungsäußerung und Information,
- zur Erfüllung einer rechtlichen Verpflichtung oder zur Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt oder in der Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde oder
- zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen
erforderlich ist.
Hinweis: Hier kommen Sie zum Kurzpapier der DSK Nr. 5 Recht auf Löschung / „Recht auf Vergessenwerden“.
Das „Recht auf Einschränkung der Verarbeitung“, Artikel 18 DS-GVO
Das „Recht auf Einschränkung der Verarbeitung“ ist den Regelungen § 20 Absatz 3 und 4 BDSG nicht unähnlich. Die DS-GVO enthält jedoch keine Bestimmung, wonach eine Sperrung an die Stelle der Löschung von personenbezogenen Daten tritt, wenn eine Löschung wegen der besonderen Art der Löschung nicht oder nur mit unverhältnismäßigem Aufwand möglich ist. Neu ist allerdings, dass der Betroffene eine Einschränkung der Verarbeitung der Daten verlangen kann, wenn der Verantwortliche die personenbezogenen Daten für die Zwecke der Verarbeitung nicht länger benötigt, der Betroffene sie jedoch zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen benötigt. Dieser Fall dürfte in der Praxis eher selten vorkommen.
Videoüberwachung, § 4 BDSG (Neu)
Regelungen zur Videoüberwachung enthält die DS-GVO nicht. Bis zum 25. Mai 2018 galten noch die Regelungen in § 6b BDSG, die zuletzt durch das am 5. Mai 2017 in Kraft getretene Gesetz zur Änderung des Bundesdatenschutzgesetzes geändert wurden.
Mit Inkraftreten des BDSG (Neu) am 25. Mai 2018 ist die Videoüberwachung öffentlich zugänglicher Räume in § 4 BDSG (Neu) geregelt. Diese ist demnach zulässig, soweit sie
- zur Aufgabenerfüllung öffentlicher Stellen,
- zur Wahrnehmung des Hausrechts oder
- zur Wahrnehmung berechtigter Interessen für konkret festgelegte Zwecke
erforderlich ist. Bei der Videoüberwachung von öffentlich zugänglichen großflächigen Anlagen (zum Beispiel Einkaufszentren) sowie Fahrzeugen und öffentlich zugänglichen Einrichtungen des öffentlichen Schienen-, Schiffs- und Busverkehrs (Busse, Züge, Fähren, Fähranleger, Bahnhöfe und so weiter) gilt der Schutz von Leben, Gesundheit und Freiheit der sich dort aufhaltenden Personen als besonders wichtiges Interesse.
Tipp: Der Umstand der Videoüberwachung sowie der Name und und die Kontaktdaten des Verantwortlichen sind gemäß § 4 Absatz 2 BDSG (Neu) durch geeignete Maßnahmen zum frühest möglichen Zeitpunkt erkennbar zu machen. Das kann zum Beispiel durch einen Hinweis am Eingang zu den Geschäftsräumen geschehen.
Soweit von einer Videoüberwachung auch Mitarbeiter der verantwortlichen Stelle betroffen sind, kann die Videoüberwachung unter Umständen mitbestimmungspflichtig sein. Solche Fälle sollten im Zweifelsfall arbeitsrechtlich von einem Rechtsanwalt/einer Rechtsanwältin oder einem Arbeitgeberverband (bei bestehender Mitgliedschaft) überprüft werden. Informationen zu diesem Thema finden Sie außerdem auf der Webseite der BfDi.
Das Recht auf Datenübertragbarkeit, Artikel 20 DS-GVO
Hinter diesem - entfernt an die Rufnummernportierung nach § 46 Absätze 3 und 4 TKG erinnernden - Begriff verbirgt sich nichts anderes, als dass Betroffene ihre personenbezogenen Daten von einem Dienstanbieter, zum Beispiel einem Social-Media-Dienst oder einem E-Mail-Provider, auf einen anderen übertragen können sollen. Dazu sollen Betroffene die von ihnen bereitgestellten personenbezogenen Daten in einem strukturierten, gängigen, maschinenlesbaren und interoperablen Format vom Verantwortlichen erhalten können. An die Anbieter digitaler Dienste werden daher besondere Anforderungen hinsichtlich der technischen Umsetzung gestellt. Eine entsprechende Regelung gibt es im BDSG bisher nicht. Laut Erwägungsgrund Nummer 68 zur DS-GVO soll das Recht der betroffenen Person, sie betreffende personenbezogene Daten zu übermitteln oder zu empfangen, für den Verantwortlichen allerdings nicht die Pflicht begründen, technisch kompatible Datenverarbeitungssysteme zu übernehmen oder beizubehalten.
Die Artikel-29-Datenschutzgruppe hat auf ihrer Webseite ein Dokument mit weiteren Hinweisen Datenübertragbarkeit veröffentlicht.
Das Recht auf Datenübertragbarkeit gilt nicht für eine Verarbeitung, die für die Wahrnehmung einer im öffentlichen Interesse liegenden Aufgabe erforderlich ist oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde. Außerdem geht das Recht nur so weit, wie Rechte und Freiheiten anderer Personen beeinträchtigt werden. Das dürfte regelmäßig der Fall sein, wenn personenbezogene Daten anderer Personen von dem zu übertragenen Datensatz tangiert werden, insb. in diesem enthalten sind.
Informationspflichten, Artikel 13, 14 DS-GVO
Hinweis: Die Informationspflichten gemäß Artikel 13 DS-GVO betreffen Fälle, in denen die personenbezogenen Daten bei den/der betroffenen Person/en erhoben werden. Sofern personenbezogene Daten nicht bei den betroffenen Personen erhoben werden, richten sich die Informationspflichten nach Artikel 14 DS-GVO.
Informationspflichten gemäß Artikel 13 DS-GVO
Die DS-GVO sieht – verglichen mit den Regelungen des BDSG – erweiterte Informationspflichten des Verantwortlichen gegenüber dem Betroffenen vor. Soweit die betroffene Person nicht schon über die jeweiligen Informationen verfügt, muss der Verantwortliche zum Zeitpunkt der Erhebung der Daten folgendes mitteilen (den genauen Wortlaut entnehmen Sie bei Bedarf bitte dem Text in Artikel 13 DS-GVO):
- Den Namen und die Kontaktdaten des Verantwortlichen und gegebenenfalls seines Vertreters,
- gegebenenfalls die Kontaktdaten des Datenschutzbeauftragten,
- die Zwecke und die Rechtsgrundlage der Verarbeitung der Daten,
- die berechtigten – die Grundfreiheiten und Grundrechte der betroffenen Person überwiegenden - Interessen des Verantwortlichen gem. Artikel 6 Absatz 1 lit. f) DS-GVO,
- gegebenenfalls die Empfänger oder Kategorien von Empfängern der personenbezogenen Daten,
- gegebenenfalls die Absicht des Verantwortlichen die Daten an ein Drittland oder eine internationale Organisation zu übermitteln sowie gegebenenfalls das Fehlen einer positiven Entscheidung über das Vorhandensein eines angemessenen Datenschutzniveaus in jenem Drittland,
- die Dauer der Verarbeitung oder die Kriterien für die Ermittlung der Dauer der Speicherung der Daten,
- das Bestehen eines Rechts auf Auskunft sowie eines Rechts auf Berichtigung, Löschung oder Einschränkung der Verarbeitung oder auf ein Widerspruchsrecht sowie auf das Recht zur Datenübertragbarkeit,
- das Recht zum Widerruf einer gegebenen Einwilligung der betroffenen Person mit dem Hinweis, dass eine bis zum Widerruf durchgeführte Datenverarbeitung rechtmäßig bleibt,
- das Bestehen eines Beschwerderechts bei der Aufsichtsbehörde,
- ob die Bereitstellung personenbezogener Daten gesetzlich oder vertraglich vorgeschrieben oder für einen Vertragsschluss erforderlich ist. Auch auf eine etwaige Verpflichtung des Betroffenen zur Bereitstellung ist hinzuweisen, sowie auf die Folgen der Nichtbereitstellung und
- das Bestehen einer automatisierten Entscheidungsfindung, Profiling sowie deren involvierte Logik, Tragweite und Auswirkungen auf die betroffene Person.
Tipp: Im Internet oder auf Formularen aus Papier verwendete Informationen zur Datenverarbeitung sollten vom Verantwortlichen geprüft und gegebenenfalls angepasst werden. Auch wenn es dann nur um wenige Details gehen sollte die angepasst werden müssen sollte dieses bis zum 25. Mai 2018 umgesetzt sein.
Informationspflichten gemäß Artikel 14 DS-GVO
Werden personenbezogene Daten nicht bei den Betroffenen erhoben, treffen den Verantwortlichen die Informationspflichten gemäß Artikel 14 DS-GVO. Diese Informationspflichten entsprechen denjenigen in Art. 13 DS-GVO (siehe oben), wobei der Verantwortliche der betroffenen Person/en zusätzlich folgendes mitzuteilen hat:
- Die Kategorien personenbezogener Daten, die verarbeitet werden,
- aus welcher Quelle die personenbezogenen Daten stammen und gegebenenfalls ob sie aus öffentlich zugänglichen Quellen stammen,
- gegebenenfalls die Absicht, die personenbezigenen Daten für einen anderen Zweck weiterzuverarbeiten, als den, für den die Daten ursprünglich erlangt wurden.
Die Informationspflicht gemäß Artikel 14 DS-GVO besteht allerdings in folgenden Fällen nicht:
- Die betroffene Person verfügt bereits über die Informationen.
- Die Erteilung der Information erweist sich als unmöglich oder würde einen unverhältnismäßigen Aufwand erfordern. In diesen Fällen hat der Verantwortliche jedoch geeignete Maßnahmen zum Schutz der Rechte und Freiheiten sowie der berechtigten Interressen der betroffenen Person/en zu treffen, einschließlich der Bereitstellung dieser Informationen für die Öffentlichkeit.
- Die Erlangung oder Offenlegung der Daten ist in bestimmten Rechtsvorschriften der EU oder der Mitgliedstaaten ausdrücklich geregelt.
- Die Daten unterliegen gemäß dem Unionsrecht oder dem Recht der Mitgliedstaaten dem Berufsgeheimnis einschließlich einer satzungsmäßigen Geheimhaltungspflicht und sind daher als vertraulich zu behandeln.
Wann ist die Informationspflicht gemäß Artikel 14 DS-GVO zu erfüllen? Sofern eine Informationspflicht gemäß Artikel 14 DS-GVO besteht, hat der Verantwortliche dieser Pflicht innerhalb eines Monats nachzukommen. Sofern die Daten für die Kommunikation mit der betroffenen Person verwendet werden sollen, ist die Pflicht spätestens zum Zeitpunkt der ersten Mitteilung zu erfüllen. Falls die Offenlegung an einen anderen Empfänger beabsichtigt ist, ist die Pflicht spätestens zum Zeitpunkt der ersten Offenlegung zu erfüllen.
Tipp: Weitere Hinweise zu den Informationspflichten gemäß Artikel 13 und 14 DS-GVO erhalten Sie auf dem „Kurzpapier Nummer 10“ der Datenschutzkonferenz (DSK).
Die Verarbeitung von personenbezogenen Daten im Auftrag, Artikel 28 DS-GVO
Zunächst ist festzuhalten, dass Auftragsdatenverarbeiter nach der DS-GVO nunmehr Auftragsverarbeiter heißen. Der Auftraggeber wird in der DS-GVO als Verantwortlicher bezeichnet. Eine Auftrags(daten)verarbeitung kann auf Grundlage eines entsprechenden Vertrages oder auf Grundlage von Standardvertragsklauseln stattfinden. Diese Standardvertragsklauseln können von der EU-Kommission festgelegt werden, was jedoch noch nicht geschehen ist (Stand: Mai 2017).
Der Verantwortliche hat laut Artikel 28 Absatz 1 DS-GVO zu gewährleisten, dass er nur mit Auftragsverarbeitern zusammenarbeitet, die hinreichend Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen („TOMs“) so durchgeführt werden, dass die Verarbeitung im Einklang mit der DS-GVO erfolgt und der Schutz der Rechte der betroffenen Personen gewährleistet ist. Insbesondere Unternehmen, die bisher Daten im Auftrag eines anderen verarbeitet haben, sind also gut beraten, in Bezug auf die Regelungen der DS-GVO ab dem 25. Mai 2018 sprechfähig zu sein.
Die Unterbeauftragung ist durch den Auftragsverarbeiter laut Artikel 28 Absatz 2 DS-GVO ohne eine vorherige gesonderte oder allgemeine Genehmigung des Verantwortlichen in schriftlicher Form nicht möglich. Bei einer allgemein erteilten Genehmigung des Verantwortlichen steht diesem gegen die Hinzuziehung oder die Ersetzung von Unterauftragnehmern durch den Auftragsverarbeiter ein Einspruchsrecht zu.
Tipp: Das bayerische Landesamt für Datenschutzaufsicht stellt auf seiner Webseite eine Formulierungshilfe für einen Auftragsverarbeitungsvertrag im Sinne von Artikel 28 DS-GVO zur Verfügung. Bitte beachten Sie, dass Vertragsmuster immer auf den jeweiligen Einzelfall angepasst werden müssen und erst nach anwaltlicher Prüfung verwendet werden sollten.
Hinweis: Zusätzliche Informationen zur Auftragsverarbeitung finden auf dem Kurzpapier Nummer 13 der Datenschutzkonferenz (DSK).
Der Datenschutzbeauftragte, Artikel 37 fortfolgende DS-GVO, § 38 BDSG (Neu)
Abweichend von den Regelungen der DS-GVO haben gemäß § 38 Absatz 1 BDSG (Neu) nicht-öffentliche Stellen (gemeint sind damit insbesondere private Unternehmen) bei denen in der Regel mindestens zwanzig Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind, einen Datenschutzbeauftragten zu bestellen.
Unabhängig von der Zahl der ständig mit der Verarbeitung personenbezogener Daten beschäftigten Mitarbeiter ist ein Datenschutzbeauftragter zu bestellen, wenn die Verarbeitung der Daten zum Zwecke der Übermittlung oder der Markt- oder Meinungsforschung stattfindet. Auch soweit personenbezogene Daten verarbeitet werden, die einer Datenschutz-Folgenabschätzung gemäß Artikel 35 DS-GVO (siehe oben) unterliegen, haben nicht-öffentliche Stellen unabhängig von der Zahl der mit der Datenverarbeitung beschäftigten Personen einen Datenschutzbeauftragten zu benennen, vergleiche § 38 Absatz 1 Satz 2 BDSG (Neu). So führt gemäß Artikel 35 Absatz 3 lit. b) DS-GVO schon die umfangreiche Verarbeitung besonderer Kategorien personenbezogener Daten oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten zur Pflicht zur Durchführung einer Datenschutz-Folgenabschätzung.
Wann ist eine Verarbeitung besonderer Kategorien personenbezogener Daten umfangreich? Leider ist hier keine auf Einzelfälle anwendbare Zahlenangabe oder Ähnliches möglich. Gleichwohl gibt es Anhaltspunkte, an denen man sich orientieren kann. So gilt laut Erwägungsgrund Nummer 91 zur DS-GVO die Verarbeitung besonderer personenbezogener Daten bspw. dann nicht als umfangreich, wenn die Verarbeitung personenbezogene Daten von Patienten oder von Mandanten betrifft und durch einen einzelnen Arzt, sonstigen Angehörigen eines Gesundheitsberufes oder Rechtsanwalt erfolgt. Bei der Prüfung, ob eine umfangreiche Verarbeitung stattfindet, empfiehlt die Artikel 29-Gruppe laut dem „Working Paper“ Nummer 243 folgende Faktoren zu berücksichtigen: die Zahl der betroffenen Personen – entweder als bestimmte Zahl oder als Anteil an der maßgeblichen Bevölkerung, das Datenvolumen und/oder das Spektrum an in Bearbeitung befindlichen Daten, die Dauer oder Permanenz der Datenverarbeitungstätigkeit und die geografische Ausdehnung der Verarbeitungstätigkeit.
Beispiele für eine Umfangreiche Verarbeitung stellen dar (Auszug aus „Working Paper“ Nummer 243):
die Verarbeitung von Patientendaten im gewöhnlichen Geschäftsbetrieb eines Krankenhauses,die Verarbeitung von Reisedaten natürlicher Personen, die ein Verkehrsmittel des kommunalen Öffentlichen Personen und Nahverkehrs (ÖPNV) nutzen (zum Beispiel Nachverfolgung über Netzkarten),die Verarbeitung von Geolokalisierungsdaten von Kunden einer internationalen Fast-Food-Kette in Echtzeit zu statistischen Zwecken durch einen auf Dienstleistungen dieser Art spezialisierten Auftragsverarbeiter,die Verarbeitung von Kundendaten im gewöhnlichen Geschäftsbetrieb eines Versicherungsunternehmens oder einer Bank,die Verarbeitung personenbezogener Daten durch eine Suchmaschine zu Zwecken der verhaltensbasierten Werbung,die Verarbeitung von Daten (Inhalte, Datenverkehrsaufkommen, Standort) durch Telefon- oder Internetdienstleister
Hinweis: Die Artikel 29-Gruppe plant aktuell die Veröffentlichung von weiteren Beispielen für maßgebliche Schwellenwerte für die Bestimmung eines Datenschutzbeauftragten.
In Anlehnung an Artikel 37 Absatz 1 lit. c) DS-GVO dürfte außerdem davon auszugehen sein, dass die Verarbeitung besonderer personbezogener Daten die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters darstellen muss. Die Kerntätigkeit ist dabei die Haupttätigkeit; die Verarbeitung besonderer Kategorien personenbezogener Daten als Nebentätigkeit oder in reiner Unterstützungsfunktion reicht nicht aus, selbst wenn diese an sich unverzichtbar sein sollte.
Beispiele für die Verarbeitung besonderer Kategorien personenbezogener Daten als Kerntätigkeit:
- Führen von Krankenakten in einem Krankenhaus
- Überwachung von Einkaufszentren und öffentlicher Plätze durch ein privates Sicherheitsunternehmen.
Beispiele in denen die Verabeitung besonderer Kategorien personenbezogener Daten keine Kerntätigkeit darstellt:
- Entlohung der Mitarbeiter
- Standard IT-Support
Der betriebliche Datenschutzbeauftragte wird von dem zur Benennung verpflichteten Unternehmen auf Grundlage seiner beruflichen Qualifikation und insbesondere des Fachwissens auf dem Gebiet des Datenschutzrechts und der datenschutzrechtlichen Praxis benannt. Gegebenenfalls sollte der Datenschutzbeauftragte im Rahmen von Weiterbildungen entsprechend qualifiziert werden.
Tipp: Umfangreiche Hinweise der nordrhein-westfälischen Beauftragten für Datenschutz und Informationsfreiheit zu den Mindestanforderungen an die Fachkunde von betrieblichen Datenschutzbeauftragten finden Sie auf der Website des Landesbeauftragten für Datenschutz und Informationssicherheit Nordrhein-Westfalen.
Die Aufgaben eines betrieblichen Datenschutzbeauftragten ergeben sich aus Artikel 39 DS-GVO (kompakte Darstellung):
- Unterrichtung und Beratung des Unternehmens und der Beschäftigten in datenschutzrechtlichen Fragen,
- Überwachung der Einhaltung datenschutzrechtlicher Vorschriften und Schulung der Mitarbeiter,
- Beratung – auf Anfrage – im Zusammenhang mit der Datenschutz-Folgenabschätzung gemäß Artikel 35 DS-GVO und
- Zusammenarbeit mit der Aufsichtsbehörde (Der betriebliche Datenschutzbeauftragte dient als Anlaufstelle für die Aufsichtsbehörden).
Ob das Amt des Datenschutzbeauftragten intern von einem Mitarbeiter oder von einem Dienstleister als externer Datenschutzbeauftragter wahrgenommen wird, liegt alleine in der Entscheidung der nicht-öffentlichen Stelle/des Unternehmens. Eine schriftliche Benennung des (internen) Datenschutzbeauftragten sieht die DS-GVO nicht mehr vor. Neben seiner Tätigkeit als Datenschutzbeauftragter darf dieser auch andere Aufgaben und Pflichten übernehmen, solange kein Interessenkonflikt zur Tätigkeit als Datenschutzbeauftragter besteht. Ein solcher Interessenkonflikt kann bei Positionen innerhalb des leitenden Managements bestehen. Das „Working Paper“ Nummer 243 nennt als „Faustregel“ folgende Beispiele:
- Leiter des Unternehmens,
- Leiter des operativen Geschäftsbereichs,
- Finanzvorstand,
- leitender medizinischer Direktor,
- Leiter der Marketingabteilung.
- Leiter der Personalabteilung,
- Leiter der IT-Abteilung.
Mit einem externen Dienstleister ist ein Dienstleistungsvertrag zu schließen. Auch wenn eine bestimmte Form für diesen Dienstleistungsvertrag nicht vorgeschrieben ist, sollte aus Gründen der Rechtssicherheit der Dienstvertrag schriftlich geschlossen werden.
Hinweis: Gemäß Artikel 37 Absatz 7 DS-GVO sind die Kontaktdaten des/der Datenschutzbeauftragten zu veröffentlichen und der Aufsichtsbehörde (In Nordrhein-Westfalen ist das dem Beauftragten für Datenschutz und Informationsfreiheit) mitzuteilen.
Generell gilt, dass der Datenschutzbeauftragte in der Lage sein muss, mit Betroffenen zu kommunizieren und mit den zuständigen Aufsichtsbehörden zusammen zu arbeiten. Sofern die Bestellung eines Datenschutzbeauftragten verpflichtend ist, ist die Abberufung des Datenschutzbeauftragten in entsprechender Anwendung des § 626 BGB nur aus wichtigem Grund zulässig. Die Kündigung des Arbeitsverhältnisses ist während und bis zu einem Jahr nach der Tätigkeit als Datenschutzbeauftragter ebenfalls nur aus wichtigem Grund zulässig, § 6 Absatz 4 Satz 2, 3 in Verbindung mit § 38 Absatz 2 BDSG (neu).
Ausdrücklich geregelt wird in der DS-GVO nunmehr der Konzerndatenschutzbeauftragte. Dessen Bestellung ist grundsätzlich zulässig, sofern der Datenschutzbeauftragte von jeder Niederlassung der Unternehmensgruppe leicht erreicht werden kann.
Tipp: Weitere umfangreiche Informationen über die Bestellung, sowie die Rechte und Pflichten von Datenschutzbeauftragten finden Sie auf dem „Working Paper“ Nummer 243 der Artikel 29-Gruppe.
Verzeichnis aller (Daten-)Verarbeitungsaktivitäten, Artikel 30 DS-GVO
Die DS-GVO schreibt vor, dass Unternehmen ein Verzeichnis aller Verarbeitungstätigkeiten führen müssen, bei denen personenbezogene Daten verarbeitet werden. Diese Pflicht gilt allerdings nicht für Unternehmen, die weniger als 250 Mitarbeiter beschäftigen, sofern die Verarbeitung
- nicht ein Risiko für die Rechte und Freiheiten der Betroffenen bedeutet,
- nicht nur gelegentlich erfolgt,
- keine besondere Kategorien personenbezogener Daten oder
- keine Daten über strafrechtliche Verurteilungen und über bestimmte Straftaten einschließt.
Sofern eine Pflicht zur Führung eines solchen Verzeichnisses besteht, muss das Verzeichnis gemäß Artikel 30 DS-GVO folgende Angaben enthalten:
- den Namen und die Kontaktdaten des Verantwortlichen und gegebenenfalls des gemeinsam mit ihm verantwortlichen Vertreters sowie eines etwaigen Datenschutzbeauftragten,
- die Zwecke der Verarbeitung,
- eine Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten,
- die Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, einschließlich Empfänger in Drittländern oder internationalen Organisationen,
- gegebenenfalls Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation,
- wenn möglich die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien,
- wenn möglich eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen.
Tipp: Auf der Webseite des Landesbeauftraften für Datenschutz und Informationsfreiheit (LDI) finden Sie ein Muster für ein Verzeichnis nach Artikel 30 DS-GVO.
Das Verfahrensverzeichnis muss der Aufsichtsbehörde auf Anfrage vorgelegt werden. Das Verzeichnis kann auch in einem elektronischen Format geführt werden.
Hinweis: Hier kommen Sie zum Kurzpapier der DSK Nummer 1 Verzeichnis von Verarbeitungstätigkeiten Artikel 30 DS-GVO.
Die Übermittlung personenbezogener Daten ins Ausland, Artikel 44 fortfolgende DS-GVO
Vorbemerkung
Die Frage nach der Zulässigkeit der Übermittlung personenbezogener Daten ist sehr aktuell und von stetig wachsender Bedeutung. Die zunehmende Digitalisierung, die ständig wachsende Menge der verarbeiteten Daten und die dezentrale Verarbeitung digitaler Daten rund um den Globus machen dies deutlich. Speichert man beispielsweise als Verantwortlicher oder Auftragsverarbeiter personenbezogene Daten in einer Cloud, sollte man sich deshalb vorher mit der Zulässigkeit der Übermittlung der Daten in andere Staaten beschäftigt haben.
In die DS-GVO sind einige Grundgedanken eingeflossen, die bereits nach aktuellem Recht Gültigkeit haben. Dazu gehört beispielsweise, dass die Übermittlung von personenbezogenen Daten auch nach der DS-GVO als sogenanntes Verbot mit Erlaubnisvorbehalt ausgestaltet ist. Das heißt, dass eine Übermittlung personenbezogener Daten ins Ausland verboten ist, solange die Übermittlung nicht nach der DS-GVO zulässig ist. Aus der rechtspolitischen Diskussion der letzte Jahre ist auch der Aspekt des „angemessenen Datenschutzniveaus“ im Empfängerstaat bereits bekannt. Daher bestimmt die DS-GVO in Artikel 44 Satz 2 selbst:
„Alle Bestimmungen dieses Kapitels sind anzuwenden, um sicherzustellen, dass das durch diese Verordnung gewährleistete Schutzniveau für natürliche Personen nicht untergraben wird.“
Diesem Ziel versucht die DS-GVO durch detaillierte Regelungen nachzukommen. Über die für die Frage der Zulässigkeit der Übermittlung relevantesten Regelungen soll im Folgenden ohne Anspruch auf Vollständigkeit ein kurzer Überblick gegeben werden. Auf Bezüge zur Frage der – nahezu inhaltsgleichen – Zulässigkeit der Übermittlung personenbezogener Daten an internationale Organisationen wird dabei aus Gründen der Vereinfachung verzichtet.
Die Übermittlung innerhalb der EU
Im Geltungsbereich der DS-GVO kann wegen der europaweiten Angleichung des datenschutzrechtlichen Rechtsrahmens von einem angemessenen Schutzniveau ausgegangen werden. Die Übermittlung personenbezogener Daten innerhalb der EU ist nach der DS-GVO also grundsätzlich unproblematisch. Trotzdem sollte bei der Übermittlung personenbezogener Daten auch innerhalb der EU darauf geachtet werden, dass die Daten nicht in Hände gegeben werden, denen die Zuverlässigkeit für den rechtskonformen Umgang mit personenbezogenen Daten offensichtlich fehlt.
Die Übermittlung in EWR-Staaten
Auch in den EWR-Staaten Norwegen, Island, Lichtenstein und der Schweiz kann ab dem 25. Mai 2018 von einem angemessenen Schutzniveau ausgegeangen werden, sofern diese die Regelungen der DS-GVO in ihr nationales Recht übernehmen.
Tipp: Den Status des Übernahmeprozesses können Sie auf der Webseite der European Free Trade Association (EFTA) verfolgen.
Nach aktuellem Recht kann bis zum 25. Mai 2018 noch von einem angemessenen Schutzniveau in Norwegen, Island und Lichtenstein ausgegangen werden. Denn diese Länder haben die Richtlinie 95/46/EG, die ein wesentlicher Teil des derzeit noch gültigen Datenschutzrechts ist, in ihr nationales Recht übernommen. In der Schweiz ist dieses zwar nicht der Fall, so dass eine Übermittlung personenbezogener Daten in die Schweiz wie eine Übermittlung in einen Drittstaat behandelt wird. Allerdings hat die Kommission gemäß Artikel 25 Absatz 6 der Richtlinie 95/46/EG bereits festgestellt, dass in der Schweiz ein angemessenes Schutzniveau gegeben ist.
Die Übermittlung in Drittstaaten
Die Übermittlung personenbezogener Daten in Drittstaaten ist zulässig, wenn die Kommission beschlossen hat, dass das betreffende Drittland ein angemessenes Schutzniveau bietet (vergleiche Artikel 45 Absatz 1 Satz 1 DS-GVO). Einer Genehmigung bedarf es für die Übermittlung der Daten dann nicht.
Tipp: Bei welchen Drittstaaten die Kommission ein angemessenes Schutzniveau festgestellt hat, können Sie auf der Webseite der Kommission „Commission decisions on the adequacy of the protection of personal data in third countries“ erfahren.
Eine Besonderheit stellt das EU-US Privacy-Shield dar. Unternehmen, die ihren Sitz in den USA haben, können sich auf einer Liste des US-Handelsministeriums registrieren lassen, wenn diese ein angemessenes Schutzniveau gewährleisten.
Tipp: Die Artikel-29-Datenschutzgruppe hat weitere Hinweise für Unternehmen zum EU-US Privacy-Shield veröffentlicht.
Die Kommission überwacht fortlaufend die Entwicklung des Schutzniveaus in den Drittstaaten, deren Angemessenheit des Schutzniveaus von ihr festgestellt worden ist. Beschlüsse über die Festellung des Schutzniveaus können von der Kommission widerrufen oder geändert werden, wenn Informationen darüber vorliegen, dass in dem jeweiligen Drittland kein angemessenes Schutzniveau mehr gewährleistet ist.
Falls kein Beschluss der Kommission über das Vorliegen eines angemessenen Schutzniveaus vorliegt, darf ein Verantwortlicher oder ein Auftragsverarbeiter personenbezogene Daten an ein Drittland nur übermitteln, sofern der Verantwortliche oder der Auftragsverarbeiter geeignete Garantien vorgesehen hat und sofern den betroffenen Personen durchsetzbare Rechte und wirksame Rechtsbehelfe zur Verfügung stehen, Artikel 46 Absatz 1 DS-GVO. Was für Garantien das sein können, ohne dass eine besondere Genehmigung einer Aufsichtsbehörde dafür erforderlich wäre, stellt die DS-GVO in Absatz 2 lit. a) bis f) selbst dar. Diese Garantien bestehen in (In aller Kürze dargestellt):
- einem rechtlich bindenden und durchsetzbaren Dokument zwischen den Behörden und öffentlichen Stellen,
- verbindlichen internen Datenschutzvorschriften gemäß Artikel 47 DS-GVO,
- Standardvertragsklauseln, die von der Kommission gem. dem Prüfverfahren nach Artikel 93 Absatz 2 DS-GVO erlassen werden,
- von einer Aufsichtsbehörde angenommene Standardvertragsklauseln,
- genehmigte Verhaltensregeln gemäß Artikel 40 DS-GVO oder
- einem genehmigten Zertifizierungsmechanismus gemäß Artikel 42 DS-GVO zur Anwendung der geeigneten Garantien.
Gemäß Artikel 46 Absatz 3 DS-GVO können geeignete Garantien vorbehaltlich einer Genehmigung durch die zuständige Aufsichtsbehörde auch insbesondere bestehen in:
- Vertragsklauseln, die zwischen dem Verantwortlichen oder dem Auftragsverarbeiter und dem Verantwortlichen, dem Auftragsverarbeiter oder dem Empfänger der personenbezogenen Daten im Drittland vereinbart wurden oder
- Bestimmungen, die in Verwaltungsvereinbarungen zwischen Behörden oder öffentlichen Stellen aufzunehmen sind und durchsetzbare und wirksame Rechte für die betroffenen Personen einschließen.
Hinweis: In Bezug auf die oben genannten Garantien findet mitunter das sog. Kohärenzverfahren der europäischen Aufsichtsbehörden gemäß Artikel 63 DS-GVO Anwendung (siehe unten, „Das Kohärenzverfahren, Artikel 63 DS-GVO“). Wie sich die Praxis der Aufsichtsbehörden zwischen etwaigen besonderen Genehmigungen von Garantien und dem Kohärenzverfahren entwickelt, bleibt noch abzuwarten.
Für die Übermittlung in Drittstaaten sieht die DS-GVO noch eine Reihe von praktisch relevanten Ausnahmen für bestimmte Fälle vor, in denen weder ein Angemessenheitsbeschluss der Kommission (siehe oben), noch geeignete Garantien nach Artikel 46 DS-GVO bezüglich des Schutzniveaus (siehe oben) vorliegen. Dabei handelt es sich um folgende Fälle (Etwas verkürzte Darstellung):
- Es liegt eine wirksame Einwilligung der betroffenen Person vor,
- die Übermittlung ist für die Erfüllung eines Vertrages zwischen der betroffenen Person und dem Verantwortlichen oder zur Durchführung von vorvertraglichen Maßnahmen auf Antrag der betroffenen Person erforderlich,
- die Übermittlung ist zum Abschluss oder zur Erfüllung eines im Interesse der betroffenen Person von dem Verantwortlichen mit einer anderen natürlichen oder juristischen Person geschlossenen Vertrages erforderlich,
- die Übermittlung ist aus wichtigen Gründen des öffentlichen Interesses notwendig,
- die Übermittlung ist zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich,
- die Übermittlung ist zum Schutz lebenswichtiger Interessen der betroffenen Person oder anderer Personen erforderlich, sofern die betroffene Person aus physischen oder rechtlichen Gründen keine Einwilligung abgeben kann oder
- die Übermittlung erfolgt aus einem Register, das entweder der Öffentlichkeit offen steht oder allen anderen, die ein berechtigtes Interesse an der Einsichtnahme haben (Beispiel: Handelsregister).
Hinweis: Sollte es bei einem Brexit keine Regelungen zum Datenschutzrecht zwischen der EU und Großbritannien geben, ist Großbritannien ab dem 30. März 2019 datenschutzrechtlich ein Drittland. Unternehmen, die über dieses Datum hinaus eine Verarbeitung von personenbezogenen Daten in Großbritannien planen, sollten sich deshalb – falls dann kein Angemessenheitsbeschluss der Kommission vorliegen sollte – geeignete datenschutzrechtliche Garantien im Sinne des Artikel 46 DS-GVO einplanen und umsetzen.
Ein letzter Auffangtatbestand findet sich anschließend in Artikel 49 Absatz 1 Satz 2 DS-GVO.
Hinweis: Auch wenn die Übermittlung personenbezogener Daten ins Ausland gemäß Artikel 44 fortfolgende der DS-GVO zulässig ist, müssen die übrigen Vorschriften der DS-GVO eingehalten werden. Das bedeutet, dass auch in dem Fall, dass die jeweiligen personenbezogenen Daten innerhalb eines Drittstaates oder in einen anderen Drittstaat übermittelt werden, die Vorschriften der DS-GVO eingehalten werden müssen! Das ergibt sich aus dem „Marktortprinzip“ (Mehr dazu siehe oben unter „Der räumliche Anwendungsbereich“, Artikel 3 DS-GVO).
Zur Einhaltung der übrigen Vorschriften der DS-GVO gehört insbesondere, dass die Übermittlung personenbezogener Daten in Drittstaaten oder an internationale Organisationen zusätzliche Informations- und Auskunftspflichten des Verantwortlichen gegenüber den betroffenen Personen auslöst, siehe
- Artikel 13 Absatz 1 lit. f) DS-GVO
- Artikel 14 Absatz 1 lit. f) DS-GVO
- Artikel 15 Absatz 1 lit. c) DS-GVO
- Artikel 30 Absatz 1 lit d), e), Absatz 2 lit. c) DS-GVO
Weitere Informationen zu Informationspflichten finden Sie unter „Informationspflichten, Artiekl 13 DS-GVO“.
Hinweis: Hier kommen Sie zum Kurzpapier der DSK Nummer 4 Datenübermittlung in Drittländer.
Meldepflichten bei „Datenpannen“, Artikel 33, 34 DS-GVO
Sollte es zu datenschutzrechtlich relevanten Vorfällen kommen, umgangssprachlich „Datenpannen“, treffen den Verantwortlichen unter Umständen empfindliche Meldepflichten. Datenschutzrechtlich relevante Vorfälle sind Fälle der Verletzung des Schutzes personenbezogener Daten. Grundsätzlich hat der Verantwortliche jede Verletzung des Schutzes personenbezogener Daten zu melden. Die DS-GVO geht damit über die bisherige Regelung in § 42a BDSG deutlich hinaus.
Zu unterscheiden sind Meldepflichten gegenüber der jeweiligen Aufsichtsbehörde und Benachrichtigungspflichten gegenüber den betroffenen Personen. Kommt ein Verantwortlicher einer bestehenden Meldepflicht nicht nach, kann dieses Maßnahmen der Aufsichtsbehörden gemäß Artikel 58 Absatz 2 a) bis h), i) DS-GVO bis hin zur Verhängung von Bußgeldern gemäß Artikel 83 DS-GVO in Verbindung mit § 41 fortfolgende BDSG (Neu) zur Folge haben.
Meldungen an die Aufsichtsbehörde, Artikel 33 DS-GVO
Wie bereits erwähnt hat der Verantwortliche grundsätzlich jede Verletzung des Schutzes personenbezogener Daten zu melden. Die Meldepflicht besteht gegenüber den Aufsichtsbehörden gemäß Artikel 33 Abatz. 1 DS-GVO allerdings nicht, wenn die Verletzung nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt. Es ist abzuwarten, ob und wie weit die Aufsichtsbehörden diese schwer definierbare Einschränkung konkretisieren werden.
Die Meldung ist binnen 72 Stunden nach Kenntnis der Verletzung abzugeben. Sollte eine Meldung erst nach Ablauf dieser Frist erfolgen, hat der Verantwortliche dieses zu begründen.
Die Meldung muss mindestens die folgenden Informationen enthalten:
- eine Beschreibung der Art der Verletzung, soweit möglich mit Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen, der betroffenen Kategorien und der ungefähren Zahl der betroffenen Datensätze;
- den Namen und die Kontaktdaten des Datenschutzbeauftragten oder einer sonstigen Anlaufstelle für weitere Informationen;
- eine Beschreibung der wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten;
- eine Beschreibung der von dem Verantwortlichen ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung und gegebenenfalls Maßnahmen zur Abmilderung ihrer nachteiligen Auswirkungen.
Der Verantwortliche ist außerdem verpflichtet die Verletzungen zu dokumentieren. Dazu gehört auch die Dokumentation aller im Zusammenhang mit der Verletzung stehenden Fakten, die Auswirkungen der Verletzung und die getroffenen Abhilfemaßnahmen. Diese Dokumentation muss der Aufsichtsbehörde die Überprüfung ermöglichen, ob der Verantwortliche seinen Meldepflichten nach Artikel 33 DS-GVO nachgekommen ist.
Benachrichtigung an natürliche Personen, Artikel 34 DS-GVO
Eine Benachrichtigungspflicht gegenüber natürlichen Personen, also regelmäßig gegenüber den Betroffenen, setzt voraus, dass die Verletzung personenbezogener Daten voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten zur Folge hat. Ob ein Risiko als hoch einzustufen ist, ist nach objektiven Kriterien zu beurteilen (vergleiche Erwägungsgrund 76). Ob dabei dieselben Maßstäbe gelten, wie bei der Datenschutz-Folgenabschätzung (siehe oben) ist noch offen.
Eine Benachrichtigung betroffener Personen ist nicht erforderlich, wenn einer der in Artikel 34 Absatz 3 DS-GVO genannten Ausnahmetatbestände greift:
- Der Verantwortliche hat geeignete technische und organisatorische Sicherheitsvorkehrungen getroffen und diese Vorkehrungen auf die von der Verletzung betroffenen personenbezogenen Daten angewandt, insbesondere solche, durch die die personenbezogenen Daten für alle Personen, die nicht zum Zugang zu den personenbezogenen Daten befugt sind, unzugänglich gemacht werden, etwa durch Verschlüsselung,
- der Verantwortliche durch nachfolgende (das heißt nach dem Vorfall durchgeführte) Maßnahmen sichergestellt hat, das das hohe Risiko für die Rechte und Freiheiten der betroffenen Personen aller Wahrscheinlichkeit nach nicht mehr besteht oder
- die Benachrichtigung mit einem unverhältnismäßigen Aufwand verbunden wäre. In diesem Fall hat der Verantwortliche stattdessen eine öffentliche Bekanntmachung oder eine ähnliche Maßnahme durchzuführen, durch die die betroffenen Personen vergleichbar wirksam informiert werden.
Wenn eine Benachrichtigungspflicht besteht, hat der Verantwortliche den betroffenen Personen in klarer und einfacher Sprache die Art der Verletzung des Schutzes personenbezogener Daten zu beschreiben. Außerdem hat die Benachrichtigung die Informationen zu enthalten, wie sie die Meldung an die Aufsichtsbehörde zu enthalten hat (siehe oben zur Meldepflicht gegenüber der Aufsichtsbehörde Aufzählungspunkte 2 bis 4).
Das Kohärenzverfahren, Artikel 63 DS-GVO
Die DS-GVO führt das sogenannte Kohärenzverfahren ein. Zweck des Kohärenzverfahrens ist die einheitliche Anwendung der DS-GVO für die Zusammenarbeit zwischen den Aufsichtsbehörden in der EU. Das Kohärenzverfahren findet Anwendung, wenn
- eine Aufsichtsbehörde Maßnahmen erlassen möchte, die für eine bedeutende Zahl betroffener Personen in mehreren Mitgliedstaaten erheblich Auswirkungen haben,
- eine Aufsichtsbehörde oder die EU-Kommission dieses beantragt,
- Positiv- oder Negativlisten in den Fällen des Artikel 35 Absatz 6 DS-GVO festgelegt werden,
- Verhaltensregeln in den Fällen des Artikel 40 Absatz 7, Artikel 41 Absatz 3 DS-GVO ausgearbeitet werden,
- im Fall des Artikel 46 Absatz 3 DS-GVO geeignete Garantien genehmigt werden, Artikel 46 Absatz 4 DS-GVO oder
- wenn in den Fällen des Artikel 47 Absatz 1 DS-GVO verbindliche interne Datenschutzvorschriften genehmigt werden.
Zertifizierung, Artikel 42 DS-GVO
Die DS-GVO sieht in Artikel 42 die Förderung der Einführung von datenschutzspezifischen Zertifizierungsverfahren und Datenschutzsiegeln durch Mitgliedstaaten, die Aufsichtsbehörden, den Europäischen Datenschutzausschuss und die EU-Kommission vor. Hier ist noch abzuwarten, worauf sich die relevanten Institutionen verständigen werden.
Hinweis: Hier kommen Sie zum Kurzpapier der DSK Nummer 9 Zertifizierung nach Artikel 42 DS-GVO.
Bußgelder
Die DS-GVO sieht empfindliche Bußgelder vor. Verstöße gegen bestimmte Tatbestände in Artikel 83 DS-GVO können mit Geldbußen bis zu 20.000.000,- Euro oder im Falle eines Unternehmens bis zu vier Prozent des weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres verhängt werden – je nachdem, welcher Betrag höher ist.
Hinweis: Hier kommen Sie zum „Working Paper“ Nummer 253 der Artikel 29-Gruppe mit Leitlinien für die Anwendung und Festsetzung von Geldbußen im Sinne der DSGVO, um eine einheitliche europaweite Praxis zu gewährleisten.