Art. 37 DSGVO, § 38 BDSG-neu
bisher: § 4 f Abs. 1 BDSG

Bei Prüfung der Erforderlichkeit zur Benennung eines Datenschutzbeauftragten sollten Unternehmen den Einfluss der Öffnungsklauseln berücksichtigen. Öffnungsklauseln räumen einer oder mehreren Parteien die Möglichkeit ein, von dem Vertrag abweichende Regelungen vorzunehmen. So räumt die DSGVO den EU-Mitgliedstaaten die Möglichkeit ein, ergänzende nationale Regelungen in Bezug auf die Benennung eines Datenschutzbeauftragten zu treffen.

Deutschland möchte sein bestehendes System zukünftig aufrecht erhalten. Die bestehenden Regelungen aus § 4 f Abs. 1 BDSG werden daher weiterhin für deutsche Unternehmen gelten.

So besteht für Unternehmen nach § 38 BDSG-neu weiterhin die Pflicht zur Benennung eines Datenschutzbeauftragten, wenn in der Regel mindestens zehn Personen ständig mit der automatisierten Datenverarbeitung beschäftigt sind. BDSG-neu ist die Neufassung des noch aktuellen BDSG und wird dieses komplett ersetzen.

Unabhängig von der Anzahl der mit der Datenverarbeitung beschäftigten Personen ist ein Datenschutzbeauftragter auch dann zu bestellen, wenn im Unternehmen Datenverarbeitungen vorgenommen werden, die eine Datenschutz-Folgenabschätzung erfordern.

Eine Datenschutz-Folgenabschätzung ist immer dann vorzunehmen, wenn eine Form der Datenverarbeitung wahrscheinlich ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen birgt. Auf die Datenschutz-Folgenabschätzung gehen wir in einem späteren Newsletter noch ausführlich ein.

Sollte sich herausstellen, dass keine Verpflichtung zur Bestellung besteht, ist zu überlegen, ob die Bestellung des Datenschutzbeauftragten freiwillig erfolgen soll. Grund für diese Empfehlung sind die enormen Änderungen im Datenschutzrecht, die mit der DSGVO einhergehen.

Immerhin wurde das Spektrum an Aufgaben, insbesondere in den Bereichen Prüfung, Überwachung und Informationspflichten stark erweitert. Viele dieser Aufgaben fallen selbst dann an, wenn nach der DSGVO kein Datenschutzbeauftragter zu benennen ist.

Datenschutzbeauftragter kann ein Mitarbeiter des Unternehmens sein, er muss jedoch die notwendige Zuverlässigkeit und Fachkunde für die Ausübung der Tätigkeit mitbringen. Alternativ kann die Position auch mit einem externen Datenschutzbeauftragten besetzt werden.

Der Name des Datenschutzbeauftragten muss an die Aufsichtsbehörde gemeldet werden. Darüber hinaus müssen seine Kontaktdaten auf der Homepage des Unternehmens veröffentlicht werden. Zu den Kontaktdaten des Datenschutzbeauftragten gehören mindestens folgende Informationen: Adresse, Telefonnummer, E-Mailadresse des Datenschutzbeauftragten.

Kapitel 3 DSGVO
bisher: §§ 33-35 BDSG

Im dritten Kapitel der DSGVO geht es um die Rechte der Betroffenen. Betroffener ist dabei jeder, dessen personenbezogenen Daten erhoben, verarbeitet, gespeichert oder sonst wie genutzt werden.  

Die DSGVO stärkt die Rechte der Betroffenen spürbar, indem sie die Rechte wesentlich detaillierter und umfassender regelt als das bisher geltende Bundesdatenschutzgesetz (BDSG).

Eine betroffene Person kann ihre Rechte aber nur dann ausüben, wenn sie weiß, dass personenbezogene Daten über sie verarbeitet werden. Ein wesentlicher Grundsatz im Datenschutzrecht ist daher „Transparenz“. Von einer Datenverarbeitung betroffene Personen sollen wissen, wer welche Daten über sie zu welchem Zweck erhebt, verarbeitet oder sonst wie nutzt. Das kann nur gewährleistet werden, wenn die Betroffenen über die Verarbeitung ihrer Daten umfassend informiert werden.

1 Informationspflichten

Art. 13 DSGVO
Art. 14 DSGVO
bisher: § 33 BDSG

Entsprechende Informationspflichten kennt bereits das BDSG. Je nachdem, ob die Daten beim Betroffenen selbst oder ohne seine Kenntnis erhoben werden, hat ein Unternehmen der betroffenen Person verschiedene Informationen zur Verfügung zu stellen.

Die DSGVO unterscheidet ebenfalls danach, ob die Daten beim Betroffenen selbst oder nicht direkt bei ihm erhoben werden. Art. 13 (Datenerhebung bei der betroffenen Person) und Art. 14 (Datenerhebung nicht bei der betroffenen Person selbst) regeln katalogartig, welche Informationen zu erteilen sind.

2 Auskunftsanspruch des Betroffenen

Art. 15 DSGVO, § 34 BDSG-neu
bisher:  § 34 BDSG

Ebenso wie das derzeit geltende BDSG  sieht die DSGVO ein Auskunftsrecht des Betroffenen vor, wonach dieser auf Verlangen über die Art, den Inhalt und die Zwecke der Verarbeitung seiner personenbezogenen Daten zu informieren ist.  

Macht ein Betroffener von seinem Auskunftsanspruch Gebrauch, hat er ein Recht auf Auskunft über diese Daten und folgende Informationen:

• die Verarbeitungszwecke
• die Kategorien personenbezogener Daten, die verarbeitet werden
• die Empfänger oder Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, insbesondere bei Empfängern in Drittländern oder bei internationalen Organisationen
• falls möglich, die geplante Dauer, für die die personenbezogenen Daten gespeichert werden, oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer
• das Bestehen eines Rechts auf Berichtigung oder Löschung der ihn betreffenden personenbezogenen Daten
• das Bestehen eines Rechts auf Einschränkung der Verarbeitung durch den Verantwortlichen oder eines Widerspruchsrechts gegen diese Verarbeitung
• das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde
• alle verfügbaren Informationen über die Herkunft der Daten, wenn die personenbezogenen Daten nicht bei dem Betroffenen selbst erhoben wurden
• das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Art. 22 Abs. 1 und 4 und – zumindest in diesen Fällen – aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person

Auf entsprechende Anfragen eines Betroffenen muss das Unternehmen innerhalb eines Monats antworten. Zwar gibt es die Möglichkeit, diese Frist zu verlängern, allerdings müssen die Gründe dafür dem Betroffenen ebenfalls innerhalb eines Monats mitgeteilt werden.

Stellt die betroffene Person den Antrag elektronisch, so ist auch die Auskunft nach Möglichkeit auf elektronischem Weg zu erteilen, sofern die betroffene Person nichts anderes angibt. Andernfalls erfolgt die Auskunft schriftlich per Brief.

Die Erteilung der Auskunft hat unentgeltlich zu erfolgen.

Ausnahmen: Auskunftsanfragen betroffener Personen müssen nicht in jedem Fall beantwortet werden. Bei unbegründeten oder exzessiven Anträgen kann die Auskunft verweigert werden. Wird eine große Menge von Informationen über die betroffene Person verarbeitet, kann verlangt werden, dass die betroffene Person zunächst präzisiert, auf welche Information oder welche Verarbeitungsvorgänge sich ihr Auskunftsersuchen bezieht.

3 Recht auf Berichtigung

Art. 16 DSGVO
bisher: § 35 BDSG

4 Recht auf Löschung („Recht auf Vergessenwerden“)

Art. 17 DSGVO, § 35 BDSG-neu
bisher: § 35 BDSG

Personenbezogene Daten dürfen nur dann gespeichert und verarbeitet werden, wenn eine Berechtigung dazu besteht. Diese ist (nur) dann gegeben, wenn ein Gesetz die Verarbeitung der Daten zum vorgesehenen Zweck vorschreibt oder erlaubt oder wenn der Betroffene ausdrücklich und freiwillig in die Datenverarbeitung eingewilligt hat.

Unternehmen müssen die personenbezogenen Daten löschen,  wenn:

• die Speicherung der Daten für den vorgesehenen Zweck nicht mehr notwendig ist
• der Betroffene seine Einwilligung zur Datenverarbeitung widerruft und eine andere Rechtsgrundlage für die Verarbeitung der Daten fehlt
• die Daten unrechtmäßig verarbeitet wurden
• eine Rechtspflicht zum Löschen besteht

Das auch bisher schon bestehende Recht auf Löschung wurde in der DSGVO ausdrücklich zum „Recht auf Vergessenwerden“ erweitert: Hat das Unternehmen die zu löschenden Daten an Dritte weitergegeben oder öffentlich gemacht, hat es bei Vorliegen eines Löschungsgrundes unter Berücksichtigung der verfügbaren Technologie angemessene Maßnahmen zu treffen, um Dritte, die die Daten verarbeiten, über den Löschungswunsch der betroffenen Person zu informieren. Alle Links zu deren personenbezogenen Daten oder Kopien oder Replikationen dieser Daten müssen gelöscht werden.

Ausnahmen von der Pflicht zur Löschung sind in Art. 17 Abs. 3 DSGVO genannt. Danach besteht eine Löschpflicht nicht, soweit die Verarbeitung erforderlich ist

• zur Ausübung des Rechts auf freie Meinungsäußerung und Information
• zur Erfüllung einer rechtlichen Verpflichtung, die die Verarbeitung nach dem Recht der Union oder der Mitgliedstaaten, dem der Verantwortliche unterliegt, erfordert, oder zur Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde
• aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit
• für im öffentlichen Interesse liegende Archivzwecke, wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke gemäß Artikel 89 Absatz 1, soweit das in Absatz 1 genannte Recht voraussichtlich die Verwirklichung der Ziele dieser Verarbeitung unmöglich macht oder ernsthaft beeinträchtigt, oder
• zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen

Weitere Ausnahmen etwa für in Papierform gespeicherte Daten sieht § 35 BDSG-neu vor.

Ebenso stehen gesetzliche Aufbewahrungspflichten, bspw. handels- oder steuerrechtlicher Art, einer Löschung entgegen.

Wie die Anforderungen des Art. 17 DSGVO, insbesondere die Datenlöschung im Internet („digitaler Radiergummi“),  in der Praxis konkret umzusetzen sind, ist in der DSGVO nicht geregelt. Es bleibt zu hoffen, dass der Europäische Datenschutzausschuss möglichst bald Leitlinien, Empfehlungen und Verfahren zu Art. 17 DSGVO bereitstellt.

Unabhängig davon ist ein Verstoß gegen Art. 17 DSGVO bußgeldbewehrt.

5 Recht auf Einschränkung der Verarbeitung

Art. 18 DSGVO
bisher: § 35 Abs. 3 BDSG

Das Recht auf Einschränkung der Verarbeitung entspricht im weitesten Sinne dem Recht auf Sperrung nach § 35 Abs. 3 BDSG. Durch Art. 18 DSGVO kann der Betroffene verlangen, dass sämtliche über ihn erhobene personenbezogene Daten fortan nur mit individueller Einwilligung verarbeitet werden dürfen. Die Berechtigung der Unternehmen zur Speicherung der Daten wird dadurch allerdings nicht berührt. Ist eine Einschränkung erfolgt, soll das Unternehmen die gespeicherten Daten nur nicht wie bisher verwenden können.

Eine Einschränkung der Verarbeitung ist dann vorzunehmen, wenn der Betroffene es verlangt und

• er die Richtigkeit der personenbezogenen Daten bestreitet, wobei die Einschränkung dann für die Dauer zu bewirken ist, die es dem Unternehmen ermöglicht, die Richtigkeit der personenbezogenen Daten zu überprüfen, oder
• die Verarbeitung unrechtmäßig ist und die betroffene Person die Löschung der personenbezogenen Daten ablehnt und stattdessen die Einschränkung der Nutzung der personenbezogenen Daten verlangt, oder
• das Unternehmen die personenbezogenen Daten für die Zwecke der Verarbeitung nicht länger benötigt, die betroffene Person sie jedoch zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen benötigt, oder
• der Betroffene Widerspruch gegen die Verarbeitung eingelegt hat, solange noch nicht feststeht, ob die berechtigten Gründe des Unternehmens gegenüber denen des Betroffenen überwiegen

Die Einschränkung der Verarbeitung soll durch technische Mittel grundsätzlich so erfolgen, dass die personenbezogenen Daten in keiner Weise weiterverarbeitet oder verändert werden können. Auf die Tatsache, dass die Verarbeitung der Daten beschränkt wurde, sollte in dem System ausdrücklich hingewiesen werden.

Methoden zur Beschränkung der Verarbeitung könnten unter anderem sein, dass die Daten vorübergehend auf ein anderes Verarbeitungssystem übertragen werden, dass sie für Nutzer gesperrt werden oder dass veröffentliche Daten vorübergehend von der Webseite entfernt werden.

Auch im Falle der Einschränkung der Verarbeitung ist das Unternehmen gemäß Art. 19 DSGVO verpflichtet, Dritte, an welche die Daten übermittelt wurden, zu informieren, damit diese ihre Verarbeitungsprozesse selbst einschränken können. Die Pflicht entfällt, wenn die Unterrichtung unmöglich oder dem Unternehmen nicht zumutbar ist („unverhältnismäßiger Aufwand“). Verlangt der Betroffene Auskunft über die Personen der Dritten, so ist diese unverzüglich zu erteilen.

6 Recht auf Datenübertragbarkeit

Art. 20 DSGVO

Neu ist das Recht auf Datenübertragbarkeit. Danach ist der Betroffene befugt,  die von ihm zur Verfügung gestellten Daten von einer automatisierten Anwendung, etwa einem sozialen Netzwerk, auf eine andere Anwendung zu übertragen. Betroffene sollen dadurch leichter von einem Anbieter zu einem anderen wechseln können, ohne den Verlust ihrer Daten befürchten zu müssen.

Der Betroffene kann insofern die Herausgabe der erhobenen Daten in einem strukturierten, gängigen und maschinenlesbaren Format verlangen und die Daten eigenständig einem anderen Unternehmen übermitteln. Alternativ kann er verlangen, dass das Unternehmen die Daten  unmittelbar an den bestimmungsgemäßen Empfänger übermittelt.

Das Recht auf Datenübertragbarkeit ist jedoch auf die folgenden Fälle beschränkt:

• Die Datenverarbeitung beruht auf einer Einwilligung des Betroffenen oder erfolgt zur Durchführung eines Vertragsverhältnisses und
• Die Datenverarbeitung erfolgt mithilfe automatisierter Verfahren

Bei Newsletter-Systemen und Social Media Angeboten beispielsweise beruht die Datenverarbeitung zumeist auf einer Einwilligung des Betroffenen im Anmeldevorgang und im Onlinehandel besteht nahezu immer eine (Kauf-)Vertragsbeziehung zwischen dem Kunden und dem Händler.

Die genauen technischen Anforderungen für das Format der Daten sind in der DSGVO nicht geregelt.

7 Widerspruchsrecht

Art. 21 DSGVO

Nach Art. 21 DSGVO können betroffene Personen der Verarbeitung ihrer personenbezogenen Daten widersprechen. Das Widerspruchsrecht richtet sich gegen die rechtmäßige Datenverarbeitung; es gilt dann, wenn der Betroffene zuvor in die Datenverarbeitung eingewilligt hat.
Bei einer rechtswidrigen Datenverarbeitung hingegen hat der Betroffene das Recht, Beschwerde bei einer Aufsichtsbehörde einzureichen, Art. 77 DSGVO.

Bei einem Widerspruch dürfen die Daten der betroffenen Person nicht mehr verarbeitet werden, es sei denn, das Unternehmen kann zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, die die Interessen, Rechte und Freiheiten der betroffenen Person überwiegen (Interessenabwägung erforderlich) oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.

Es bleibt abzuwarten, wie sich die Ausnahmen in der Praxis auswirken und welche Begründungen bzw. Nachweise von den Behörden letztlich anerkannt werden.

Im Fall der Direktwerbung findet eine Interessenabwägung nicht statt. Widerspricht ein Betroffener der Nutzung seiner Daten zu Werbezwecken, dürfen die Daten in keinem Fall mehr für Werbezwecke genutzt werden. Das gilt unabhängig von der Art der Werbung (postalische Werbung, E-Mail, Fax, Telefon etc.). Der Widerspruch bezieht sich in diesem Falle auch auf sämtliche Maßnahmen zur Erstellung von Nutzerprofilen, die mit der Werbung in Zusammenhang stehen.

Unternehmen müssen Betroffene spätestens zum Zeitpunkt der ersten Kommunikation ausdrücklich sowie in einer verständlichen und von anderen Informationen getrennten Form auf das Widerspruchsrecht hinweisen.

Bei der Durchführung von Werbemaßnahmen muss stets geprüft werden, ob bereits Werbe-Widersprüche vorliegen.

8 Automatisierte Entscheidungen im Einzelfall einschließlich Profiling

Art. 22 DSGVO

Art. 22 Abs. 1 DSGVO beschreibt ein Betroffenenrecht, das insbesondere im Zusammenhang mit der Erstellung von Nutzerprofilen und der Zusammenarbeit mit Auskunfteien eine bedeutende Rolle spielt.

Die Vorschrift verbietet es, ausschließlich automatisierte Verarbeitungsprozesse - einschließlich Profiling - zur Grundlage einer Entscheidung zu machen, die dem Betroffenen gegenüber rechtliche Wirkung entfaltet oder ihn in ähnlicher Weise erheblich beeinträchtigt.

Eine automatisierte Einzelentscheidung liegt vor, wenn die Entscheidung ausschließlich algorithmenbasiert getroffen wird ohne zusätzlich durch einen Menschen überprüft worden zu sein. Beispiel: die automatische Ablehnung eines Online-Kreditantrages ohne jegliches menschliches Eingreifen.

Profiling ist nach Art. 4 Nr. 4 DSGVO „jede Art der automatisierten Verarbeitung personenbezogener Daten, die darin besteht, dass diese personenbezogenen Daten verwendet werden, um bestimmte persönliche Aspekte, die sich auf eine natürliche Person beziehen, zu bewerten, insbesondere um Aspekte bezüglich Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persönliche Vorlieben, Interessen, Zuverlässigkeit, Verhalten, Aufenthaltsort oder Ortswechsel dieser natürlichen Person zu analysieren oder vorherzusagen“.

Eine Ausnahme vom Verbot besteht u. a. dann, wenn die automatisierte Entscheidung für den Abschluss oder die Erfüllung eines Vertrages erforderlich ist oder der Betroffene eingewilligt hat.

Das ist bspw. der Fall bei der Anfrage von Bonitätsnachweisen bei Kreditinstituten oder Auskunfteien, wie der Schufa, von deren Ausfall die Begründung schuldrechtlicher Verbindlichkeiten automatisch abhängig gemacht wird.

Somit wird es für (Online-) Händler auch weiterhin möglich sein, einen Vertragsschluss bei bestimmten Zahlungsarten, wie bspw. Lastschrift,  unter den Vorbehalt der erfolgreichen Bonitätsprüfung zu stellen.

Ist eine ausschließlich datenbasierte Entscheidung nicht zur Begründung oder Durchführung eines Vertrages notwendig, ist sie nur mit Einwilligung des Betroffenen zulässig.

Über das Bestehen einer automatisierten Einzelentscheidung sowie die damit verbundene Logik, Tragweite und Auswirkung müssen die betroffenen Personen vorab informiert werden und - sofern die automatisierte Einzelentscheidung auf der Einwilligung der betroffenen Person beruht - auch über ihr Widerrufsrecht.

Erfolgt eine automatisierte Einzelentscheidung in unzulässiger Weise, soll der Betroffene berechtigt sein, die Entscheidung anzufechten.

Die Artikel 29-Datenschutzgruppe hat angekündigt, einen Leitfaden zum Thema Profiling zu veröffentlichen. Der Leitfaden wird dann eine hoffentlich nützliche Auslegungshilfe  zu diesem komplexen Thema darstellen.

Art. 30 DSGVO
bisher: Verfahrensverzeichnis § 4g Abs. 2 BDSG, § 4e BDSG

Das Verzeichnis von Verarbeitungstätigkeiten nach der DSGVO ist grundsätzlich nichts anderes als das bekannte Verfahrensverzeichnis aus dem BDSG. Es handelt sich hierbei um die Dokumentation und Übersicht von Verarbeitungsvorgängen, die personenbezogene Daten betreffen. Das Verzeichnis von Verarbeitungstätigkeiten löst folglich das alte Verfahrensverzeichnis ab, bringt allerdings auch einige Neuerungen mit sich.

Eine wesentliche Neuerung ist, dass auch Auftragsverarbeiter ein Verzeichnis über alle im Auftrag verarbeiteten Daten führen müssen.
„Auftragsverarbeiter“ ist eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet, wie bspw. Rechenzentrum- oder Cloud-Anbieter.

Das Verzeichnis soll zum Nachweis der Einhaltung der DSGVO dienen und ist der zuständigen Aufsichtsbehörde auf Verlangen jederzeit und vollständig vorzulegen.

Das Verzeichnis ist schriftlich zu führen, was in auch in einem elektronischen Format erfolgen kann.

Unabhängig von der künftigen Bußgeldpraxis der Aufsichtsbehörden, kann bei einem fehlenden oder unvollständigen Verzeichnis ein Bußgeld von bis zu 10 Mio. Euro oder bis zu 2% des gesamten weltweiten Jahresumsatzes des Unternehmens verhängt werden. Daher ist in jedem Fall zu raten, ein  Verzeichnis von Verarbeitungstätigkeiten vorzuhalten.

Zwar sieht die DSGVO eine Ausnahme von der Dokumentationspflicht für Unternehmen mit weniger als 250 Mitarbeitern vor, jedoch dürfte diese Ausnahme nur selten greifen.

Denn sie gilt  unter anderem nur, soweit die durchgeführte Datenverarbeitung kein Risiko für die Rechte und Freiheiten der Betroffenen birgt, die Verarbeitung nur gelegentlich erfolgt oder nicht die Verarbeitung besonders sensibler Daten einschließt.

Unabhängig davon, was „nur gelegentlich“ konkret bedeutet, wird es bei den meisten Unternehmen mit weniger als 250 Mitarbeitern Datenverarbeitungsvorgänge geben, die in jedem Fall regelmäßig (und nicht nur gelegentlich) erfolgen, wie bspw. die regelmäßige Verarbeitung von Kunden- oder Mitarbeiterdaten,  so dass auch hier ein Verzeichnis von Verarbeitungstätigkeiten zu führen sein wird.

Der Inhalt des Verzeichnisses ist in Art. 30 DSGVO festgelegt.

Danach umfasst das Verzeichnis des  Verantwortlichen folgende Angaben (Art. 30 Abs. 1 DSGVO):

• den Namen und die Kontaktdaten des Verantwortlichen und gegebenenfalls des gemeinsam mit ihm Verantwortlichen, des Vertreters des Verantwortlichen sowie eines etwaigen Datenschutzbeauftragten
• die Zwecke der Verarbeitung
• die Kategorien betroffener Personen und personenbezogener Daten
• die Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden
• gegebenenfalls Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation
• die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien
• eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Art. 32 Abs. 1 DSGVO.

Das Verzeichnis des  Auftragsverarbeiters hat demgegenüber folgende Angaben zu enthalten (Art. 30 Abs. 2 DSGVO):

• den Namen und die Kontaktdaten des Auftragsverarbeiters und jedes Verantwortlichen, in dessen Auftrag der Auftragsverarbeiter tätig ist, sowie gegebenenfalls des Vertreters des Verantwortlichen oder des Auftragsverarbeiters und eines etwaigen Datenschutzbeauftragten
• die Kategorien von Verarbeitungen, die im Auftrag jedes Verantwortlichen durchgeführt werden
• gegebenenfalls Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation
• eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Art. 32 Abs. 1 DSGVO.

Bestehen bereits Verfahrensverzeichnisse nach § 4g Abs. 2 BDSG im Unternehmen, sind sie eine gute Grundlage für das Verzeichnis von Verarbeitungstätigkeiten. In diesem Fall ist zu prüfen, inwieweit die vorhandenen Verfahrensverzeichnisse die inhaltlichen Anforderungen der DSGVO erfüllen bzw. entsprechend ergänzt werden müssen.

Gibt es noch kein Verfahrensverzeichnis, muss zunächst ermittelt werden, in welchen Fällen personenbezogene Daten (z.B. von Kunden, Lieferanten oder Beschäftigten) erhoben und verarbeitet werden.
Hierzu bietet es sich an, zunächst alle innerhalb der Systemlandschaft des Unternehmens eingesetzten Anwendungen und Tools aufzulisten, in denen personenbezogene Daten gespeichert werden. Dies hilft bei der Ermittlung der Datenflüsse im Unternehmen und kann als Grundlage für das Verzeichnis von Verarbeitungstätigkeiten dienen.

Aufgrund von Unterschieden in den einzelnen Verfahren wird das Verzeichnis in der Praxis zumeist aus mehreren Einzel-Verzeichnissen für verschiedene Verarbeitungsvorgänge (z.B. Zeiterfassungssystem, CRM-System) bestehen.

Es ist ratsam, im eigenen Interesse rechtzeitig ein vollständiges Verzeichnis von Verarbeitungstätigkeiten zu erstellen. Das Verzeichnis dient als wesentliche Grundlage für eine strukturierte Datenschutzdokumentation und hilft Unternehmen dabei, nachzuweisen, dass die Vorgaben aus der DSGVO eingehalten werden.

Art. 35 DSGVO
bisher: Vorabkontrolle § 4d Abs. 5 BDSG

Mit der DSGVO wird das Instrument der Datenschutz-Folgenabschätzung eingeführt.

Die Datenschutz-Folgenabschätzung ist ein spezielles Instrument zur Beschreibung, Bewertung und Eindämmung von Risiken für die Rechte und Freiheiten natürlicher Personen bei der Verarbeitung personenbezogener Daten.

Die Datenschutz-Folgenabschätzung ähnelt der aus dem BDSG bereits bekannten Vorabkontrolle, bringt allerdings auch wesentliche Neuerungen mit sich.

Jedes Verfahren, in dem personenbezogene Daten verarbeitet werden, ist vor Beginn darauf zu prüfen, ob es aufgrund seiner Art, seines Umfangs, seiner Umstände und seiner Zwecke wahrscheinlich ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen mit sich bringt. Auch bereits bestehende Verarbeitungsvorgänge können unter die Pflicht einer Datenschutz-Folgenabschätzung fallen.

Ergibt die Prüfung, dass ein voraussichtlich hohes Risiko für die Rechte und Freiheiten der Betroffenen besteht, ist eine Datenschutz-Folgenabschätzung durchzuführen. Dabei müssen anhand einer Risikobewertung geeignete Maßnahmen zur Eindämmung des identifizierten Risikos festgelegt werden.

Ergibt die Prüfung, dass der Verarbeitungsvorgang kein hohes Risiko aufweist, ist eine Datenschutz-Folgenabschätzung nicht zwingend erforderlich. In jedem Fall sollte aber zu Nachweiszwecken auch die Entscheidung, eine Datenschutz-Folgenabschätzung nicht durchzuführen, schriftlich dokumentiert und begründet werden.

Gemäß Art. 35 Abs. 3 DSGVO ist eine Datenschutz-Folgenabschätzung insbesondere in den folgenden Fällen erforderlich:

• systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen, die sich auf automatisierte Verarbeitung einschließlich Profiling gründet und die ihrerseits als Grundlage für Entscheidungen dient, die Rechtswirkung gegenüber natürlichen Personen entfalten oder diese in ähnlich erheblicher Weise beeinträchtigen
• umfangreiche Verarbeitung besonderer Kategorien von personenbezogenen Daten gemäß Art. 9 Abs. 1 DSGVO oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Art. 10 DSGVO oder
• systematische umfangreiche Überwachung öffentlich zugänglicher Bereiche

Die Aufzählung ist nicht abschließend, so dass auch in anderen Fällen eine Datenschutz-Folgenabschätzung durchzuführen sein kann. Das hierfür maßgebliche Kriterium “hohes Risiko für die Rechte und Freiheiten der Betroffenen” wird in der DSGVO nicht näher definiert, so dass Auslegungsspielraum und eine Ungewissheit bleiben.

Die so genannte Artikel 29-Datenschutzgruppe, ein Zusammenschluss der nationalen Datenschutzbehörden in Europa, hat einen Leitfaden mit Kriterien veröffentlicht, wann eine Datenschutz-Folgenabschätzung erforderlich sein soll. Den Leitfaden gibt es zurzeit nur in englischer Sprache: Guidelines on Data Protection Impact Assessment (DPIA)

Die im Leitfaden aufgeführte Liste ist nicht rechtsverbindlich, gibt aber einen Anhaltspunkt dafür, welche Kriterien die Datenschutzbehörden vermutlich anlegen werden. In der Liste sind insbesondere die folgende Fälle genannt, in denen eine Datenschutz-Folgenabschätzung durchgeführt werden soll:

• Bewertung und Einstufung (Scoring) einschließlich Prognosen und Profilerstellung, insbesondere in den Bereichen Arbeit, wirtschaftliche Situation, Gesundheit, persönliche Vorlieben und Interessen, Bonität, Verhaltensweisen, Aufenthaltsort
• Automatisierte Entscheidungen mit rechtlichen oder ähnlich signifikanten Auswirkungen für Betroffene
• Systematisches Monitoring
• Verarbeitung sensibler Daten (bspw. Gesundheitsdaten)
• Umfangreiche Datenverarbeitungen, bezogen auf die Anzahl betroffener Personen und Datenkategorien, die Dauer der Verarbeitung, die geographische Ausdehnung
• Zusammenführung oder Abgleich von Datensätzen
• Verarbeitung von Daten besonders schutzbedürftiger Personen (bspw. Kinder, ältere Menschen, Patienten, Mitarbeiter)
• Einsatz neuer Technologien (bspw. Fingerabdrucksensoren, Gesichtserkennung)
• Datentransfer in Länder außerhalb der EU
• Datenverarbeitung, die dazu führen kann, dass ein Betroffener seine Rechte nicht ausüben oder eine Leistung nicht in Anspruch nehmen kann (bspw. Prüfung der Kreditwürdigkeit)

Nach dem Leitfaden soll eine Pflicht zur Durchführung einer Datenschutz-Folgenabschätzung nicht sofort bestehen, wenn (nur) ein Kriterium erfüllt ist; vielmehr soll (als Faustregel) eine Datenschutz-Folgenabschätzung dann notwendig sein, wenn eine Datenverarbeitung mindestens zwei der genannten Kriterien erfüllt.

Darüber hinaus haben die Aufsichtsbehörden gemäß Art. 35 Abs. 4 DSGVO eine Liste der Verarbeitungsvorgänge zu erstellen und zu veröffentlichen, für die eine Datenschutz- Folgenabschätzung durchzuführen ist. Nach eigener Aussage der Aufsichtsbehörden ist diese Liste derzeit in Bearbeitung.

Bei der Durchführung der Datenschutz-Folgenabschätzung ist der Rat des Datenschutzbeauftragten einzuholen, sofern ein solcher benannt wurde.

Wie eine Datenschutz-Folgenabschätzung konkret durchzuführen und zu dokumentieren ist, ist in der DSGVO nicht geregelt. Art. 35 Abs. 7 DSGVO enthält lediglich allgemeine Vorgaben hinsichtlich der Anforderungen an eine Datenschutz-Folgenabschätzung. Dabei wird aber auch klargestellt, dass es sich lediglich um Mindestanforderungen handelt.

Hiernach hat eine Datenschutz-Folgenabschätzung mindestens Folgendes zu enthalten:

• eine systematische Beschreibung der geplanten Verarbeitungsvorgänge und der Zwecke der Verarbeitung, gegebenenfalls einschließlich der von dem Verantwortlichen verfolgten berechtigten Interessen
• eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf den Zweck
• eine Bewertung der Risiken für die Rechte und Freiheiten der betroffenen Personen,  insbesondere der Eintrittswahrscheinlichkeit und Schwere der möglichen Verletzung von Rechten
• die zur Bewältigung der Risiken geplanten Abhilfemaßnahmen, einschließlich Garantien, Sicherheitsvorkehrungen und Verfahren, durch die der Schutz personenbezogener Daten sichergestellt und der Nachweis dafür erbracht wird, dass diese Verordnung eingehalten wird, wobei den Rechten und berechtigten Interessen der betroffenen Personen und sonstiger Betroffener Rechnung getragen wird

Ergibt eine Datenschutz-Folgenabschätzung, dass die Verarbeitung trotz Maßnahmen zur Risikominimierung ein hohes Risiko für die Rechte und Freiheiten der Betroffenen zur Folge hätte, muss das Verfahren, bevor es durchgeführt wird, der zuständigen Aufsichtsbehörde gemeldet werden (Art. 36 DSGVO). Diese soll so die Möglichkeit erhalten, auf kritische Verarbeitungen Einfluss zu nehmen und geeignete Maßnahmen vorzuschlagen.

In Art. 36 Abs. 3 DSGVO ist geregelt, welche Unterlagen und Informationen der Aufsichtsbehörde zur Verfügung zu stellen sind.

Grundsätzlich muss eine Datenschutz-Folgenabschätzung nur für solche Verarbeitungsvorgänge  vorgenommen werden, die nach Inkrafttreten der DSGVO am 25.05.2018 begonnen werden. Es ist allerdings dringend zu raten, auch für jede bereits bestehende Datenverarbeitung die Notwendigkeit einer Datenschutz-Folgenabschätzung zu prüfen, das Ergebnis der Prüfung zu dokumentieren und eine erforderliche Folgenabschätzung vorzunehmen.

Wer eine vorgeschriebene Datenschutz-Folgenabschätzung unterlässt oder nicht korrekt durchführt, riskiert ein Bußgeld von bis zu 10 Mio. Euro bzw. 2 % des gesamten weltweiten Jahresumsatzes des Unternehmens.

Art. 12 DSGVO, Art. 13 DSGVO, Art. 14 DSGVO
bisher:  § 33 BDSG,  § 13 TMG

Ein wesentlicher Grundsatz im Datenschutzrecht ist „Transparenz“. Von einer Datenverarbeitung betroffene Personen sollen wissen, wer welche Daten über sie zu welchem Zweck erhebt, verarbeitet oder sonst wie nutzt. Das kann nur gewährleistet werden, wenn die Betroffenen über die Verarbeitung ihrer Daten umfassend informiert werden. Das ist nicht neu, auch das BDSG kennt entsprechende Informationspflichten.

Je nachdem, ob die Daten beim Betroffenen selbst (so genannte Direkterhebung, Art. 13 DSGVO) oder ohne seine Kenntnis (so genannte Dritterhebung, Art. 14 DSGVO) erhoben werden, sind der betroffenen Person verschiedene Informationen zur Verfügung zu stellen.

An dieser Stelle noch einmal ein tabellarischer Überblick über die im Einzelnen zu erteilenden Informationen (siehe bereits im Kapitel „Informationspflichten / Rechte der betroffenen Personen“):

Da die betroffene Person im Fall der Dritterhebung (Art. 14 DSGVO), anders als bei der Direkterhebung (Art. 13 DSGVO), nicht an der Datenerhebung mitgewirkt und somit auch keine Kenntnis darüber hat, welche personenbezogenen Daten erhoben wurden, müssen z. B. die Kategorien der verarbeiteten personenbezogenen Daten angegeben werden, ebenso wie die Datenquelle und ob es sich dabei um eine öffentlich zugängliche Quelle handelt.

Die in § 13 Abs. 1 und 14 Abs. 1 DSGVO genannten Informationen sind stets zu erteilen. Die in den Absätzen 2 jeweils genannten Informationen sind nur dann zu erteilen, wenn sie „notwendig sind, um eine faire und transparente Verarbeitung zu gewährleisten“.
Anhaltspunkte dafür, wann dies der Fall ist, fehlen. Auch kann nicht pauschal gesagt werden, welche Informationen aus den Absätzen 2 im Einzelfall erforderlich sind. Aus Gründen der Rechtssicherheit und im Hinblick auf das hohe Haftungsrisiko im Fall fehlerhafter Informationen ist es ratsam, besser ein Mehr an Informationen zur Verfügung zu stellen und immer auch die Informationen aus den Absätzen 2 aufzunehmen.

In der Praxis wird es häufiger vorkommen, dass ein Unternehmen regelmäßig sowohl Daten bei der betroffenen Person selbst erhebt als auch Daten von Dritten über die betroffene Person erhält. Als Beispiel sei der Kauf in einem Onlineshop mit Bonitätsabfrage durch den Händler genannt: Daten zum Kaufvertrag werden beim Kunden erhoben, zugleich werden aber auch die im Rahmen der Bonitätsabfrage von der Auskunftei zu der Person übermittelten Daten genutzt. In diesen Fällen erscheint es praxisgerecht, wenn die Informationspflichten aus Art 13 und 14 DSGVO in einer „kombinierten“ Datenschutzinformation zusammengefasst werden.

Gemäß Art. 12 Abs. 1 DSGVO sind die Informationen „in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache“ zu übermitteln. Dies soll schriftlich oder in anderer Form, gegebenenfalls auch elektronisch, erfolgen.

Es müssen künftig also eine Vielzahl von Informationen klar und verständlich erteilt werden. Lange und unübersichtliche Texte sind dafür eher nicht geeignet. Besser geeignet wären z. B. eine übersichtliche Aufzählung oder die Unterteilung des Textes in kleinere Abschnitte mit aussagekräftigen Überschriften.

Zudem erlauben Art. 12 Abs. 7 und 8 DSGVO ausdrücklich, dass künftig auch standardisierte Bildsymbole genutzt werden können, um die Informationen anschaulich darzustellen. Hier bleibt abzuwarten, ob solche standardisierten Bildsymbole zur Verfügung gestellt werden.

Anders als im BDSG sind in der DSGVO Fristen festgelegt, innerhalb derer die Informationen erteilt werden müssen:

Werden die Daten beim Betroffenen selbst erhoben (Direkterhebung, Art. 13 DSGVO), sind die Informationen bereits bei der Erhebung der Daten zu erteilen.
Im Online-Bereich kann dies, wie es auch schon jetzt regelmäßig der Fall ist, durch einen Link zu einer Datenschutzerklärung erfolgen, in der die notwendigen Informationen zusammengefasst sind (vgl. weiter unten).

Werden die Daten offline, z. B. im Ladenlokal erhoben, ist umstritten, ob ein solches Vorgehen auch hier zulässig ist, indem die Person bei der Erhebung ihrer Daten auf eine im Internet verfügbare Datenschutzerklärung verwiesen wird. Zwar können die Informationen gemäß Art. 12 Abs. 1 DSGVO auch elektronisch erfolgen, jedoch müssen sie gemäß Art. 13 Abs. 1 DSGVO bereits zum Zeitpunkt der Erhebung der Daten mitgeteilt werden.

Dementsprechend ist davon auszugehen, dass ein bloßer Verweis auf eine im Internet bereitgestellte Datenschutzerklärung bei einer Direkterhebung von personenbezogenen Daten im „Offline-Bereich“ nicht zulässig ist. Vielmehr muss die betroffene Person vor Ort informiert werden, z. B. durch einen schriftlichen Aushang oder durch Aushändigung einer Datenschutzerklärung zum Mitnehmen.
Gleichzeitig sollte zu Nachweiszwecken die Kenntnisnahme der Datenschutzinformationen dokumentiert werden.

Stammen die Daten nicht vom Betroffenen selbst sondern aus dritter Quelle (Dritterhebung, Art. 14 DSGVO), müssen die Informationen unter Berücksichtigung der spezifischen Umstände der Verarbeitung der Daten innerhalb einer angemessenen Frist nach Erhalt der Daten mitgeteilt werden; die Frist darf längstens ein Monat sein.
Sollen die Daten zur Kommunikation mit der betroffenen Person verwendet werden, müssen die Informationen spätestens zum Zeitpunkt der ersten Mitteilung an den Betroffenen erteilt werden. Wenn die Daten an einen anderen Empfänger weitergegeben werden sollen, ist der Betroffene spätestens zum Zeitpunkt der Weitergabe der Daten zu informieren.

Ausnahmen

Die Informationen nach § 13 und 14 DSGVO müssen nicht (mehr) erteilt werden, wenn die betroffene Person über diese Informationen bereits verfügt.
Häufig wird aber nicht sicher nachweisbar sein, dass der Betroffenen über die Informationen bereits verfügt, so dass sehr genau zu prüfen sein wird, ob diese Ausnahme greift.

Werden die Daten nicht beim Betroffenen selbst erhoben (Dritterhebung, Art. 14 DSGVO), kann  von der Informationspflicht zusätzlich abgesehen werden, wenn

• sich die Unterrichtung der Betroffenen als unmöglich erweist oder einen unverhältnismäßigen Aufwand erfordern würde. Das soll insbesondere für die Verarbeitung für im öffentlichen Interesse liegende Archivzwecke, für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke gelten. Als Anhaltspunkte sollten dabei die Zahl der betroffenen Personen, das Alter der Daten oder etwaige geeignete Garantien in Betracht gezogen werden.
• die Erlangung oder Offenlegung der Daten ausdrücklich durch Rechtsvorschriften geregelt ist oder
• die personenbezogenen Daten einem Berufsgeheimnis oder einer satzungsmäßigen Geheimhaltungspflicht unterliegen und daher vertraulich behandelt werden müssen.

Exkurs: Online-Bereich

Schon heute besteht die Verpflichtung, Besucher der eigenen Webseite anhand von Datenschutzerklärungen über die Erhebung und Verarbeitung personenbezogener Daten zu informieren.

Nach bisher geltendem Recht müssen Webseitenbetreiber gemäß § 13 Abs. 1 Telemediengesetz (TMG) die Nutzer zu Beginn des Nutzungsvorgangs über Art, Umfang und Zwecke der Erhebung und Verwendung personenbezogener Daten sowie über die Verarbeitung von Daten außerhalb der EU in allgemein verständlicher Form unterrichten. Die Unterrichtung erfolgt in der Regel in einer Datenschutzerklärung, die von der Webseite aus erreichbar ist.

Dabei ist darauf zu achten, dass die Datenschutzerklärung leicht auffindbar ist. Denn nur dann, wenn die Nutzer der Webseiten die Erklärung auch tatsächlich zur Kenntnis nehmen können, können sie über die Informationen verfügen. Daher sollte die Datenschutzerklärung, ähnlich wie das Impressum, prominent platziert werden und von jeder Seite der Webseite aus abrufbar sein. Dazu wird am besten im Footer der Webseite ein Link (“Datenschutz”) auf die Unterseite mit der Datenschutzerklärung platziert.

Während § 13 TMG nur allgemein vorschreibt, dass über Art, Umfang und Zwecke der Erhebung und Verarbeitung personenbezogener Daten zu unterrichten ist, zählt § 13 DSGVO in einzelnen auf, welche Informationen konkret zu erteilen sind (siehe oben).

Daneben bestehen weitere Informationspflichten aus anderen Gesetzen, die zu beachten sind, wie z.B. die Impressumpflicht sowie besondere Informationspflichten im Onlinehandel. Wenn auf Webseiten Cookies oder Webanalysetools, wie z. B. Google Analytics, genutzt werden, müssen die Besucher der Webseite in der Datenschutzerklärung darüber informiert werden. Gleiches gilt, wenn Facebook Social Plugins oder die Google „+1“-Schaltfläche oder ähnliche Plugins  verwendet werden.
Die entsprechenden Informationen sind zusätzlich zu denen aus Art. 13 und 14 DSGVO zu erteilen. Insoweit hat sich nichts geändert.
An dieser Stelle sei auf den Datenschutzerklärungs-Generator der DGD, der Deutschen Gesellschaft für Datenschutz GmbH, hingewiesen: Datenschutzerklärungs-Generator

Sofern auf der Webseite personenbezogene Daten von der betroffenen Person erhoben werden, z. B. bei einer Bestellung in einem Onlineshop, einer Anmeldung zum Newsletter oder beim Ausfüllen eines Kontaktformulars, ist zu empfehlen, durch ein Kontrollkästchen sicherzustellen, dass der Betroffene die Datenschutzerklärung zur Kenntnis genommen hat.

• Beispiel:  ▢ Ich habe die Hinweise zum Datenschutz gelesen und akzeptiere diese.  

Innerhalb dieser Erklärung sollte dann auf die Datenschutzerklärung verlinkt werden.

Art. 7 DSGVO, Art. 8 DSGVO, Erwägungsgründe 32, 42 und 43
bisher: § 4a BDSG,  § 13 Abs. 2 TMG

Im Datenschutzrecht gilt das Verbot mit Erlaubnisvorbehalt. Die Verarbeitung personenbezogener Daten ist danach grundsätzlich verboten, es sei denn, sie ist durch ein Gesetz ausdrücklich erlaubt oder der Betroffene hat in die Verarbeitung der Daten eingewilligt. Dieser unter dem BDSG bestehende Grundsatz bleibt auch unter der DSGVO erhalten.

Erlaubt ist die Verarbeitung personenbezogener Daten ohne Einwilligung des Betroffenen gemäß Art. 6 Abs. 1 DSGVO in folgenden Fällen:

• Die Datenverarbeitung erfolgt zur Erfüllung eines Vertrages oder zur Durchführung vorvertraglicher Maßnahmen.
• Die Datenverarbeitung erfolgt zur Erfüllung einer rechtlichen Verpflichtung.
• Die Datenverarbeitung erfolgt zum Schutze lebenswichtiger Interessen.
• Die Datenverarbeitung erfolgt zur Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt.
• Die Datenverarbeitung erfolgt aufgrund eines berechtigten Interesses des Verantwortlichen. (Interessenabwägung erforderlich: Das schutzwürdige Interesse des Betroffenen darf das Interesse des Verantwortlichen nicht übersteigen. )

In allen anderen Fällen ist die Verarbeitung personenbezogener Daten nur zulässig, wenn der Betroffene in die Verarbeitung seiner Daten ausdrücklich eingewilligt hat.

In Zweifelsfällen wird in der Praxis aber auch im Bereich des „berechtigten Interesses des Verantwortlichen“ oftmals mit einer Einwilligung gearbeitet werden müssen, weil eine Interessenabwägung nicht immer zu eindeutigen bzw. zweifelsfreien Ergebnissen führen wird.

Bislang werden die  Anforderungen an die Einwilligung durch § 4a BDSG und für den Online-Bereich zusätzlich durch § 13 Abs. 2 TMG geregelt. In der DSGVO finden sich viele der bisherigen Regelungen in verschiedenen Vorschriften wieder.
Darüber hinaus enthält die DSGVO eine Reihe von Erwägungsgründen, mit denen die Ziele und Zwecke der eigentlichen Regelungen erläutert werden. Die Erwägungsgründe selbst stellen kein bindendes Recht dar, sollen aber für die Auslegung der Rechtsnormen herangezogen werden.
Insbesondere die Erwägungsgründe 32, 42 und 43 enthalten Ausführungen zu den Anforderungen an Einwilligungen.
Zusammenfassend lässt sich sagen, dass die Rechtslage zur Einwilligung im Großen und Ganzen erhalten bleibt.

Gemäß Art.  4 Nr. 11 DSGVO bezeichnet der Ausdruck Einwilligung

jede

• freiwillig
• für den bestimmten Fall,
• in informierter Weise und
• unmissverständlich abgegebene Willensbekundung
• in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung

mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist”.

Formale Anforderungen an die Einwilligungserklärung enthält § 7 DSGVO. Danach muss die Einwilligungserklärung

• in verständlicher und leicht zugänglicher Form,
• in einer klaren und einfachen Sprache

sein.

Die Erklärung darf nicht in AGB oder in einer Datenschutzerklärung „versteckt“ werden sondern muss sich klar von anderen Inhalten unterscheiden. Das kann entweder durch eine klare Trennung erfolgen oder durch eine optische Hervorhebung innerhalb der AGB oder Datenschutzerklärung (z.B. durch Fettdruck und dicke schwarze oder sonstige farbliche Umrahmung).

Im Einzelnen:

Freiwilligkeit und Kopplungsverbot

Wie bisher, bleibt es auch unter der DSGVO dabei, dass eine Einwilligung freiwillig und ohne jeden Zwang abgegeben werden muss, um wirksam zu sein.

In den Erwägungsgründen 32, 42 und 43 werden Ausführungen dazu gemacht, wann eine Einwilligung als freiwillig anzusehen ist bzw. wann nicht.
Danach gilt eine Einwilligung u. a. dann nicht als freiwillig erteilt, wenn zwischen den Parteien ein klares Ungleichgewicht besteht und es deshalb unwahrscheinlich ist, dass die Einwilligung ohne Zwang abgegeben wurde (Beispiel: der für die Datenverarbeitung Verantwortliche ist eine  Behörde).

Art. 7 Abs. 4 DSGVO nennt insoweit ausdrücklich das Kopplungsverbot. Danach dürfen Verträge oder die Erbringung von Dienstleistungen nicht davon abhängig gemacht werden, dass die betroffene Person in die Verarbeitung weiterer personenbezogener Daten einwilligt, die für die Erfüllung des Vertrages nicht erforderlich sind. So wird es bspw. nicht zulässig sein, die Teilnahme an einem Gewinnspiel an die Einwilligung zum Erhalt von Werbung zu koppeln.

Informiertheit

Nach Art. 6 Abs. 1 DSGVO ist eine Einwilligung nur dann wirksam, wenn die betroffene Person die Einwilligung für einen oder mehrere bestimmte Zwecke abgegeben hat. Universal-Einwilligungen bleiben damit auch weiterhin unzulässig.

Vielmehr muss die betroffene Person verstehen, welche personenbezogenen Daten zu welchem Zweck und von wem verarbeitet werden. Erfolgt die Verarbeitung zu mehreren Zwecken, müssen alle Zwecke ausdrücklich genannt und die Einwilligung für sämtliche Zwecke eingeholt werden.

Folgende Fragen muss sich der Betroffene nach Lesen der Einwilligungserklärung beantworten können:

• Wer (genau) soll die Daten nutzen dürfen?
• Welche Daten soll er nutzen dürfen?
• Zu welchem Zweck soll er diese Daten nutzen dürfen?
• Darf er diese Daten weitergeben und wenn ja, an wen genau?
• Wie lange darf diese Nutzung andauern?

Insoweit wird auch in Erwägungsgrund 32 darauf hingewiesen, dass sich eine Einwilligung nur auf die jeweils angegeben Zwecke bezieht und für sämtliche Zwecke eine Einwilligung abgegeben werden soll.
Das gilt bspw. dann,  wenn eine E-Mailadresse, die für den Empfang von Newslettern erhoben wurde, nunmehr zu Zwecken der Marktforschung oder der Liquiditätsprüfung oder zur Erstellung eines Nutzerprofils verarbeitet werden soll.

Nur ausnahmsweise ist eine nachträgliche Zweckerweiterung zulässig, ohne dass eine (neue) Einwilligung der betroffenen Person eingeholt werden muss. Voraussetzung ist, dass die (neue) Verarbeitung der Daten mit den Zwecken, für die die Daten ursprünglich erhoben wurden, vereinbar ist.

Vor jeder Weiterverarbeitung der Daten zu anderen als den in der Einwilligung genannten Zwecken ist daher zu prüfen, ob eine Zweckerweiterung zulässig ist. Dafür ist eine umfangreiche Interessenabwägung erforderlich, wobei Art. 6 Abs. 4 DSGVO verschiedene Kriterien nennt, die zu berücksichtigen sind. Fällt die Interessenabwägung negativ aus, muss eine neue, separate Einwilligung für den geänderten Zweck eingeholt werden.

Um festzustellen, ob der Zweck einer geplanten Weiterverarbeitung mit dem Zweck, für den die Daten ursprünglich erhoben wurden, vereinbar ist, sollte unter anderem geprüft werden,

• ob ein Zusammenhang zwischen dem ursprünglichen und dem neuen Zweck besteht,
• in welchem Kontext die Daten erhoben wurden,
• das Verhältnis zwischen dem Verantwortlichen und den betroffenen Personen und deren vernünftige Erwartungen, die auf ihrer Beziehung zum Verantwortlichen beruhen,
• um welche Art von personenbezogenen Daten es sich handelt,
• welche Folgen die beabsichtigte Weiterverarbeitung für die betroffenen Personen hat,
• ob sowohl beim ursprünglichen als auch beim beabsichtigten Verarbeitungsvorgang geeignete Garantien (Schutzmaßnahmen) bestehen; die DSGVO nennt hier beispielhaft Verschlüsselung und Pseudonymisierung.

Die Beurteilung und Interessenabwägung wird in den meisten Fällen  nicht einfach sein. Das Risiko einer fehlerhafte Beurteilung ist daher recht groß. Aus Gründen der Risikovermeidung ist deshalb zu empfehlen, vor jeder Zweckänderung zunächst eine neue Einwilligung einzuholen.

Eindeutigkeit

Das Einverständnis des Betroffenen in die Verarbeitung seiner Daten muss eindeutig zum Ausdruck kommen. In Erwägungsgrund 32 wird insoweit klargestellt, dass die Einwilligung nur durch eine eindeutige Handlung zustande kommen soll.

Stillschweigen, Untätigkeit oder standardmäßig vorangekreuzte Kästchen sind somit nicht ausreichend. Vielmehr ist eine aktive Handlung des Betroffenen erforderlich, im Internet bspw. durch Setzen eines Häkchens, im Offline-Bereich ebenfalls durch aktives Ankreuzen eines Kästchens und Unterschrift des Betroffenen.

Form

Die DSGVO sieht keine bestimmte Form für die Einwilligung vor. Sie kann schriftlich, elektronisch oder auch mündlich erfolgen.
Theoretisch ist die Schriftform daher nicht erforderlich, praktisch aber schon. Denn die DSGVO verlangt, dass die Einwilligung nachweisbar ist.  Dabei müssen nicht nur die Einwilligung selbst sondern auch alle weiteren Voraussetzungen nachgewiesen werden können.

Daher sind eingeholte Einwilligungen zwingend zu dokumentieren und zu speichern, so dass das Vorliegen der Einwilligung im Zweifel bewiesen werden kann.

Um dieser Verpflichtung nachzukommen, wird daher auch in Zukunft eine Einwilligung in Schriftform mit handschriftlicher Unterschrift oder mindestens in Textform (z. B. E-Mail) einzuholen sein. Für eine Einwilligung, die über das Internet erteilt wird, dürfte - wie bisher auch - als Nachweis eine entsprechende Dokumentation des „Einwilligungs-Klickverhaltens“ der betroffenen Person ausreichen.

Möglichkeit zum Widerruf

Gemäß Art. 7 Abs.  3 DSGVO hat der Betroffene - wie bisher auch - ein Recht zum Widerruf seiner Einwilligung, über das er vor Abgabe der Einwilligung aufgeklärt werden muss. Der Widerruf der Einwilligung muss künftig genauso leicht möglich sein, wie die Erteilung der Einwilligung selbst.

Problematisch scheint dies in den Fällen, in denen die Einwilligung elektronisch durch Setzen eines Häkchens erteilt wurde. Hier wird es in der Regel an einer Möglichkeit fehlen, das Häkchen nachträglich wieder zu entfernen.

In den besonders bedeutsamen Fällen der Newsletter-Werbung wird dem Erfordernis der Einfachheit aber wohl weiterhin dadurch Rechnung getragen werden können, dass jeder Newsletter-Mail am Ende ein eigener „Abmelde-Link“ angefügt wird, dessen bloße Betätigung genügt, um die weitere Nutzung der E-Mailadresse zu Werbezwecken zu beenden.

Datenverarbeitungen, die vor einem Widerruf erfolgt sind, werden von dem Widerruf nicht berührt; nach einem Widerruf sind allerdings keine weiteren Datenverarbeitungen mehr zulässig.

Siehe zum Widerrufsrecht auch in Kapitel 02 „Informationspflichten / Rechte der betroffenen Personen“, Ziffer 7 „Widerspruchsrecht“.

Einwilligungen Minderjähriger

Im BDSG gibt es keine ausdrückliche Regelung für die Einwilligung Minderjähriger. Es gilt der allgemeine Grundsatz, dass die Rechtswirksamkeit der Einwilligung eines Minderjährigen von dessen Einsichtsfähigkeit abhängt.

In der DSGVO wird die Einwilligung Minderjähriger in Artikel 8 nun ausdrücklich geregelt.
Die DSGVO sieht dabei vor, dass Kinder und Jugendliche erst ab 16 Jahren wirksam eine Einwilligung erteilen können. Eine Einwilligung, die Minderjährige unter 16 Jahren abgeben, ist nur dann wirksam, wenn die Sorgeberechtigten hierin einwilligen bzw. zustimmen.

Die EU-Mitgliedstaaten können eine niedrige Altersgrenze festlegen, die aber nicht unter 13 Jahren liegen darf. Deutschland hat von dieser Option keinen Gebrauch gemacht, so dass in Deutschland die Altersgrenze von 16 Jahren maßgeblich sein wird.

Die gesonderte Einwilligung der Sorgeberechtigten ist jedoch nur dann notwendig, wenn

• die Datenverarbeitung auf eine Einwilligung gestützt wird,
• das Unternehmen einen „Dienst der Informationsgesellschaft“ anbietet und
• das Angebot „einem Kind direkt” gemacht wird.

In allen übrigen Fällen kommt es für die Wirksamkeit der Einwilligung auf die Einsichtsfähigkeit des betroffenen Minderjährigen an.

Nach Erwägungsgrund 38 fallen insbesondere die Verwendung personenbezogener Daten von Kindern für Werbezwecke oder für die Erstellung von Persönlichkeits- oder Nutzerprofilen und die Erhebung von personenbezogenen Daten von Kindern bei der Nutzung von Diensten, die Kindern direkt angeboten werden, in den Anwendungsbereich von Art. 8 DSGVO.
Die gesteigerten Anforderungen sind daher u. a. bei der Anmeldung zu E-Mail-Newslettern zu beachten, sofern hierbei personenbezogene Daten verarbeitet werden.

Nach Art. 8 Abs. 2 DSGVO sind unter Berücksichtigung der verfügbaren Technik „angemessene Anstrengungen“ zu unternehmen, um sich in solchen Fällen zu vergewissern, dass die Einwilligung durch den Sorgeberechtigten oder mit dessen Zustimmung erteilt wurde.

Soweit ersichtlich, gibt es derzeit noch keine etablierten Lösungsansätze. Als vermeintliche Lösungen kommen derzeit allein so genannte Post-Ident oder Video-Ident-Verfahren in Betracht. Aufwand und Kosten werden jedoch regelmäßig außer Verhältnis zu den verarbeiteten Daten stehen, insbesondere, wenn es (nur) um die Anmeldung zu einem Newsletter geht.

Es müssen daher geeignete Altersverifikationssysteme entwickelt und in die elektronischen Einwilligungsprozesse integriert werden, um die Wirksamkeit elektronisch eingeholter Einwilligungen nachweisen zu können.
Welche bürokratischen Maßnahmen das künftig mit sich bringt, ist unklar. Es muss nicht nur das Alter verifiziert werden sondern auch der Sorgeberechtigte, das Sorgerecht und die Zustimmung. Hier bleibt insbesondere die weitere Entwicklung abzuwarten.

Bisher erteilte Einwilligungen

Mit dem Inkrafttreten der DSGVO am 25. Mai 2018 werden die nach bisherigem Datenschutzrecht wirksamen Einwilligungen nicht automatisch unwirksam, auch wenn sie nicht in jeder Hinsicht den Anforderungen der DSGVO entsprechen.

In vielen Fällen können bereits eingeholte Einwilligungen weiter genutzt werden. Voraussetzung ist, dass die Art der bereits erteilten Einwilligung den Bedingungen der DSGVO entspricht. Trifft das nicht zu, muss die Einwilligung unter Beachtung der Vorgaben der DSGVO neu eingeholt werden.

Unwirksam nach der DSGVO ist z. B. eine nach bisherigem Recht in bestimmten Fällen mögliche „Opt-out“- Einwilligung („vorangekreuztes Kästchen“), da eine solche Art der Einwilligung künftig nicht mehr zulässig ist.

Art. 4 Nr. 4 DSGVO, Art. 22 DSGVO
bisher § 6a BDSG

Immer häufiger werden die Erstellung von (Nutzer-) Profilen und automatisierte Entscheidungsfindungen eingesetzt, u. a.  im Bereich der Banken und Versicherungen, aber auch im Bereich von Marketing und Werbung. Um den Risiken zu begegnen, die sich für den Einzelnen hieraus ergeben, finden sich bereits im BDSG Regelungen zu automatisierten Einzelfallentscheidungen.

Nach § 6a BDSG sind automatisierte Einzelfallentscheidungen nur in eng begrenzten Ausnahmefällen zulässig, nämlich wenn die Entscheidung für den Abschluss oder die Durchführung eines Vertragsverhältnisses getroffen wird und für den Betroffenen positiv ausfällt oder die Wahrung der berechtigten Interessen des von der Entscheidung Betroffenen durch geeignete Maßnahmen gewährleistet ist und der Betroffene über das Vorliegen einer automatisierten Entscheidungsfindung informiert wird.

Auch die DSGVO enthält Regelungen zu automatisierten Einzelfallentscheidungen.

Verbot

Art. 22 Abs. 1 DSGVO verbietet es, ausschließlich automatisierte Verarbeitungsprozesse - einschließlich Profiling - zur Grundlage einer Entscheidung zu machen, die dem Betroffenen gegenüber rechtliche Wirkung entfaltet oder ihn in ähnlicher Weise erheblich beeinträchtigt.

Die ausdrückliche Bezeichnung als Profiling in der DSGVO ist neu.
Grundsätzlich beschreibt das Profiling die automatisierte Erstellung von Profilen durch Erhebung und Verwendung von personenbezogenen Daten, mit dem Ziel, bestimmte persönliche Aspekte (bspw. Interessen, persönliche Vorlieben, Verhalten, Aufenthaltsort) im Zusammenhang mit der betroffenen Person zu bewerten.

Art. 4 Nr. 4 DSGVO definiert Profiling als  „jede Art der automatisierten Verarbeitung personenbezogener Daten, die darin besteht, dass diese personenbezogenen Daten verwendet werden, um bestimmte persönliche Aspekte, die sich auf eine natürliche Person beziehen, zu bewerten, insbesondere um Aspekte bezüglich Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persönliche Vorlieben, Interessen, Zuverlässigkeit, Verhalten, Aufenthaltsort oder Ortswechsel dieser natürlichen Person zu analysieren oder vorherzusagen“.

Kennzeichnend für das Profiling sind somit drei Aspekte:

• Es handelt sich um eine automatisierte Form der Datenverarbeitung
• Es werden personenbezogene Daten verarbeitet
• Ziel ist es, bestimmte persönliche Aspekte einer natürlichen Person zu bewerten, um ihr Verhalten vorherzusagen und Entscheidungen darüber zu treffen.

Im Bereich von E-Mail Marketing kann die Optimierung von Kundenangeboten als Beispiel genannt werden, wenn aufgrund der Erstellung von Nutzerprofilen die Entscheidung getroffen wird, einem Kunden eine  gezielte E-Mail Kampagne anstelle einer anderen zu senden.

Art. 22 DSGVO regelt nur einen bestimmten Fall des Profilings bzw. der automatisierten Einzelfallentscheidung, nämlich den Fall, dass die Entscheidung gegenüber der betroffenen Person „rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt“.

Als Beispiele für Profiling nennt Erwägungsgrund 71 die automatische Ablehnung eines Online-Kreditantrags oder Online-Einstellungsverfahren ohne jegliches menschliche Eingreifen. Ansonsten bleibt zum jetzigen Zeitpunkt offen, was unter „in ähnlicher Weise erheblich beeinträchtigt“ fallen könnte. Dies werden wohl erst Gerichte endgültig klären.

Ausnahmen

Das Verbot automatisierter Entscheidungen mit rechtlicher Wirkung für den Betroffenen gilt nicht ausnahmslos. Nach Art. 22 Abs. 2 DSGVO gilt es nicht, wenn die Entscheidung

• für den Abschluss oder die Erfüllung eines Vertrags zwischen der betroffenen Person und dem Verantwortlichen erforderlich ist,
• aufgrund von Rechtsvorschriften der Union oder der Mitgliedstaaten, denen der Verantwortliche unterliegt, zulässig ist und diese Rechtsvorschriften angemessene Maßnahmen zur Wahrung der Rechte und Freiheiten sowie der berechtigten Interessen der betroffenen Person enthalten oder
• mit ausdrücklicher Einwilligung der betroffenen Person erfolgt.

Diese Ausnahmen vom Verbot gelten jedoch nicht, wenn die Entscheidungen auf sensiblen Daten nach Art. 9 DGVO beruhen, wie bspw. Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, es sei denn, es liegt ein Ausnahmetatbestand aus Art. 9 Abs. 2 DSGVO vor.

Die Ausnahmen vom Verbot automatisierter Entscheidungen im Einzelnen:

• „Für den Abschluss oder die Erfüllung eines Vertrages erforderlich“

Gemeint ist damit wohl vor allem die Anfrage von Bonitätsnachweisen bei Kreditinstituten oder Auskunfteien, von deren Ausfall die Begründung schuldrechtlicher Verbindlichkeiten automatisch abhängig gemacht wird.

Somit wird es für (Online-) Händler auch weiterhin möglich sein, einen Vertragsschluss bei bestimmten Zahlungsarten, wie bspw. dem Kauf auf Rechnung, unter den Vorbehalt der erfolgreichen Bonitätsprüfung zu stellen.

Allerdings werden im Vergleich zur heutigen Rechtslage die Anforderungen an die Informationspflichten steigen, da künftig eine Interessenabwägung nach Art. 6 DSGVO vorgenommen werden und der Betroffene hierüber in der Datenschutzerklärung informiert werden muss.

• „Aufgrund von Rechtsvorschriften zulässig“

Die Mitgliedstaaten können im nationalen Recht weitere Ausnahmetatbestände vom Verbot nach Art. 22 Abs. 1 DSGVO definieren.

Hiervon hat der deutsche Gesetzgeber Gebrauch gemacht, indem er in § 37 BDSG-neu spezielle Regelungen für die Versicherungswirtschaft getroffen hat und zum Schutz des Wirtschaftsverkehrs auch bei Scoring und Bonitätsauskünften unter bestimmten Voraussetzungen Ausnahmen vorsieht, § 31 BDSG-neu.

• „Mit ausdrücklicher Einwilligung“

Ist eine ausschließlich automatisiert getroffenen Entscheidung nicht zur Begründung oder Durchführung eines Vertrages notwendig und auch nicht nach sonstigen Rechtsvorschriften erlaubt, ist sie nur mit Einwilligung des Betroffenen zulässig.

Die Einwilligung muss den Anforderungen von Art. 7 und Art. 4 Abs. 11 DSGVO genügen. Ausführliche Hinweise zu den Anforderungen im Einzelnen finden sich in Kapitel 06 “Einwilligungen”, so dass an dieser Stelle nicht näher hierauf eingegangen wird.

In den Fällen, in denen automatisierte Entscheidungen für den Abschluss oder die Erfüllung eines Vertrages erforderlich sind oder mit Einwilligung des Betroffenen erfolgen, hat das verantwortliche Unternehmen gemäß Art. 22 Abs. 3 DSGVO „angemessene Maßnahmen“ zu treffen, „um die Rechte und Freiheiten sowie die berechtigten Interessen der betroffenen Person zu wahren“.

Dazu gehören vor allem ein Anfechtungsrecht des Betroffenen, ein Recht auf Darlegung des eigenen Standpunktes, das Recht auf Beteiligung einer natürlichen Person an der Entscheidungsfindung sowie das Recht auf Erläuterung der getroffenen Entscheidung.

Zudem ist zu beachten, dass nach Erwägungsgrund 71 vom Profiling und  jeder anderen Form der automatisierten Datenverarbeitung kein Kind betroffen sein sollte.

Im Übrigen müssen die betroffenen Personen über das Bestehen einer automatisierten Einzelentscheidung sowie die damit verbundene Logik, Tragweite und Auswirkung vorab informiert werden und - sofern die Entscheidung auf der Einwilligung der betroffenen Person beruht - auch über ihr Widerrufsrecht.
Ein Beispiel für eine solche Information findet sich in Kapitel 05 „Datenschutzerklärungen“ in dem dort beigefügte Muster. Auf spezielle Analyse-Tools zugeschnittene Informationen bietet der Datenschutzerklärungs-Generator der DGD.

Big Data

Big Data-Anwendungen sollen möglichst große Daten­bestände erheben, speichern und auswerten, um auf Basis der Auswertungen die Effizienz der eigenen Geschäfts­prozesse und die Kunden­an­sprache zu steigern. Regelmäßig werden dabei (auch) personen­bezogene Daten gespeichert und ausgewertet, so dass sich die Frage stellt, ob Big Data-Anwendungen unter der DSGVO zulässig sind.

Die DSGVO kennt den Begriff „Big Data“ nicht. Vielmehr fällt „Big Data“ unter den Begriff Profiling.

Dabei ist zum einen zu beachten, dass das Datenschutzrecht bzw. die DSGVO  immer einen Personenbezug der zu verarbeitenden Daten voraussetzen („personenbezogene Daten“). Wenn Anwendungen und Analyse-Tools Daten ohne jeden Personenbezug analysieren („anonyme Daten“), finden die Vorschriften der DSGVO keine Anwendung.

Zum anderen ist insbesondere auch im Bereich von Big Data der Grundsatz der Zweckbindung zu beachten.
Personenbezogene Daten dürfen nur für den Zweck genutzt werden, für den sie erhoben wurden. Der Zweck muss eindeutig festgelegt und der betroffenen Person bei der Erhebung der Daten mitgeteilt werden.

Wurden personenbezogene Daten für Zwecke der Vertragserfüllung erhoben, dürfen diese Daten nicht für Marketingzwecke oder für beliebige andere Zwecke genutzt werden, die nicht bereits bei der Erhebung der Daten festgelegt und der betroffenen Person mitgeteilt wurden. Zweckfreie analytische Anwendungen sind mit dem Grundsatz der Zweckbindung daher grundsätzlich nicht vereinbar.

Allerdings sieht die DSGVO - anders als das BDSG - unter bestimmten Voraussetzungen die Möglichkeit einer (nachträglichen) Zweckänderung vor. Voraussetzung hierfür ist, dass der neue Zweck mit dem alten Zweck vereinbar ist.

Um dies beurteilen zu können, ist unter anderem zu prüfen,

• ob ein Zusammenhang zwischen dem ursprünglichen und dem neuen Zweck besteht,
• in welchem Kontext die Daten erhoben wurden,
• das Verhältnis zwischen dem Verantwortlichen und den betroffenen Personen und deren vernünftige Erwartungen, die auf ihrer Beziehung zum Verantwortlichen beruhen,
• um welche Art von personenbezogenen Daten es sich handelt,
• welche Folgen die beabsichtigte Weiterverarbeitung für die betroffenen Personen hat,
• ob sowohl beim ursprünglichen als auch beim beabsichtigten Verarbeitungsvorgang geeignete Garantien (Schutzmaßnahmen) bestehen; die DSGVO nennt hier beispielhaft Verschlüsselung und Pseudonymisierung.

Die Beurteilung und Interessenabwägung wird in den meisten Fällen nicht einfach sein. Das Risiko einer fehlerhafte Beurteilung ist recht groß.
Daher ist die Möglichkeit, die zu einem bestimmten Zweck erhobenen Daten nachträglich für einen anderen, neuen Zweck zu nutzen, zwar grundsätzlich gegeben, allerdings nur in engen Grenzen und verbunden mit einer Prü­fung und umfassenden Interessenabwägung. Offen bleibt zudem die Frage, inwie­fern ein Abgleich des ursprünglich festgelegten Zwecks mit einer meist zweckfreien Big Data-Anwendung überhaupt möglich ist.

Big Data-Anwendungen, in denen Daten zweckfrei in möglichst großen Mengen zusammengetragen und im Anschluss zur Gewinnung neuer Erkenntnisse ausgewertet werden, sind daher zunächst auch weiterhin kritisch zu betrachten. Insoweit bleibt abzuwarten, wie die weitere Entwicklung unter der Geltung der DSGVO sein wird.

Datenschutz-Folgenabschätzung

Jedes Verfahren, in dem personenbezogene Daten verarbeitet werden, ist vor Beginn darauf zu prüfen, ob es aufgrund seiner Art, seines Umfangs, seiner Umstände und seiner Zwecke wahrscheinlich ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen mit sich bringt. Ergibt die Prüfung, dass ein voraussichtlich hohes Risiko besteht, ist eine Datenschutz-Folgenabschätzung durchzuführen.

Gemäß Art. 35 Abs. 3 DSGVO ist eine Datenschutz-Folgenabschätzung u. a. in dem folgenden Fall erforderlich: „systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen, die sich auf automatisierte Verarbeitung einschließlich Profiling gründet und die ihrerseits als Grundlage für Entscheidungen dient, die Rechtswirkung gegenüber natürlichen Personen entfalten oder diese in ähnlich erheblicher Weise beeinträchtigen“.

Nach Erwägungsgrund 91 ist eine Datenschutz-Folgenabschätzung zudem immer dann erforderlich, wenn eine große Zahl von Personen betroffen ist oder in großem Umfang neue Technologien eingesetzt werden.

Profiling und automatisierte Entscheidungen erfordern daher immer eine Datenschutz-Folgenabschätzung, sofern personenbezogene Daten betroffen sind.

Ausführliche Informationen zur Datenschutz-Folgenabschätzung gibt es in Kapitel 04 „Datenschutz-Folgenabschätzung“.

Leitlinien

Die Artikel 29-Datenschutzgruppe, ein Zusammenschluss der nationalen Datenschutzbehörden in Europa, hat einen Leitfaden im Entwurf zum Profiling und zur automatisierten Entscheidungsfindung veröffentlicht. Der Leitfaden enthält neben Ausführungen zu den verwendeten Begriffen Erläuterungen zu Art. 22 DSGVO, die als Auslegungs- und Orientierungshilfe dienen sollen.

Soweit ersichtlich, ist der Leitfaden bisher nur in englischer Sprache veröffentlicht:

Leitfaden (Entwurf) der Artikel 29-Datenschutzgruppe zum Profiling und zur automatisierten Entscheidungsfindung

Art. 88 DSGVO
§ 26 BDSG-neu
bisher: § 32 BDSG

Bisher ist der Beschäftigtendatenschutz (oder auch Arbeitnehmerdatenschutz) in § 32 BDSG geregelt.
In der DSGVO gibt es keine eigenen Regelungen zum Datenschutz im Arbeitsverhältnis. Vielmehr enthält Art. 88 DSGVO eine so genannte Öffnungsklausel, mit der den EU-Mitgliedstaaten die Möglichkeit gegeben wird, eigene (nationale) Regelungen zum Datenschutz im Beschäftigungsverhältnis zu treffen.

Der deutsche Gesetzgeber hat von dieser Möglichkeit in § 26 BDSG-neu Gebrauch gemacht. Die Regelungen entsprechen weitestgehend den bisherigen Regelungen aus § 32 BDSG. Dennoch gibt es auch einige Neuerungen.

Erhalten bleibt zunächst die Grundregel, dass die Verarbeitung von Beschäftigtendaten zulässig ist, wenn dies zur Erfüllung gesetzlicher Pflichten oder für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses oder für dessen Durchführung oder Beendigung erforderlich ist. Auch bleibt die Datenverarbeitung zur Aufdeckung von Straftaten unter besonderen Voraussetzungen zulässig.

Im Einzelnen ist die Verarbeitung von Beschäftigtendaten durch den Arbeitgeber nach § 26 BDSG-neu zulässig,

• wenn die Datenverarbeitung für Zwecke des Beschäftigungsverhältnisses erfolgt, wenn dies für die Entscheidung über die Begründung, Durchführung oder Beendigung eines Beschäftigtenverhältnisses erforderlich ist,
  
• zur Aufdeckung von Straftaten, wenn zu dokumentierende tatsächliche Anhaltspunkte den Verdacht begründen, dass die betroffene Person im Beschäftigungsverhältnis eine Straftat begangen hat, die Verarbeitung zur Aufdeckung erforderlich ist und das schutzwürdige Interesse der oder des Beschäftigten an dem Ausschluss der Verarbeitung nicht überwiegt, insbesondere Art und Ausmaß im Hinblick auf den Anlass nicht unverhältnismäßig sind,
• wenn die Datenverarbeitung zur Ausübung oder Erfüllung der sich aus einem Gesetz oder einem Tarifvertrag, einer Betriebs- oder Dienstvereinbarung (Kollektivvereinbarung) ergebenden Rechte und Pflichten der Interessenvertretung der Beschäftigten erforderlich ist,
• wenn der Beschäftigte in die Datenverarbeitung eingewilligt hat.

Die ersten drei Punkte knüpfen an die Erforderlichkeit der Datenverarbeitung zu den genannten Zwecken an. Wann genau die Datenverarbeitung „erforderlich“ ist, sagt das Gesetz nicht.

In der Gesetzesbegründung gibt es jedoch folgenden Hinweis: „Im Rahmen der Erforderlichkeitsprüfung sind die widerstreitenden Grundrechtspositionen zur Herstellung praktischer Konkordanz abzuwägen. Dabei sind die Interessen des Arbeitgebers an der Datenverarbeitung und das Persönlichkeitsrecht des Beschäftigten zu einem schonenden Ausgleich zu bringen, der beide Interessen möglichst weitgehend berücksichtigt.”

Die Verarbeitung von Daten der Arbeitnehmer ist damit erlaubt, wenn sie für Zwecke des Beschäftigungsverhältnisses geeignet ist, das mildeste aller dem Arbeitgeber zur Verfügung stehenden gleich effektiven Mittel ist und schutzwürdige Interessen des Beschäftigten nicht überwiegen.

Unstreitig dürfen Arbeitgeber danach alle Stammdaten der Mitarbeiter erheben und verarbeiten. Dazu gehören insbesondere: Name, Adresse, Kontoverbindung, Ausbildung, Qualifikationen, Arbeitszeiterfassung.

Sofern die Datenverarbeitung somit erforderlich ist, um das Beschäftigungsverhältnis überhaupt entstehen zu lassen oder durchführen zu können oder um gesetzlichen Pflichten nachzukommen, muss der Arbeitgeber keine gesonderte Einwilligung von seinen Mitarbeitern einholen.

Möchte er allerdings mehr Daten erfassen, speichern und verarbeiten, als für die genannten Zwecke erforderlich sind, bspw. Angaben zu Hobbies und Interessen des Mitarbeiters, benötigt er dafür eine schriftliche Einwilligung des Mitarbeiters.

Erfolgt die Datenverarbeitung auf der Grundlage einer Einwilligung des Beschäftigten, sind die besonderen Anforderungen aus § 26 Abs. 2 BDSG-neu zu beachten.

Eine Einwilligung ist nur wirksam, wenn sie freiwillig erfolgt ist. Insoweit ist bereits nach der aktuellen Rechtslage umstritten, ob Arbeitnehmer überhaupt rechtswirksam in die Verarbeitung ihrer personenbezogenen Daten einwilligen können. Diskutiert wird insoweit, ob wegen des Abhängigkeitsverhältnisses, das naturgemäß zum Arbeitgeber besteht, Einwilligungen überhaupt freiwillig abgeben werden können.

§ 26 BDSG-neu stellt jedoch klar, dass Arbeitnehmer unter bestimmten Umständen durchaus wirksam in die Verarbeitung ihrer Daten durch den Arbeitgeber einwilligen können.

Freiwilligkeit kann danach insbesondere vorliegen, wenn für die beschäftigte Person ein rechtlicher oder wirtschaftlicher Vorteil erreicht wird oder beide Arbeitsvertragsparteien gleich gelagerte Interessen verfolgen.

Als Beispiele für die Erreichung eines Vorteils sind in der Gesetzesbegründung die Einführung eines betrieblichen Gesundheitsmanagements zur Gesundheitsförderung und die Erlaubnis zur Privatnutzung der betrieblichen IT-Systeme genannt.
Beispiele für die Verfolgung gleichgelagerter Interessen sind nach der Gesetzesbegründung die Aufnahme von Name und Geburtsdatum in eine Geburtstagsliste oder die Nutzung von Fotos für das Intranet, bei der Arbeitgeber und Beschäftigte im Sinne eines betrieblichen Miteinanders zusammenwirken.

Im Ergebnis bleibt aber auch nach der Neuregelung ein Beurteilungsspielraum, so dass die Problematik, inwieweit eine Einwilligung im Beschäftigungsverhältnis freiwillig erfolgen kann, voraussichtlich auch in Zukunft bestehen bleiben wird.

Grundsätzlich gilt, dass der Beschäftigte eine echte Wahlmöglichkeit haben muss, ob er in die Verarbeitung seiner Daten einwilligt. Ihm darf durch die Nicht-Erteilung der Einwilligung oder einen späteren Widerruf kein Nachteil entstehen.

Wie bisher, verlangt auch § 26 Abs. 2 BDSG-neu, dass die Einwilligung grundsätzlich schriftlich einzuholen ist. Nur ausnahmsweise kann auf die Schriftform verzichtet werden, wenn wegen besonderer Umstände eine andere Form angemessen ist.

Zu beachten ist auch, dass der Arbeitgeber die Beschäftigten über den Zweck der Datenverarbeitung und über ihr Widerrufsrecht nach Art. 7 DSGVO in Textform aufklären muss. Der Arbeitgeber muss den Betroffenen daher vor der Einwilligung alle entscheidungserheblichen Informationen zur Verfügung stellen. Zu Nachweiszwecken sollte dies entsprechend dokumentiert werden.

Ausführliche Informationen zu den Anforderungen an eine wirksame Einwilligung sowie Musterbeispiele finden Sie in Kapitel 06 „Einwilligungen“; weitere Informationen zu Informationspflichten in Kapitel 02 „Informationspflichten“ und in Kapitel 05 „Datenschutzerklärungen“.

Besondere Kategorien personenbezogener Daten sind unter der DSGVO - wie schon nach aktueller Rechtslage - besonders geschützt. Hierzu zählen personenbezogene Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen sowie genetische Daten, biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung.

Nach § 26 Abs. 3 BDSG-neu ist die Verarbeitung dieser besonderen Kategorien personenbezogener Daten für Zwecke des Beschäftigungsverhältnisses zulässig, wenn sie zur Ausübung von Rechten oder zur Erfüllung rechtlicher Pflichten aus dem Arbeitsrecht, dem Recht der sozialen Sicherheit und des Sozialschutzes erforderlich ist und kein Grund zur Annahme besteht, dass das schutzwürdige Interesse der betroffenen Person an dem Ausschluss einer Verarbeitung überwiegt.

Für die Verarbeitung von sensiblen Daten müssen gesonderte Schutzmaßnahmen ergriffen werden, um den Schutz der betroffenen Personen in angemessener Weise sicherzustellen. Hierzu verweist der Gesetzestext auf § 22 Abs. 2 BDSG-neu, wo z. B. Beispiel die Verschlüsselung als eine mögliche Maßnahme genannt wird.

Betriebsvereinbarungen und andere Kollektivvereinbarungen, wie bspw. Tarifverträge, können nach wie vor die Verarbeitung von Beschäftigtendaten erlauben. Dabei müssen sie den Anforderungen von Art. 88 Abs. 2 DSGVO und dem dazugehörigen Erwägungsgrund 155 genügen.

Neu ist, dass der Begriff des „Beschäftigten“ weiter ausgedehnt wurde. Neben Arbeitnehmern, Bewerbern, ehemaligen Beschäftigten, Leiharbeitern, Auszubildenden sind auch Beamte, Richter, Soldaten, Zivildienstleistende und Freiwillige, die einen Dienst nach dem Bundesfreiwilligendienstgesetz leisten sowie weitere Personengruppen ausdrücklich in die Definition einbezogen, § 26 Abs. 8 BDSG-neu.

Die Bestimmungen zum Beschäftigtendatenschutz sind - wie bisher auch - auch dann anzuwenden, wenn personenbezogene Daten von Beschäftigten verarbeitet werden, ohne dass sie in einem Dateisystem gespeichert sind oder gespeichert werden sollen. Die Bestimmungen gelten somit auch für Papierakten.

Die Artikel 29-Datenschutzgruppe, ein Zusammenschluss der nationalen Datenschutzbehörden in Europa, hat sich in einem Leitfaden zu verschiedenen Fragen der Verarbeitung personenbezogener Daten im Rahmen des Beschäftigungsverhältnisses geäußert. Der Leitfaden ist zur aktuellen Rechtslage ergangen, beschäftigt sich aber auch mit den neuen Regelungen der DSGVO.
Der Leitfaden enthält keine verbindlichen Regelungen und Ansichten, gibt aber einen guten Überblick wie das Gesetz aus Sicht der europäischen Datenschutzbehörden anzuwenden ist. Soweit ersichtlich ist der Leitfaden bisher nur in englischer Sprache erschienen:

Leitfaden der Artikel 29-Datenschutzgruppe zur Datenverarbeitung im Beschäftigungsverhältnis

Bis zum Inkrafttreten der DSGVO im Mai 2018 sollten Sie die Verarbeitung von Beschäftigtendaten überprüft und ggf. an die Anforderungen der DSGVO angepasst haben.
Denn wie bei allen anderen Datenschutzverstößen drohen mit der DSGVO auch bei Verstößen im Bereich des Beschäftigtendatenschutzes hohe Bußgelder. Es sind Bußgelder von bis zu 20 Mio. Euro oder 4% des globalen Umsatzes des Unternehmens möglich, je nachdem, welcher Betrag höher ist. Zudem können auch Schadensersatzansprüche von Arbeitnehmern geltend gemacht werden.

Art. 17 DSGVO, § 35 BDSG-neu
bisher: § 35 BDSG

Im Datenschutz gilt der Grundsatz, dass personenbezogene Daten nicht unbegrenzt gespeichert werden dürfen. Personenbezogene Daten sind zu löschen, wenn sie für den jeweiligen Geschäftsprozess nicht mehr erforderlich sind und keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

In Art. 5 Abs.1e) DSGVO heißt es dazu: „Personenbezogene Daten müssen in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist.“
In Art.17 DSGVO sind weitere Gründe genannt, wann personenbezogene Daten zu löschen sind. Auch das aktuelle Recht sieht in § 35 BDSG bereits umfassende Löschpflichten vor.

Sofern ein Unternehmen bisher kein Löschkonzept besitzt, sollte im Hinblick auf die mit der DSGVO erheblich steigenden Bußgelder spätestens jetzt gehandelt werden. Denn nach der DSGVO gilt künftig bereits eine fehlende Dokumentation (eines Löschkonzepts) als Verstoß gegen das Datenschutzrecht. Die Geldbußen liegen dann bei bis zu 20 Mio. Euro oder bis zu 4% des gesamten weltweit erzielten Vorjahres­umsatzes.

Auch das erste deutsche Urteil zur DSGVO verdeutlicht, welchen Stellenwert ein Löschkonzept in Zukunft haben wird (Urteil des VG Karlsruhe vom 06.07.2017, Az. 10 K 7698/16). In dem dem Urteil zugrundeliegenden Verfahren hat die Behörde mehrfach betont, dass Unternehmen eine umfassende Dokumentation zum Thema Datenlöschung vorliegen und umgesetzt haben müssen. Fehlt es an einem solchen Löschkonzept, so sei mit behördlichen Konsequenzen zu rechnen.

Nach Art. 17 Abs. 1 DSGVO sind personenbezogene Daten zu löschen, wenn

• die Daten für die Zwecke, für die sie erhoben oder verarbeitet wurden, nicht mehr notwendig sind
• die betroffene Person ihre Einwilligung, auf die sich die Verarbeitung stützt, widerrufen hat und auch keine sonstige Rechtsgrundlage für die Verarbeitung der Daten besteht
• die betroffene Person Widerspruch nach Art. 21 Abs. 1 DSGVO gegen die Verarbeitung eingelegt hat und keine vorrangigen berechtigten Gründe für die Verarbeitung vorliegen (Interessenabwägung) oder die betroffene Person nach Art. 21 Abs. 2 DSGVO Widerspruch in Bezug auf Direktwerbung eingelegt hat
• die personenbezogenen Daten unrechtmäßig verarbeitet wurden
• die Löschung der Daten zur Erfüllung einer rechtlichen Verpflichtung des Verantwortlichen erforderlich ist
• die personenbezogenen Daten in Bezug auf angebotene Dienste der Informationsgesellschaft gemäß Art. 8 Abs. 1 DSGVO erhoben wurden.

Neu ist das in Art. 17 Abs. 2 DSGVO geregelte so genannte „Recht auf Vergessenwerden“.

Das „Recht auf Vergessenwerden“ bezieht sich auf die Tilgung (von Spuren) personenbezogener Daten, die durch Veröffentlichungen, insbesondere im Internet, einer breiten Öffentlichkeit zugänglich sind („digitaler Radiergummi“).

Diese Maßnahmen dienen dem Zweck, die weiteren Verantwortlichen, die diese personenbezogenen Daten verarbeiten, darüber zu informieren, dass die betroffene Person die Löschung aller Links zu diesen personenbezogenen Daten und die Löschung von Kopien oder Replikationen dieser personenbezogenen Daten verlangt hat. Bei der Frage, was „angemessene“ Maßnahmen in diesem Sinne sind.

Unternehmen, die personenbezogene Daten öffentlich gemacht haben, sind bei einem berechtigten Löschantrag einer betroffenen Person verpflichtet, weitere Unternehmen, die die zu löschenden Daten auch verarbeiten (bspw. Anbieter von Cloud-Services), darüber zu informieren, dass die betroffene Person die Löschung aller Links zu diesen personenbezogenen Daten oder von Kopien oder Replikationen dieser personenbezogenen Daten verlangt hat.

Die Verpflichtung entfällt nur dann, wenn die Benachrichtigung der Dritten unmöglich oder mit einem unverhältnismäßigen Aufwand verbunden ist. Denn nach der DSGVO muss das Unternehmen „angemessene Maßnahmen“, auch technischer Art, ergreifen, um die Information der Dritten zu ermöglichen. Bei der Frage, was „angemessene Maßnahmen“ sind, sind die „verfügbaren Technologien und Implementierungskosten“ zu berücksichtigen.

So wird es einem Unternehmen wohl kaum möglich bzw. nicht zumutbar sein, nachzuvollziehen, welche anderen Stellen die von ihm veröffentlichten Daten nicht nur zur Kenntnis genommen sondern auch selber gespeichert haben. Zumutbar könnte es aber sein, dass ein Unternehmen, das personenbezogene Daten im Internet veröffentlicht hat, über Suchmaschinen prüft, ob die Daten im Internet noch auffindbar sind. Sind die Daten noch auffindbar, wären die Suchmaschinenbetreiber zu informieren.
Letztlich bleibt es abzuwarten, wie sich das „Recht auf Vergessenwerden“ in der Praxis gestaltet und wie es künftig (u. a. durch die Gerichte) näher konkretisiert wird.

Damit ein Unternehmen dem „Recht auf Vergessenwerden“ gerecht werden kann, ist es notwendig, bei der Weitergabe von personenbezogenen Daten an Dritte, die Empfänger der Daten zu notieren und verfügbar zu halten. Hierfür kann u. a. das Verzeichnis von Verarbeitungstätigkeiten genutzt werden (vgl. Kapitel 03).

Ausnahmen von den genannten Löschpflichten sind in Art. 17 Abs. 3 DSGVO genannt.

Danach entfällt die Pflicht zur Löschung, wenn die Verarbeitung der Daten erforderlich ist

• zur Ausübung des Rechts auf freie Meinungsäußerung und Information
• zur Erfüllung einer rechtlichen Verpflichtung
• zur Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt, die dem Unternehmen übertragen wurde, erfolgt
• aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit
• für im öffentlichen Interesse liegende Archivzwecke, wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke gem. Art. 89 Abs. 1 DSGVO, soweit die Löschung die Verwirklichung dieser Ziele ernsthaft beeinträchtigt
• zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen

Weitere Ausnahmen von der Löschpflicht sind in § 35 BDSG-neu genannt.

Danach tritt z. B. im Fall der nicht automatisierten Datenverarbeitung an die Stelle der Löschung der Daten die Einschränkung der Verarbeitung, wenn wegen der besonderen Art der Speicherung die Löschung nicht oder nur mit unverhältnismäßig hohem Aufwand möglich und das Interesse der betroffenen Person an der Löschung als gering anzusehen ist.

Diese Regelung gilt immer dann, wenn personenbezogene Daten in Papierform vorgehalten und verarbeitet werden. Betroffen dürfte damit vor allem der Personalbereich eines Unternehmens sein, da es hier häufig noch Aufzeichnungen in Papierform gibt.

Die Einschränkung der Verarbeitung soll durch technische Mittel grundsätzlich so erfolgen, dass die personenbezogenen Daten in keiner Weise weiterverarbeitet oder verändert werden können. Auf die Tatsache, dass die Verarbeitung der Daten beschränkt wurde, sollte in dem System ausdrücklich hingewiesen werden.
Die Einschränkung der Verarbeitung entspricht im weitesten Sinne der bisherigen Sperrung der Daten.

Der relevanteste Fall für Unternehmen wird sein, dass der eigentlichen Löschungspflicht eine rechtliche Verpflichtung – insbesondere eine gesetzliche Aufbewahrungsfrist – entgegensteht. Hierunter fallen bspw. die handelsrechtlichen und steuerrechtlichen Aufbewahrungspflichten aus § 257 HGB bzw. § 147 AO, aus denen sich für bestimmte Dokumente eine Vorhaltefrist von sechs bzw. zehn Jahren ergibt.

Die Ausnahmen bedeuten jedoch nicht, dass die Daten zeitlich unbegrenzt gespeichert werden dürfen. Denn auch die den Ausnahmen zugrundeliegenden Zwecke werden zu einem bestimmten Zeitpunkt erfüllt und die Verarbeitung der Daten nicht mehr erforderlich sein. Zu diesem Zeitpunkt sind dann auch diese Daten zu löschen.

Zur Umsetzung der gesetzlichen Löschpflichten muss zunächst ein Konzept entwickelt werden, auf dessen Grundlage sodann Löschroutinen implementiert werden. Je nach Größe des Unternehmens und der Vielfältigkeit der Datenverarbeitungen kann dies eine recht komplexe und umfangreiche Aufgabe sein.

Eine (mögliche) Vorgehensweise zur Etablierung eines Löschkonzepts wird in der DIN 66389 „Leitlinie zur Entwicklung eines Löschkonzepts mit Ableitung von Löschfristen für personenbezogene Daten“ beschrieben.

Die Norm macht Vorschläge zum Aufbau eines Löschkonzepts und empfiehlt eine Vorgehensweise, nach der Regeln zum Löschen von personenbezogenen Daten abgeleitet werden können. Auch empfiehlt sie eine Struktur zur Dokumentation des Löschkonzepts.
Der Datenbestand des Unternehmens wird in Datenarten aufgeteilt und für jede Datenart wird genau eine Löschregel definiert. Diese Löschregel besteht aus zwei Angaben: der Regellöschfrist und einem Startzeitpunkt, ab dem die Regellöschfrist läuft.

Auf der Webseite din-66398.de finden Sie umfassende Informationen zur Leitlinie.

Die Leitlinie selbst kann kostenpflichtig im Beuth-Verlag erworben werden. Eine erste Fassung der Leitlinie steht kostenfrei zur Verfügung. Die entsprechenden Informationen und Links sind auf der o. g. Webseite unter „Materialien“ zu finden.

Auch das BSI (Bundesamt für Sicherheit in der Informationstechnik) stellt in seinen Grundschutzkatalogen Informationen zur Planung und Umsetzung eines Löschkonzeptes zur Verfügung: Informationen des BSI zur Planung und Umsetzung eines Löschkonzeptes

Art. 33 DSGVO
Art. 34 DSGVO
bisher: § 42a BDSG

Datenpannen sind Verstöße gegen die Datensicherheit und den Datenschutz, bei denen personenbezogene Daten Unberechtigten vermutlich oder erwiesenermaßen bekannt werden. Die Ursachen dafür sind vielfältig und können z.B. in einem Hackerangriff, dem Verlust eines USB-Sticks, dem Diebstahl eines Notebooks oder im unbefugten Weitergeben von Daten durch Mitarbeiter – gleich ob bewusst oder unbewusst – liegen.

Bereits nach heutiger Rechtslage sind Datenpannen in bestimmten Fällen meldepflichtig. In der DSGVO sind die Voraussetzungen für eine Meldepflicht jedoch deutlich gesenkt worden, so dass Meldepflichten künftig viel früher und damit viel öfter bestehen.

Die Meldepflichten sind durchaus ernst zu nehmen. Meldet ein Unternehmen eine Datenpanne nicht, nicht vollständig oder nicht fristgerecht, drohen empfindliche Bußgelder von bis zu 10 Mio. Euro bzw. 2% des weltweit erzielten Jahresumsatzes.
Hinzu kommt, dass Datenpannen bzw. unterlassene Meldungen einen beträchtlichen Imageverlust für das Unternehmen nach sich ziehen können.

Nach der aktuellen Regelung besteht gemäß § 42a BDSG eine Meldepflicht (nur) dann, wenn besonders sensible Daten betroffen sind. Hierzu zählen besondere Arten von personenbezogenen Daten (z. B. Gesundheitsdaten), personenbezogene Daten, die einem Berufsgeheimnis unterliegen, die sich auf strafbare Handlungen, Ordnungswidrigkeiten oder auf den Verdacht solcher beziehen sowie personenbezogene Daten zu Bank- oder Kreditkartenkonten.
Zudem müssen durch die Datenpanne „schwerwiegende Beeinträchtigungen“ für die Rechte oder schutzwürdigen Interessen der Betroffenen drohen.
Sofern eine Meldepflicht besteht, sind neben der Aufsichtsbehörde auch die von der Datenpanne betroffenen Personen zu benachrichtigen.

Mit der DSGVO gibt es künftig unterschiedliche Voraussetzungen für eine Meldepflicht an die Aufsichtsbehörde und eine Meldepflicht an den Betroffenen, wobei die Voraussetzungen zur Meldung an die Aufsichtsbehörde deutlich geringer sind.

Meldung an die Aufsichtsbehörde

Nach Art. 33 DSGVO sind Datenpannen der Aufsichtsbehörde zu melden, wenn

• der Schutz personenbezogener Daten verletzt wurde und
• Risiken für die Rechte und Freiheiten natürlicher Personen bestehen.

Im Unterschied zur jetzigen Rechtslage besteht nach der DSGVO künftig bei jeder Verletzung personenbezogener Daten eine Meldepflicht. Es kommt nicht mehr darauf an, dass bestimmte Arten von Daten (z. B. Gesundheits- oder Bankdaten) betroffen sind.

Ebenso ist nicht mehr entscheidend, ob die Daten von einem Unbefugten auch zur Kenntnis genommen werden. Ausreichend ist allein der Verlust der Daten an sich bzw. ein ähnlicher Vorfall.

Ausnahmen

Eine Meldung an die Aufsichtsbehörde muss nur dann nicht erfolgen, wenn die Verletzung des Schutzes personenbezogener Daten „voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt.“

Wenn durch geeignete Maßnahmen sichergestellt werden kann, dass keine Risiken bestehen oder es sich nur um relativ bedeutungslose Daten handelt (z.B. die Geburtstagsliste der Abteilung), kann eine Meldung künftig unterbleiben. Geeignete Maßnahmen können z. B. sein: Verschlüsselung, Fernlöschung, Rückgabe der Daten, Vereinbarung vertraglicher Geheimhaltungspflichten.

Andererseits reicht bereits ein „einfaches Risiko“ aus, um eine Meldepflicht auszulösen. Es muss keine „schwerwiegende Beeinträchtigung“ mehr drohen.

Da irgendein denkbares Risiko für die Rechte und Freiheiten der Betroffenen wohl fast immer vorliegen dürfte, werden Meldungen an die Aufsichtsbehörde künftig viel häufiger erfolgen müssen.

Anforderungen an die Meldung

Die Meldung an die Aufsichtsbehörde soll gemäß Art. 33 DSGVO unverzüglich, „möglichst binnen 72 Stunden“ nach Bekanntwerden der Datenpanne erfolgen.
Eine Überschreitung der Frist ist in Ausnahmefällen möglich, muss jedoch begründet werden.

Die Meldung muss enthalten:

• eine Beschreibung des konkreten Vorfalls (Art der Datenpanne)
• die Kategorien von betroffenen Daten (bspw. Adressdaten, E-Mailadressen, Bankverbindung, Geburtsdatum, Steuermerkmale, Bonitätsdaten)
• die Anzahl der Betroffenen
• die Anzahl der Datensätze
• eine Einschätzung der wahrscheinlichen Folgen für die Betroffenen
• (ergriffene oder vorgeschlagene) Maßnahmen zur Behebung oder Abmilderung der Verletzung (Ursachenbeseitigung und Schadensbegrenzung), bspw. Information von irrtümlichen Empfängern und Aufforderung zur Datenlöschung, Einspielen von Sicherheitspatches
• den Name und die Kontaktdaten des Datenschutzbeauftragten oder einer sonstigen Anlaufstelle für weitere Informationen

Meldung an die Betroffenen

In Art. 34 DSGVO ist die Verpflichtung für die Meldung einer Datenpanne an die Betroffenen geregelt.

Danach ist eine von einer Datenpanne betroffene Person von der Datenpanne zu unterrichten, wenn die Datenpanne „voraussichtlich ein hohes Risiko“ für die persönlichen Rechte und Freiheiten des Betroffenen bedeutet.

Wann genau ein hohes Risiko gegeben ist, lässt die DSGVO offen. Letztlich kommt es darauf an, welche Auswirkungen die unrechtmäßige Kenntniserlangung durch Dritte für die Betroffenen haben kann.

Ein hohes Risiko wird regelmäßig dann anzunehmen sein, wenn eine Prognose ergibt, dass mit hoher Wahrscheinlichkeit ein Schaden für die Rechte und Freiheiten der betroffenen Person eintritt.
Zum Beispiel:  finanzielle Verluste/unberechtigte Abbuchungen, Identitätsdiebstahl oder -betrug, Offenlegung privater Informationen, Diskriminierung, unbefugte Aufhebung der Pseudonymisierung, Rufschädigung, Verlust der Vertraulichkeit von dem Berufsgeheimnis unterliegenden Daten oder andere erhebliche wirtschaftliche oder gesellschaftliche Nachteile für die betroffene natürliche Person.
Maßgeblich ist hierbei auch, ob und inwieweit weitere Verletzungen durch die Benachrichtigung vermieden werden können.

Ausnahmen

Die Benachrichtigung der betroffenen Person ist nicht erforderlich, wenn:

• vor dem Vorfall technische und organisatorische Sicherheitsvorkehrungen (z.B. Verschlüsselung) getroffen wurden, durch welche personenbezogene Daten für unbefugte Personen unzugänglich gemacht wurden,
• durch nachfolgende Maßnahmen sichergestellt wurde, dass das hohe Risiko für die Rechte und Freiheiten der betroffenen Personen aller Wahrscheinlichkeit nach nicht mehr besteht,
• die Benachrichtigung der betroffenen Personen mit einem unverhältnismäßigen Aufwand verbunden wäre, bspw. aufgrund der Vielzahl der Fälle. Stattdessen erfolgt eine öffentliche Bekanntmachung (z. B. durch Anzeigen, die mindestens eine halbe Seite umfassen, in mindestens zwei bundesweit erscheinenden Tageszeitungen) oder eine ähnliche Maßnahme, durch die die betroffenen Personen vergleichbar wirksam informiert werden (z. B.  Nutzung elektronischer Medien oder Verwendung regionaler Zeitungen, wenn der Kreis der Betroffenen entsprechend lokal angesiedelt ist).

Zu beachten ist jedoch, dass, auch wenn der Betroffene aus diesen Gründen nicht zu benachrichtigen ist, dennoch eine Meldepflicht gegenüber der Aufsichtsbehörde nach Art. 33 DSGVO besteht.

Anforderungen an die Meldung

Die Unterrichtung des Betroffenen soll unverzüglich, also ohne schuldhaftes Zögern, und in „klarer und einfacher Sprache“ erfolgen. Der Betroffene muss verstehen, was passiert ist, um einschätzen zu können, welche Risiken für ihn durch das Ereignis bestehen und welche Maßnahmen er ergreifen kann um eventuell eintretende Schäden zu verhindern.

Die Benachrichtigung muss enthalten:

• eine Beschreibung der Art der Datenschutzverletzung
• den Namen und die Kontaktdaten des Datenschutzbeauftragten oder einer sonstigen Anlaufstelle für weitere Informationen
• eine Beschreibung der wahrscheinlichen Folgen der Datenschutzverletzung; bspw. Identitätsmissbrauch (etwa bei Onlinegeschäften), Herbeiführung von Vermögensschäden (etwa durch unberechtigte Abbuchungen), Herbeiführung sozialer und/oder beruflicher Nachteile, Herbeiführung sonstiger Nachteile
• eine Beschreibung der ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung oder Abmilderung der Verletzung (Ursachenbeseitigung und Schadensbegrenzung); bspw. Änderung von Passwörtern und PIN-Codes, Kontrolle von Kontoauszügen auf Unregelmäßigkeiten; Kontrolle von Online-Konten auf Unregelmäßigkeit, Information von Kreditinstituten und Kreditkartengesellschaft.

Dokumentation

Jede Datenschutzverletzung muss gemäß Art. 33 Abs. 5 DSGVO einschließlich aller damit im Zusammenhang stehenden Fakten, deren Auswirkungen und der ergriffenen Maßnahmen dokumentiert werden.

Die Dokumentation ist Teil der Rechenschaftspflicht. Den Aufsichtsbehörden soll damit ermöglicht werden, zu kontrollieren, ob u. a. die Benachrichtigungspflichten eingehalten wurden.

Art. 28 DSGVO, Art. 29 DSGVO
bisher: § 11 BDSG

Vieles bleibt gleich, Einiges ändert sich unter der DSGVO. An den Grundsätzen der Auftragsverarbeitung ändert sich wenig. Inhaltlich orientieren sich die Bestimmungen der DSGVO zur Auftragsverarbeitung an der bekannten Regelung aus § 11 BDSG: Die Pflicht, einen (gesonderten) Vertrag zur Auftragsverarbeitung zu schließen bleibt bestehen und der Auftraggeber bleibt als Verantwortlicher für die Einhaltung der Rechtmäßigkeit und der Betroffenenrechte weiterhin in der Pflicht.

In einigen Punkten bestehen jedoch Abweichungen zum bisher geltenden Recht.

Zunächst einmal werden sprachliche Änderungen vorgenommen:
Die Auftragsdatenverarbeitung wird künftig „Auftragsverarbeitung“ genannt.
Der Auftraggeber wird „der für die Verarbeitung Verantwortliche“ (kurz „Verantwortlicher“).
Die Bezeichnung für den Auftragnehmer lautet künftig „Auftragsverarbeiter“.

Wann aber liegt überhaupt eine Auftragsverarbeitung vor?

Auftragsverarbeitung ist die Datenverarbeitung im Auftrag durch einen Dritten, bei der die Verantwortung für die ordnungsgemäße Datenverarbeitung beim Auftraggeber verbleibt. Der Auftragnehmer (Auftragsverarbeiter) wird nur unterstützend tätig und ist bildlich als verlängerter Arm des Auftraggebers (Verantwortlicher) anzusehen, also in seinen Befugnissen im Umgang mit den überlassenen Daten eingeschränkt.

Der Auftragnehmer erhält keine Entscheidungsbefugnis bezüglich der Daten. Er darf die erhaltenen Daten nicht zu eigenen Zwecken nutzen und muss sich strikt an die schriftlichen Weisungen des Auftraggebers halten.

Kriterien, die für das Vorliegen einer Auftragsverarbeitung sprechen:

• Der Auftragnehmer besitzt keine Entscheidungsbefugnis über die Daten, er wird lediglich unselbstständig tätig.
• Der Auftragnehmer ist den Weisungen des Auftraggebers unterworfen.
• Die Daten werden dem Auftragnehmer vom Auftraggeber lediglich zur Verfügung gestellt. Dieser darf keine eigenen Daten erheben oder verarbeiten.
• Der Vertrag beinhaltet nur Angaben bezüglich der Art und des Umfangs der durchzuführenden Datenverarbeitung, gewährt aber keine eigenen Nutzungsrechte.
• Der Auftraggeber bleibt für die Zulässigkeit der Datenverarbeitung verantwortlich und gewährleistet die Rechte des Betroffenen.
• Es fehlt eine eigenständige rechtliche Beziehung des Auftragnehmers zum Betroffenen.

Beispiele für eine Auftragsverarbeitung: Ausgelagertes Callcenter, Marketingaktionen durch externe Agenturen (Kundenumfragen, Newsletterversand), Dienstleistungsverträge zur Datenträgerentsorgung, externe Lohn- und Gehaltsabrechnung, ausgelagertes Rechenzentrum.

Abgrenzung zur Funktionsübertragung

Keine Auftragsverarbeitung liegt bei der so genannten Funktionsübertragung vor.
Bei einer Funktionsübertragung wird der Auftragnehmer dergestalt tätig, dass er für den Auftraggeber einen bestimmten Auftrag wahrnimmt und dazu im eigenen Namen alle erforderlichen Entscheidungen trifft, dabei aber stets im Interesse des Auftraggebers handeln muss. In der Regel wird ein solcher Auftragnehmer beauftragt, wenn er über ein  bestimmtes Fachwissen oder über Erfahrungen und Möglichkeiten verfügt, die der Auftraggeber nicht besitzt.

Beispiele für Funktionsübertragung: Einschaltung eines Arztes, eines Rechtsanwalts, einer Steuerkanzlei, eines Inkassounternehmens oder eines Privatdetektivs.

In all diesen Fällen wäre der Auftraggeber gar nicht in der Lage, dem Dienstleister Anweisungen oder Vorgaben für die Durchführung des Auftrags zu geben.

Vertrag zur Auftragsverarbeitung

Unternehmen dürfen die Verarbeitung personenbezogener Daten grundsätzlich auch auf Dritte übertragen und so einzelne Teilbereiche auslagern. Allerdings muss der Schutz von personenbezogenen Daten auch in diesem Fall gewährleistet werden.

Analog zu § 11 BDSG bestimmt Art. 28 DSGVO daher, dass der Auftragsverarbeiter sorgfältig ausgewählt werden muss. Der Verantwortliche darf nur solche Auftragsverarbeiter einschalten, die hinreichende Garantien dafür bieten, dass sie geeignete technische und organisatorische Maßnahmen für einen ausreichenden Datenschutz anwenden, so dass die Verarbeitung im Einklang mit der DSGVO erfolgt und den Schutz der Rechte der betroffenen Personen gewährleistet.

Erforderlich ist damit vor allem die Darstellung (und Prüfung) der erforderlichen Maßnahmen zur Sicherheit der Verarbeitung nach Art. 32 DSGVO beim Auftragsverarbeiter. Anders als bisher, haben Verantwortliche diesbezüglich künftig Kontrollrechte, aber keine Kontrollpflichten mehr.

Sowohl nach derzeit geltendem Recht als auch nach der DSGVO ist bei einer Auftragsverarbeitung stets eine (gesonderte) Vereinbarung über die Auftragsverarbeitung mit dem Auftragsverarbeiter zu schließen.

Der Vertrag muss künftig nicht mehr zwingend schriftlich geschlossen werden, es genügt auch die elektronische Form.

Was unter dem „elektronischen Format“ in Art. 28 Abs. 9 DSGVO zu verstehen ist, ist noch nicht abschließend geklärt.
Denkbar ist, dass ein Word- oder PDF-Dokument ausreichend ist, solange darin eingescannte Unterschriften enthalten sind. Eine eigenhändige Unterschrift oder eine qualifizierte elektronische Signatur wären dann nicht erforderlich.
Denkbar ist aber auch eine Auslegung dahingehend, dass eine elektronische Signatur zwingend erforderlich ist.
Die Meinungen hierzu gehen auseinander. Bis zu einer endgültige Klärung ist daher zu empfehlen, weiterhin einen schriftlichen Vertrag mit eigenhändigen Unterschriften abzuschließen.

Die inhaltlichen Anforderungen an einen Vertrag zur Auftragsverarbeitung orientieren sich stark an den aus § 11 BDSG bereits bekannten Punkten. Nach Art. 28 Abs. 3 DSGVO muss der Vertrag insbesondere Folgendes beinhalten:

• Gegenstand und Dauer der Verarbeitung
• Art und Zweck der Verarbeitung
• Art der personenbezogenen Daten
• Kategorien betroffener Personen
• Pflichten und Rechte des Verantwortlichen
• Weisungsrechte des Verantwortlichen gegenüber dem Auftragsverarbeiter: Der Auftragsverarbeiter darf die personenbezogenen Daten nur auf dokumentierte Weisung des Verantwortlichen verarbeiten
• Sicherstellung, dass eine Verpflichtung auf das Datengeheimnis vorliegt: Der Auftragsverarbeiter muss gewährleisten, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen
• Verpflichtung des Auftragsverarbeiters, alle erforderlichen technischen und organisatorischen Maßnahmen gemäß Art. 32 DSGVO zu ergreifen
• Regelungen zu Unterauftragnehmern: Der Auftragsverarbeiter nimmt keinen weiteren Auftragsverarbeiter ohne vorherige gesonderte oder allgemeine schriftliche Genehmigung des Verantwortlichen in Anspruch
• Regelung der Mitwirkungspflicht bei der Wahrnehmung von Betroffenenrechten: Der Auftragsverarbeiter unterstützt den Verantwortlichen in seiner Pflicht zur Erfüllung der Betroffenenrechte und sonstiger Verpflichtungen nach der DSGVO
• Regelung der Datenlöschung nach Beendigung des Auftrags: Nach Abschluss der Verarbeitungsleistungen werden alle personenbezogenen Daten nach Wahl des Verantwortlichen entweder gelöscht oder zurückgegeben
• Regelung der Überprüfung der Verarbeitung durch den Verantwortlichen: Der Auftragsverarbeiter stellt alle Informationen zum Nachweis der Einhaltung seiner Verpflichtungen zur Verfügung und ermöglicht diesbezügliche Prüfungen  

Musterverträge

Der Inhalt des Vertrages zur Auftragsverarbeitung ist gesetzlich weitestgehend vorgegeben (siehe oben). Daher gibt es zahlreiche frei zugängliche Musterverträge, die den gesetzlichen Anforderungen entsprechen. Auf die neuen Vorschriften abgestimmte Verträge stellen u. a. das BayLDA, Bitkom und die GDD zur Verfügung:

Mustervertrag BayLDA (Bayerisches Landesamt für Datenschutzaufsicht)

Mustervertrag Bitkom

Mustervertrag GDD (Gesellschaft für Datenschutz und Datensicherheit)

Verzeichnis von Verarbeitungstätigkeiten

Anders als bisher muss künftig auch der Auftragsverarbeiter ein Verzeichnis von Verarbeitungstätigkeiten führen und diese Dokumentation der Aufsichtsbehörde auf Nachfrage zur Verfügung stellen. Bislang ist hierzu nur der für die Verarbeitung Verantwortliche (Auftraggeber) verpflichtet.

In dem Verzeichnis sind die Verarbeitungstätigkeiten zu dokumentieren, die der Auftragsverarbeiter für den Verantwortlichen durchführt.

Zum dem vom Auftragsverarbeiter zu erstellenden Verzeichnis haben wir bereits in Kapitel 03 (Verzeichnis von Verarbeitungstätigkeiten) berichtet. Neben ausführlichen Informationen finden Sie dort auch eine Vorlage für das Verzeichnis der Auftragsverarbeiter.

Einsatz von Unterauftragnehmern

Grundsätzlich darf der Auftragsverarbeiter zur Erfüllung des Auftrags Unterauftragnehmer einsetzen. Hierzu ist jedoch die vorherige Zustimmung des Verantwortlichen erforderlich.

Die Zustimmung kann entweder in jedem Einzelfall gesondert eingeholt werden, sie kann aber auch in allgemeiner Form bereits im Vertrag erteilt werden. In diesem Fall muss der Auftragsverarbeiter den Verantwortlichen über jeden Wechsel des Unterauftragnehmers informieren; der Verantwortliche kann dem Einsatz des neuen Unterauftragnehmers widersprechen.

Der Auftragsverarbeiter muss mit dem Unterauftragnehmer einen Vertrag zur Auftragsverarbeitung schließen, der die gleichen Pflichten enthält wie der Vertrag zwischen dem Verantwortlichen und dem Auftragsverarbeiter.

Begeht der Unterauftragnehmer einen Datenschutzverstoß, haftet hierfür der Auftragsverarbeiter dem Verantwortlichen gegenüber uneingeschränkt.

Gemeinsame Haftung

Die Regelungen des BDSG sehen vor, dass nur der Verantwortliche (Auftraggeber) gegenüber betroffenen Personen auf Schadensersatz haftet, wenn diese durch einen Datenschutzverstoß einen Schaden erlitten haben. Der Auftragsverarbeiter haftet gegenüber den betroffenen Personen bisher grundsätzlich nicht.

In der DSGVO wird die Haftung des Auftragsverarbeiters jedoch verschärft.

Nach Art. 82 Abs. 1 DSGVO haften der Verantwortliche und der Auftragsverarbeiter künftig gemeinsam für Datenschutzverstöße gegenüber den betroffenen Personen.
Eine Haftung scheidet aus, wenn entweder der Verantwortliche oder der Auftragsverarbeiter nachweisen können, für den eingetretenen Schaden nicht verantwortlich zu sein.

Fernwartung

Nach den bisherigen Regelungen im BDSG unterliegt eine Fernwartung den Regelungen zur Auftragsverarbeitung. Gemäß § 11 Abs. 5 BDSG sind die Regeln zur Auftragsverarbeitung entsprechend anzuwenden, wenn es um die Wartung von Datenverarbeitungsanlagen geht und ein Zugriff auf personenbezogene Daten dabei nicht ausgeschlossen werden kann.
Es kommt also nicht darauf an, ob ein Zugriff auf personenbezogene Daten durch den Dienstleister erfolgt, entscheidend ist allein, ob ein Zugriff möglich ist.

Weder in der DSGVO noch im BDSG-neu findet sich eine entsprechende Regelung. Es stellt sich daher die Frage, wie Fernwartungsverträge künftig zu beurteilen sind.

In einem Kurzpapier der Datenschutzkonferenz äußern sich die Datenschutzbehörden des Bundes und der Länder dazu wie folgt:
„Ist Gegenstand des Vertrages zwischen Verantwortlichem und Auftragsverarbeiter die IT-Wartung oder Fernwartung (z. B. Fehleranalysen, Support-Arbeiten in Systemen des Auftraggebers) und besteht in diesem Rahmen für den Auftragsverarbeiter die Notwendigkeit oder Möglichkeit des Zugriffs auf personenbezogene Daten, so handelt es sich im Hinblick auf die weite Definition einer Verarbeitung in Art. 4 Nr. 2 DSGVO (z. B. Auslesen, Abfragen, Verwenden) ebenfalls um eine Form oder Teiltätigkeit einer Auftragsverarbeitung und die Anforderungen des Art. 28 DSGVO – wie etwa der Abschluss eines Vertrages zur Auftragsverarbeitung – sind umzusetzen. Anders ist dies bei einer rein technischen Wartung der Infrastruktur einer IT durch Dienstleister (z. B. Arbeiten an Stromzufuhr, Kühlung, Heizung), die nicht zu einer Qualifikation des Dienstleisters als Auftragsverarbeiter und einer Anwendung von Art. 28 DSGVO führen.“

Danach würden bestimmte Tätigkeiten, wie eine rein technischen Wartung, unter Umständen nicht zu einer Qualifikation als Auftragsverarbeitung führen.

Letztlich wird man abwarten müssen, wie sich der Europäische Datenschutzausschuss äußern wird. Bis zu einer eindeutigen Aussage hierzu ist zu empfehlen, bei Fernwartungsverträgen auch weiterhin von einer Auftragsverarbeitung auszugehen und einen entsprechenden Vertrag zur Auftragsverarbeitung zu schließen.

Verstöße gegen die Vorschriften zur Auftragsverarbeitung können künftig mit einem Bußgeld von 10 Mio. Euro oder 2 % des gesamten weltweit erzielten Jahresumsatzes geahndet werden. Diese Sanktionen können nicht nur den Verantwortlichen selbst sondern auch den Auftragsverarbeiter bei Verstößen gegen seine Verpflichtungen treffen.

Art. 5 Abs. 1 f), Art. 32 DSGVO
bisher: § 9 BDSG, Anlage zu § 9 BDSG

Während es beim Datenschutz primär um den Schutz der betroffenen Personen geht, geht es bei der Datensicherheit in erster Linie um die (technische) Sicherheit der Daten.
Im Wesentlichen geht es darum, personenbezogene Daten vor einem Zugriff durch unberechtigte Dritte oder vor versehentlicher Vernichtung, Verlust und Veränderung zu schützen.

Daher ist jeder, der personenbezogene Daten verarbeitet, gesetzlich verpflichtet, technische und organisatorische Maßnahmen zu ergreifen, um die Sicherheit der Daten zu gewährleisten.
Welche konkreten Maßnahmen ein Unternehmen ergreift, steht im Ermessen des Unternehmens. Entscheidend ist, dass die Summe der getroffenen Maßnahmen einem der Verarbeitung angemessenen Datenschutzniveau entspricht.

Nach der bisher geltenden Rechtslage ist in § 9 BDSG geregelt, dass Unternehmen geeignete technische und organisatorische Maßnahmen zur Einhaltung von Datenschutz und Datensicherheit zu treffen haben. Die möglichen Maßnahmen werden in der Anlage zu § 9 BDSG in verschiedene Bereiche bzw. Schutzkategorien unterteilt:

1. Unbefugten den Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, zu verwehren (Zutrittskontrolle),
2. zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können (Zugangskontrolle),
3. zu gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können (Zugriffskontrolle),
4. zu gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist (Weitergabekontrolle),
5. zu gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind (Eingabekontrolle),
6. zu gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können (Auftragskontrolle),
7. zu gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind (Verfügbarkeitskontrolle),
8. zu gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können.

Auch nach Art. 32 DSGVO sind Unternehmen weiterhin verpflichtet, „geeignete technische und organisatorische Maßnahmen (zu treffen), um ein dem Risiko angemessenes Schutzniveau zu gewährleisten“. Die zu treffenden Maßnahmen haben nach Art. 32 Abs. 1a) DSGVO unter anderem Folgendes einzuschließen:

1. die Pseudonymisierung und Verschlüsselung personenbezogener Daten;
2. die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen;
3. die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen;
4. ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.

Als konkrete Maßnahmen werden somit die Pseudonymisierung und die Verschlüsselung genannt, die bei der Verarbeitung möglichst eingesetzt werden sollen.

Das heißt jedoch nicht, dass Unternehmen stets zur Pseudonymisierung verpflichtet sind. Wie alle anderen technischen und organisatorischen Maßnahmen ist auch die Pseudonymisierung eine mögliche, aber keine verpflichtende Maßnahme.

Auch gibt es Datenverarbeitungsvorgänge, die pseudonymisiert gar nicht möglich wären. So ist z. B. in einem Onlineshop die Zuordnung einzelner Datensätze zu einer Person notwendig, um die Bestellung des Kunden ausführen zu können.
Wo sich Daten aber pseudonymisiert verarbeiten lassen können, ist zu empfehlen, diese Technik einzusetzen.

Als weitere konkrete Maßnahme nennt die DSGVO die Verschlüsselung der Daten. Wie bei der Pseudonymisierung besteht aber auch hier grundsätzlich keine Pflicht zur Verschlüsselung. In vielen Bereichen ist eine Verschlüsselung heutzutage jedoch üblich und somit Stand der Technik. Insbesondere Passwörter, die Zugang zu personenbezogenen Daten liefern, sollten stets verschlüsselt werden.

Außer der Pseudonymisierung und der Verschlüsselung werden keine weiteren konkreten Maßnahmen genannt. Stattdessen zählt die DSGVO Schutzziele auf, die mit entsprechenden Maßnahmen erreicht werden sollen.

Die klassischen Ziele Vertraulichkeit (Daten sind für unberechtigte Dritte nicht zugänglich), Integrität (Daten können nicht verfälscht werden) und Verfügbarkeit (Daten stehen zur Verfügung, wenn sie gebraucht werden) finden sich hier und an weiteren Stellen der DSGVO wieder. Neu hinzu kommt der Begriff der Belastbarkeit von Systemen und Diensten.

Eine nähere Definition, was mit Belastbarkeit gemeint ist, gibt die DSGVO nicht. Zur Lösung kann aber die englische Fassung herangezogen werden. Dort ist die Rede von „resilience“. Insofern passen also eher die Begriffe Resilienz bzw. Widerstandsfähigkeit der Systeme und Dienste. Demnach müssen Systeme und Dienste einer gewissen Beanspruchung standhalten und eine Widerstandfähigkeit im Fall von Fehlern, Störungen oder bei hoher Beanspruchung aufweisen.

So muss bspw. ein Webserver auch bei kurzfristig starker Beanspruchung durch viele gleichzeitige Anfragen zuverlässig die angeforderten Daten liefern und ebenso die Fähigkeit besitzen, externen Angriffen, etwa durch Hacker, zu widerstehen bzw. diese zu überstehen.

Im Hinblick auf konkret zu ergreifende Maßnahmen bleibt die DSGVO jedoch ziemlich vage.

Detailliertere Kriterien findet man hingegen in § 64 BDSG-neu für den Bereich der öffentlichen Verwaltung. Auch wenn diese Vorschrift nur für den öffentlichen Bereich gilt, spricht nichts dagegen, sie als Auslegungshilfe auch für Unternehmen der Privatwirtschaft heranzuziehen.

Nach § 64 Abs. 3 BDSG-neu sind Maßnahmen zu ergreifen, die Folgendes bezwecken:

1. Verwehrung des Zugangs zu Verarbeitungsanlagen, mit denen die Verarbeitung durchgeführt wird, für Unbefugte (Zugangskontrolle),
2. Verhinderung des unbefugten Lesens, Kopierens, Veränderns oder Löschens von Datenträgern (Datenträgerkontrolle),
3. Verhinderung der unbefugten Eingabe von personenbezogenen Daten sowie der unbefugten Kenntnisnahme, Veränderung und Löschung von gespeicherten personenbezogenen Daten (Speicherkontrolle),
4. Verhinderung der Nutzung automatisierter Verarbeitungssysteme mit Hilfe von Einrichtungen zur Datenübertragung durch Unbefugte (Benutzerkontrolle),
5. Gewährleistung, dass die zur Benutzung eines automatisierten Verarbeitungssystems Berechtigten ausschließlich zu den von ihrer Zugangsberechtigung umfassten personenbezogenen Daten Zugang haben (Zugriffskontrolle),
6. Gewährleistung, dass überprüft und festgestellt werden kann, an welche Stellen personenbezogene Daten mit Hilfe von Einrichtungen zur Datenübertragung übermittelt oder zur Verfügung gestellt wurden oder werden können (Übertragungskontrolle),
7. Gewährleistung, dass nachträglich überprüft und festgestellt werden kann, welche personenbezogenen Daten zu welcher Zeit und von wem in automatisierte Verarbeitungssysteme eingegeben oder verändert worden sind (Eingabekontrolle),
8. Gewährleistung, dass bei der Übermittlung personenbezogener Daten sowie beim Transport von Datenträgern die Vertraulichkeit und Integrität der Daten geschützt werden (Transportkontrolle),
9. Gewährleistung, dass eingesetzte Systeme im Störungsfall wiederhergestellt werden können (Wiederherstellbarkeit),
10.  Gewährleistung, dass alle Funktionen des Systems zur Verfügung stehen und auftretende Fehlfunktionen gemeldet werden (Zuverlässigkeit),
11.  Gewährleistung, dass gespeicherte personenbezogene Daten nicht durch Fehlfunktionen des Systems beschädigt werden können (Datenintegrität),
12.  Gewährleistung, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können (Auftragskontrolle),
13.  Gewährleistung, dass personenbezogene Daten gegen Zerstörung oder Verlust geschützt sind (Verfügbarkeitskontrolle),
14.  Gewährleistung, dass zu unterschiedlichen Zwecken erhobene personenbezogene Daten getrennt verarbeitet werden können (Trennbarkeit).

Ebenso ist es möglich, sich an den aus § 9 BDSG und der Anlage bekannten Maßnahmen zu orientieren. Beides kann als Orientierungshilfe genutzt werden, um sicherzustellen, dass nichts Wesentliches vergessen wird.

Auswahl geeigneter technischer und organisatorischer Maßnahmen

- Risikobewertung -

Um beurteilen zu können, welche Maßnahmen konkret ergriffen werden müssen, um ein „angemessenes Schutzniveau“ im Sinne von Art. 32 DSGVO zu erreichen, müssen zunächst der Schutzbedarf der relevanten personenbezogenen Daten festgestellt und die mit der Verarbeitung verbundenen Risiken ermittelt werden. Anschließend sind Maßnahmen zur Eindämmung der Risiken zu treffen.

Im Rahmen einer Risikobewertung ist abzuwägen, wie wahrscheinlich ein Schadenseintritt ist und welchen Schaden er mit welchen Auswirkungen beim Betroffenen anrichten könnte.

Je wahrscheinlicher es ist, dass für die Rechte und Freiheiten von natürlichen Personen ein Risiko besteht, desto höher sind die Anforderungen für das Unternehmen, entsprechende technische und organisatorische Maßnahmen zu implementieren, um die personenbezogenen Daten ausreichend zu schützen.

Die höchsten Anforderungen an die zu treffenden technischen und organisatorischen Maßnahmen werden an diejenigen Verarbeitungsvorgänge gestellt, die eine hohe Eintrittswahrscheinlichkeit besitzen und gleichzeitig besonders schwere Risiken für die Rechte und Freiheiten der Betroffenen bedeuten.

Hinweise zur Durchführung einer Risikobewertung finden Sie im Ablaufplan zur Datenschutz-Folgenabschätzung (Seiten 7 bis 13), den wir Ihnen bereits in Kapitel 04 zur Verfügung gestellt haben: Ablaufplan: Datenschutz-Folgenabschätzung

- Stand der Technik -

Neben der Risikobewertung ist gemäß Art. 32 DSGVO bei der Auswahl der technischen und organisatorischen Maßnahmen auch der „Stand der Technik“ zu berücksichtigen.

Gemeint sind damit bekannte, wirksame und etablierte Maßnahmen, die auf dem Markt verfügbar sind und eingesetzt werden und die sich in der Praxis bereits bewährt haben.

Nicht gemeint sind Techniken, die gerade neu entwickelt wurden und die in der Praxis (noch) nicht ausreichend getestet wurden. Entscheidend ist vielmehr, dass die jeweilige Maßnahme ihre Geeignetheit und Effektivität in der Praxis bereits bewiesen hat und einen ausreichenden Sicherheitsstandard gewährleistet.

Ein Beispiel ist der Einsatz von SSL-Zertifikaten zur verschlüsselten Übertragung von personenbezogenen Daten in einem Onlineshop, etwa bei Bestellformularen oder Login-Seiten. Diese Technik ist inzwischen allgemein üblich, so dass jeder Onlineshop-Betreiber dazu aufgerufen ist, diese Technik einzusetzen.

Wenn es also im Markt üblich ist, bestimmte Technologien einzusetzen, dann sind diese als Stand der Technik zu betrachten und das Unternehmen ist bei der Auswahl von Maßnahmen angehalten, diese Technologien ebenfalls einzusetzen.

Wichtig ist, dass der Stand der Technik sich in einem steten Wandel befindet. Es können sich sowohl neue Technologien herausbilden als auch bestehende Technologien als unsicher herausstellen.
Damit die Datensicherheit aktuell und damit hoch genug ist, müssen die bestehenden Maßnahmen regelmäßig überprüft und ggf. angepasst werden.

Es reicht also nicht aus, sich einmalig Gedanken zu den technischen und organisatorischen Maßnahmen zu machen. Vielmehr muss regelmäßig überprüft werden, ob die Maßnahmen noch ausreichend sind oder ob der technische Fortschritt oder neue Risiken neue oder andere Maßnahmen erfordern.

Veraltete IT-Sicherheitsmaßnahmen bieten keinen ausreichenden Schutz. So sind bspw. Verschlüsselungsverfahren, die vor einigen Jahren noch als Standard galten, heute kein wirksamer Schutz mehr. Datendiebe können diese Verschlüsselungsverfahren inzwischen relativ leicht brechen.

- Implementierungskosten -

Um ein „angemessenes Schutzniveau“ zu erreichen, müssen Maßnahmen ergriffen werden, die den Schutzbedarf der Daten, das Risiko für die Rechte und Freiheiten natürlicher Personen sowie den Stand der Technik berücksichtigen.

Wie auch bisher, sind jedoch nur solche Maßnahmen umzusetzen, die „angemessen“ sind. Zu berücksichtigen sind ausdrücklich auch die Implementierungskosten sowie Art, Umfang, Umstände und Zwecke der Verarbeitung.

Somit wird einerseits stets zu prüfen sein, was beim jeweiligen Verfahren als Stand der Technik angesehen wird; andererseits wird auch die Verhältnismäßigkeit einer Maßnahme hinsichtlich des Aufwands zu berücksichtigen sein.

Regelmäßige Überprüfung

Gemäß Art. 32 Abs.1 d) DSGVO muss die Wirksamkeit der umgesetzten technischen und organisatorischen Maßnahmen regelmäßig getestet werden. Hierzu heißt es, dass „ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung“ einzurichten ist.
Ein solches Verfahren könnte z.B. die Durchführung von Penetrationstests sein, die ausdrücklich die Umgehung von Sicherheitsmechanismen zum Ziel haben.

Dokumentation / Rechenschaftspflicht

Künftig müssen Unternehmen nachweisen (können), dass sie ausreichende Maßnahmen zur Sicherheit personenbezogener Daten getroffen haben.

Allgemein ist diese so genannte Rechenschaftspflicht in Art. 5 Abs. 2 DSGVO geregelt, wonach Unternehmen die Einhaltung der Vorschriften der DSGVO und damit auch die Vorschriften zur Datensicherheit nachweisen können müssen.

Für den Bereich IT-Sicherheit / Datensicherheit wird die allgemeine Vorschrift konkretisiert durch Art. 24 Abs. 1 DSGVO, wonach der Verantwortliche geeignete technische und organisatorische Maßnahmen umzusetzen hat, um sicherzustellen und den Nachweis dafür erbringen zu können, dass die Verarbeitung gemäß dieser Verordnung erfolgt.

Im Hinblick auf Art. 32 DSGVO bedeutet das, dass ein IT-Sicherheitskonzepts zu erstellen ist, in dem sowohl die vorgenommene Risikobewertung als auch die Auswahl der technischen und organisatorischen Maßnahmen zu dokumentieren sind.

Gemäß Art. 32 Abs. 3 DSGVO können Unternehmen der Nachweispflicht künftig auch durch eine Zertifizierung nachkommen.

data protection by design / data protection by default

Vorgaben zur Umsetzung geeigneter technischer und organisatorischer Maßnahmen enthält auch Art. 25 DSGVO.

Hier werden erstmals Grundsätze des data protection by design (Datenschutz durch Technikgestaltung) und des data protection by default (datenschutzfreundliche Voreinstellungen) gesetzlich festgeschrieben.

Weitere Informationen zu diesen beiden Themen erhalten Sie im nächsten Newsletter bzw. demnächst in Kapitel 13.

Bußgelder

Im BDSG sind Verstöße gegen § 9 BDSG nicht sanktioniert. Trifft ein Unternehmen die erforderlichen technischen und organisatorischen Maßnahmen zur Einhaltung von Datenschutz und Datensicherheit nicht, muss es bisher weder mit Bußgeldern noch mit Strafen rechnen. Die Aufsichtsbehörden können jedoch die Vornahme geeigneter Maßnahmen fordern und die weitere Datenverarbeitung bis zum Erreichen eines angemessenen Schutzniveaus verbieten.

Das wird sich mit der DSGVO ändern. Sollten unzureichende oder ungeeignete technische und organisatorische Maßnahmen umgesetzt werden, fehlen ausreichende Tests oder Dokumentationen droht ein Bußgeld von bis zu 10 Mio. Euro oder bis zu 2% des weltweit erzielten Jahresumsatzes.

Art. 25 DSGVO

Eine wichtige Neuerung, die die DSGVO im Mai 2018 mit sich bringen wird, sind die Grundsätze zum Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen (privacy by design und privacy by default).

In Art. 25 verpflichtet die DSGVO Unternehmen dazu, Systeme und Prozesse / Verfahren schon bei ihrer Einführung datenschutzkonform zu gestalten. Dadurch soll dem Datenschutz zu einem möglichst frühen Zeitpunkt Rechnung getragen und die unrechtmäßige Verarbeitung oder ein Missbrauch von Daten möglichst schon im Vorfeld verhindert werden. Datenschutz fängt somit schon bei der Entwicklung an.

Im vorherigen Kapitel dieser Reihe (Kapitel 12 „Sicherheit der Verarbeitung“) haben wir dargestellt, dass Unternehmen gemäß Art. 32 DSGVO technische und organisatorische Maßnahmen treffen müssen, um die Sicherheit personenbezogener Daten zu gewährleisten und die Daten so vor einem Zugriff durch unberechtigte Dritte oder vor versehentlicher Vernichtung, Verlust und Veränderung zu schützen.

Art. 25 DSGVO geht über die Verpflichtungen aus Art. 32 DSGVO hinaus, in dem Unternehmen verpflichtet werden, bereits bei der Planung/Entwicklung oder Einführung neuer Systeme und Verfahren technische und organisatorische Maßnahmen zu treffen, um die Datenschutzgrundsätze wirksam umzusetzen.

Ziel ist es, Systeme und Dienste so zu gestalten, dass sie von Anfang an datensparsam und mit möglichst datenschutzfreundlichen Voreinstellungen arbeiten.

Adressat der Vorschrift

Die Vorschrift richtet sich in erster Linie an die Verantwortlichen im Sinne von Art. 4 Nr. 7 DSGVO, also an Unternehmen, die personenbezogene Daten verarbeiten, und nicht an die Hersteller von Produkten und Anwendungen. Diese sind nicht unmittelbar von der Pflicht zum Datenschutz durch Technikgestaltung betroffen.

Mittelbar soll sich aus Art. 25 DSGVO aber auch für Hersteller und Entwickler eine Wirkung ergeben. Durch die unmittelbare Verpflichtung von Unternehmen, datenschutzfreundliche Produkte zu erwerben, soll es zu einer Nachfrage nach datenschutzfreundlichen Produkten bei den Herstellern kommen, so dass diese bestärkt werden sollen, datenschutzfreundliche Produkte, Systeme und Dienste anzubieten.

Datenschutz durch Technikgestaltung - privacy by design

In Art. 25 Abs. 1 DSGVO werden Grundsätze für das privacy by design normiert.

Dem Grundsatz privacy by design liegt dabei der Gedanke zugrunde, dass sich die Datenschutzgrundsätze am besten einhalten lassen, wenn der Datenschutz bereits bei der Entwicklung eines Systems technisch integriert wird.

Daher verpflichtet Art. 25 Abs. 1 DSGVO Unternehmen dazu, bereits bei der Planung/Entwicklung von IT-Systemen oder der Einführung neuer Systeme und Prozesse geeignete technische und organisatorische Maßnahmen vorzusehen, um die Datenschutzgrundsätze wirksam umzusetzen.

Gezielt soll dabei der Grundsatz der Datenminimierung wirksam umgesetzt werden.
Datenminimierung bedeutet nach Art. 5 Abs. 1 c) DSGVO, dass personenbezogene Daten dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein müssen.

Als eine beispielhafte Maßnahme nennt Art. 25 Abs. 1 DSGVO die Pseudonymisierung.
Eine Maßnahme könnte somit darin bestehen, dass die Verarbeitung personenbezogener Daten minimiert wird und die Daten so schnell wie möglich pseudonymisiert, anonymisiert oder gelöscht werden.

Datenschutz durch datenschutzfreundliche Voreinstellungen - privacy by default

In Art. 25 Abs. 2 DSGVO werden Grundsätze für das privacy by default normiert.

privacy by default bedeutet, dass die Werkeinstellungen eines Systems oder Dienstes datenschutzfreundlich auszugestalten sind. Die Norm hat dabei Systeme vor Augen, die von den Betroffenen selbst bedient werden.

Unternehmen sind danach verpflichtet, geeignete technische und organisatorische Maßnahmen zu treffen, die sicherstellen, dass durch entsprechende Voreinstellungen grundsätzlich nur die personenbezogenen Daten erhoben und verarbeitet werden, die für den konkreten Zweck auch tatsächlich erforderlich sind.

Systeme und Dienste müssen in ihren Standardeinstellungen also so eingestellt und konfiguriert sein, dass sie am Grundsatz der Datenminimierung ausgerichtet sind.
Die Verpflichtung gilt dabei nicht nur für die Menge der erhobenen personenbezogenen Daten sondern auch für den Umfang ihrer Verarbeitung, ihre Speicherfrist und ihre Zugänglichkeit.

Zum einen soll dadurch das ausufernde Sammeln von Daten eingeschränkt werden, zum anderen sollen insbesondere solche Nutzer geschützt werden, die weniger technikaffin sind und deswegen seltener selbst Einstellungen vornehmen, um die datenschutzrechtlichen Einstellungen ihren Wünschen entsprechend anzupassen.
Nutzer, die auf den Schutz ihrer personenbezogenen Daten nur wenig Wert legen, können die datenschutzfreundlichen Voreinstellungen hingegen jederzeit nach ihren Vorstellungen ändern.

Eine App soll bspw. so konzipiert sein, dass sie standardmäßig nur solche Daten verarbeitet, die für die Basisfunktionen erforderlich sind. Alle weiteren Funktionen, für die weitere Daten des Betroffenen benötigt werden, müssen vom Nutzer aktiviert werden, wenn er dies wünscht. Vor jeder einzelnen Aktivierung müsste der Nutzer über den Nutzen, die zugriffsberechtigten Empfänger und die Speicherdauer der jeweiligen Daten informiert werden.

Zudem muss durch entsprechende Maßnahmen sichergestellt werden, dass personenbezogene Daten nicht ohne Eingreifen der betroffenen Person einer unbestimmten Zahl von Personen zugänglich gemacht werden.
Für soziale Netzwerke bedeutet das z. B., dass personenbezogene Daten nicht für alle sichtbar sein dürfen, wenn nicht der jeweilige Nutzer dies aktiv bestimmt bzw. frei gegeben hat.

Zusammengefasst kann privacy by default so beschrieben werden: Eine Funktion ist zwar nicht gänzlich ausgeschlossen, aber im Standardfall deaktiviert.

Maßnahmen

Als konkretes Beispiel für eine mögliche technische und organisatorische Maßnahme nennt Art. 25 Abs. 1 DSGVO die Pseudonymisierung gemäß Art. 4 Nr. 5 DSGVO.

Andere geeignete technische und organisatorische Maßnahmen werden in Erwägungsgrund 78 abstrakt beschrieben. Stichworte sind:

• Datenminimierung
• schnellstmögliche Pseudonymisierung
• Transparenz in Bezug auf die Funktionen und die Verarbeitung der Daten
• Überwachung der Verarbeitung durch die betroffenen Personen ermöglichen
• Möglichkeit für den Verantwortlichen etablieren, Sicherheitsfunktionen zu schaffen und zu verbessern

Darüber hinaus hat die Europäische Agentur für Netz-und Informationssicherheit (ENISA) in ihrem Bericht "Privacy and Data Protection by Design" Empfehlungen veröffentlicht, mit welchen Strategien Datenschutz im Wege von privacy by design in Produkten und Systemen umgesetzt werden kann. Die Umsetzungsmöglichkeiten spiegeln sich dabei in den folgenden acht Strategien wider:

MINIMISE

Hier geht es um das Prinzip der Datensparsamkeit. Die Menge der gespeicherten und verarbeiteten Daten soll so gering wie möglich sein.
Zu Beginn jeder Datenerhebung oder Datenverarbeitung muss die Frage stehen, ob die Verarbeitung personenbezogener Daten zur Erreichung des jeweiligen Zwecks erforderlich ist oder ob der Zweck nicht auch auf anderem Weg erreicht werden kann.

HIDE

Einem Missbrauch personenbezogener Daten muss in der Form entgegengewirkt werden, dass diese schlicht nicht mehr zur Kenntnis genommen werden können. An dieser Stelle spielen u. a. die Pseudonymisierung und Anonymisierung personenbezogener Daten eine entscheidende Rolle.

SEPARATE

Personenbezogene Daten einer Person sollten möglichst an verschiedenen Orten, also getrennt, gespeichert und verarbeitet werden. Hierdurch kann die Erstellung umfassender Profile verhindert werden.

AGGREGATE

Hier geht es darum, dass personenbezogene Daten so früh wie möglich zu Gruppen zusammengefasst werden sollten. Die Möglichkeit, Rückschlüsse auf einzelne Personen zu ziehen, kann hierdurch minimiert bzw. ganz ausgeschlossen werden.

INFORM

Bei diesem Punkt geht es um den datenschutzrechtlichen Grundsatz der „Transparenz“. Betroffene sollten angemessen informiert werden, wenn ihre personenbezogenen Daten verarbeitet werden.
Dazu gehört eine Information darüber, welche Daten über sie gesammelt werden, zu welchem Zweck und mit welchen Technologien. Auch ist darüber zu informieren, wie die Daten geschützt werden und ob eine Datenweitergabe an Dritte erfolgt. Darüber hinaus sind die Betroffenen über ihre Datenzugriffsrechte zu informieren und wie sie diese ausüben können.

CONTROL

Hier geht es darum, dass Betroffene Kontrolle über die Verarbeitung ihrer personenbezogenen Daten erhalten sollen, in dem bestimmte Eingriffsmöglichkeiten für sie geschaffen werden. Ein Beispiel ist etwa die Möglichkeit, dass Betroffene die Datenschutzeinstellungen über Benutzeroberflächen bearbeiten können.

ENFORCE

Es sollten Datenschutzregeln bzw. eine Datenschutz-Richtlinie oder -Policy vorhanden sein, also ein Regelwerk zum Schutz der Privatsphäre der betroffenen Personen.
Dies impliziert zumindest, dass geeignete technische Maßnahmen umgesetzt sind, die die Verletzung personenbezogener Daten verhindern.

DEMONSTRATE

Das Unternehmen sollte in der Lage sein, die Einhaltung der Datenschutzregeln nachzuweisen. Es muss also z. B. nachweisen können, wie datenschutzrechtliche Vorgaben effektiv in das IT-System implementiert worden sind.

Was genau zu tun ist, um ein Produkt so zu entwickeln, dass es den datenschutzrechtlichen Vorgaben entspricht, ist abhängig von der jeweiligen Lösung.

Zentrales Element ist der Grundsatz der Datenminimierung, z. B. durch folgende Maßnahmen:

• Einrichten von Pflichtfeldern
• Trennung von personenbezogenen Daten und Inhaltsdaten
• Verwendung von Pseudonymen
• Anonymisierung
• Löschung personenbezogener Daten sobald diese zur Erreichung des verfolgten Zwecks nicht mehr benötigt werden bzw. die systemseitige Gewährleistung, dass bereits erfasste Daten wieder gelöscht werden können.

Weitere Maßnahmen können sein:

• Verschlüsselung der Daten
• Berechtigungskonzept
• Aktivierung bzw. Deaktivierung von Funktionalitäten, bspw. Ausschalten von Ortungsdiensten
• Ermöglichung auch anonymer Analysen
• Sperrung von Schnittstellen

Wie in Art. 32 DSGVO ist auch in Art. 25 DSGVO bei der Wahl der Maßnahmen zu beachten, dass die konkreten Maßnahmen immer auch unter Berücksichtigung des Stands der Technik und der Implementierungskosten auszuwählen sind. Auch Art, Umfang, Umstände und Zweck der Verarbeitung sind bei der Auswahl heranzuziehen und dem Risiko der Verarbeitung gegenüberzustellen.

Insoweit gilt hier das im vorherigen Kapitel zu Art. 32 DSGVO „Sicherheit der Verarbeitung“ Gesagte.

privacy by design und privacy by default bei bestehenden Systemen

Eine Einschränkung der Verpflichtung auf neu zu entwickelnde Systeme ist nicht ersichtlich, so dass privacy by design und privacy by default grundsätzlich auch in bestehenden Systemen umzusetzen sind.

Nach Erwägungsgrund 171 sollen bestehende Verarbeitungen bis zum 25. Mai 2018 mit der DSGVO in Einklang gebracht werden. Es sei denn, dies würde einen unverhältnismäßig hohen Aufwand verursachen, wobei für die Bewertung der Verhältnismäßigkeit das Risiko der Verarbeitung für die Betroffenen und die Implementierungskosten gegeneinander abzuwägen sind.
Daher müssen grundsätzlich auch alle bestehenden Systeme überprüft und ggf. angepasst werden, es sei denn, der Aufwand steht in keinem Verhältnis zu den drohenden Risiken.

Bußgelder

Wenn bislang beim Erwerb oder bei der Entwicklung von IT-Systemen datenschutzrechtliche Anforderungen eher vernachlässigt wurden, so sind diese künftig ausdrücklich zu berücksichtigen. Privacy by design ist künftig Pflicht und nicht nur „nice to have“.

Setzt ein Unternehmen trotz Vorhandenseins datenschutzkonformer Alternativen auf unsichere bzw. datenschutzkritische IT-Lösungen, droht künftig ein Bußgeld von bis zu 10 Mio. Euro bzw. bis zu 2 % des weltweiten Jahresumsatzes.

Art. 44 ff DSGVO

Die Vorgaben der DSGVO zur Datenübermittlung ins Ausland stimmen – bis auf wenige Änderungen – mit den derzeitigen Regelungen überein:

Eine Datenübertragung innerhalb der EU ist grundsätzlich unter denselben Voraussetzungen zulässig wie eine Übermittlung im Inland.

Komplexer ist - und bleibt auch unter der DSGVO - die Bewertung der Zulässigkeit von Datenübertragungen in so genannte Drittländer. Drittland (oder auch Drittstaat) sind Staaten, die weder der EU angehören noch zu den Staaten des EWR (Europäischer Wirtschaftsraum; Island, Liechtenstein, Norwegen) zählen.

Relevant wird die Frage nach der Zulässigkeit der Datenübertragung in Drittstaaten z. B.  dann, wenn Daten in einer Cloud abgelegt werden und die Server des Cloud-Anbieters nicht in der EU stehen oder wenn Tracking- und Analysetools eingesetzt werden und diese Tools - was häufig der Fall ist - personenbezogene Daten ins EU-Ausland übermitteln.

Bevor jedoch geprüft wird, ob eine Datenübermittlung in einen Drittstaat zulässig ist, muss zunächst sichergestellt sein, dass die Datenübertragung an sich überhaupt zulässig ist.

In einem ersten Schritt muss geprüft werden, ob die Daten überhaupt an Dritte weitergeben werden dürfen.

Nach Art. 6 Abs.1 DSGVO ist die Verarbeitung – und damit auch die Übertragung – personenbezogener Daten nur zulässig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist:

• Die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben;
• die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen;
• die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt;
• die Verarbeitung ist erforderlich, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen;
• die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde;
• die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.

Für besondere Kategorien personenbezogener Daten sind die Sondervorschriften aus Art. 9 DSGVO zu beachten.

Sollen personenbezogene Daten an Dritte übermittelt werden, muss zunächst eine der genannten Rechtsgrundlagen vorliegen. Gibt es schon keine Rechtsgrundlage für die Datenweitergabe an sich, erübrigt sich die weitere Prüfung, ob die Daten ins Ausland übermittelt werden dürfen. Nur wenn eine der genannten Rechtsgrundlagen gegeben ist, wird im nächsten Schritt geprüft, ob die Daten ins Ausland übermittelt werden dürfen.

2.1 Datenübermittlung innerhalb der EU

Eine Datenübertragung innerhalb der EU ist grundsätzlich immer zulässig, da alle Mitgliedstaaten aktuell durch die europäische Richtlinie 95/46 EG und ab Mai 2018 durch die DSGVO ein einheitliches Datenschutzniveau aufweisen. Eine Datenübermittlung innerhalb der EU wird wie eine Datenübermittlung innerhalb eines Mitgliedstaates behandelt.

2.2 Datenübermittlung in ein Drittland

Sollen Daten in ein Drittland übertragen werden, müssen die spezifischen Anforderungen für die Übermittlung personenbezogener Daten in Drittländer beachtet werden, die in den Art. 44 ff DSGVO geregelt sind.

Danach gibt es verschiedene Möglichkeiten, unter denen eine Datenübermittlung in ein Drittland zulässig ist:

• Die EU-Kommission hat für das Drittland ein angemessenes Datenschutzniveau festgestellt, Art. 45 DSGVO.
• Es sind geeignete Garantien zur Einhaltung eines angemessenen Datenschutzniveaus vorhanden, Art. 46 DSGVO.
• Falls weder ein Angemessenheitsbeschluss noch geeignete Garantien vorliegen, kann eine Datenübertragung zulässig sein, wenn eine der in Art. 49 DSGVO genannten Ausnahmen vorliegt.

2.2.1 Angemessenheitsbeschluss der EU-Kommission

Personenbezogene Daten aus EU-Mitgliedstaaten dürfen in Staaten außerhalb der EU und des EWR nur übermittelt werden, wenn der jeweilige Staat über ein dem EU-Recht vergleichbares Datenschutzniveau verfügt.
Ob in dem Staat, in den die Daten ausgelagert werden sollen, ein angemessenes Datenschutzniveau herrscht, ist für den Einzelnen kaum zu beurteilen. Aus diesem Grund kann die EU-Kommission für bestimmte Länder verbindlich feststellen, dass dort ein angemessenes Datenschutzniveau gegeben ist (Art. 45 DSGVO).

Staaten, für die ein Angemessenheitsbeschluss der EU-Kommission vorliegt, sind derzeit: Andorra, Argentinien, Kanada (eingeschränkt, commercial organisations), Färöer-Inseln, Guernsey, Israel, Isle of Man, Jersey, Neuseeland, Schweiz, Uruguay.

Neu ist, dass die Feststellung künftig nicht nur für ein Drittland als Ganzes getroffen werden kann sondern auch auf ein bestimmtes Gebiet oder einen bestimmten Sektor in dem Drittland oder auch auf bestimmte Datenkategorien beschränkt sein kann.

Besonderheit USA

Für die USA liegt ein Angemessenheitsbeschluss nicht vor. Die USA gehören nicht zu den Staaten mit angemessenem Datenschutzniveau.

Aufgrund der engen Handelsbeziehungen mit den Vereinigten Staaten wurde seitens der EU jedoch eine Sonderlösung bestimmt.
Bis Oktober 2015 konnten Datenübermittlungen in die USA auf die so genannten Safe Harbor-Grundsätze gestützt werden. Der Europäische Gerichtshof (EuGH) hat jedoch mit Urteil vom 06.10.2015 Safe Harbor für ungültig erklärt, so dass Datenübermittlungen in die USA nicht mehr auf die Regelungen zu Safe Harbor gestützt werden können.

Inzwischen gibt es mit dem Privacy Shield eine Nachfolgelösung. Der Privacy Shield ist - ebenso wie der Vorgänger Safe Harbor - ein Selbstzertifizierungsmechanismus für US-Unternehmen. Hierfür müssen sich die Unternehmen mit Sitz in den USA in eine entsprechende Liste eintragen und sich dazu verpflichten, die durch das Privacy Shield-Abkommen definierten Garantien und Beschränkungen einzuhalten. Das zuständige US-Handelsministerium begleitet die Selbstzertifizierung des Unternehmens und stellt eine im Internet abrufbare Liste der zertifizierten Unternehmen zur Verfügung.

Die EU-Kommission hat für den Privacy Shield ein angemessenes Schutzniveau festgestellt. Datenübermittlungen in die USA können somit über den Privacy Shield durchgeführt werden. Hierfür muss im Vorfeld der Übermittlung lediglich überprüft werden, ob das betreffende US-Unternehmen in der Liste des US-Handelsministeriums gelistet ist und ob die Zertifizierung noch nicht abgelaufen ist.
Die Entscheidung der EU-Kommission für den Privacy Shield bedeutet jedoch nicht, dass für die USA allgemein ein angemessenes Datenschutzniveau festgestellt wurde.

2.2.2 Vorliegen geeigneter Garantien

Liegt ein Angemessenheitsbeschluss der EU-Kommission nicht vor, können als Ausgleich für das in einem Drittland fehlende Datenschutzniveau geeignete Garantien zur Gewährleistung eines angemessenen Schutzniveaus vorgesehen werden (Art. 46 DSGVO).

Als geeignete Garantien kommen verbindliche interne Datenschutzvorschriften, Standarddatenschutzklauseln der Kommission oder einer Aufsichtsbehörde sowie genehmigte Verhaltensregeln und Zertifizierungsmechanismen oder einzeln ausgehandelte Vertragsklauseln in Betracht.

Art. 46 Abs. 2b DSGVO, Art. 47 DSGVO

Auch bisher schon werden verbindliche interne Datenschutzvorschriften, auch Binding Corporate Rules (BCR) genannt, verwendet. Neu ist, dass sie in der DSGVO künftig ausdrücklich als Möglichkeit zur Erbringung „geeigneter Garantien“ für Datenübermittlungen in Drittländer geregelt sind.

In den verbindlichen internen Datenschutzvorschriften legt das Unternehmen Regelungen für den Umgang mit personenbezogenen Daten auch in Drittländern fest. Die BCR müssen einen Schutz bieten, der im Wesentlichen der DSGVO entspricht. Der Mindestinhalt ist in Art. 47 Abs. 2 DSGVO festgelegt.

Die verbindlichen internen Datenschutzvorschriften müssen von der zuständigen Aufsichtsbehörde genehmigt werden, um als „geeignete Garantie“ verwendet werden zu können. Sind die BCR einmal genehmigt, müssen die konkreten Datenübermittlungen auf Grundlage der BCR dann nicht mehr einzeln genehmigt werden.

Art. 46 Abs. 2c,d DSGVO

Ein angemessenes Datenschutzniveau kann auch durch die Verwendung von Standarddatenschutzklauseln der Kommission oder einer Aufsichtsbehörde sichergestellt werden. Mit der Verwendung dieser Klauseln verpflichtet sich das Unternehmen im Drittland (Datenimporteur) zur Einhaltung europäischer Datenschutzstandards.

Standardvertragsklauseln gibt es für verschiedene Konstellationen:

Zwei der Standardverträge sind für den Fall vorgesehen, dass Daten an ein Unternehmen weitergegeben werden, das - wie auch das weitergebende Unternehmen selbst - für die (weitere) Verarbeitung der Daten verantwortlich ist.

Ein wesentlicher Unterschied ist, dass der Standardvertrag I eine gesamtschuldnerische Haftung des Datenexporteurs und des Datenimporteurs für Schäden vorsieht, die nur eine der Parteien bei einem Betroffenen verursacht hat. Beim Standardvertrag II haftet dagegen jede Partei grundsätzlich nur für selbst verursachte Schäden.
Dennoch sollten stets beide Standardverträge verglichen und der für den Einzelfall Passendere auswählt werden.

Der dritte Vertrag ist speziell für die Übermittlung an Auftragsverarbeiter im Drittland vorgesehen. In diesem Fall verarbeitet das Unternehmen im Drittland die Daten nicht eigenverantwortlich sondern als Dienstleister nur auf Weisung des weitergebenden Unternehmens.

Diese bereits bestehenden EU-Standardvertragsklauseln gelten gemäß Art. 46 Abs. 5 S. 2 DSGVO unter der DSGVO ausdrücklich fort.

Standardvertrag I für Datenübermittlungen an verantwortliche Stellen in Drittstaaten

Standardvertrag II für Datenübermittlungen an verantwortliche Stellen in Drittstaaten

Standardvertrag für Datenübermittlungen an Auftragsverarbeiter in Drittstaaten

Wichtig ist, dass von den Standarddatenschutzklauseln nicht abgewichen werden darf.
Die Klauseln sind unverändert zu übernehmen und als Ergänzung dem eigentlichen Vertrag hinzuzufügen. Denn nur dann, wenn die Klauseln in unveränderter Form verwendet werden, ist die Datenübermittlung genehmigungsfrei.

Art. 46 Abs. 2e, f DSGVO

Als weitere, neu hinzukommende Möglichkeit, Datenübermittlungen in ein Drittland zu legitimieren, sieht die DSGVO Datenübermittlungen auf der Grundlage genehmigter Verhaltensregeln oder genehmigter Zertifizierungsmechanismen vor.

Voraussetzung ist, dass diese mit rechtsverbindlichen und durchsetzbaren Verpflichtungen des Datenexporteurs oder des Datenimporteuers versehen sind und von der zuständigen Aufsichtsbehörde genehmigt worden sind.

Es bleibt abzuwarten, wie groß das Interesse an diesen beiden neuen Möglichkeiten sein wird und welche praktische Relevanz sie künftig haben werden.

Art. 46 Abs. 3a DSGVO

Über die genannten Möglichkeiten hinaus können auch einzeln ausgehandelte, individuelle Vertragsklauseln eine Datenübermittlung in ein Drittland legitimieren, wenn sie zuvor von der zuständigen Aufsichtsbehörde genehmigt wurden.

2.2.3 Ausnahmen für bestimmte Fälle

Wenn weder ein Angemessenheitsbeschluss der EU-Kommission vorliegt noch geeignete Garantien bestehen, kann eine Datenübermittlung in ein Drittland unter den in Art. 49 DSGVO genannten Bedingungen zulässig sein.

Diese als Ausnahmen formulierte Bedingungen sind:

• die betroffene Person hat in die Datenübermittlung ausdrücklich eingewilligt, nachdem sie über die für sie bestehenden möglichen Risiken derartiger Datenübermittlungen ohne Vorliegen eines Angemessenheitsbeschlusses und ohne geeignete Garantien unterrichtet wurde,
• die Übermittlung ist für die Erfüllung eines Vertrags zwischen der betroffenen Person und dem Verantwortlichen oder zur Durchführung von vorvertraglichen Maßnahmen auf Antrag der betroffenen Person erforderlich,
• die Übermittlung ist zum Abschluss oder zur Erfüllung eines im Interesse der betroffenen Person von dem Verantwortlichen mit einer anderen natürlichen oder juristischen Person geschlossenen Vertrags erforderlich,
• die Übermittlung ist aus wichtigen Gründen des öffentlichen Interesses notwendig,
• die Übermittlung ist zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich,
• die Übermittlung ist zum Schutz lebenswichtiger Interessen der betroffenen Person oder anderer Personen erforderlich, sofern die betroffene Person aus physischen oder rechtlichen Gründen außerstande ist, ihre Einwilligung zu geben,
• die Übermittlung erfolgt aus einem Register, das gemäß dem Recht der Union oder der Mitgliedstaaten zur Information der Öffentlichkeit bestimmt ist und entweder der gesamten Öffentlichkeit oder allen Personen, die ein berechtigtes Interesse nachweisen können, zur Einsichtnahme offensteht, aber nur soweit die im Recht der Union oder der Mitgliedstaaten festgelegten Voraussetzungen für die Einsichtnahme im Einzelfall gegeben sind

Lässt sich die Datenübertragung auf keinen der vorgenannten Erlaubnistatbestände stützen, kann die Datenübertragung in ein Drittland im Einzelfall zur Wahrung zwingender berechtigter Interessen des Verantwortlichen (Datenexporteur) zulässig sein.

Voraussetzung ist neben dem zwingenden berechtigten Interesse des Verantwortlichen an der Datenübermittlung, dass die Übermittlung nicht wiederholt erfolgt, nur eine begrenzte Zahl von betroffenen Personen betrifft, für die Wahrung der zwingenden berechtigten Interessen des Verantwortlichen erforderlich ist und der Verantwortliche angemessene Garantien in Bezug auf den Schutz personenbezogener Daten vorgesehen hat.

Wird eine Datenübermittlung in ein Drittland auf diesen Ausnahmetatbestand gestützt, muss sowohl die Aufsichtsbehörde als auch die betroffene Person hierüber informiert werden.

Vereinigtes Königreich

Nach einer Mitteilung der Europäischen Kommission vom 09.01.2018 wird das Vereinigte Königreich ab dem 30.03.2019 – vorbehaltlich eines anderslautenden Datums in einem Austrittsabkommen – als „Drittland“ im Sinne der DSGVO einzustufen sein.

Bis zum Austritt aus der EU gilt im Vereinigten Königreich die DSGVO. Werden nach dem Austrittsdatum personenbezogene Daten in das Vereinigte Königreich übermittelt, muss auf geeignete Garantien oder Ausnahmen nach Art. 49 DSGVO als Grundlage für die Datenübertragung zurückgegriffen werden. Eine Anerkennung als Drittland mit ausreichendem Schutzniveaus gibt es (noch) nicht.

Werden personenbezogene Daten in das Vereinigte Königreich übertragen, ist es ratsam, sich frühzeitig um die rechtssichere Ausgestaltung des Datentransfers nach dem Austritt aus der EU zu kümmern.

Art. 26 DSGVO

Im Grundsatz ist jedes rechtlich eigenständige Unternehmen (jedes Unternehmen mit eigenständiger Rechtspersönlichkeit) ein „Verantwortlicher“ im Sinne von Art. 4 Nr. 7 DSGVO.

Die DSGVO sieht in Art. 26 jedoch die Möglichkeit vor, dass zwei Verantwortliche gemeinsam für eine oder mehrere Datenverarbeitungen verantwortlich sein können („Gemeinsam Verantwortliche“ oder auch „Joint Controllers“).
Voraussetzung ist, dass sie gemeinsam die Zwecke und Mittel zur Verarbeitung festlegen, d. h. welche Daten für welche Aktivitäten von wem verar­beitet werden (müssen).
Als Folge der gemeinsamen Festlegung von Zwecken und Mitteln entsteht eine gemeinsa­me Verantwortung, die künftig in einer Vereinbarung zu dokumentieren ist.

Beispiele:

• Ein Reisebüro, eine Hotelkette und eine Fluggesellschaft betreiben gemeinsam eine Internet-Plattform und verarbeiten gemeinsam die Daten der dort registrierten Nutzer jeweils für ihre eigenen Zwecke.
  
• Unternehmen, die derselben Unternehmensgruppe angehören, betreiben eine gemeinsame Webseite und verarbeiten gemeinsam die Daten der dort registrierten Nutzer jeweils für ihre eigenen Zwecke.
  
• Ein Unternehmen beauftragt einen Dienstleister zur Unterstützung bei der Besetzung offener Stellen. Der Dienstleister schreibt die Stellen aus, sichtet Bewerbungsunterlagen und führt erste Bewerbungsgespräche. Bewerber, die in die engere Auswahl kommen, werden dem Unternehmen vorgeschlagen, das dann eigene Gespräche mit den Bewerbern führt. Beide Unternehmen wirken faktisch an einem ein­heitlichen Prozess mit und haben gemeinsam festgelegt, wer welche Teilaufgaben wahrnimmt. Beiden kommen bestimmte Entscheidungskompetenzen zu.

Im BDSG findet sich derzeit keine ausdrückliche Regelung zu Joint Controllern. Sofern das BDSG von zwei gemeinsam Verantwortlichen bei derselben Datenverarbeitung ausgeht, ergeben sich hieraus bisher keine besonderen datenschutzrechtlichen Pflichten.

In der DSGVO findet sich in Art. 26 DSGVO nun eine ausdrückliche Regelung zu Joint Controllern.

Nach Art. 26 DSGVO müssen Unternehmen im Fall der gemeinsamen Verantwortlichkeit für eine Datenverarbeitung künftig eine Vereinbarung schließen, in der sie transparent festlegen, wer welche Verpflichtungen gemäß der DSGVO erfüllt.

Die Vereinbarung muss folgende Regelungen enthalten:

• Firmenname und Rechtsform der Verantwortlichen
• Vertreter der Verantwortlichen
• Anschrift und Kontaktdaten der Verantwortlichen
• Beschreibung der tatsächlichen Funktionen und Beziehungen der gemeinsam Verantwortlichen gegenüber den Betroffenen
• Zwecke und Mittel der Datenverarbeitung
• Aufgabenverteilung betr. die Pflichten aus der DSGVO, insbesondere:
• wer für die Wahrung der Rechte der Betroffenen verantwortlich ist (Art. 15 bis Art. 22 DSGVO; vgl. Kapitel 02 dieser Reihe)
• wer welche Informationspflichten erfüllt (Art. 13, 14 DSGVO; vgl. Kapitel 02 dieser Reihe)
• optional: Festlegung einer Kontaktstelle für betroffene Personen

Darüber hinaus sollte in der Vereinbarung auch festgelegt werden, wer für die Führung des Verarbeitungsverzeichnisses verantwortlich ist. Dieser Verantwortliche muss das Verarbeitungsverzeichnis für die entsprechende(n) Datenverarbeitung(en) führen und dort auch den mit ihm gemeinsam Verantwortlichen nennen (vgl. Kapitel 03 dieser Reihe).

Die von der gemeinsamen Datenverarbeitung Betroffenen sind berechtigt, ihre Ansprüche gegenüber jedem Joint Controller geltend zu machen. Daher sollte die Vereinbarung zwischen den gemeinsam Verantwortlichen in jedem Fall auch eine Regelung zum Haftungsausgleich enthalten, d. h. eine Regelung dazu, wer im Innenverhältnis in welcher Höhe haftet.

Unabhängig von dieser (internen) Regelung können Betroffene ihre Rechte gegenüber jedem einzelnen der Verantwortlichen geltend machen. Die Vereinbarung zum Haftungsausgleich ist jedoch für die interne Aufgabenverteilung und für etwaige Ausgleichsansprüche untereinander wichtig.

Gemäß Art. 26 Abs. 2 S. 2 DSGVO sind die wesentlichen Inhalte der Vereinbarung (nicht die Vereinbarung selbst) den Betroffenen zur Verfügung zu stellen.
Hierfür empfiehlt es sich, bei Vertragsschluss direkt auch eine Anlage zum Vertrag mit einer Zusammenfassung der wesentlichen Inhalte der Vereinbarung zu erstellen, die bei Bedarf dem Betroffenen als Information zur Verfügung gestellt werden kann.

Eine Checkliste für Verträge zwischen Joint Controllern mit den wesentlichen vertraglichen Regelungen stellt BITKOM zur Verfügung: BITKOM Joint Controllership

Letztlich ist zu beachten, dass Art. 26 DSGVO keine Rechtsgrundlage für die Übermittlung und Verarbeitung der Daten durch die gemeinsam Verantwortlichen darstellt.
Für die Rechtmäßigkeit der Datenverarbeitung gelten die allgemeinen Grundsätze, insbesondere Art. 6 DSGVO. Die Rechtmäßigkeit der Datenverarbeitung an sich muss also immer gesondert festgestellt werden.