search

Welche 3 gesetzlichen Regelungen gelten im Bereich der Datensicherung und des Datenschutzes?

1 Jahrs vor
Kommentare: 0
Ansichten: 59

1. Allgemein

Am 24. Mai 2016 trat die Datenschutz-Grundverordnung (VO (EU) 2016/679) in Kraft, deren Regelungen ab dem 25. Mai 2018 in den Mitgliedsstaaten der Europäischen Union und somit auch in Deutschland unmittelbar anwendbar sind. Die bisherigen Regelungen zum Datenschutz sollen durch die DSGVO ersetzt werden. Die DSGVO hat an einigen Stellen sogenannte Öffnungsklauseln, die es den nationalen Gesetzgebern in einigen Bereichen ermöglichen, selbst datenschutzrechtliche Regelungen zu schaffen. Dies ist beispielsweise in dem neuen Bundesdatenschutzgesetz geschehen. Diese Regelungen sind neben der DSGVO anzuwenden. Nachfolgend möchten wir Ihnen einen Überblick über die neuen Regelungen der DSGVO geben.

Show

2. Übergangsfrist und Umsetzung

Die DSGVO ist am 25. Mai 2016 in Kraft getreten, gilt aber erst nach einer zweijährigen Übergangsfrist. Dieser Zeitraum dient den nationalen Gesetzgebern, die bisher geltenden Gesetze wie das Bundesdatenschutzgesetz (BDSG) anzupassen. Unternehmen sind angehalten, die Übergangszeit bis zum Gültigwerden der Verordnung zu nutzen, um die internen Datenverarbeitungsprozesse auf Anpassungsbedarf zu überprüfen. Außerdem sollte bei Neuanschaffungen von Datensystemen darauf geachtet werden, dass diese, soweit zum jetzigen Zeitpunkt möglich, die neuen Datenschutzregelungen bereits berücksichtigen.

Jedenfalls ab dem 25. Mai 2018 wird die DSGVO die bisherige EG-Datenschutzrichtlinie 95/46 und die nationalen Vorschriften wie das BDSG in weiten Teilen ablösen bzw. ersetzen. Sie gilt direkt, dass heißt Unternehmen müssen sowohl den Text der VO als auch das Nachfolgegesetz zum BDSG als Rechtsgrundlagen für den Datenschutz verwenden.

3. Sachlicher Anwendungsbereich

Beim Datenschutz geht es um den Schutz personenbezogener Daten. „Personenbezogene Daten“ sind nach Art. 4 Nr. 1 DSGVO „alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person („betroffene Person“) beziehen. “Als „identifizierbar“ wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung (IP-Adressen, Cookie-Kennungen, Funkfrequenz-kennzeichnungen etc.) oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann.

Um festzustellen, ob eine natürliche Person identifizierbar ist, sollen nach dem Willen des Verordnungsgebers alle Mittel berücksichtigt werden, die nach allgemeinem Ermessen wahrscheinlich genutzt werden, um die Person direkt oder indirekt zu identifizieren. Hierbei sollen alle objektiven Faktoren, wie die Kosten der Identifizierung und der dafür erforderliche Zeitaufwand, aber auch die zum Zeitpunkt der Verarbeitung verfügbare Technologie und technologische Entwicklungen berücksichtigt werden.

Anonyme Informationen, dass heißt Informationen, die sich nicht auf eine identifizierte oder identifizierbare natürliche Person beziehen, oder personenbezogene Daten, die in einer Weise anonymisiert worden sind, dass die betroffene Person nicht oder nicht mehr identifiziert werden kann, stellen demnach keine „personenbezogenen Daten“ dar.

Der Anwendungsbereich der DSGVO ist sehr weit gefasst. Es geht um den Schutz dieser Daten als Ausfluss des Persönlichkeitsrechts einer jeden Person.

4. Grundsätze der DSGVO

Art. 5 beinhaltet die Grundsätze, die bei einer Verarbeitung personenbezogener Daten zu
beachten sind:

  • Verbot mit Erlaubnisvorbehalt: Da die Verarbeitung personenbezogener Daten in das verfassungsrechtlich geschützte Persönlichkeitsrecht eingreift, ist eine Datenverarbeitung grundsätzlich verboten. Nur, wenn sie z. B. gesetzlich erlaubt oder auf der Einwilligung der betroffenen Person beruht, ist sie erlaubt.
  • Rechtmäßigkeit: Die Verarbeitung ist dann rechtmäßig, wenn sie auf einer entsprechenden Grundlage beruht (Rechtsgrundlage, Einwilligung usw.) und der Zwecke der Verarbeitung von der Rechtsgrundlage bzw. der Einwilligung umfasst ist.
  • Transparenz: Die betroffene Person muss wissen, wer welche Daten für welchen Zweck verarbeitet. Daher gibt es umfangreiche Betroffenenrechte (z. B. Informationspflichten, Auskunftsrechte, Recht auf Berichtigung der Daten, Widerspruchsrecht)
  • Zweckbindung: Die Daten dürfen nur für die genannten Zwecke verarbeitet werden. Ausnahmen sind vorgesehen für sog. kompatible Zwecke, also Zweckänderungen, die aber mit dem ursprünglichen Zweck eng zusammenhängen.
  • Datenminimierung: Es dürfen nur die personenbezogenen Daten verarbeitet werden, die für die Zweckerreichung notwendig sind.
  • Richtigkeit: Die Daten müssen richtig sein, anderenfalls müssen sie berichtigt oder gelöscht werden.
  • Speicherbegrenzung: Die Datensparsamkeit ist hierbei zu beachten, also die Frage, wann Daten nicht mehr benötigt und daher gelöscht werden können. Zudem sind alle Möglichkeiten zur Anonymisierung von Daten zu nutzen.
  • Integrität und Vertraulichkeit: Die DSGVO verknüpft sehr stark den Datenschutz mit der Technik. Die IT-Verfahren müssen somit schon von Anfang an darauf ausgerichtet sein, möglichst wenig personenbezogene Daten verarbeiten zu können (privacy by design).
  • Rechenschaftspflicht: Das ist der wichtigste Aspekt der Grundsätze! Die verantwortliche Stelle, also das Unternehmen oder die Institution sind verantwortlich für den Datenschutz und seine Beachtung. Dazu ist ein Datenschutzmanagement notwendig – natürlich abhängig von der Größe des Unternehmens, der personenbezogenen Daten, die verarbeitet werden und der Menge und der Qualität der Daten.

Zumindest muss aber auch in kleineren und mittleren Unternehmen ein Mindestmaß an Dokumentation vorhanden sein, um die Einhaltung des Datenschutzes nachweisen zu können. Denn die Verletzung der Datenschutzpflichten zieht empfindliche Bußgelder nach sich: Bis zu 20 Mio. Euro oder 4 % des weltweiten Umsatzes können von den Aufsichtsbehörden verhängt werden.

5. Zulässigkeit der Datenverarbeitung

Der Grundsatz lautet schlicht: Jegliche Verarbeitung personenbezogener Daten ist verboten, es sei denn, es gibt eine Erlaubnis dafür. Dieser Satz scheint angesichts einer fortschreitenden Digitalisierung befremdlich, aber er ist Konsequenz des Grundrechtschutzes der perso-nenbezogenen Daten, wie er vom Bundesverfassungsgericht festgeschrieben wurde („informationelle Selbstbestimmung“), und er ist Inhalt der Europäischen Menschenrechtskonvention.

In Artikel 6 sind die verschiedenen Zulässigkeitsgründe für eine Verarbeitung aufgelistet:

a) Einwilligung
Nach Art. 4 Nr. 11 DSGVO bezeichnet der Ausdruck „Einwilligung der betroffenen Person“ jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist.

Formale Anforderungen an die Einwilligung enthält Art. 7 DSGVO. Die Einwilligungserklärung muss in verständlicher, leicht zugänglicher Form, in klarer und einfacher Sprache verfasst sein. Sie darf nicht in den AGB’s oder in der Datenschutzerklärung „versteckt“ werden, sondern ist getrennt von anderen Inhalten darzustellen.

Die Verarbeitung von personenbezogenen Daten für einen oder mehrere festgelegte Zwecke ist zulässig, wenn die betroffene Person hierin ausdrücklich eingewilligt hat. Grundsätzlich gilt das bisher bekannte Prinzip, dass eine Einwilligung freiwillig und ohne jeden Zwang abgegeben werden muss. Nach den Erwägungsgründen, welche der DSGVO angehängt sind und ihrer Auslegung dienen, gilt eine Einwilligung dann nicht als freiwillig abgegeben, wenn zwischen den Parteien ein klares Ungleichgewicht besteht und es deshalb unwahrscheinlich ist, dass die Einwilligung ohne Zwang abgegeben wurde.

Für das weitere Erfordernis der Informiertheit greift die DSGVO auf bisher bekannte Grundsätze zurück. Danach genügen Blankoeinwilligungen nicht den Ansprüchen. Vielmehr muss die betroffene Person deutlich verstehen, welche personenbezogenen Daten zu welchem Zweck und von wem verarbeitet werden. Die verantwortliche Stelle muss ausdrücklich genannt werden. Dient eine Verarbeitung mehreren Zwecken, müssen alle Zwecke ausdrücklich genannt und die Einwilligung für sämtliche Zwecke eingeholt werden.

Das Einverständnis in die Verarbeitung muss außerdem eindeutig zum Ausdruck kommen. Dieser Grundsatz bedeutet das Ende von Opt-Out-Wahlmöglichkeiten – Stillschweigen, Inaktivität oder vorangekreuzte Kästchen gehören damit also der Vergangenheit an und werden von der Opt-In-Lösung abgelöst.

Die DSGVO führt das sogenannte Kopplungsverbot ein. Danach dürfen Verantwortliche Verträge oder die Erbringung von Dienstleistungen nicht davon abhängig machen, dass die betroffene Person in die Verarbeitung ihrer personenbezogenen Daten, die für die Erfüllung des Vertrages nicht erforderlich sind, einwilligt. Umstritten ist, ob das Kopplungsverbot auch dort Anwendung findet, wo Nutzern entgeltfreie – zum Beispiel werbefinanzierte – Inhalte und Dienstleistungen angeboten werden. Wird eine vertragliche Leistung entgeltfrei angeboten unter Bereitstellung personenbezogener Daten als Gegenleistung (= Dienstleistung gegen Daten) und kann der angebotene Dienst nur auf diese Weise wirtschaftlich angeboten werden, wird teilweise die Ansicht vertreten, dass das Kopplungsverbot nicht greift. Die Klärung dieser Streitfrage bleibt abzuwarten. Bis zur rechtsverbindlichen Entscheidung der Frage, ist es jedoch ratsam, sich an dem Wortlaut der DSGVO zu orientieren und somit das Kopplungsverbot zu beachten.

Die DSGVO sieht keine bestimmte Form für die Erteilung einer Einwilligung vor. Sie kann schriftlich, elektronisch oder mündlich erfolgen. Wichtig ist, dass eine unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutig bestätigenden Handlung, mit der die betroffene Person ihr sein Einverständnis zur Datenverarbeitung signalisiert, erkennbar ist. Welche Form sich unter der DSGVO als praktikabel erweisen wird, ist zum heutigen Zeitpunkt noch nicht geklärt. Allerdings – und dies dämpft die Freude über die Lockerung der Formvorschrift erheblich – sollte in jedem Fall berücksichtigt werden, dass Datenverarbeiter zwingend der Nachweispflicht aus Artikel 5 Abs. 2 DSGVO unterliegen. Danach sind sie verpflichtet, die Einhaltung der Rechtmäßigkeit der Datenverarbeitung nachzuweisen. In der Praxis wird es im Ergebnis daher wohl weiterhin empfehlenswert sein, Einwilligungen in Schriftform oder auf andere bewährte Weisen einzuholen, wie beispielsweise mittels dem Double Opt-in-Verfahren. Nur so kann die Eindeutigkeit der Einwilligung dokumentiert werden.

Alt bekannt und keine Überraschung ist das Erfordernis des Hinweises auf die Widerrufsmöglichkeit. Die betroffene Person muss ausdrücklich auf ihr Recht hingewiesen werden, dass sie ihre Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen kann. Dieser Hinweis ist ebenso wie die Einwilligungserklärung selbst in einfacher, verständlicher Sprache zu verfassen und leicht zugänglich zu machen. Der Hinweis auf das Widerrufsrecht muss vor Abgabe der Einwilligung erteilt werden.

Von besonders großer Bedeutung für Unternehmen ist die Frage, ob die bislang nach BDSG und TMG eingeholten Einwilligungen fortgelten. Hierzu bringt Erwägungsgrund 171 Licht ins Dunkel. Danach ist es nicht erforderlich, dass betroffene Personen ihre Einwilligung erneut erteilen, sofern diese ihrer Art nach den Bedingungen der DSGVO entsprechen. Verstoßen alte Einwilligungen allerdings gegen das Gebot der Freiwilligkeit und insbesondere gegen das neu verankerte Kopplungsverbot nach Art. 7 Abs. 4 DSGVO gelten sie nicht fort und müssen erneut eingeholt werden. Es ist daher ratsam, bestehende Einwilligungen speziell darauf hin zu prüfen und den Einwilligungsprozess bei Handlungsbedarf kurzfristig anzupassen.

Erweisen sich Einwilligungen nach den oben genannten Kriterien als unwirksam, ist das Vorliegen der Einwilligung nicht durch den Verantwortlichen nachweisbar. Falls zudem auch keine sonstigen gesetzlichen Erlaubnistatbestände vorliegen, ist die Verarbeitung der personenbezogenen Daten unzulässig und kann mit einem Bußgeld belegt werden.

b) Vertrag
Daten, die zur Erfüllung eines Vertrags oder einer vorvertraglichen Maßnahme benötigt werden, dürfen zulässig erhoben werden.

c) Erfüllung einer rechtlichen Verpflichtung
Der Verantwortliche muss eine rechtliche Verpflichtung erfüllen und benötigt dafür Daten (z. B. Erhebung der Religionszugehörigkeit im Beschäftigungsverhältnis wegen der Kirchensteuer), so dass die Erhebung dieser Daten zulässig ist.

d) Wahrung berechtigter Interessen
Die Verarbeitung von personenbezogenen Daten ist zulässig, wenn dies für die Wahrung berechtigter Interessen des Verantwortlichen oder eines Dritten erforderlich ist, und die Interessen der betroffenen Person diese Interessen nicht überwiegen. Hierunter kann z. B. die Verarbeitung personenbezogener Daten für die Direktwerbung fallen (Erwägungsgrund 47).

e) Weiterverarbeitung bei kompatiblem Zweck
Unter bestimmten Voraussetzungen können personenbezogene Daten auch zulässigerweise weiterverarbeitet werden, wenn die Verarbeitung nicht mehr dem ursprünglichen Zweck entspricht. Hierfür muss der neue Zweck mit dem alten kompatibel, darf also für die betroffene Person nicht überraschend sein. Hierfür muss aber der Verantwortliche eine genaue – dokumentierte – Prüfung anhand der in Art. 6 Abs. 4 festgelegten Kriterien durchführen:

  • Verbindung zwischen den Zwecken
  • der Zusammenhang der Erhebung der Daten, insbesondere hinsichtlich des Verhältnisses zwischen der betroffenen Person und dem Verantwortlichen
  • die Art der personenbezogenen Daten (z. B. besonders sensible Daten)
  • die möglichen Folgen der beabsichtigten Weiterverarbeitung für die betroffenen Personen
  • vorhandene Verschlüsselungen oder Pseudonymisierungen der Daten.

Ergibt die Prüfung, dass der Zweck nicht kompatibel ist, ist eine darauf gestützte Verarbeitung unzulässig, es sei denn, der Verantwortliche holt für den neuen Zweck wiederum eine Einwilligung ein.

f) Besondere Bereiche
Die DSGVO, aber auch das Bundesdatenschutzgesetz (BDSG), das angepasst wird, enthalten selbst Erlaubnistatbestände, nach denen Datenverarbeitung zulässig ist. Hierzu gehören insbesondere Regelungen zur Videoüberwachung und zum Beschäftigtendatenschutz. Die bisherige Vorschrift des § 32 BDSG wird zwar geändert, soll aber im Wesentlichen erhalten bleiben. Sie macht noch einmal deutlich, dass Tarifverträge bzw. Betriebs- und Dienstvereinbarungen verbindlich datenschutzrechtliche Regelungen für das Beschäftigungsverhältnis treffen können.

6. Datenschutzmanagement

Die DSGVO verlangt von den Unternehmen die Erfüllung der Rechenschaftspflicht. Damit ist die verantwortliche Stelle, also das Unternehmen oder die Institution, verantwortlich für den Datenschutz und seine Beachtung. Dazu ist ein Datenschutzmanagement notwendig – abhängig von der Größe des Unternehmens, der personenbezogenen Daten, die verarbeitet werden, und der Menge und der Qualität der Daten. Zumindest muss aber auch in kleineren und mittleren Unternehmen ein Mindestmaß an Dokumentation vorhanden sein, um die Einhaltung des Datenschutzes nachweisen zu können. Denn die Verletzung der Datenschutzpflichten zieht empfindliche Bußgelder nach sich: bis zu 20 Mio. Euro oder 4 % des weltweiten Umsatzes können von den Aufsichtsbehörden verhängt werden.

Ein Datenschutzmanagement sollte folgende Bereiche umfassen:

a) Planung und Konzeption
Die Risiken, die sich aus der Datenverarbeitung in dem Unternehmen ergeben, müssen hinsichtlich Art, Umfang, der Umstände und der Zwecke der Verarbeitung sowie der Eintrittswahrscheinlichkeit von Verletzungen und Schäden beachtet werden. Insbesondere geht es um die Risiken für die persönlichen Rechte und Freiheiten der betroffenen Personen.

Das Unternehmen muss zunächst seine „Datenschutzpolitik“ beschreiben, also Folgendes festlegen:

  • Zuständigkeiten für den Datenschutz im Unternehmen einschließlich der Einbindung und die Aufgabenstellung des betrieblichen Datenschutzbeauftragten
  • Sensibilisierung und Schulung der Mitarbeiter
  • Verpflichtung auf das Datengeheimnis (Das ist zwar gesetzlich nicht mehr vorgeschrieben, aber anzuraten. Alternativ muss sichergestellt werden, dass die Mitarbeiter, die personenbezogene Daten verarbeiten, dies nur entsprechend ihrer Aufgabenerfüllung erledigen. Für Auftragsverarbeiter ist vorgeschrieben, dass sie ihre Mitarbeiter auf die Vertraulichkeit verpflichten müssen.)
  • Durchführung von Kontrollen über die Einhaltung der getroffenen Regelungen/Anweisungen
  • Einsatz datenschutzfreundlicher Technologien
  • Stand der Technik als Anforderung an die IT-Sicherheit
  • Führung des Verzeichnisses von Verarbeitungstätigkeiten
  • Prozess zum Abschluss von Auftragsdatenverarbeitungen oder – bei gemeinsamer Verantwortlichkeit – zum Abschluss entsprechender Vereinbarungen
  • Prozess zur Umsetzung der Betroffenenrechte und der Transparenz der Datenverarbeitung
  • Prozess zur Durchführung einer Risikobewertung
  • Prozess zur Durchführung von Datenschutz-Folgenabschätzungen und einer eventuellen Meldung an die Aufsichtsbehörde
  • Prozess zur Meldung von Verletzungen des Datenschutzes (Datenpannen).

Es sollte geprüft werden, ob es im Unternehmen Anknüpfungspunkte für ein Datenschutzmanagement gibt. Herfür bieten sich z. B. bereits bestehende Compliance-Richtlinien oder ein Qualitätsmanagement sowie ein IT-Sicherheits- oder ein Risikomanagement an.

b) Umsetzung
Hiervon umfasst ist die Konkretisierung der unter 6.a) genannten Maßnahmen in der Praxis. Dazu gehört eine ausreichende Dokumentation sowie die geeigneten technisch-organisatorischen Maßnahmen.

c) Erfolgskontrolle und Überwachung
Die Planung und Konzeption sowie ihre Umsetzung müssen stetig auf ihre Wirksamkeit hin
kontrolliert werden.

d) Optimierung und Verbesserung
Wird im Rahmen der Überwachung festgestellt, dass Anpassungen notwendig sind, müssen sie vorgenommen werden. Hierzu gehört auch die Erfüllung des angemessenen Stands der Technik bei den technischen IT-Sicherheitsmaßnahmen, denn die DSGVO verlangt die Anpassung an entsprechende technische Entwicklungen.

Ergebnis muss jedenfalls sein, dass die Rechtskonformität der Verarbeitung in rechtlicher, technischer und organisatorischer Hinsicht jederzeit nachweisbar ist.

7. Datensicherheit

Die DSGVO verknüpft Datenschutz und Datensicherheit eng miteinander. Schutz und Technik sind nicht nur bei den technisch-organisatorischen Maßnahmen miteinander verbunden, wie es bisher bei § 9 BDSG und seiner Anlage der Fall war. Die DSGVO verlangt Datensicherheitsmaßnahmen, die geeignet sind, das Schutzniveau zu gewährleisten, das dem Risiko der Datenverarbeitung für die Rechte und Freiheiten des Betroffenen angemessen ist. Hierbei ist der Stand der Technik angemessen zu berücksichtigen. Es bedarf also einer stetigen Anpassung der Maßnahmen. Zu prüfen ist, ob ein IT-Sicherheitsmanagement notwendig ist.

Folgende Schutzziele sind einzuhalten (Die Zuordnung erfolgt zur Konkretisierung unter Berücksichtigung der bisher in § 9 BDSG und seiner Anlage vorgenommenen Definitionen):

Vertraulichkeit durch:

  • Maßnahmen, die geeignet sind, Unbefugten den Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, zu verwehren (Zutrittskontrolle)
  • Maßnahmen, die geeignet sind zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können (Zugangs-/Benutzerkontrolle)
  • Maßnahmen, die gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können (Zugriffskontrolle), und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können (Datenverarbeitungskontrolle)
  • Maßnahmen, die gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können (Trennungsgebot).

Integrität durch:

  • Maßnahmen, die gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist (Weitergabekontrolle)
  • Maßnahmen, die gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind und wohin sie übermittelt werden sollen oder übermittelt worden sind (Eingabekontrolle/ Verarbeitungskontrolle/ Verantwortlichkeitskontrolle)
  • Maßnahmen, die gewährleisten, dass die Verfahrensweisen bei der Verarbeitung personenbezogener Daten in einer Weise dokumentiert werden, dass sie in zumutbarer Weise nachvollzogen werden können (Dokumentationskontrolle)
  • Maßnahmen, die gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können (Auftragskontrolle)
  • Maßnahmen, damit die innerbetriebliche Organisation den besonderen Anforderungen des Datenschutzes gerecht wird (Organisationskontrolle)

Verfügbarkeit und Belastbarkeit (Widerstandsfähigkeit/ Resilienz von Systemen/ Diensten) durch:

  • Maßnahmen, die gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind (Verfügbarkeitskontrolle).
  • Maßnahmen die gewährleisten, dass technische Systeme, bei Störungen bzw. Teil-Ausfällen nicht vollständig versagen, sondern wesentliche Systemdienstleistungen aufrechterhalten werden

Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung (Art. 32 Abs. 1 lit. d DS-GVO; Art. 25 Abs. 1 DS-GVO).

Zur Festlegung des Schutzbedarfs werden üblicherweise die drei Schutzklassen „normal“, „hoch“ und „sehr hoch“ verwendet. Diese Zuweisung zu den Schutzklassen muss nicht nur für personenbezogene Daten gelten, sondern kann für alle unternehmensrelevanten Informationen verwendet werden. Die Klassifizierung „normal“ gilt z. B. für alle internen Datenverarbeitungen bzw. für Daten, die aus allgemein zugänglichen Quellen stammen. Das Risiko für den Betroffenen ist tolerabel. „Hoch“ ist ein Schutzbedarf für Daten, die einen gewissen Vertraulichkeitsgrad erfüllen müssen, weil eine – erhebliche - Beeinträchtigung der Rechte des Betroffenen möglich ist. Ein „sehr hohes“ Schutzniveau ist zu gewährleisten, wenn eine besonders bedeutende Beeinträchtigung zu befürchten ist. Die Risikobewertung muss also abwägen, wie wahrscheinlich ein Schadenseintritt ist und welchen Schaden er mit welchen Auswirkungen beim Betroffenen anrichten könnte.

Bei der Frage, welche Maßnahmen ergriffen werden müssen, ist das Risiko zu betrachten. Die technischen und organisatorischen Maßnahmen müssen im Verhältnis zum Risiko stehen.

Hierbei sind folgende Punkte zu berücksichtigen:

  • Geeignetheit der Maßnahmen
  • Stand der Technik
  • Kosten der Implementierung
  • Aufwand

Nach der DSGVO gibt es einige Maßnahmen wie:

  • Pseudonymisierung
  • Verschlüsselung
  • Die Fähigkeit, Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste auf Dauer sicherzustellen
  • Die Verfügbarkeit und den Zugang zu personenbezogenen Daten bei einem physischen oder technischen Zwischenfall schnell wiederherzustellen
  • Ein Verfahren einzurichten, das eine regelmäßige Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technisch-organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung gewährleistet
  • Sicherstellung, dass die Mitarbeiter, die personenbezogenen Daten verarbeiten, dies nur entsprechend ihrer Aufgabenerfüllung auf Anweisung des Verantwortlichen erledigen.

Im Rahmen der Rechenschaftspflicht nach Art 5 DSGVO müssen die Risikobewertung und die daraufhin passend ergriffenen Maßnahmen dokumentiert werden.

Bereits im Vorfeld von Anwendungen zur Verarbeitung personenbezogener Daten müssen die Aspekte eines Datenschutzes durch Technikgestaltung (privacy by design) oder durch datenschutzfreundliche Voreinstellungen (privacy by default) berücksichtigt werden. Damit ist dem Grundsatz der Datenminimierung (Art. 5 DSGVO) zu entsprechen. Schon bei der Beschaffung von IT-Lösungen muss geprüft werden, wie diese Anforderungen umgesetzt werden können. Anonymisierung, Pseudonymisierung, Einschränkung der Verarbeitung (Sperrung) oder Löschung von Daten können hier Maßnahmen sein.

Auch diese Überlegungen bzw. Maßnahmen sind zu dokumentieren.

8. Bestellung einer/s betrieblichen Datenschutzbeauftragten

a) Bestellung eines betrieblichen Datenschutzbeauftragten (bDSB) nach der DSGVO Die Anwendbarkeit der DSGVO ab 25. Mai 2018 bringt eine europaweite Verpflichtung zur Bestellung eines bDSB mit sich. Der bDSB ist zwingend zu bestellen, wenn die Kerntätigkeit des Verantwortlichen in Verarbeitungsvorgängen besteht, welche aufgrund Art, Umfang und/oder Zweck eine umfangreiche regelmäßige und systematische Beobachtung personenbezogener Daten erforderlich machen. Unter „Kerntätigkeit“ fallen hierbei Geschäftsbereiche, die für die Umsetzung der Unternehmensstrategie erforderlich sind (insbesondere, aber nicht abschließend: Kundenservice, Marketing, Produktdesign Auskunfteien oder Adresshandel). “Art, Umfang und Zweck“ ist anhand objektiver Merkmale zu beurteilen (insb. die Anzahl der Betroffenen, die Menge der betroffenen Daten und/oder Vielzahl der verschiedenen Datensätze, die Dauer oder geographische Reichweite der Datenverarbeitung).

Die DSGVO lässt den Mitgliedstaaten die Befugnis, weitere Bestellpflichten zu regeln, solange der nationale Gesetzgeber nicht von den oben beschriebenen Rechten und Aufgaben abweicht. Hiervon hat der deutsche Gesetzgeber im Rahmen der Änderung des Bundesdatenschutzgesetzes (BDSG) Gebrauch gemacht.

Die Bestellpflicht des bDSB wird danach abweichend zur DSGVO erweitert und behält die Regelungen des bisherigen BDSG weitgehend bei. Das heißt, ein bDSB muss bestellt werden, soweit in der Regel mindestens zwanzig Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt werden. Nehmen der Verantwortliche oder der Auftragsverarbeiter Verarbeitungen vor, die einer Datenschutz-Folgenabschätzung nach Art. 35 DSGVO unterliegen, oder verarbeiten sie personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung, haben sie unabhängig von der Anzahl der mit der Verarbeitung beschäftigten Personen einen bDSB zu benennen. Eine freiwillige Bestellung von bDSB ist möglich.

Die Position des bDSB kann innerhalb des Betriebs durch einen eigenen Mitarbeiter besetzt werden (auch als „Teilzeit“-Tätigkeit neben seinen eigentlichen Aufgaben), wenn er die persönlichen und fachlichen Voraussetzungen dafür besitzt. Es kann auch ein externer Datenschutzbeauftragter bestellt werden. Für eine Unternehmensgruppe kann ein gemeinsamer Datenschutzbeauftragter benannt werden. Dieser muss jedoch von jeder Niederlassung aus leicht erreichbar sein.

b) Anforderungen an die Bestellung und Stellung des bDSB
Anforderungen an die Bestellung des bDSB:

  • Nicht bestellt werden darf eine Person, die in einen Interessenkonflikt geraten könnte oder bei der eine Gefahr der Selbstkontrolle besteht (insb. Mitglieder der Unternehmensleitung, IT- und Personalleiter sowie IT- Administratoren).
  • Der bDSB muss aufgrund der beruflichen Qualifikation und des Fachwissens benannt werden, um die Aufgaben aus Art. 39 DSGVO übernehmen zu können. Zu den Fachkundevoraussetzungen gehört ein Verständnis der allgemein datenschutzrechtlichen und spezialgesetzlichen datenschutzrechtlichen Vorschriften, die für das eigene Unternehmen relevant sind, sowie
  • technisch-organisatorische Kenntnisse, insbesondere Kenntnisse der Informations-und Telekommunikationstechnologie und der Datensicherheit. Diese Mindestkenntnisse müssen bereits zum Zeitpunkt der Bestellung zum bDSB vorliegen.
  • Eine Form und bestimmte Dauer für die Bestellung besteht nicht; die Bestellung sollte aus Nachweisgründen in Textform erfolgen (s. unten stehendes Muster).
  • Die Kontaktdaten des dDSB sind zu veröffentlichen (z.B. auf der Unternehmenshomepage) und sind der jeweiligen Landesdatenschutzbehörde zu melden (Hierfür soll zukünftig ein elektronisches Formular bei den Aufsichtsbehörden eingerichtet werden).

Stellung des bDSB:

  • Der bDSB ist weisungsunabhängig bzgl. seiner Aufgabenerfüllung,und er berichtet unmittelbar der höchsten Managementebene des Verantwortlichen.
  • Er darf wegen der Erfüllung seiner Aufgaben weder abberufen noch benachteiligt werden.
  • Es besteht ein Anspruch auf ordnungsgemäße und frühzeitige Einbindung in alle datenschutzrechtlichen Fragen. Dem bDSB sind zur Aufgabenerfüllung das notwendige Zeitbudget sowie die nötige Unterstützung (Fortbildung, finanzielle, materielle und personelle Ausstattung) zu gewähren.
  • Dem bDSG ist Zugang zu allen personenbezogenen Daten und damit zusammenhängenden Verarbeitungsvorgängen zu geben.
  • Der bDSB ist zur Wahrung der Geheimhaltung und Vertraulichkeit bei der Erfüllung seiner Aufgaben verpflichtet.

Dies gilt insbesondere in Bezug auf die Identität von betroffenen Personen, die sich an den bDSB gewandt haben. Ein gesetzliches Zeugnisverweigerungsrecht steht ihm zu, soweit der Leitung oder einer bestimmten Person des Verantwortlichen ein solches Recht zusteht. Akten oder Schriftstücke des bDSB unterliegen soweit einem Beschlagnahmeverbot.

Nach der geplanten Änderung des BDSG besteht – wie bereits nach der bisherigen Fassung des BDSG – ein besonderer Kündigungsschutz für den bDSB. Das Arbeitsverhältnis darf während der Tätigkeit als Datenschutzbeauftragter und nach deren Beendigung für ein Jahr nicht gekündigt werden, es sei denn die Kündigung erfolgt aus wichtigem Grund.

c) Aufgaben des bDSB
Der bDSB hat schwerpunktmäßig die Einhaltung der datenschutzrechtlichen Vorschriften und den datenschutzkonformen Umgang mit personenbezogenen Daten im Betrieb zu überwachen. In diesem Zusammenhang hat er gem. Art. 39 DSGVO die folgenden Aufgaben zu erfüllen:

  • Unterrichtung über die bestehenden datenschutzrechtlichen Pflichten und Beratung bei der Lösung datenschutzrechtlicher Fragen.
  • Überwachung und Einhaltung der datenschutzrechtlichen Vorschriften (DSGVO, BDSG sowie weitere Rechtsvorschriften) sowie der unternehmenseigenen Datenschutzbestimmungen inkl. Zuweisung von Zuständigkeiten, Sensibilisierung und Schulung von Mitarbeitern.
  • Auf Anfrage Beratung bei der Datenschutz-Folgenabschätzung (Art. 35 Abs. DSGVO) und Überwachung ihrer Durchführung.
  • Zusammenarbeit mit der Aufsichtsbehörde und Zuständigkeit für die vorherige Konsultation datenschutzrechtlicher Fragen an die Aufsichtsbehörde.
  • Ansprechpartner für betroffene Personen und Mitarbeiter zu allen mit der Verarbeitung ihrer Daten und mit der Wahrnehmung ihrer Rechte zusammenhängenden Vorgänge.

Über diese Mindestaufgaben hinaus nimmt der bDSB eine beratende und unterstützende Funktion ein. Insbesondere sind hier zu nennen: Unterstützung des Verantwortlichen bei der Etablierung von Prozessen bzw. Dokumentationen zur Erfüllung der umfassenden Nachweispflicht, Unterstützung bei der Melde- und Benachrichtigungspflicht bei Datenschutzverletzungen sowie die Erfüllung der Betroffenenrechte (Recht auf Auskunft, Berichtigung, Einschränkung oder Löschen von Daten).

Die Pflicht, ein Verzeichnis der Verarbeitungstätigkeiten zu führen, liegt grundsätzlich beim Verantwortlichen, kann aber - unter der Verantwortung des Verantwortlichen – auf den bDSB übertragen werden.

Bei der Erfüllung seiner Aufgaben hat der bDSB die Pflicht zur risikoorientierten Tätigkeit, dass heißt, er entscheidet selbst, welche Verarbeitungsvorgänge er aufgrund des damit verbundenen Risikos vorrangig prüft.

d) Haftung des bDSB
Nach den Leitlinien der sogenannten Artikel-29-Datenschutzgruppe (unabhängiges Beratungsgremium der Europäischen Kommission in Fragen des Datenschutzes) vom Dezember 2016 trägt der bDSB im Falle der Nichteinhaltung der DSGVO keine persönliche Verantwortung. Aus der DSGVO gehe klar hervor, dass es Sache des Verantwortlichen sei, sicherzustellen und nachweisen zu können, dass die Verarbeitung im Einklang mit der DSGVO erfolge

e) Folgen bei Nichtbestellung
Die vorsätzliche oder fahrlässige Versäumnis einen bDSB nicht oder nicht rechtezeitig zu bestellen, kann nach bisherigem BDSG mit einem Bußgeld in Höhe von bis zu 50.000,00 € belegt werden. Die DSGVO sieht hier höhere Bußgelder von bis zu 10 Millionen € oder 2 % des weltweiten Jahresumsatzes vor, je nachdem, welcher Betrag höher ist.

9. Betroffenenrechte

Die DSGVO stärkt spürbar die Rechte der betroffenen Personen, also derjenigen, deren personenbezogene Daten verarbeitet werden. Die DSGVO enthält umfangreiche Informationspflichten bei der Datenerhebung, Auskunftsrechte, Rechte auf Berichtigung, Löschung, Einschränkung der Verarbeitung und Datenübertragbarkeit, Widerspruchsrechte sowie das Recht, nicht einer automatisierten Einzelentscheidung unterworfen zu sein. Der Anspruch richtet sich in der Regel gegen den Verantwortlichen. Er ist verpflichtet, der betroffenen Personen die Ausübung ihrer Rechte (Art. 12 Abs. 2 DSGVO) zu erleichtern. Das verantwortliche Unternehmen muss auf Anträge des Betroffenen nach den Art. 15 bis 22 DSGVO innerhalb eines Monats antworten. Zwar gibt es Möglichkeiten der Fristverlängerung, allerdings müssen die Gründe dafür ebenfalls innerhalb der Monatsfrist mitgeteilt werden, so dass in jedem Fall schnell reagiert werden muss. Kommt das Unternehmen einem Antrag der betroffenen Person nicht nach, droht ein Bußgeld. Der Verantwortliche im Unternehmen muss also Prozesse implementieren, die eine fristgerechte und korrekte Bearbeitung der Anträge der betroffenen Personen gewährleisten.

a) Transparente Information, Kommunikation und Modalitäten für die Ausübung der Betroffenenrechte
Bereits zu Beginn der Verarbeitung besteht nach dem Grundsatz der Transparenz eine Pflicht zur umfassenden Information gegenüber der betroffenen Person. Nach Art. 12 DSGVO hat der Verantwortliche geeignete Maßnahmen zu treffen, um der betroffenen Person alle die Datenverarbeitung betreffenden Informationen in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln. Die Informationen werden schriftlich oder in anderer Form, insbesondere auch elektronisch, übermittelt; ausnahmsweise auch mündlich, sofern die betroffene Person dies verlangt und die Identität der betroffenen Person nachgewiesen wurde.

Geht ein Antrag (beispielsweise auf Auskunft) einer betroffenen Person bei dem Verantwortlichen ein, kann dieser entweder tätig werden und Maßnahmen ergreifen z. B. eine Auskunft erteilen (Art. 12 Abs. 3 DSGVO) oder davon absehen. Wird der Verantwortliche aber nicht tätig (Art. 12 Abs. 4 DSGVO), hat er neben den Gründen hierfür die betroffene Person auch über die Möglichkeit zu unterrichten, bei einer Aufsichtsbehörde Beschwerde oder bei Gericht einen entsprechenden Rechtsbehelf einzulegen. Wird der Verantwortliche tätig, muss er auf den Antrag der betroffenen Person grundsätzlich unverzüglich reagieren (Art. 12 Abs. 3 DSGVO), in jedem Fall aber innerhalb eines Monats nach Eingang des Antrags. Diese Frist kann um weitere zwei Monate verlängert werden, wenn dies unter Berücksichtigung der Komplexität und der Anzahl von Anträgen erforderlich ist. Allerdings muss dann die betroffene Person innerhalb eines Monats über die Fristverlängerung unter Nennung der Gründe für die Verzögerung unterrichtet werden (Art. 12 Abs. 3 DSGVO). Die Auskunftserteilung erfolgt unentgeltlich. Bei offenkundig unbegründeten oder - insbesondere im Fall von häufiger Wiederholung - exzessiven Anträgen einer betroffenen Person kann ein angemessenes Entgelt verlangt werden oder eine Weigerung erfolgen, aufgrund des Antrags tätig zu werden; der Verantwortliche hat hierfür aber die Nachweispflicht (Art. 12 Abs. 5 DSGVO).

b) Informationspflicht bei Datenerhebung beim Betroffenen
Grundsätzlich können personenbezogene Daten entweder direkt bei der betroffenen Person (Art. 13 DS-GVO) oder bei einer dritten Person (Art. 14 DSGVO) erhoben werden. „Direkterhebung“ meint jede Erhebung personenbezogener Daten mit Kenntnis oder unter Mitwirkung der betroffenen Person. Werden die Daten bei der betroffenen Person erhoben, so muss der Verantwortliche zum Zeitpunkt der Datenerhebung (Art. 13 Abs. 1 DSGVO) die betroffene Person umfassend über die Verarbeitung informieren und Folgendes mitteilen:

  • Name und Kontaktdaten des Verantwortlichen sowie ggf. seines Vertreters,
  • Kontaktdaten des Datenschutzbeauftragten,
  • Zwecke der Verarbeitung und Rechtsgrundlage,
  • wenn die Verarbeitung auf Art. 6 Abs. 1 f DSGVO beruht: berechtigtes Interesse des Verantwortlichen,
  • ggf. Empfänger oder Kategorien von Empfängern,
  • Absicht der Übermittlung in ein Drittland/ an internationale Organisation sowie das Vorhandensein oder Fehlen eines Angemessenheitsbeschlusses der Kommission,
  • Dauer der Datenspeicherung,
  • Bestehen eines Rechts auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Widerspruchsrecht und Recht auf Datenübertragbarkeit,
  • Recht auf Widerruf einer Einwilligung (bei Verarbeitung mit Art. 6 Abs. 1 a o. Art. 9 Abs. 2 a DSGVO),
  • Bestehen eines Beschwerderechts gegenüber einer Aufsichtsbehörde,
  • Information, ob die Bereitstellung der personenbezogenen Daten gesetzlich vorgeschrieben oder für einen Vertragsabschluss erforderlich ist und welche möglichen Folgen die Nichtbereitstellung hätte,
  • das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling (Art. 22).

Beabsichtigt der Verantwortliche, die personenbezogenen Daten für einen anderen Zweck weiter zu verarbeiten, als zu dem für den die personenbezogenen Daten erhoben wurden, so erfordert dies vorab eine erneute Information des Betroffenen über diesen anderen Zweck und alle anderen maßgeblichen Informationen nach Art. 13 Abs. 2 DSGVO (Prüfung, ob eine solche Zweckänderung im Rahmen von Art. 6 Abs. 4 DSGVO überhaupt zulässig ist).

Ausnahmen: Nach Art. 13 Abs. 4 DSGVO entfällt die Information bei Direkterhebung, wenn und soweit die betroffene Person bereits über die Information verfügt. Weitere geringfügige Ausnahmen hierzu enthält auch § 32 des neuen BDSG, das am 25. Mai 2018 in Kraft treten wird. Hier hat der Gesetzgeber von den Öffnungsklauseln Gebrauch gemacht und weitere Eingrenzungen aufgenommen.

c) Informationspflicht, wenn Datenerhebung nicht beim Betroffenen erfolgt
Erfolgt die Datenerhebung nicht beim Betroffenen, sind die Informationspflichten weitgehend
parallel zu Art. 13 Abs. 1 und 2 DSGVO geregelt. Abweichungen sind folgende:

  • Es müssen die Kategorien personenbezogener Daten, die verarbeitet werden, genannt werden, zum Beispiel Kundendaten, Mitarbeiterdaten.
  • Es muss genannt werden, aus welcher Quelle die personenbezogenen Daten stammen und ggf. ob sie aus öffentlich zugänglichen Quellen stammen.
  • Außerdem muss nicht über die Pflicht zur Bereitstellung der Daten informiert werden, also ob es sich um eine freiwillige Angabe handelt oder nicht.

Des Weiteren gibt es im Unterschied zu Art. 13 DSGVO detailliertere Regelungen zum Zeitpunkt der Informationserteilung (Art. 14 Abs. 3 DSGVO) und zu den Ausschlusstatbeständen nach Art. 14 Abs. 5 DSGVO, wenn die Informationspflicht entfällt.

Auch hier sind weitere Ausnahmen in den §§ 29, 33 des BDSG neu zu finden. Auch zur Videoüberwachung gibt es in § 4 Abs. 2 des BDSG neu Ausnahmen.

Grundsätzlich sollte das verantwortliche Unternehmen sicherstellen können, dass diese Datenschutzinformationen den oben genannten Anforderungen entsprechen und insbesondere dass ein Nachweis über die Mitteilung der Informationen geführt werden kann.

d) Auskunftsrecht
Das Auskunftsrecht der betroffenen Person über beim Verantwortlichen gespeicherte personenbezogene Daten ist das zentrale Recht, um bei Bedarf gezielt weitere Rechte, z. B. Recht auf Berichtigung, Löschung etc. geltend machen zu können. Die betroffene Person kann von dem Verantwortlichen eine Bestätigung darüber verlangen, ob dort sie betreffende personenbezogene Daten verarbeitet werden. Ist dies der Fall, so hat die betroffene Person bezüglich dieser personenbezogenen Daten ein Recht auf Auskunft über:

  • Verarbeitungszwecke,
  • Kategorien personenbezogener Daten, die verarbeitet werden,
  • Empfänger oder Kategorien von Empfängern, denen die personenbezogenen Daten offengelegt werden, insbesondere Drittländer,
  • soweit möglich die geplante Speicherdauer, ansonsten Kriterien für die Festlegung der Dauer,
  • Informationen über die Rechte auf Berichtigung, Löschung, Einschränkung der Verarbeitung sowie über ein Widerspruchsrecht gegen die Verarbeitung,
  • das Beschwerderecht bei der Aufsichtsbehörde,
  • die Herkunft der Daten, soweit diese nicht von der betroffenen Person selbst erhoben wurden,
  • soweit zutreffend über das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling,
  • wenn Übermittlung an Drittländer/internationale Organisation erfolgt, dann Unterrichtung über die geeigneten Garantien gemäß Art. 46 DSGVO

Form der Auskunftserteilung: je nach Sachverhalt schriftlich, elektronisch oder mündlich, möglichst in Form einer Kopie der personenbezogenen Daten (Art. 15 Abs. 3 DSGVO). Der Verantwortliche hat sicherzustellen, dass die Auskunft nur der betroffenen Person oder einer von ihr bevollmächtigten Person erteilt wird und die Rechte und Freiheiten anderer Personen nicht beeinträchtigt werden. Als datenschutzfreundlichste Variante wird in Erwägungsgrund 63 Satz 4 ein Fernzugriff der betroffenen Person auf ihre eigenen Daten über ein sicheres System bezeichnet. Auch hier sieht das BDSG-neu Erleichterungen bzw. Modifizierungen vor (§§ 29, 30, 34 BDSG-neu).

e) Recht auf Berichtigung
Die betroffene Person hat das Recht, von dem Verantwortlichen unverzüglich die Berichtigung der sie betreffenden personenbezogenen Daten zu verlangen, wenn sie unrichtig sind. Unter Berücksichtigung der Zwecke der Verarbeitung hat die betroffene Person das Recht, die Vervollständigung unvollständiger personenbezogener Daten – auch mittels einer ergänzenden Erklärung – zu verlangen.

f) Recht auf Löschung, Recht auf Vergessenwerden
Die betroffene Person hat das Recht, von dem Verantwortlichen zu verlangen, dass sie betreffende Daten unverzüglich gelöscht werden, wenn folgende Gründe vorliegen (Art. 17 Abs. 1 DSGVO):

  • Daten sind für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig,
  • die betroffene Person widerruft ihre Einwilligung (Art. 6 Abs. 1 a oder Art. 9 Abs. 2 a DSGVO), und es fehlt an einer anderweitigen Rechtsgrundlage für die Verarbeitung,
  • die betroffene Person legt Widerspruch gegen die Verarbeitung ein und es liegen keine vorrangigen, berechtigten Gründe für die weitere Verarbeitung vor,
  • die personenbezogenen Daten wurden unrechtmäßig verarbeitet,
  • die Löschung der personenbezogenen Daten ist aufgrund eines spezielleren Gesetzes erforderlich, das heißt zur Erfüllung einer rechtlichen Verpflichtung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten, dem der Verantwortliche unterliegt,
  • die personenbezogenen Daten wurden in Bezug auf direkt gegenüber einem Kind angebotene Dienste der Informationsgesellschaft erhoben.

Hier geht es um die Idee des „digitalen Radiergummis“, wobei dies nicht nur für den Online-Bereich gilt. Hat der Verantwortliche die personenbezogenen Daten öffentlich gemacht und ist er zur Löschung verpflichtet (Art. 17 Abs. 1 DSGVO), muss er nach Art. 17 Abs. 2 DSGVO unter Berücksichtigung der verfügbaren Technologien und der Implementierungskosten angemessene Maßnahmen, auch technischer Art, treffen, um andere für die Datenverarbeitung Verantwortliche, die die personenbezogenen Daten verarbeiten, darüber zu informieren, dass eine betroffene Person von ihm die Löschung aller Links zu diesen personenbezogene Daten oder von Kopien oder Replikationen dieser personenbezogenen Daten verlangt hat. Ein Verantwortlicher muss also andere Verantwortliche darüber informieren, dass der Betroffenen die Löschung etwa aller Links oder Kopien verlangt.

Ausnahmen (Art. 17 Abs. 3 DSGVO): Es besteht für den Verantwortlichen keine Pflicht zur Löschung, wenn die weitere Speicherung der personenbezogenen Daten aus einem der folgenden Gründe erforderlich ist:

  • Ausübung des Rechts auf freie Meinungsäußerung und Information,
  • Erfüllung einer rechtlichen Verpflichtung (z. B. gesetzliche Aufbewahrungspflichten), die die Verarbeitung nach dem Recht der Union oder der Mitgliedstaaten erfordert oder zur Wahrung einer im öffentlichen Interesse liegenden Aufgabe oder in Ausübung öffentlicher Gewalt, die den Verantwortlichen übertragen wurde,
  • Gründe des öffentlichen Interesses im Bereich der öffentlichen Gesundheit,
  • im öffentliche Interesse liegende Archivzwecke, wissenschaftliche oder historische Forschungszwecke oder statistische Zwecke,
  • Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen

Weitere Ausnahmen etwa für in Papierform gespeicherte Daten sieht § 35 BDSG-neu vor.

g) Recht auf Einschränkung der Verarbeitung
Unter „Einschränkung der Verarbeitung“ sind nach den Erwägungsgründen zur DSGVO Methoden zur Beschränkung der Verarbeitung personenbezogener Daten zu verstehen, z. B. dass ausgewählte personenbezogene Daten vorübergehend auf ein anderes Verarbeitungssystem übertragen werden, dass sie für Nutzer gesperrt werden oder dass veröffentlichte Daten vorübergehend von einer Website entfernt werden. Die betroffene Person hat das Recht, von dem Verantwortlichen diese Einschränkung der Verarbeitung zu verlangen, wenn die nachfolgend aufgezählten Voraussetzungen vorliegen:

  • Die Richtigkeit der personenbezogenen Daten wird von der betroffenen Person bestritten, und zwar für eine Dauer, die es dem Verantwortlichen ermöglicht, die Richtigkeit der Daten zu überprüfen,
  • die Verarbeitung ist unrechtmäßig und die betroffene Person lehnt die Löschung der Daten ab und verlangt stattdessen eine Einschränkung der Verarbeitung,
  • der Verantwortliche benötigt die personenbezogenen Daten nicht länger für die Zwecke der Verarbeitung, die betroffene Person benötigt diese jedoch zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen,
  • die betroffene Person hat Widerspruch gegen eine auf berechtigte Interessen des Verantwortlichen gestützte Verarbeitung eingelegt, und es steht noch nicht fest, ob die berechtigten Gründe des Verantwortlichen gegenüber denen der betroffenen Person überwiegen.

Wurde die Verarbeitung auf Antrag des Betroffenen eingeschränkt, so dürfen diese personenbezogenen Daten – mit Ausnahme ihrer Speicherung – nur mit Einwilligung der betroffenen Person oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen oder zum Schutz der Rechte einer natürlichen oder juristischen Person oder aus Gründen eines wichtigen öffentlichen Interesses der Union oder eines Mitgliedstaates verarbeitet werden. Außerdem muss der Verantwortliche die betroffene Person vor Aufhebung der Einschränkung unterrichten (Art. 18 Abs. 3 DSGVO).
Ausnahmen finden sich in § 35 BDSG-neu.

h) Recht auf Datenübertragbarkeit
Eine betroffene Person, die einem Verantwortlichen sie betreffende personenbezogene Daten bereitgestellt hat, hat das Recht, diese Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten. Darüber hinaus ist die betroffene Person berechtigt, diese Daten einem anderen Verantwortlichen ohne Behinderung durch den Verantwortlichen, dem die personenbezogenen Daten ursprünglich bereitgestellt wurden, zu übermitteln. Dies gilt allerdings nur, sofern die Verarbeitung

  • auf einer Einwilligung oder einem Vertrag beruht und
  • mit Hilfe automatisierter Verfahren erfolgt.

Der Betroffene kann also erwirken, dass die personenbezogenen Daten direkt von einem Verantwortlichen übermittelt werden, soweit dies technisch möglich ist.

Ausnahmen gelten, wenn die Verarbeitung zur Wahrnehmung einer Aufgabe erfolgt, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde. Ferner dürfen die Rechte und Freiheiten anderer Personen durch die Ausübung nicht beeinträchtigt werden.

i) Recht auf Widerspruch
Die betroffene Person kann einer Verarbeitung durch den Verantwortlichen jederzeit widersprechen, wenn die Verarbeitung auf Art. 6 Abs. 1 e oder f DSGVO (Aufgabe im öffentlichen Interesse oder in Ausübung öffentlicher Gewalt, oder zur Wahrung berechtigter Interessen des Verantwortlichen) erfolgt ist. Dies gilt auch für ein darauf gestütztes Profiling. Eine fortdauernde Verarbeitung durch den Verantwortlichen ist nicht zulässig, außer

  • er kann zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, die die Interessen, Rechte und Freiheiten der betroffenen Person überwiegen, oder
  • die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.

Im Fall der Direktwerbung findet keine Interessenabwägung statt. Ein Widerspruch führt zu einem sofortigen Verarbeitungsstopp. Bei einer Verarbeitung zu wissenschaftlichen oder historischen Forschungszwecken oder zu statistischen Zwecken führt der Widerspruch ebenfalls zu einem Verarbeitungsstopp, es sei denn, die Verarbeitung ist zur Erfüllung einer im öffentlichen Interesse liegenden Aufgabe erforderlich (Art. 21 Abs. 6 DSGVO).

Auf sein Widerspruchsrecht muss der Betroffene spätestens zum Zeitpunkt der ersten Kommunikation ausdrücklich sowie in einer verständlichen und von anderen Informationen getrennter Form hingewiesen werden.

§ 36 BDSG-neu schränkt das Widerspruchsrecht gegenüber öffentlichen Stellen bei einem zwingenden öffentlichen Interesse oder einer zur Verarbeitung verpflichtenden Rechtsvorschrift ein.

j) Automatisierte Entscheidung im Einzelfall
Die betroffene Person hat das Recht, nicht einer ausschließlich auf einer automatisierten Verarbeitung – einschließlich Profiling – beruhenden Entscheidung unterworfen zu werden, die ihr gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt. Dabei hat die betroffene Person insbesondere das Recht auf Eingreifen einer Person aufseiten des Verantwortlichen, auf Darlegung des eigenen Standpunkts und auch auf Anfechtung der Entscheidung. Das Recht, nicht einer ausschließlich auf einer automatisierten Verarbeitung beruhenden Entscheidung unterworfen zu werden, gilt nicht, wenn die Entscheidung

  • für den Abschluss oder die Erfüllung eines Vertrages zwischen der betroffenen Person und dem Verantwortlichen erforderlich ist,
  • aufgrund von Rechtsvorschriften der Union oder der Mitgliedstaaten, denen der Verantwortliche unterliegt, zulässig ist und diese Rechtsvorschriften angemessene Maßnahmen zur Wahrung der Rechte und Freiheiten sowie der berechtigten Interessen der betroffenen Person enthalten oder
  • mit ausdrücklicher Einwilligung der betroffenen Person erfolgt.

Geringfügige Ausnahmen finden sich in § 37 BDSG-neu.

10. Überblick: Dokumentationspflichten

Die DSGVO betont die Verantwortlichkeit, die Unternehmen (auch „verantwortliche Stellen“ oder „Verantwortliche“ genannt) für die Einhaltung des Datenschutzes haben. Sie müssen nachweisen können, dass ihre Datenverarbeitung datenschutzkonform ist. Umfangreiche Pflichten zur Dokumentation sollen dies sicherstellen. Die Aufzeichnungen dienen als Nachweis gegenüber der Datenschutzaufsicht, bei gerichtlichen Kontrollverfahren sowie für eine nachträgliche Information Betroffener. Eine erfolgreiche Umsetzung dieser Verpflichtung setzt die Entwicklung, Implementierung und Anwendung eines Datenschutz-Managementsystems voraus. Dabei müssen Verantwortliche eruieren, welche Dokumentationspflichten sie zu beachten haben, Umfang und Grenzen dieser Pflichten kennen und Prozesse einführen, die deren Einhaltung sicherstellen.

Die DSGVO kennt im Wesentlichen folgende Dokumentationspflichten:

Art. 5 Abs. 2, 24 Abs. 1 DSGVO - Rechenschaftspflicht
Wer personenbezogene Daten verarbeitet, ist verantwortlich für die Einhaltung aller in der DSGVO aufgeführten Rechtsgrundsätze. Hierbei handelt es sich um folgende: Rechtmäßigkeit der Verarbeitung, Verarbeitung nach Treu und Glauben, Transparenz, Zweckmäßigkeit, Datenminimierung, Richtigkeit, Speicherbegrenzung, Integrität und Vertraulichkeit. Ein Verantwortlicher muss deren Einhaltung nachweisen können (sog. „Rechenschaftspflicht“). Ferner haben verantwortliche Stellen geeignete technische und organisatorische Maßnahmen zu ergreifen, um sicherzustellen und den Nachweis erbringen zu können, dass sie bei ihrer Datenverarbeitung vollumfänglich die DSGVO beachten. Zudem haben sie ergriffene Maßnahmen zu überprüfen und zu aktualisieren.

In der Praxis setzt man diese Pflicht über die Beschreibung einer Verarbeitung im sog. „Verzeichnis für Verarbeitungstätigkeiten“ um und ergänzt diese idealerweise um die Rechtsgrundlage, auf die die jeweilige Datenverarbeitung gestützt wird.

Art. 6 DSGVO - Interessenabwägung, Zweckänderung
Wer eine Datenverarbeitung auf die Rechtsgrundlage „Wahrung der berechtigten Interessen des Verantwortlichen oder Dritten“ stützt, muss den hiervon betroffenen Personen die Gründe mitteilen, die er oder ein Dritter in Abwägung zu den Interessen der Betroffenen als überwiegend ansieht (z. B. Werbung an Kunden per Brief, Fälle des Datenflusses im Konzern, vgl. Erwägungsgründe 47 und 48 zur DSGVO). Außerdem muss er Betroffene vorab auf ihr jederzeitiges Widerrufsrecht hinweisen.
Ferner haben verantwortliche Stellen Betroffene vorab umfassend (z. B. über die Rechtsgrundlage für die geplante weitere Datenverarbeitung) zu informieren, wenn sie Informationen über diese zu einem anderen Zweck weiterverarbeiten möchten als zu dem ursprünglichen.

Art. 7 DSGVO - erteilte Einwilligungen
Wird eine Datenverarbeitung auf eine datenschutzrechtliche Einwilligung gestützt, so muss
das Unternehmen nachweisen können , dass diese vorliegt, also ein Betroffener diese

  • wirksam erteilt hat
  • durch eine unmissverständliche Willensbekundung in Form einer Erklärung (Textform z. B. durch E-Mail, Fax, Dokumentenscan ist ausreichend; nicht mehr erforderlich ist die Schriftform , also die Unterschrift im Original. Schriftform wird jedoch durch eine Festlegung im BDSG neu, das am 25. Mai 2018 in Kraft treten wird, weiterhin erforderlich sein für Einwilligungen im Beschäftigungsverhältnis!)
  • oder durch eine sonstige eindeutige bestätigende Handlung des Einwilligenden wie z. B. einer Einwilligung per Mausklick
  • diese rechtmäßig gestaltet ist
  • durch eine verständliche und leicht zugängliche Form
  • in einer klaren und einfachen Sprache
  • klar von anderen Sachverhalten zu unterscheiden
  • und ohne Zwang und damit freiwillig abgegeben worden ist, insbesondere – soweit
  • dies angebracht ist – zu verschiedenen Verarbeitungsvorgängen gesondert erteilt
  • werden kann
  • sowie ferner das sog. Koppelungsverbot beachtet ist, das heißt die Erfüllung eines Vertrages wurde nicht von einer Erteilung einer Einwilligung abhängig gemacht, die für deren Erfüllung nicht erforderlich wäre.
  • diese für die Zukunft widerruflich gestaltet ist (Hinweis gegenüber Betroffenen!)
  • und nicht (zum Teil) unverbindlich ist, weil diese (oder Teile hiervon) gegen die DSGVO verstoßen.

Die Datenschutzaufsichtsbehörden in Deutschland haben beschlossen, dass bisher rechtswirksame Einwilligungen weiterhin wirksam sind (Beschluss des „Düsseldorfer Kreises“ vom 13./14. September 2016). Jedoch müssen Verantwortliche deren Einholung nachweisen können. Dies setzt eine entsprechende Dokumentation voraus (Einwilligungs-Management).

Art. 8 DSGVO - Einwilligung bei Kindern – Pflicht zur Altersverifikation
Hat ein Kind das sechzehnte Lebensjahr vollendet, so kann es in Dienste der Informationsgesellschaft (z. B. Online-Informationsangebote, Online-Handel von Waren und Dienstleistungen, Online-Werbung) datenschutzrechtlich wirksam einwilligen. Allerdings muss die Einwilligung rechtskonform (s. o.) gestaltet sein. Kinder unter sechzehn benötigen die Einwilligung der Erziehungsberechtigten oder deren Zustimmung , um wirksam einwilligen zu können. Insoweit ist ein Verantwortlicher verpflichtet, umfassend (auch unter Einsatz technischer Mittel) zu prüfen, ob die Einwilligung eines Erziehungsberechtigten vorliegt. Es besteht nach der DSGVO die Möglichkeit, dass andere EU-Mitgliedstaaten das Alter auf 13 Jahren festsetzen.

Art. 12 ff. DSGVO – Betroffenenrechte
Verantwortliche Stellen müssen die Rechte Betroffener kennen und Prozesse implementieren, um hierauf entsprechend reagieren zu können. So müssen z. B. Geschäftsprozesse geprüft und die Sachverhalte erfasst werden, an die Informationspflichten (z. B. bei einer Einwilligung oder bei einer Datenerhebung über Dritte) geknüpft sind. Ferner sollten Umfang und Grenzen von Betroffenenrechten und die Fristen bekannt sein, in denen verantwortliche Stellen Betroffenenrechte erfüllen müssen und deren Einhaltung sichergestellt sein.

Art. 13, 14 DSGVO - Erfüllung der Informationspflichten
Verantwortliche Stellen haben nachzuweisen, dass sie die erweiterten Informationspflichten nach der DSGVO erfüllen. Es empfiehlt sich insoweit, diese Informationen zum Datenschutz (auch Vorversionen mit dem Hinweis „verwendet von... bis...“) aufzubewahren sowie den Zeitpunkt der Übermittlung zu dokumentieren.

Ein Verstoß gegen Informationspflichten führt in der Regel nicht dazu, dass die Datenverarbeitung unzulässig wird. Allerdings sind die Verstöße bußgeldbewährt.

Art. 15 DSGVO - Erfüllung der Auskunftsersuchen
Jede Person, deren Daten verarbeitet werden, hat das Recht, unentgeltlich binnen eines Monats (Fristverlängerung um max. zwei Monate möglich) von der verantwortlichen Stelle Auskunft darüber zu erhalten, welche Daten über sie verarbeitet werden. Wichtig hierbei ist, dass ein Auskunftsanspruch nicht uneingeschränkt besteht. Würde eine Auskunft z. B. Rechte Dritter, ein Geschäftsgeheimnis oder ein Urheberrecht beeinträchtigen, so ist ein Verantwortlicher nicht verpflichtet, die Auskunft insoweit zu erteilen. Generell empfiehlt es sich, Umfang und Grenzen von Auskunftsansprüchen zu kennen und intern entsprechende Festlegungen (z. B. wer darf Auskunftsansprüche bearbeiten, Mitarbeiter schulen und festlegen, was als Geschäftsgeheimnis anzusehen ist) zu treffen. Denn jede Person kann von einer datenverarbeitenden Stelle, wenn diese die Identität eines Antragstellers geprüft hat, in den Varianten „schriftlich“, „Kopie der Daten“ bzw. „elektronisch bei elektronischer Antragstellung“ folgende Auskünfte über sich verlangen:

  • ob Daten zu seiner Person verarbeitet werden
  • die Verarbeitungszwecke und Datenkategorien
  • Empfänger(-kategorien)
  • Information über das Beschwerderecht bei der Datenschutzaufsichtsbehörde
  • Herkunft der Daten, soweit diese nicht beim Betroffenen selbst, sondern bei Dritten erhoben worden sind
  • bei automatisierten Entscheidungen/Profiling: Über die implementierte Logik und die Tragweite/Auswirkungen dieser Verarbeitung für/auf den Betroffenen
  • Unterrichtung über geeignete Garantien bei Drittlandtransfers (z. B. Standardvertragsklauseln, gesichertes Drittland)

Art. 16 DSGVO - Erfüllung des Rechts auf Berichtigung
Verantwortliche haben unrichtige Angaben über eine Person auf deren Verlangen unverzüglich zu berichtigen und unvollständige Angaben zu ergänzen.

Art. 17 DSGVO - Erfüllung des Rechts auf Löschung
Sind Angaben über eine Person für eine Verarbeitung nicht mehr notwendig, so hat der Verantwortliche diese unverzüglich zu löschen. Dies gilt auch, wenn ein Betroffener aus diesem Grund die Löschung seiner Daten fordert. Betroffene können verlangen, dass Verantwortliche ihnen bestätigen, dass diese die Daten antragsgemäß gelöscht haben. Sie sind jedoch nicht verpflichtet zu dokumentieren, welche Daten wann gelöscht worden sind. Allerdings sollten sie ein Löschkonzept (Dokumentation) haben und darin festlegen, wie lange bestimmte Daten aufgrund gesetzlicher bzw. unternehmensinterner Vorgabe aufbewahrt werden müssen.

Wer Angaben über eine Person (im Internet) veröffentlicht, sollte festhalten, an wen er welche Daten zur Veröffentlichung weitergegeben hat. Denn verantwortliche Stellen müssen angemessene Maßnahmen ergreifen, um zu gewährleisten, dass sie diejenigen, an die sie die Daten über eine Person weitergeben haben, darüber informieren können, dass diese Person eine Löschung aller Links, Kopien oder Replikationen verlangt. Um diesen Anspruch erfüllen zu können, haben sie unter Berücksichtigung angemessener Implementierungskosten eine entsprechende Technologie einzusetzen.

Art. 18 DSGVO - Erfüllung des Rechts auf Einschränkung der Verarbeitung
Betroffene haben das Recht, hinsichtlich ihrer Daten eine eingeschränkte Verarbeitung zu
verlangen, falls

  • Betroffene deren Richtigkeit bestreiten oder
  • die Daten ohne Rechtsgrundlage verarbeitet werden und ein Verantwortlicher eine Löschung ablehnt oder
  • die Daten zwar nicht mehr für den ursprünglichen Verarbeitungszweck, jedoch zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen benötigt werden oder
  • bei einem Widerspruch des Betroffenen gegen eine Datenverarbeitung, der gestützt wird entweder auf ein überwiegendes öffentliches bzw. berechtigtes (z. B. bei Profiling) Interesse oder auf die Ausübung öffentlicher Gewalt, die einer verantwortlichen Stelle übertragen worden ist. 

Eine Einschränkung der Verarbeitung bleibt bestehen, bis nachgeprüft ist und feststeht, ob ein Verantwortlicher die Daten rechtmäßig verarbeitet, weil er berechtigte Gründe hierfür geltend machen kann und diese diejenigen überwiegen, die der Betroffenen vorträgt.

Eine Einschränkung der Verarbeitung hat zur Folge, dass Verantwortliche derartige Daten zwar speichern, jedoch nur noch sehr eingeschränkt weiterhin verwenden dürfen, das heißt entweder nur mit der Einwilligung der Betroffenen oder zur Durchsetzung von Rechtsansprüchen oder bei Vorliegen eines wichtigen Interesses der Union oder eines Mitgliedstaates. Verlangt ein Betroffener dies, so hat ein Verantwortlicher ihn auch darüber zu informieren, dass er eine Einschränkung einer Verarbeitung aufhebt. Auch dies sollte dokumentiert werden.

Art. 19 DSGVO - Mitteilungspflicht an Dritte
Betroffene können verlangen, dass Verantwortliche allen, denen gegenüber sie Daten über diese Person (z. B. im Internet) offengelegt haben, jede Berichtigung, Löschung oder Einschränkung dieser personenbezogenen Daten mitteilen. Möchte ein Betroffener dies wissen, so hat der Verantwortliche ihm zudem die Empfänger der Daten zu nennen. Eine Mitteilungspflicht entfällt, falls sich dies als unmöglich oder als mit einem unverhältnismäßigen Aufwand verbunden erweist (Empfehlung: Gründe hierfür festhalten). Um dieses Betroffenenrecht erfüllen zu können, ist eine Dokumentation derartiger Empfänger unerlässlich.

Art. 20 DSGVO- Erfüllung des Rechts auf Datenübertragung (Datenportabilität)
Die DSGVO führt neu das Recht auf Datenübertragbarkeit ein. Dieses Recht gilt allerdings nicht uneingeschränkt. Vielmehr umfasst es nur diejenigen personenbezogenen Daten, die eine Person einem Verantwortlichen bereitgestellt hat

  • im Zusammenhang mit der Abgabe einer Einwilligung oder dem Abschluss eines Vertrags und
  • sofern die Datenverarbeitung automatisiert, das heißt IT-gestützt, erfolgt ist und
  • soweit Rechte Dritter hierdurch nicht beeinträchtigt werden.

Verantwortliche sollten Umfang und Grenzen dieses Rechts kennen. Dieses bezieht sich ausschließlich auf sog. „bereit gestellte“ und damit auf solche Daten, die vom Betroffenen selbst stammen. Diese sind ihm auf Verlangen in einem strukturierten, gängigen und maschinenlesbaren Format zu übermitteln. Besteht dieses Recht, kann ein Betroffener fordern, dass ein Verantwortlicher seine Daten direkt an einen anderen Verantwortlichen übermittelt, soweit dies technisch machbar ist. „Soweit technisch machbar“ bedeutet, dass Verantwortliche bereits über entsprechende Einrichtungen verfügen, diese aber nicht neu implementieren müssen, um das Recht auf Datenportabilität erfüllen zu können.nUm diesem Betroffenenrecht nachkommen zu können, sollten Verantwortliche ermitteln, welche Datensätze von diesem Recht betroffen sein könnten.

Art. 7 Abs. 3, Art. 13 Abs. 2, Art. 14 Abs. 2d DSGVO – Widerruf einer Einwilligung
Ein Betroffener kann eine Einwilligung jederzeit widerrufen. Der Widerruf sollte hierbei so einfach wie die Einwilligung sein. Wichtig ist, dass Verantwortliche durch entsprechende Dokumentation (z. B. durch eine schriftlich abgegebene Einwilligung) nachweisen können, dass sie Betroffene bei der Erhebung der Einwilligung darüber informiert haben, dass sie die Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen können.

Art. 21 DSGVO - Ausübung des Widerspruchsrechts
Betroffene können jederzeit einer Verarbeitung ihrer Daten widersprechen, die Verantwortliche auf die Rechtsgrundlagen „überwiegende öffentliche Interessen“, „berechtigte Interessen“ oder auf die „Ausübung öffentlicher Gewalt, die einem Verantwortlichen übertragen worden ist“, stützen und zwar auch dann, soweit ein Profiling hierauf gestützt wird. Der Rechtsanspruch besteht nicht, falls Verantwortliche zwingende schutzwürdige Gründe nachweisen können, die die Interessen des Betroffenen überwiegen, oder die Daten für die Durchsetzung von Rechtsansprüchen noch benötigt werden. Die Gründe für die Ablehnung eines Widerspruchsrechts sollten Verantwortliche dokumentieren, um diese bei Bedarf nachweisen zu können.

Einer Direktwerbung mit seinen Daten (einschließlich einem hierauf gestützten Profiling) kann ein Betroffener ebenfalls jederzeit widersprechen. Ein Widerspruch bewirkt, dass seine Daten nicht mehr verwendet werden dürfen, um ihn mittels Werbung direkt anzusprechen.

Verantwortliche sollten diejenigen Sachverhalte ermitteln, in denen Betroffenen ein derartiges Widerrufsrecht zusteht. Ferner sollten sie nachweisen können, dass sie Betroffene – und dies spätestens bei der ersten Kommunikation – auf ein Widerspruchsrecht hingewiesen haben. Dieser Hinweis hat in einer verständlichen und von anderen Informationen getrennten Form zu erfolgen.

Art. 24 DSGVO - technisch-organisatorische Maßnahmen
Verantwortliche sind verpflichtet, geeignete technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten einzusetzen, um sicherzustellen und nachweisen zu können, dass sie die Vorgaben der DSGVO einhalten. Bei der Festlegung von Maßnahmen sind Art, Umfang, Umstände, die Verarbeitungszwecke ebenso wie unterschiedliche Eintrittswahrscheinlichkeiten und die Schwere der Risiken zu berücksichtigen. Der Nachweis erfolgt über eine entsprechende Beschreibung dieser Maßnahmen z. B. in einem Vertrag über Auftragsverarbeitung und/oder im sog. Verzeichnis für Verarbeitungstätigkeiten. Können Verantwortliche im Zusammenhang mit der Verarbeitung auf genehmigte Verhaltensregeln oder auf genehmigte Zertifizierungen zurückgreifen, so können diese herangezogen werden, um die Umsetzung dieser Verpflichtung nachzuweisen. Dieser Punkt sollte bei einer Dokumentation berücksichtigt werden.

Vertragsmanagement
Verantwortliche sollten über ein Vertragsmanagement ihre Verträge verwalten. Dies ermöglicht eine Übersicht über beauftragte Dienstleister. Datenschutzbeauftragte sollten prüfen und festhalten, welche Verträge datenschutzrelevant sind, um welche Art von Datenschutzverträgen (z. B. Joint Controllership oder Vertrag über Auftragsverarbeitung) es sich hierbei handelt sowie ob und in welchen Punkten diese Verträge an die DSGVO angepasst werden müssen.

Art. 26 DSGVO – Gemeinsame Verantwortliche (Joint Controllership)
Bei einem sog. Joint Controllership sind mehrere verantwortliche Stellen gemeinsam für eine Verarbeitung personenbezogener Daten verantwortlich, weil sie Mittel und Zwecke der Verarbeitung gemeinsam (nicht notwendigerweise in gleichem Umfang!) festlegen können. Die DSGVO schreibt vor, dass gemeinsame Verantwortliche in einer Vereinbarung

  • festlegen müssen, wer bezogen auf die Wahrnehmung von Rechten Betroffener welche Pflichten (z. B. Informationspflicht) übernimmt, soweit Unionsrecht oder nationales Recht dies nicht festlegen
  • eine Anlaufstelle für Betroffene angeben können und
  • ferner wesentliche Punkte der Vereinbarung (z. B. die tatsächlichen Funktionen und Beziehungen der gemeinsamen Verantwortlichen) den Betroffenen zur Verfügung zu stellen haben.

Diese Festlegungen wirken jedoch verbindlich nur im Innenverhältnis zwischen den gemeinsam Verantwortlichen, so z. B. wenn nachgewiesen werden muss, dass ein gemeinsamer Verantwortlicher seine vertraglich übernommenen Pflichten auch tatsächlich erfüllt hat. Unabhängig von getroffenen Vereinbarungen haben Betroffene das Recht, ihre Rechte gegenüber jedem einzelnen der Verantwortlichen geltend zu machen. Gemeinsam Verantwortliche sollten eine Haftungsklausel in den Vertrag aufnehmen und hierin festlegen, wer im Innen-verhältnis für welche Datenvorfälle haftet. Betroffene können frei wählen, welcher der gemeinsam Verantwortlichen ihnen gegenüber haften soll.

Art. 28 DSGVO – Vereinbarung über eine Auftragsverarbeitung (ADV)
Eine Vereinbarung über eine Auftragsverarbeitung ist abzuschließen, wenn eine verantwortliche Stelle einen Dienstleister (sog. „Auftragsverarbeiter“) beauftragt, personenbezogene Daten ausschließlich nach ihrer Weisung und nur zum Zwecke der Vertragserfüllung zu verarbeiten. Verantwortliche sollten hierbei in der Lage sein, gegenüber einer Datenschutzaufsichtsbehörde Folgendes darlegen zu können:

  • dass der Auftragsverarbeiter die Anforderungen der DSGVO erfüllen kann und er insoweit hinreichende Garantien bietet, insbesondere die Sicherheit der Datenverarbeitung über geeignete technische und organisatorische Maßnahmen und angemessene Schutzmaßnahmen gewährleisten kann,
  • dass eine Beauftragung von Unterauftragnehmern ausschließlich mit vorheriger gesonderter oder allgemeiner schriftlicher Genehmigung des Verantwortlichen erfolgt, und
  • dass die ADV den gesetzlich vorgeschriebenen Mindestinhalt enthält.

Art. 5 Abs. 1f, Art. 29, Art. 32 Abs. 4 DSGVO – Beschäftigte als Weisungsempfänger, Verpflichtung zur Vertraulichkeit

Die DSGVO regelt, dass Beschäftigte personenbezogene Daten nur auf Anweisung des Verantwortlichen verarbeiten dürfen. Diese sind verpflichtet, ihre Mitarbeiter entsprechend anzuhalten. Insoweit sollten Verantwortliche notwendige interne Datenschutzregelungen (Betriebsvereinbarungen, Dienstanweisungen) erstellen und die Mitarbeiter in diesen Fragen entsprechend informieren und schulen. Interne Datenschutzregelungen sowie sonstige Anweisungen zum Datenschutz sollten dokumentiert und regelmäßig auf Änderungsbedarf geprüft werden.

Private Arbeitgeber sind nach der DSGVO nicht mehr ausdrücklich verpflichtet, ihre Mitarbeiter auf das Datengeheimnis zu verpflichten. Jedoch haben Verantwortliche aufgrund ihrer Organisationspflicht Beschäftigte zur Vertraulichkeit anzuweisen, idealerweise über eine Verpflichtung zur Vertraulichkeit und ggf. zur Wahrung sonstiger Berufsgeheimnisse. Ferner sollten Mitarbeiter stets auf die Verschwiegenheit über Betriebs- und Geschäftsgeheimnisse verpflichtet werden.

Auftragsverarbeiter haben zu gewährleisten und nachzuweisen, dass sie ihre Mitarbeiter zur Vertraulichkeit verpflichtet haben.

Beschäftigte sollten ferner Kenntnis davon haben, dass sie für eine unbefugte Verarbeitung personenbezogener Daten einstehen müssen. Je nach Sachverhalt kann diese u. U. als Ordnungswidrigkeit oder als Straftat verfolgt werden, arbeitsrechtliche Folgen (Abmahnung, Kündigung) haben und eine Haftung sowohl der Betroffenen als auch dem Arbeitgeber gegenüber bewirken.

Art. 30 DSGVO – Verzeichnis von Verarbeitungstätigkeiten
Die DSGVO verpflichtet Verantwortliche, ein Verzeichnis von Verarbeitungstätigkeiten zu führen. Dieses enthält für jede Anwendung die wesentlichen Informationen. Die Datenschutzaufsichtsbehörden werden entsprechende Mustervorlagen veröffentlichen. Neu führt die DSGVO die Pflicht ein, dass auch Auftragsverarbeiter ein Verzeichnis zu allen Kategorien von Tätigkeiten führen müssen, die sie im Auftrag eines Verantwortlichen verarbeiten.

Art. 32 DSGVO – Sicherheit der Verarbeitung
Verantwortliche und Auftragsverarbeiter sind verpflichtet zu eruieren, welche Risiken eine Verarbeitung personenbezogener Daten für Betroffene hat (Risikoanalyse). Hierauf gestützt haben sie über geeignete technische und organisatorische Maßnahmen ein angemessenes technisches Schutzniveau für personenbezogene Daten zu gewährleisten. Der hiermit verbundene Dokumentations- und Überarbeitungsaufwand kann vielfach reduziert werden durch eine zweigeteilte Dokumentation, dass heißt eine „Standard“-Variante, die für alle oder bestimmte Gruppen gilt, und eine ergänzende Dokumentation verfahrensspezifischer Maßnahmen. Die Dokumentation sollte umfassen, dass zum einen bei der Festlegung der Schutzmaßnahmen der Stand der Technik, Implementierungskosten sowie Art, Umfang, Umstände und Zwecke der Verarbeitung sowie zum anderen die unterschiedlichen Eintrittswahrscheinlichkeiten und die Schwere des Risikos für von der Datenverarbeitung Betroffene berücksichtigt worden sind.

Angemessene Sicherheit personenbezogener Daten ist hierbei zu gewährleisten vor:

  • unbefugter oder unrechtmäßiger Verarbeitung und
  • vor unbeabsichtigtem Verlust/Zerstörung/Schädigung.

Dementsprechend sollten die Maßnahmen und ihre Dokumentation Folgendes umfassen:
ob eine Anwendung eine Pseudonymisierung und/oder Verschlüsselung personenbezogener
Daten ermöglicht,

  • die Fähigkeit einer Anwendung und die ergriffenen Maßnahmen, um die Vertraulichkeit, Integrität, Verfügbarkeit und Belastung der Systeme und Dienste sicherzustellen,
  • die Fähigkeit einer Anwendung und die ergriffenen Maßnahmen, um die Verfügbarkeit und den Zugang zu den Daten nach einem Zwischenfall wiederherzustellen,
  • ein Verfahren, um regelmäßig überprüfen, bewerten und evaluieren zu können, ob getroffene Schutzmaßnahmen noch wirksam sind (Prüfroutinen).

Datenpannen und Meldepflichten
Verantwortliche sollten Vorkehrungen (Notfall-Management) treffen, um auf Datenpannen sachgemäß reagieren zu können. Sie müssen insoweit bestehende Melde- und Informationspflichten kennen. Ferner sollten sie einen Prozess etablieren und so sicherstellen, dass Mitarbeiter Datenpannen erkennen und über entsprechende Vorfälle den Datenschutzbeauftragten und/oder die Geschäftsleitung informieren, so dass geprüft werden kann, ob eine Meldepflicht besteht und weitere Schritte veranlasst werden können. Festgelegt werden muss auch, wer in einer verantwortlichen Stelle zu dem Team gehört, das intern Datenpannen prüft und bearbeitet.

Art. 33 DSGVO - Meldung von Datenverletzungen
Ein Verantwortlicher hat jede Datenverletzung binnen 72 Stunden der zuständigen Datenschutzaufsichtsbehörde zu melden. Die Datenschutzaufsichtsbehörden werden für die Meldung von Datenpannen ein Online-Tool bereitstellen, das Verantwortliche in derartigen Fällen verwenden müssen.

Eine Meldepflicht entfällt, wenn die Datenverletzung voraussichtlich nicht zu einem Risiko für Betroffene führt (z. B. weil die Daten auf dem als verloren gemeldeten iPad sicher nach dem Stand der Technik verschlüsselt sind).

Die DSGVO verpflichtet Verantwortliche, jede Datenverletzung zu dokumentieren und hierbei alle Fakten, Auswirkungen und ergriffene Abhilfemaßnahmen festzuhalten.

Stellt ein Auftragsverarbeiter eine Datenpanne fest, so hat er diese unverzüglich dem Verantwortlichen zu melden.

Art. 34 DSGVO - Meldung von Datenverletzungen an Betroffenen
Der Verantwortliche hat Betroffene unverzüglich in klarer und einfacher Sprache zu benachrichtigen, falls eine Datenpanne ein hohes Risiko für diese zur Folge hätte und dieses hohe Risiko nicht durch geeignete technische und organisatorische Maßnahmen aller Wahrscheinlichkeit nach ausgeschlossen werden kann . Eine Benachrichtigung Betroffener entfällt, falls dies mit einem unverhältnismäßigen Aufwand verbunden wäre. In diesen Fällen hat ein Verantwortlicher (anstelle einer individuellen Benachrichtigung) Betroffene über eine öffentliche Bekanntmachung der Datenpanne oder eine vergleichbar wirksame Maßnahme zu informieren.

Art. 35 DSGVO - Datenschutz-Folgenabschätzung
Für jede Verarbeitung personenbezogener Daten ist zu ermitteln, welches Risiko für die Rechte Betroffener damit verbunden ist (Risikobewertung). Dies ist zu dokumentieren. Stellt ein Verantwortlicher fest, dass die beabsichtigte Datenverarbeitung ein hohes Risiko für die Person zur Folge hätte, deren Daten verarbeitet werden sollen, und kann dieses hohe Risiko nicht minimiert werden, so hat ein Verantwortlicher eine sog. „Datenschutz-Folgenabschätzung“ durchzuführen. Kann das als Ergebnis festgestellte hohe Risiko nicht durch technische und/oder organisatorische Maßnahmen zum Schutz der Daten minimiert werden, ist dies zu dokumentieren und die Aufsicht vorab, dass heißt vor einem Einsatz, zu konsultieren. Dies hat ferner zu erfolgen bei allen Verarbeitungen, die Datenschutzaufsichtsbehörden als hoch risikoreich einstufen und deshalb demnächst von der Datenschutzbehörde in einer sog. „Blacklist“ veröffentlichen werden.

Art. 36 DSGVO - vorherige Konsultation der Aufsicht
Diese ist immer dann erforderlich, wenn eine Datenschutz-Folgenabschätzung zu dem Ergebnis kommt, dass die Datenverarbeitung ein hohes Risiko für Betroffene bedeuten würde. Bei einer Vorabkonsultation hat ein Verantwortlicher der Aufsicht alle gesetzlich vorgeschriebenen Informationen zur Verfügung zu stellen.

Art. 37 DSGVO - Benennung eines betrieblichen/behördlichen Datenschutzbeauftragten
Sowohl im Falle einer Bestellpflicht als auch bei einer freiwilligen Bestellung eines Datenschutzbeauftragten sollte diese aus Nachweisgründen schriftlich erfolgen. Eine verantwortliche Stelle sollte in der Bestellurkunde festhalten, welche Aufgaben, die ihr nach der DSGVO obliegen, sie auf den Datenschutzbeauftragten überträgt (wie z. B. die Führung eines Verzeichnisses für Verarbeitungstätigkeiten). Eine derartige Aufgabenübertragung stellt eine Zuständigkeitszuweisung im Innenverhältnis dar. Im Außenverhältnis verbleibt die Verantwortung hierfür bei der verantwortlichen Stelle.

Art. 40 DSGVO - Verhaltensregeln
Von dem Europäischen Datenschutzausschuss (europaweite Geltung) oder der zuständigen Datenschutzaufsicht (Geltung innerhalb eines Mitgliedstaates) genehmigte Verhaltensregeln können als Nachweis für die Einhaltung von Pflichten nach der DSGVO (z. B. im Rahmen von Auftragsverarbeitungen oder als Nachweis für die Gewährleistung der Sicherheit einer Verarbeitung) herangezogen werden. Eine entsprechende Dokumentation ist insoweit unerlässlich.

Art. 42 DSGVO- Zertifizierung
Von einer Datenschutzaufsicht genehmigte Zertifizierungen können ebenfalls als Nachweis für die Einhaltung von Pflichten nach der DSGVO herangezogen werden. Auch dies ist entsprechend zu dokumentieren.

Art. 47 DSGVO - verbindliche interne Datenschutzvorschriften
Von der zuständigen Datenschutzaufsichtsbehörde genehmigte sog. „verbindliche interne Datenschutzvorschriften“ stellen für eine konzerninterne Datenübermittlung in Drittländer eine Rechtsgrundlage dar. Ihr Vorliegen ist auf Verlangen nachzuweisen. Damit verbunden ist eine entsprechende Informationspflicht gegenüber Betroffenen.

Art. 49 Abs. 6 DSGVO – Ausnahmen für bestimmte Fälle/Übermittlungen personenbe-zogener Daten an Drittländer oder an internationale Organisationen
Im Verzeichnis für Verarbeitungstätigkeiten hat ein Verantwortlicher die von ihm vorgenommene Beurteilung sowie die angemessenen Garantien zu erfassen, die ausnahmsweise eine Datenübermittlung in ein Drittland gemäß Art. 49 Abs. 1 Satz 2 DSGVO rechtfertigen.

11. Privacy by design/Privacy by default

In Zeiten der Digitalisierung steigt die Menge erfasster Daten sowie datenverarbeitender Anwendungen stetig. Dies führt wiederum dazu, dass die Wahrung eines angemessenen Persönlichkeitsschutzes maßgeblich von der jeweiligen Technikgestaltung abhängt. Im Hinblick auf die Gestaltung von Systemen, angefangen von der Produktentwicklung bis hin zu ihrer Implementierung, wurden daher bereits in der Vergangenheit zunehmend die Ansätze Datenschutz durch Technik („privacy by design“) und datenschutzfreundliche Voreinstellungen („privacy by default“) thematisiert.

Mit dem Inkrafttreten der DSGVO im Mai 2016 haben diese Gestaltungsprinzipien nun auch ihren gesetzlichen Niederschlag gefunden (vgl. Art. 24, 25 DSGVO). Die Berücksichtigung von „privacy by design“ und „privacy by default“ ist damit kein Nice-to-have mehr. Vielmehr handelt es sich um eine explizite Anforderung an die Entwicklung und Implementierung von Produkten zur Verarbeitung personenbezogener Daten, mit dem Ziel, das Prinzip der Daten-vermeidung und Datensparsamkeit in Verarbeitungssystemen wirksam umzusetzen. Oder anders gesagt: Damit der Datenschutz nicht von der technischen Entwicklung abgehängt wird, sind Produkte/ Systeme frühzeitig um angemessene Datenschutzfunktionen zu ergänzen, so dass das Risiko datenschutzkritischer Entwicklungen, welche unmittelbar aus der Nutzung technischer Systeme resultieren, von vornherein verringert wird (z. B. durch frühzeitige Pseudonymisierung der Daten).

Empfehlungen, inwiefern, das heißt mit welchen Strategien Datenschutz im Wege von „privacy by design“ in Produkten und Systemen verankert werden kann, hat die Europäische Agentur für Netz- und Informationssicherheit (ENISA) im Hinblick auf die DSGVO bereits in einem Bericht vom Dezember 2014 veröffentlicht. Die Umsetzungsmöglichkeiten spiegeln sich dabei in den folgenden acht Strategien wider:

  • MINIMISE: Bei diesem Punkt geht es um die Forderung nach Datensparsamkeit. Es sollen also keine oder zumindest keine unnötigen personenbezogenen Daten gesammelt und ihre Verarbeitung auf ein Minimum beschränkt werden. Wichtig ist daher also immer die Beantwortung der Frage, ob die Verarbeitung personenbezogener Daten zur Erreichung des jeweiligen Zwecks erforderlich ist oder ob dieser nicht auch auf anderem Weg erreicht werden kann.
  • HIDE: Der Grundgedanke dieser Strategie ist es, einem Missbrauch personenbezogener Daten in der Form entgegen zu wirken, dass diese schlicht nicht mehr zur Kenntnis genommen werden können. Ziel ist dabei die Schaffung von Unverfolgbarkeit, Unbeobachtbarkeit sowie Unverknüpfbarkeit. An dieser Stelle spielen also beispielsweise die Pseudonymisierung und Anonymisierung personenbezogener Daten eine entscheidende Rolle.
  • SEPARATE: Diese Empfehlung bezieht sich auf eine verteilte Datenhaltung, sprich Daten zu einer Person sollen möglichst an verschiedenen Orten gespeichert und verarbeitet werden. So kann die Erstellung umfassender Profile verhindert werden.
  • AGGREGATE: An dieser Stelle geht es darum, dass personenbezogene Daten so früh wie möglich zu Gruppen zusammengefasst werden sollten. Die Rückschlussmöglichkeiten auf einzelne Personen können so minimiert bzw. gänzlich ausgeschlossen werden.
  • INFORM: Dieser Punkt spiegelt den datenschutzrechtlichen Grundsatz der „Transparenz“ wider. Wenn Personen ein System verwenden, so sollen sie darüber informiert werden, welche Daten über sie gesammelt werden, zu welchem Zweck und mit welchen Technologien. Auch sind sie darüber zu informieren, wie die Daten geschützt werden und ob eine Datenweitergabe an Dritte erfolgt. Ferner ist von Bedeutung, dass sie über ihre Datenzugriffsrechte informiert werden und wie sie diese ausüben können.
  • CONTROL: Hier geht es um den Aspekt, dass Personen die Kontrolle über diejenigen Daten behalten sollen, welche über sie gesammelt werden. Faktoren wie z. B. die Bearbeitung von Datenschutzeinstellungen über Benutzeroberflächen sowie eine insgesamt benutzerzentrierte Gestaltung spielen dabei eine maßgebliche Rolle.
  • ENFORCE: Es sollte eine den rechtlichen Anforderungen entsprechende Datenschutzrichtlinie, sprich ein Regelwerk zum Schutz der Privatsphäre der betroffenen Personen vorhanden sein, die auch faktisch umgesetzt wird. Dies impliziert zumindest, dass geeignete technische Schutzmechanismen vorhanden sind, die Verletzungen der Daten verhindern.
  • DEMONSTRATE: Bei dieser Strategie geht es darum, den Nachweis darüber zu führen, wie datenschutzrechtliche Vorgaben effektiv in das IT-System implementiert worden sind. Diese Strategie geht damit also einen Schritt weiter als die ENFORCE-Strategie.

Wurden die datenschutzrechtlichen Anforderungen beim Erwerb von IT-Produkten sowie auch bei werkvertraglichen oder eigenen Individualentwicklungen bislang also eher vernachlässigt, so sind diese nun ausdrücklich zu berücksichtigen. Dies gilt umso mehr, da gegenüber der verantwortlichen Stelle nunmehr ein Bußgeld von bis zu 10.000.000,00 EUR verhängt werden kann (vgl. Art. 83 Abs. 4 a DS-GVO), wenn diese sich trotz der Existenz datenschutzkonformer Alternativen für den Einsatz datenschutzkritischer IT-Lösungen entscheidet.

12. Melde- und Benachrichtigungspflichten bei Datenschutzverletzungen

Nach der DSGVO unterliegen Unternehmen im Falle einer Verletzung des Schutzes personenbezogener Daten der Meldepflicht gegenüber der Aufsichtsbehörde gemäß Art. 33 DSGVO und der Benachrichtigungspflicht des Betroffenen gemäß Art. 34 DSGVO. Diesen Pflichten sind im Vergleich zu der bisher geltenden Regelung des § 42a BDSG umfangreicher.

a) Meldepflicht gegenüber Aufsichtsbehörde
Adressat der Regelung ist jeder Verantwortliche im Sinne der DSGVO. Dies ist jede natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die – allein oder gemeinsam – über die Zwecke und Mittel der Verarbeitung entscheidet. Innerhalb eines Unternehmensverbundes können auch mehrere als gemeinsam Verantwortliche kooperieren, sog. Joint Controllers. Liegt eine Auftragsverarbeitung vor, ist der Auftragsverarbeiter verpflichtet, den Verantwortlichen unverzüglich zu informieren. Dieser nimmt dann die Meldung an die Aufsichtsbehörde vor.

Grundsätzlich ist ein Unternehmen verpflichtet, jede Verletzung des Schutzes personenbezogener Daten an die zuständige Aufsichtsbehörde zu melden. Nach Art. 4 Nr. 12 DSGVO stellt jede Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden, eine meldepflichtige Verletzung dar.

Die Meldung ist unverzüglich und möglichst binnen 72 Stunden vorzunehmen. Kann die 72 Stunden-Frist nicht eingehalten werden, ist der Meldung eine Begründung für die Verzögerung beizufügen.
Eine Meldung kann ausnahmsweise unterbleiben, wenn die Datenschutzverletzung nicht zu einem Risiko für die Rechte und Freiheiten der betroffenen Personen führt.

Ein Risiko – und damit eine Meldepflicht – besteht nach Erwägungsgrund 75 der DSGVO immer bei solchen Verarbeitungen, die

  • zu physischem, materiellen oder immateriellen Schaden, Diskriminierung, Identitätsdiebstahl/-betrug, finanziellem Verlust, Rufschädigung, Vertraulichkeitsverlust von dem Berufsgeheimnis unterliegenden personenbezogenen Daten, unbefugter Aufhebung der Pseudonymisierung, erheblichen wirtschaftlichen oder gesellschaftlichen Nachteilen führen können,
  • betroffene Personen um Rechte und Freiheiten bringt oder diese an der Kontrolle personenbezogener Daten hindert,
  • die rassische oder ethnische Herkunft, politische Meinung, religiöse oder weltanschauliche Überzeugungen, Gewerkschaftszugehörigkeit, genetische Daten, Gesundheitsdaten, Angaben zum Sexualleben oder strafrechtliche Verurteilungen betreffen,
  • die Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persönliche Vorlieben, Zuverlässigkeit, Verhalten, Aufenthaltsort oder den Ortswechsel betreffen, analysieren oder prognostizieren zwecks Profilings,
  • personenbezogene Daten schutzbedürftiger Personen, insbesondere Kinder, betreffen oder
  • große Mengen personenbezogener Daten und eine große Anzahl von betroffenen Personen betreffen.

Die Meldung an die Aufsichtsbehörde muss mindestens die Beschreibung der Art der Verletzung, die Angabe von Kategorien und ungefährer Zahl der Betroffenen und der Datensätze enthalten. Außerdem ist Name und Kontakt des Datenschutzbeauftragten zu benennen. Abschließend hat eine Beschreibung der wahrscheinlichen Folgen der Datenschutzverletzung sowie der von dem Verantwortlichen ergriffenen und vorgeschlagenen Maßnahmen zur Behebung zu erfolgen.

b) Benachrichtigungspflicht gegenüber dem Betroffenen
Hat die Datenschutzverletzung voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten der betroffenen Person zur Folge, hat der Verantwortliche den Verstoß nicht wie dargestellt nur der zuständigen Aufsichtsbehörde zu melden, sondern muss darüber hinaus die betroffene Person ohne unangemessene Verzögerung benachrichtigen.

Eine Benachrichtigung muss nicht erfolgen, wenn

  • Risiken für die betroffene Person durch geeignete technische und organisatorische Sicherheitsvorkehrungen ausgeschlossen wurden oder
  • der Verantwortliche durch nachfolgende Maßnahmen sichergestellt hat, dass das hohe Risiko für Rechte und Freiheiten der betroffenen Person nicht mehr besteht oder
  • dies mit einem unverhältnismäßigen Aufwand verbunden wäre. In diesem Fall hat eine öffentliche Bekanntmachung o. ä. zu erfolgen.

Die Benachrichtigung muss Angaben über die Art der Verletzung, die wahrscheinlichen Folgen sowie die zur Behebung ergriffenen oder vorgeschlagenen Maßnahmen enthalten. Diese Angaben müssen in klarer und einfacher Sprach abgefasst werden. Darüber hinaus sind Name und Kontakt des Datenschutzbeauftragten zu nennen.

c) Verstoß gegen die Melde-/ oder Benachrichtigungspflicht
Die DSGVO sieht vor, dass bei einem Verstoß gegen die Pflichten aus Art. 33 und 34 DSGVO Bußgeldern von bis zu zwei Prozent des weltweit erzielten Jahresumsatzes des vorangegangen Geschäftsjahres verhängt werden können.

Hiervon trifft § 43 Abs. 4 BDSG-neu eine abweichende Regelung: Danach kann eine Meldung nach Art. 33 DSGVO oder eine Benachrichtigung nach 34 DSGVO in einem Ordnungswidrigkeitenverfahren gegen den Meldepflichtigen oder Benachrichtigenden nur mit dessen Zustimmung verwendet werden. Ob diese Abweichung im nationalen Recht zukünftig Bestand haben wird, bleibt abzuwarten. Über die Vereinbarkeit der Ausnahme mit Europarecht besteht aktuell Uneinigkeit. Letztendlich werden wohl die Gerichte hierüber entscheiden. Es empfiehlt sich daher aus Unternehmersicht, sich an den Anforderungen der DSGVO zu orientieren und die weitere Entwicklung aufmerksam zu beobachten.

13. Durchführung einer Datenschutz-Folgenabschätzung

Die DSGVO regelt die Rahmenbedingungen für Datenschutz und Datensicherheit. Hierbei führt sie für die Verarbeitung von personenbezogenen Daten einen risikobasierten Ansatz ein. Dies bedeutet: Je risikoreicher und schadensgeneigter eine Verarbeitung von Daten für Betroffene sein kann, umso höhere Anforderungen stellt die DSGVO an die Anwendung, Art. 24, 32 DSGVO. Immer dann, wenn eine Datenverarbeitung für die Rechte und Freiheiten einer Person ein hohes oder ein sehr hohes Risiko zur Folge hat, hat der Verantwortliche vor deren Einführung eine sog. Datenschutz-Folgenabschätzung (DSFA) vorzunehmen und zu ermitteln, welche Folgen eine geplante Verarbeitung für den Schutz der Daten Betroffener hätte. Über das Instrumentarium der DSFA sollen Risiken beschrieben, bewertet und reduziert werden. Lässt sich ein (sehr) hohes Risiko nicht durch angemessene technische und/oder organisatorische Maßnahmen reduzieren, ist für den Einsatz der Anwendung vorab eine Genehmigung der zuständigen Datenschutzaufsichtsbehörde einzuholen. Eine DSFA ist zu überprüfen und anzupassen, sollten neue Risiken hinzukommen, die bereits behandelte Risiken ändern oder wesentlich erschweren. Über Prüfroutinen kann sicher¬gestellt werden, dass eine DSFA noch aktuell ist.

Behandlung bereits vorhandener Datenverarbeitungen
Für diese gibt es keinen Bestandsschutz, das heißt eine DSFA ist durchzuführen, wenn die Voraussetzungen hierfür vorliegen oder neue Risiken zu einer entsprechenden Wertung führen. Gestützt auf Erwägungsgrund 171 der DSGVO sehen die Leitlinien zu DSFA der Art.-29-Datenschutzgruppe (Stand: 04. Oktober 2017) vor, dass eine DSFA nicht durchzuführen ist, wenn eine Datenschutzaufsicht oder ein Datenschutzbeauftragter eine Datenverarbeitung im Wege einer sog. „Vorabkontrolle“ vorab geprüft hat. Derartige Prüfentscheidungen bleiben in Kraft, bis diese geändert, ersetzt oder aufgehoben sind.

Vorgehensweise

  • Für jede Verarbeitung ist mittels einer systematischen Risikobewertung (sog. „Schwellenwertanalyse“) zu klären, ob eine Datenschutz-Folgenabschätzung durchgeführt werden muss. Das Ergebnis ist zu dokumentieren (z. B. bei der Beschreibung der Verarbeitung im sog. Verzeichnis von Verarbeitungstätigkeiten).
  • Für mehrere ähnliche Verarbeitungsvorgänge (umfasst alle Daten, Systeme [Hard- und Software] und Prozesse) reicht eine Abschätzung, sofern diese ein ähnlich hohes Risiko haben.
  • Vorstufe einer Risikobewertung ist eine Schutzbedarfsfeststellung der zu verarbeitenden personenbezogenen Daten anhand der Datenarten (Kundendaten, Mitarbeiterdaten, Steuerdaten, Gesundheitsdaten etc.):

Schutzbedarfskategorien – Schadensschwere

Schutzbedarf Klasse Erläuterungen Beeinträchtigungen
 des Persönlichkeitsrechts 		Beispiele

Normal (Gering oder mittel)

1

Wäre für Betroffene als tolerabel einzustufen. Ein möglicher Datenmissbrauch hätte nur geringfügige Auswirkungen (wirtschaftslich/ gesellschaftlich) für Betroffene
  • Nicht zur Veröffentlichung bestimmte Daten
  • Geringfüige Schäden bei Veröffentlichung/ Verfälschung
Gering: Öffentliche Register, Anschrift, Kontaktdaten

Mittel:
Daten über Geschäfts und Vertragsbeziehungen, Kontostände, Prüfungsergebnisse, Personaldaten (soweit nicht Stufe 2) Kreditauskünfte

hoch

2

Wäre für Betroffene als erheblich einzustufen. Ein möglicher Datenmissbrauch hätte erhebliche Auswirkungen (wirtschaftlich/ gesellschaftspolitisch ggf. Beeinträchtigung der persönlichen Unversehrheit) für Betroffene.
  • Sensible Daten
  • Hohe Folgeschäden bei Veröffentlichung/ Verfälschung

Steuerdaten, strafbare Handlungen; Daten, die einem Berufs- Geschäfts, Fernmelde- oder Mandatengeheimnis unterliegen; Personaldaten (soweit nicht Stufe 1) wie z. B. Beurteilungen, berufliche Laufbahn, Angaben über Behinderung etc.

sehr hoch

3

Wäre für Betroffene als besonders bedeutsam und als nicht tolerabel einzustufen. Ein möglicher Datenmissbrauch bedeutet für Betroffene wirtschaftlichen/ gesellschaftspolitischen Ruin oder beeinträchtigt die persönliche Unversehrheit gravierend.
  • Hochsensible Daten
  • Veröffentlichung/ Verfälschung verletzt Persönlichkeitsrechte, verursacht Schaden an Leib und Leben oder Ansehen der Betroffenen

Adressen von polizeilichen V-Leuten, Adressen von Zeugen in bestimmten Strafverfahren

Bestandteile einer Datenschutz-Folgenabschätzung

1. Risikobewertung  
Das Datenschutzrisiko für den Betroffenen, dessen Daten verarbeitet werden (nicht ein
Schadensrisiko für das Unternehmen), ist anhand objektiver Kriterien (Art, Umfang, Umstände und Zwecke einer Verarbeitung) zu bestimmen

  • nach der Eintrittswahrscheinlichkeit (zu berücksichtigen ist hier auch die Risiko-Quelle, also der Angreifer und ein durch diesen zu verursachender Schaden)
  • nach der Schwere des Schadens

In    einer    Skalierung
a)    vernachlässigbar/begrenzt ◌ (normal)
b)    wesentlich    ◌    (hoch)
c)    maximal    ◌ (sehr hoch)
Eine Datenschutz-Folgenabschätzung ist nur durchzuführen, wenn eine Risikobewertung ergibt, dass eine Datenverarbeitung ein hohes oder sehr hohes Risiko (in der Skalierung: ausschließlich die gelben und roten Felder) für die Betroffenen, deren Daten verarbeitet werden, zur Folge hat.
Ergebnis: Hohes Risiko + Sehr hohes Risiko = Datenschutz-Folgenabschätzung

Verfahren zur Risikobestimmung

  • Hierfür gibt es keine einheitliche, gesetzlich vorgeschriebene Methode. Daher sollte eine Risikobestimmung nach einem gängigen Verfahren (Best Practice: CNIL, ISO) erfolgen wie z. B. nach dem Standard-
  • Datenschutzmodell oder dem Muster einer Datenschutzaufsicht.

Welche 3 gesetzlichen Regelungen gelten im Bereich der Datensicherung und des Datenschutzes?


    

Quelle: Bayerisches Landesamt für Datenschutzaufsicht

Praxis-Tipps:

  • EU-weit anerkannte Vorgehensmodelle zur Risikobestimmung einsetzen.
  • Das verwendete Vorgehensmodell muss das Verfahren gut dokumentieren (wichtiges
  • Kriterium für einen massenhaften Einsatz).
  • Maßnahmenkataloge (technisch-organisatorische Maßnahmen zur Verfügbarkeit,
  • Vertraulichkeit, Integrität und Belastbarkeit) zur Behandlung von Risiken sollten gut
  • dokumentiert und erprobt sein.
  • Jedoch gibt es einheitliche Kriterien für eine Risikobestimmung.

Die Art. 29-Datenschutzgruppe hat in den Leitlinien zur DSFA Kriterien festgelegt, anhand deren geprüft werden sollte, ob eine DSFA durchgeführt werden muss. Dies soll umso wahrscheinlicher sein, wenn mindestens zwei und mehr der nachfolgenden und als besonders riskant eingestuften Kriterien erfüllt sind:

  • Scoring und Evaluierung, inkl. Profilbildung und Vorhersagen
  • Automatisierte Entscheidungen mit rechtlicher oder im Gewicht vergleichbarer Wirkung
  • systematische Beobachtung (z. B. von Arbeitsräumen)
  • Sensible Daten
  • Datenverarbeitung in großem Umfang
  • Datensätze, die abgeglichen oder kombiniert werden
  • Daten von besonders schutzbedürftigen Personen (z. B. Arbeitnehmer, Kinder)
  • Innovative Nutzung oder Verwendung von technologischen und organisatorischen Lösungen (z. B. eine Kombination aus Fingerabdruckscan und Gesichtserkennung)
  •  Betroffene können ein Recht oder eine Dienstleistung ohne vorgeschaltete Datenverarbeitung nicht in Anspruch nehmen (z. B.: Eine Bank verlangt die Durchleuchtung von Daten eines potenziellen Kreditkunden vor einer Entscheidung über einen Vertragsabschluss)

2. Schaden 

Eine Person kann durch eine Datenverarbeitung physische, materielle und immaterielle
Schäden erleiden. Bezogen auf die geplante Anwendung ist zu klären, welche Schäden aus
der Datenverarbeitung für Betroffene resultieren können.
Beispielhaft nennt die DSGVO hier

  • Diskriminierung
  • Identitätsdiebstahl
  • Rufschädigung
  • Finanzieller Verlust
  • Hinderung der Kontrolle über eigene Daten
  • Profilbildung mit Standortdaten

3. Risikominimierung 

Wer personenbezogene Daten verarbeiten will, ist verpflichtet, im Verhältnis zum Risiko nach dem Stand der Technik angemessene (nicht: neueste und teuerste) Maßnahmen zum Schutz der Daten zu ergreifen, diese regelmäßig, bei Bedarf sogar unverzüglich zu überprüfen und erforderlichenfalls upzudaten. In der Regel handelt es sich um eine Kombination aus

  • organisatorischen Maßnahmen (z. B. Datenschutzschulung von Mitarbeitern, interne Regelungen zum Datenschutz, Notfallkonzept) und
  • technischen Maßnahmen (z. B. Einsatz von Firewall und Virenscanner und deren zeitgemäßer Update, Verschlüsselung von Daten).

4. Nachweise hierüber erbringen (Dokumentation!)

Die Durchführung einer Datenschutz-Folgenabschätzung ist eine gesetzliche Pflicht. Deren Einhaltung müssen verantwortliche Stellen nachweisen. Der Nachweis ist Bestandteil der Rechenschaftspflicht. Diese verpflichtet verantwortliche Stellen, alle Vorgaben der DSGVO einzuhalten, wirksam umzusetzen, zu überprüfen und bei Bedarf nachzubessern.
Zu dokumentieren sind:

  • die Durchführung einer Risikobewertung,
  • das Ergebnis der Analyse (normales, hohes, sehr hohes Risiko) und
  • eine daraus ggf. abzuleitende DSFA
  • Ergebnis = keine DSFA, da
  • Whitelist

Datenschutzaufsichtsbehörden können (optional) eine Liste von Verarbeitungstätigkeiten (sog. Whitelist) veröffentlichen, die aus ihrer Sicht nie hochrisikobehaftet sind und damit keiner DSFA bedürfen.

Offen ist, ob die Datenschutzaufsichtsbehörden von dieser gesetzlichen Möglichkeit Gebrauch machen werden.

  • die Verarbeitungsvorgänge vor dem 25.  Mai 2017 von einer Datenschutzaufsichtsbehörde oder einem Datenschutzbeauftragten im Wege einer Vorabkontrolle geprüft worden sind.
  • die Verarbeitung eine gesetzliche Aufgabe nach Art. 6 Abs. 1 c DSGVO (Erfüllung einer rechtlichen Verpflichtung) oder Art. 6 Abs. 1 e DSGVO (Wahrnehmung einer Aufgabe im öffentlichen Interesse oder in Ausübung öffentlicher Gewalt) ist; eine allgemeine DSFA hierfür ist bereits bei Erlass der Rechtsgrundlage(z. B. Gewerberegister) vorgenommen worden, und der Mitgliedstaat hat die Durchführung einer DSFA für nicht notwendig erklärt.
  • kein hohes Risiko als Ergebnis der Prüfung.
  • Ergebnis 4 DSFA,
  • Blacklist: Datenschutzaufsichtsbehörden müssen eine sog. Blacklist veröffentlichen. Diese enthält Datenverarbeitungen, die aus Sicht der Datenschutzaufsicht generell ein hohes Risiko haben und daher stets (ohne weitere sonstige Prüfung) vor deren Einsatz eine Vorabkonsultation der Aufsicht erfordern.
  • Ergebnis der Risikobewertung: (sehr) hohes Risiko und eine Risikoreduzierung ist nicht möglich.

Führen geeignete technische und/oder organisatorische Maßnahmen dazu, dass für die Daten Betroffener ein (sehr) hohes Risiko in ein normales Risiko reduziert werden kann, ist keine Datenschutz-Folgenabschätzung durchzuführen. So muss ein hoher Schutzbedarf (z. B. biometrische Daten, Personalaktendaten) für sich allein nicht zwingend zu einem hohen Risiko führen, sondern nur dann, wenn gleichzeitig die Eintrittswahrscheinlichkeit für einen Vorfall hoch ist.
Mindestinhalt einer Datenschutz-Folgenabschätzung 

Diesen legt die DSGVO wie folgt fest

  • Systematische Beschreibung der Verarbeitungsvorgänge und Zwecke
  • Notwendigkeit und Verhältnismäßigkeit der Verarbeitung im Verhältnis zum Zweck der Verarbeitung
  • Risikobewertung (s. o.)
  • Geplante Abhilfemaßnahmen zur Bewältigung der Risiken

Verbleibt ein (sehr) hohes Restrisiko, bedeutet dies Folgendes:

  • Der Verantwortliche hat eine Datenschutz-Folgenabschätzung durchzuführen.
  • Ferner hat er vor einem Einsatz einer derartigen Datenverarbeitung die zuständige Datenschutzaufsichtsbehörde zu konsultieren und
  • deren Entscheidung (z. B. Einsatz nur nach Ergreifung weiterer Schutzmaßnahmen, Verbot der geplanten Verarbeitung) zu beachten.

Rolle des Datenschutzbeauftragten

Hat eine verantwortliche Stelle freiwillig oder aufgrund gesetzlicher Vorgabe einen betrieblichen Datenschutzbeauftragten bestellt, so legt die DSGVO bezogen auf Datenschutz-Folgenabschätzungen Folgendes fest:

  • Die verantwortliche Stelle hat den Rat des Datenschutzbeauftragten einzuholen.
  • Zu den Aufgaben eines Datenschutzbeauftragten gehört auf Anfrage die Beratung im Zusammenhang mit der Durchführung einer DSFA und die Überwachung ihrer Durchführung.

Prozessschritte einer DSFA

  1. DSFA-TEAM erstellen
  2. Prüfplanung
  3. Beurteilungsumfang festlegen z. B. a) Beschreibung des Verarbeitungsvorgangs & b) inkl. der Datenflüsse und Zwecke der Verarbeitung in Abgrenzung zu anderen (Geschäfts-)Prozessen
  4. Akteure und Betroffene identifizieren, dass heißt Datenschutzbeauftragten, Betriebsrat und ggf. Betroffene einbinden
  5. Prüfung der Notwendigkeit/Verhältnismäßigkeit bezogen auf den Verarbeitungszweck
  6. Rechtsgrundlagen für die Verarbeitung prüfen und dokumentieren
  7. Risikoquellen identifizieren (Beweggründe, Ziele, Eintrittswahrscheinlichkeit)
  8. Risikobewertung unter Berücksichtigung, a) möglicher physischer, materieller oder immaterieller Schäden, b) deren Schwere sowie, c) Eintrittswahrscheinlichkeit
  9. Auswahl geeigneter Abhilfemaßnahmen, a) unter anderem durch technische und organisatorische Maßnahmen (toMs) und b) verbleibende Restrisiken eruieren und dokumentieren
  10. DSFA-Bericht erstellen
  11. Abhilfemaßnahmen umsetzen
  12. Abhilfemaßnahmen auf Wirksamkeit testen
  13. Dokumentation von a) des DSFA-Berichts und b) der Überprüfung der Wirksamkeit der Maßnahmen
  14. Freigabe der Verarbeitungsvorgänge inkl. Überprüfung und Audit einer DSFA und deren Aktualisierung
  15. DSFA fortschreiben bei Aktualisierungsbedarf.

14. Beschäftigtendatenschutz

Die DSGVO trifft keine inhaltlichen Regelungen zum Datenschutz im Beschäftigungsverhältnis, sondern überlässt es dem nationalen Gesetzgeber, hierzu Vorschiften zu erlassen. Der deutsche Gesetzgeber hat das innerhalb der Änderung des BDSG mit § 26 BDSG-neu getan. Dieser lehnt sich weitgehend an den § 32 des noch geltenden BDSG an.

a) Rechtsgrundlagen

Die Geltung der Vorschriften der DSGVO und des BDSG setzt keine IT-gestützte Verarbeitung von Personaldaten voraus; sie gelten auch für in Papierform geführte Personalakten, § 26 Abs. 7 BDSG.
Die Datenverarbeitung ist zulässig, wenn sie zur Entscheidung über die Begründung eines Beschäftigungsverhältnisses (z. B. Bewerberdaten), für seine Durchführung oder Beendigung erforderlich ist. Dazu gehören Pflichten, die sich aus Gesetzen (z. B. Steuer- oder Sozialgesetze), aus Tarifverträgen sowie Betriebs- oder Dienstvereinbarungen ergeben.
Die Verarbeitung besonderer Kategorien von Daten (z. B. Religionszugehörigkeit, Gesundheitsdaten) ist nach Art. 9 Abs. 2 Buchstabe b) DSGVO, § 26 Abs. 3 BDSG zulässig.

b.) Begriff des Beschäftigten

Nach § 26 Abs. 8 BDSG umfasst der Begriff auch LeiharbeitnehmerInnen sowie Bewerber/-innen und ausgeschiedene Arbeitnehmer/-innen.

c) Einwilligung

Falls der Arbeitgeber für die Datenverarbeitung eine Einwilligung des Beschäftigten benötigt, muss sie nach § 26 Abs. 2 BDSG in Schriftform eingeholt werden. Die Freiwilligkeit der Einwilligung wird vermutet, wenn sich für den Arbeitnehmer ein rechtlicher oder wirtschaftlicher Vorteil ergibt (z. B. betriebliche Altersversorgung). Der Beschäftigte ist dabei auf die jederzeitige Widerrufsmöglichkeit seiner Einwilligung hinzuweisen. Insofern muss jedes Unternehmen überprüfen, ob bisherige Einwilligungen, die von den Beschäftigten eingeholt wurden, noch gültig sind. Die Anforderungen ergeben sich aus Art. 7 DSGVO. Fehlt es also an dem Hinweis auf das jederzeitige Widerrufsrecht und an der Darstellung des Zwecks der mit der Einwilligung verfolgten Datenverarbeitung, bestehen berechtigte Zweifel an der Gültigkeit der alten Einwilligungen nach dem 25. Mai 2018.

Nach Art. 22 Abs. 2 Buchstabe c) DSGVO bedarf eine automatisierte Entscheidung z. B. in Fällen elektronischer Scoring-Verfahren im Personalbereich einer ausdrücklichen Einwilligung der Beschäftigten.

Die Einwilligungen z. B. zur Verwendung eines Fotos des Beschäftigten im Internet oder zur privaten Nutzung von E-Mail und Internet mit Überprüfungsrecht des Arbeitgebers sollten auf vom Arbeitsvertrag getrennten Dokumenten eingeholt werden, weil sonst bei jedem neuen Einwilligungserfordernis der Arbeitsvertag geändert werden müsste.

d) Kollektivvereinbarungen

Bisherige Betriebs- oder Dienstvereinbarungen müssen ebenfalls auf ihre Übereinstimmung mit der DSGVO überprüft werden. Dabei geht es insbesondere um die erhöhten Transparenzplichten nach Art. 13 und 14 DSGVO, also die Informationspflichten gegenüber der betroffenen Person, hier den Beschäftigten. Die Informationspflichten betreffen insbesondere den genauen Datenkranz, der verarbeitet wird, die Zwecke sowie die Angaben, an wen die Daten übermittelt werden. Davon umfasst ist auch der Hinweis auf etwaige Übermittlungen in Drittstaaten. Die Beschäftigten müssen auch über ihre Rechte nach Art. 12 DSGVO informiert werden:

  • Auskunftsrecht, Art. 15 DSGVO
  • Recht auf Berichtigung der Daten, Art. 16 DSGVO
  • Recht auf Löschung von Daten, Art. 17 DSGVO
  • Recht auf Einschränkung der Verarbeitung, Art. 18 DSGVO
  • Recht auf Datenübertragbarkeit, Art. 20 DSGVO.

e) Datentransfer im Konzern

Als Rechtsgrundlage für eine Übermittlung von Personaldaten innerhalb eines Konzerns z. B. an die Tochter oder an die Konzernmutter, die die gesamte Personalverwaltung durchführt, kann auf Art. 6 Abs. 1 Buchstabe f) DSGVO gestützt werden, wenn die Erforderlichkeit für den Transfer dargelegt werden kann. Damit wäre auch eine Übermittlung von Daten in Drittstaaten zulässig, wenn das angemessene Datenschutzniveau nach den Mechanismen der Art. 44 ff. DSGVO nachgewiesen werden kann.

Datenschutz-Folgenabschätzung

Da zur Erfüllung z. B. der Verpflichtung zur Abführung der Kirchensteuer die Religionszugehörigkeit erfasst werden muss, muss für die Verarbeitung der Personalstammdaten eine Datenschutz-Folgenabschätzung nach Art. 35 DSGVO durchgeführt werden. Das gilt auch wegen der Verarbeitung von Gesundheitsdaten (z. B. Krankmeldungen, betriebliches Wiedereingliederungsmanagement) oder automatisierte Personalentscheidungen.

a) Prüfschema für Betriebsvereinbarungen

1. Anforderungen nach DSGVO
Für Betroffene muss klar erkennbar sein, welche sie betreffenden personenbezogene Daten
verarbeitet bzw. in welchem Umfang personenbezogene Daten gegenwärtig oder künftig
verarbeitet werden, insbesondere muss deutlich werden:

  • die Identität des Verantwortlichen
  • die Zwecke der Verarbeitung
  • die Informationen, die eine faire und transparente Verarbeitung gewährleisten
  • das Recht, eine Bestätigung und Auskunft darüber zu erhalten, welche personenbezogene Daten verarbeitet werden
  • die Aufklärung über Risiken, Rechte, Garantien hinsichtlich der Datenverarbeitung
  • die Aufklärung darüber, wie Rechte geltend gemacht werden können.

Außerdem müssen die Grundsätze nach Art. 5 DSGVO ihren Niederschlag finden.
Die Verarbeitung muss auf rechtmäßige Weise, nach Treu und Glauben in einer nachvollziehbaren Weise nur für einen festgelegten zu einem eindeutigen und legitimen Zweck erfolgen.
Dies galt auch schon nach bisherigem Recht.

Neu: Die DSGVO erfordert darüber hinaus angemessene und besondere Maßnahmen im Hinblick auf die Transparenz der Verarbeitung oder über eingesetzte Arbeitsmittel.

Zu beachten:

  • die Identifizierung des Arbeitnehmers darf nur so lange möglich sein, wie es für den Zweck der Verarbeitung erforderlich ist,
  • die Speicherfristen sind auf das unbedingt erforderliche Mindestmaß beschränken.

2. Prüfschema für bestehende Betriebsvereinbarungen

a)    Werden auf Grundlage der Betriebsvereinbarung personenbezogene Daten verarbeitet?
b)    Enthält die Betriebsvereinbarung Angaben zu den Grundprinzipien nach Art. 5 DSGVO?

aa) Rechtmäßigkeit (= Erlaubnistatbestände vorhanden?)
Verarbeitung rechtmäßig, nach Treu und Glauben und in nachvollziehbarer Weise?
vgl. Art. 6 I a-f DSGVO, EG 39 und Art. 12 ff. DSGVO

bb) Zweckbindungsgrundsatz
Zweck deutlich vereinbart (konkret & detailliert)?
Falls Verarbeitung zu anderem Zweck erfolgt: Vereinbarkeit mit altem Zweck?

cc) Datenminimierung
Daten dem Zweck angemessen und erheblich sowie auf das für die Zwecke erforderliche Maß beschränkt?
Sind Strategien und Maßnahmen getroffen (Pseudonymisierung, techn. Vorrichtungen)?

dd) Datenrichtigkeit
Wurden Maßnahmen getroffen, um zu gewährleisten, dass personenbezogene Daten, die hinsichtlich des Zwecks ihrer Verarbeitung unrichtig sind, unverzüglich gelöscht oder berichtigt werden? Dienstvereinbarung sollte Regelungen zu Korrekturprozessen enthalten.

ee) Speicherbegrenzung
Sind klare Regelungen zu Speicherdauer von personenbezogenen Daten in Dienstvereinbarung getroffen?

ff) Integrität und Vertraulichkeit
Sind technisch-organisatorischen Maßnahmen vorhanden, um den Schutz vor unbefugter, unrechtmäßiger Verarbeitung sowie vor Schädigung, Zerstörung oder Verlust zu gewährleisten? Ist die Verarbeitung besonderer Datenkategorien (z. B. Religionszugehörigkeit, Gesundheitsdaten, biometrische Daten) ausreichend gesichert?

3. Werden besondere Kategorien personenbezogener Daten verarbeitet?
Dann Art. 9 DSGVO beachten. Besonders relevant bei: Zutrittssystemen mit biometrischer Datenverarbeitung, Einsatz von elektronischen Personalakten, Ausgestaltung des Betriebliches Eingliederungsmanagement, Durchführung von Assessmentcentern mit elektronischer Datenverarbeitung der Bewerberdaten.

4. Sind Maßnahmen getroffen worden, um die Informationspflichten zu erfüllen?

Der Arbeitgeber muss Angaben machen zu: Name des Verantwortlichen, seines Vertreters, des betrieblichen Datenschutzbeauftragten, den Zweck sowie die Rechtsgrundlage der Verarbeitung, Speicherfristen, Betroffenenrechte, Empfänger der Daten, Beschwerderechte und Rechtsbehelfe, Datenverarbeitung im Drittland.

5. Sind Maßnahmen getroffen worden, um die Betroffenenrechte zu berücksichtigen?

Sind die Angaben zu den Betroffenenrechten nach Art. 15 DSGVO sowie Mitteilungen nach Art. 16 ff. DSGVO enthalten?

Die umfangreichen Angaben sollten als Anhang zum Arbeitsvertrag oder in der Betriebsvereinbarung abgebildet werden.

Praxistipp:
Eine Alternative zur Änderung aller Betriebsvereinbarungen könnte der Abschluss einer „Dach“-Betriebsvereinbarung sein, in der ausschließlich datenschutzrechtliche Aspekte geregelt werden und die Bezug nimmt auf die speziellen Vereinbarungen z. B. zur Arbeitszeit usw. Zumindest könnte aber eine schriftliche allgemeine Information der Beschäftigten darüber erfolgen, welche Daten für welche Zwecke in dem Unternehmen verarbeitet werden.

Diese Merkblatt soll – als Service Ihrer Kammer – nur erste Hinweise geben und erhebt daher keinen Anspruch auf Vollständigkeit. Obwohl diese Kurzinformation mit größtmöglicher Sorgfalt erstellt wurde, kann keine Haftung für die inhaltliche Richtigkeit übernommen werden.

Stand: Mai 2019

welche gesetzlichen regelungen gelten im bereich der datensicherung und des datenschutzes Was bedeutet Datensicherheit Datensicherheit DSGVO Datenschutz Bedeutung Maßnahmen Datenschutz

zusammenhängende Posts

Wann wächst der Welpe am meisten?
Wann wächst der Welpe am meisten?

15 SSW Wo liegt das Baby im Bauch
15 SSW Wo liegt das Baby im Bauch

Wann kommt der alte Gregor Wieder Dahoam is Dahoam?
Wann kommt der alte Gregor Wieder Dahoam is Dahoam?

Ist unsichtbares Blut im Urin gefährlich?
Ist unsichtbares Blut im Urin gefährlich?

Ein schläger und ein ball kosten 1 10
Ein schläger und ein ball kosten 1 10

Bella block die schönste nacht des lebens
Bella block die schönste nacht des lebens

Was feiert man am 25 und 26. Dezember?
Was feiert man am 25 und 26. Dezember?

Wann wird Bildung und Teilhabe ausgezahlt
Wann wird Bildung und Teilhabe ausgezahlt

Sportler z.b. bei der tour de france
Sportler z.b. bei der tour de france

Was ist der unterschied zwischen duckduckgo und duckduckgo htlm
Was ist der unterschied zwischen duckduckgo und duckduckgo htlm

Werbung

NEUESTEN NACHRICHTEN

What measures how well the solution will be accepted in a given opportunity?
1 Jahrs vor . durch FormlessAviation
Wenn der Hund tot ist beginnt ein neues Leben
1 Jahrs vor . durch DeliriousHurricane
Which of the following is a not a type of organizational information system?
1 Jahrs vor . durch CantankerousAssignment
Which of the following statements is true regarding an organizations culture
1 Jahrs vor . durch EnticingDucking
The system of behavioral rules and norms that emerge in a group is known as:
1 Jahrs vor . durch ElectromagneticRelativism
Mit kreditkarte bezahlen wenn konto leer
1 Jahrs vor . durch CommunistAllies
Mit jemandem auf kriegsfuß stehen bedeutung
1 Jahrs vor . durch SubliminalPundit
What are 3 of the most important criteria to keep in mind when evaluating a source?
1 Jahrs vor . durch CuteSorcery
Google scholar is a specialized search engine that provides which of the following?
1 Jahrs vor . durch SmartDiploma
Wie lange hat der Vermieter Zeit die Kündigung zu bestätigen
1 Jahrs vor . durch EphemeralProceedings

Werbung

Populer

Werbung

Um

Legal

Hilfe

Sozial

homeendejakoptzhthittr
Urheberrechte © © 2024 de.apacode Inc.