§ 11 BDSG – Ernennung und Amtszeit
Häufig gestellte Fragen
Der Gesetzgeber hat sich dazu entschieden, die Regelungen des BDSG(alt) weitgehend beizubehalten – wohl auch aus wahltaktischen Erwägungen im Hinblick auf die Bundstagswahl im Herbst 2017.
Danach haben nicht-öffentliche Stellen (z.B. Unternehmen) einen Datenschutzbeauftragten verpflichtend zu bestellen, wenn zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt werden. Der Gesetzgeber hebt weder auf (Vollzeit-)Stellen ab, noch darauf, ob das arbeitsrechtliche Bechäftigungsverhältnis zwingend mit der verantwortlichen Stelle besteht. Daher sind hier „Köpfe“ zu zählen und keine Stellen, ferner sind Teil- und Leiharbeiter sowie Auszubildende un Praktikanten bei der Berechnung einzubeziehen.
Eine Automatisierte Verarbeitung kann jedenfalls schon dann angenommen werden, wenn ein Beschäftigter Emails bearbeitet. Insofern können vereinfacht mindestens die Mitarbeiter mit PC-Arbeitsplatz oder -Zugang für die Berechnung herangezogen werden.
Achtung: §7 BDSG(neu) ist formell nicht für die Anwendung auf Datenschutzbeauftragte nicht-öffentlicher Stellen anwendbar, hier gelten die Regelungen des Art. 39 DSGVO.
Auf die weiteren Anmerkungen im Kommentar zu Art. 37 DSGVO sei verwiesen.
Unsere Management-Information zum Datenschutzbeauftragten ist als PDF-Datei abrufbar. (Plagiate werden verfolgt!)
- Publikation der hessischen Afusichtsbehörde zum Datenschutzbeauftragten nach neuem Recht vom Juni 2017
- Empfehlenswert auch: GDD-Praxishilfe DS-GVO I – Der Datenschutzbeauftragte nach der Datenschutz-Grundverordnung, Version 1.0, Stand November 2016
- Ferner die Richtlinie der Art. 29-Gruppe zum Datenschutzbeauftragten vom 13.12.2016 sowie ein FAQ dazu.
vgl. Umsetzung der nationalen Öffnungsklausel in §26 BDSG (neu)
Handreichung des Landesdatenschutzbeauftragten Baden-Würtemberg zum Beschäftigtendatenschutz aus Juni/Juli2017
Im Gegensatz zu §43 BDSG (Ordnungswidrigkeiten) und §44 BDSG (Straftaten) kann im Rahmen der EU-DSGVO ein weitaus größeres Spektrum von Verstößen durch Bußgelder geahndet werden. Während es im BDSG durchaus Lücken derart gab, dass verschiedene Verstöße gar nicht bußgeldbewehrt waren, ist das Prinzip der EU-DSGVO, dass ein Verstoß prinzipiell eine Sanktion zur Folge haben soll, vgl. Erwägungsgrund 148 der EU-DSGVO. Demnach soll es Ausnahmen nur dann geben, wenn es sich um geringfügige Verstöße handelt (die leider nicht näher beschrieben werden) oder eine Geldbuße gegen eine natürliche Person (nicht bei GmbHs oder AGs!) unverhältnismäßig wäre.
Grundsätzlich gilt, dass die verantwortliche Stelle haftet, d.h. Unternehmen haften i.d.R. für Verstöße durch Fehlverhalten ihrer Mitarbeiter. Inwieweit Mitarbeiter im Rahmen der Mitarbeiter-Haftung im Innenverhältnis regresspflichtig sind, wird die Rechtsprechung zeigen.
Neu ist insbesondere, dass Bußgelder
- auch gegen Auftragsverarbeiter, Zertifizierungsstellen und akkreditierten Stellen zur Überwachung genehmigter Verhaltensregeln (CoC)
- auch bei technisch-organisatorischen Verstößen
- auch bei mangelnder Dokumentation
- auch bei neuen Tatbeständen wie privacy by design oder privacy by default
verhängt werden können.
Der Bußgeldrahmen der EU-DSGVO ist gegenüber dem BDSG deutlich erhöht:
- für einige Fälle 10 Mio. EUR oder 2% des weltweiten Jahresumsatzes
- für andere Fälle 20 Mio. EUR oder 4% des weltweiten Jahresumsatzes
je nachdem, welche Summe höher ist. Dabei ist auf den Konzern-Umsatz bzw. Unternehmensgruppe abzustellen, nicht auf den Umsatz der einzelnen rechtlichen Einheit (wirtschaftlicher Unternehmensbegriff).
Nach der EU-DSGVO gilt nun der Unternehmensbegriff nach Art. 101,102 AEUV (Vertrag über die Arbeitsweise der Europäischen Union). Demnach kann nun auch ein ganzer Konzern als Unternehmen definiert werden. Im Vergleich definiert das BDSG ein Unternehmen als einzelne juristische Person, wie z.B. eine GmbH. Somit ist die Gesellschaft bzw. die juristische Person als eigenständige Person anzusehen.
Beeinflussend für die Bemessung der Bußgeldhöhe sollen dabei nach Erwägungsgrund 148 der EU-DSGVO auch Faktoren sein wie z.B. Schwere und Dauer des Datenschutz-Verstoßes, Vorsätzlichkeit, getroffene Maßnahmen, der Grad der Verantwortlichkeit, frühere Verstöße und Kooperation mit den Aufsichtsbehörden.
Ob dieses „scharfe Schwert“ des höheren Bußgeldrahmens tatsächlich genutzt wird, ist aber fraglich. Schon der Bußgeldrahmen des BDSG wurde durch die Aufsichtsbehörden kaum ausgeschöpft, denen es häufig an Budgets und Personal für die verwaltungsgerichtliche Durchsetzung empfindlicher Bußgeldbescheide fehlt. (Vgl. Artikel „Datenschutz-Aufsichtsbehörden nach EU-DSGVO als zahnlose Tiger?„) So bleibt anzunehmen, dass auch weiterhin Bußgelder nur in den Höhen verhängt werden, die unterhalb der Schwelle sind, bei denen es sich für ein Unternehmen lohnt, Rechtsmittel einzulegen.
Hoffnung besteht hinsichtlich der Erarbeitung von Leitlinien durch den Europäischen Datenschutzausschuss als Gremium der Aufsichtsbehörden der EU-Mitgliedsstaaten. Sofern dieser mit hinreichendem Mut einen Bußgeldkatalog erarbeitet, der dann im Sinne einer gleichmäßigen Anwendung des Bußgeldrahmens europaweit zum Einsatz kommt, dann werden sich nationale Behörden in der täglichen Praxis daran zu orientieren haben. Aber auch das wäre wirkungslos, wenn die gerichtliche Durchsetzung an den Ressourcen der Aufsichtsbehörden scheiterte.
So wäre es auch Aufgabe der Politik, die Aufsichtsbehörden mit angemessenen Ressourcen auszustatten, wenn die Umsetzung der EU-DSGVO politisch tatsächlich gewollt wäre wie in den Erwägungsgründen beschrieben. Statt dessen ist zu beobachten, dass auf die bereits seit Jahren beschlossenen, längst überfälligen, aber nur zufällig mit Inkrafttreten der EU-DSGVO zusammenfallenden personellen Aufstockungen verwiesen wird und dies auch noch als Errungenschaft den Wählern verkauft werden soll.
Eine kurze Übersicht gibt auch das BayLDA zu diesem Thema
Das „One-Stop-Shop-Prinzip“ (eine Aufsichtsbehörde in EU – Unternehmen sollen nicht mit mehreren Aufsichtsbehörden verhandeln müssen) war ursprünglich in Art. 51 Abs. 2 enthalten. Es ist in dem neuen Artikel 54 a verschoben worden.
Vergleich zum BDSG
Handlungsbedarf für deutsche Unternehmen
Handreichung des BayLDA zur Datenübermittlung in Drittstaaten finden Sie hier.
Besondere Bedeutung bekommen die Zertifizierungsverfahren in der EU-DSGVO. Art. 42 EU-DSGVO sieht vor, dass Mitgliedstaaten, Aufsichtsbehörden, der Europäische Datenschutzausschuss (Ausschuss) und die Kommission die Einführung datenschutzspezifischer „Zertifizierungsverfahren“, „Datenschutzsiegel“ und „-prüfzeichen“ fördern, freilich ohne diese Begriffe gegeneinander abzugrenzen.
Nach der EU-DSGVO sind Zertifizierungsstellen und Aufsichtsbehörden zur Vergabe von Zertifikaten befugt, vgl. Art. 43 EU-DSGVO.
Gegenstand eines Zertifizierungsverfahren können gem. Erwägungsgrund 100 auf „Produkte und Dienstleistungen“ beziehen, ebenso könnte damit aber auch ein Datenschutz-Management-System gemeint sein, dass gem. Art. 5 Abs. 2 EU-DSGVO eingefordert wird. Der Begriff der Zertifizierung wurde im BDSG nicht genutzt, vielmehr sprach §9a BDSG von Auditierung. Diese Rechtsnorm wurde jedoch nie mit Leben gefüllt.
Die Zertifizierung findet sich vor allem in den Art. 24 Abs. 3 EU-DSGVO („Gesichtspunkt für die Erfüllung der Anforderungen“) sowie in Art. 32 EU-DSGVO („Faktor“ für den Nachweis der Anforderungen).
Für das Vertrauen von Vertragspartnern kann eine Zertifizierung höchst hilfreich sein. Das gilt auch und insbesondere für die Überprüfung der Zuverlässigkeit von Auftragsverarbeitern nach Art. 28 EU-DSGVO. Dies würde aber voraussetzen, dass nicht nur einzelne Produkte und Dienstleistungen, sondern auch insgesamt Ablauforganisationen nach Art. 42 EU-DSGVO zertifiziert werden. Dabei ist es unerheblich, ob diese Audit als Selbstaudit oder durch unabhängige dritte Stellen durchgeführt werden.
Die Frage, ob durch Einholung von Zertifikaten die Zuverlässigkeit von Auftragsverarbeitern geprüft werden konnte, war bisher umstritten. Insofern besteht einige Innovation in der Anerkennung von Zertifizierungen als Nachweis für die Compliance im Vergleich zur bisherigen Rechtsauffassung.
So erkannte die EU-Datenschutz-Richtlinie 95/46/EG Zertifizierungen nicht als Beweise für Compliance an. Das ist auch einer der Gründe, warum sich Europäische Zertifikate wie z.B. das sog. European Privacy Seal nicht am Markt durchgesetzt hat. Diese Auffassung ist zumindest zu Beginn jedoch mit Vorsicht zu geniessen, da nicht klar ist ob und inwieweit die Aufsichtsbehörden diesen Auslegungen folgen und mit den Prüfkatalogen und Ergebnissen der Zertifizierungsstellen zufrieden sind. Insbesondere ist nicht klar, ob und falls ja welche Zertifikate grenzüberschreitend auch in anderen Mitgliedsstaaten anerkannt werden.
Für den Erhalt eines Zertifikats, das für jeweils 3 Jahre erteilt werden soll und dessen Voraussetzungen regelmäßig überprüft werden sollen, ist wichtig, dass die Verarbeitungsvorgänge ausreichend und transparent dokumentiert werden. Das Zertifikat kann dem Verantwortlichen jederzeit entzogen werden, wenn er die Voraussetzungen nicht mehr erfüllt.
Eine problematische Aufgabenkonzentration bei der Aufsicht kann dadurch entstehen, dass diese sowohl eine Zertifizierung durchführt wie auch diese kontrolliert. Damit sind möglicherweise Interessenkonflikte vorprogrammiert. Ob diese in der Praxis tatsächlich so auftreten, mag aber angesichts der klammen Ressourcenausstattung der Aufsichtsbehörden bezweifelt werden, schließlich soll die Überprüfung der Zertifizierung durch die Aufsichtsbehörde nach Art. 58 Abs. 1 Lit. c EU-DSGVO „gegebenenfalls“ regelmäßig erfolgen – ist also nur eine Kann-Bestimmung. Dennoch sollten solche Konstellationen durch entsprechende Maßnahmen vermieden werden, so dass die Vertrauensstellung der Aufsichtsbehörde nicht beschädigt wird.
Es bleibt spannend, inwieweit die Mitgliedsstaaten sowie Ausschuss und Kommission ihre Regelungsspielräume ausnutzen um die Unklarheiten zu beseitigen.
Handreichung des LDA Bayern zur Zertifizierung nach Art. 42 EU-DSGVO
Die Vorschrift ist deutlich weitgehender als der bisherige §38a BDSG:
Danach können Vereinigungen und (branchen-)Verbände quasi eigenes datesnchutzrecht schaffen, indem sie einen datenschutzrechtlichen „Code of conduct (CoC)“ erstellen. Dies Datenschutz-Aufsichtsbehörden haben hierfür eine Orientierungshilfe entwickelt.
Beispiel hierfür ist der der Datenschutz-CoC der Versicherungswirtschaft: Darin ist z.B. in Art. 20 ein quasi-Opt-Out für die Datenübermittlung an betreuende Versicherungs-Agenturen legitimiert, die diese dann ggf. für Werbung nutzen kann.
Ein solches Unterschreiten der gesetzlichen Standards soll mit Art. 40 DSGVO nach Ansicht des LDA Bayern künftig nicht mehr möglich sein, sondern nur noch eine „Präzisierung“.
Nutzen der Verhaltensregeln
die Verhaltenregeln können helfen
- Im Rahmen der Auftragsverarbeitung nach Art. 28 DSGVO: lt. Abs. 5 können Verhaltensregeln als Faktor für hinreichende Garantien nach Art. 28 Abs. 1 und 4 DSGVO gelten
- im Rahmen der allgemeinen Nachweispflichten nach Art. 24 Abs. 3 DSGVO
- zum Nachweis der Sicherheit der Verarbeitung nach Art. 32 Abs. 3 DSGVO
- im Rahmen der Datenschutzfolgenabschätzung nach Art. 35 Abs. 8 DSGVO
- als geeignete Garantien nach Art. 46 Abs. 1 DSGVO, sofern von der Kommission beschlossen
Da die Regelungen aber nicht hinter der Verordnung zurück bleiben dürfen, ist fraglich, ob und wie viel Nutzen eine solche Erstellung mit einem aufwändigen Abstimmungsprozess mit den Aufsichtsbehörden bringen kann. Das wird vor allem davon abhängen, ob darin tatsächliche Erleichterungen liegen und wie bzw. von wem diese Verhaltensregeln letztlich kontrolliert werden.
Berechtigt für die Gestaltung von Verhaltensregeln sind Kammern, Berufsverbände sowie freiwillige Zusammenschlüsse von Unternehmen.
Die Entwürfe werden sodann von der nach Art. 55 DSGVO zuständigen Aufsichtsbehörde überprüft, ggf. (bei internationalem Bezug) einem Kohärenzverfahren nach Art. 63 DSGVO unterzogen.
Die Inhalte, in denen eine Präzisierung erfolgen kann, sind in Art. 40 Abs. 2 DSGVO genannt:
- Definition bzw. Konkretisierung der fairen und transparente Verarbeitung
- die berechtigten Interessen des Verantwortlichen
- zur Erhebung personenbezogener Daten
- zur Pseudonymisierung personenbezogener Daten
- Unterrichtung der Öffentlichkeit und der betroffenen Personen
- zur Ausübung der Rechte betroffener Personen
- zur Unterrichtung und Schutz von Kindern bzw.
zur Art und Weise, in der die Einwilligung des Trägers der elterlichen Verantwortung für das Kind einzuholen ist; - die Maßnahmen und Verfahren gemäß den Artikeln 24 und 25 und die Maßnahmen für die Sicherheit der Verarbeitung gemäß Artikel 32;
- die Meldung von Verletzungen des Schutzes personenbezogener Daten an Aufsichtsbehörden und die Benachrichtigung der betroffenen Person von solchen Verletzungen des Schutzes personenbezogener Daten;
- zur Übermittlung personenbezogener Daten an Drittländer oder an internationale Organisationen oder
- zu außergerichtlichen Verfahren und sonstige Streitbeilegungsverfahren zur Beilegung von Streitigkeiten
Überwachung
Die Überwachung der Verhaltensregeln ist in Art. 41 DSGVO geregelt (siehe dort).
Handreichung des LDA Bayern zu diesem Thema (2 Seiten)
Die Regelung des DSB in der DSGVO war lange umstritten. Doch nun gilt eine europaweite Verpflichtung zur Bestellung für Unternehmen deren Kerngeschäft die Überwachung und der Umgang mit personenbezogenen Daten ist. Auch eine Mindestanzahl an Beschäftigten, wie sie das BDSG vorsah, existiert in der DSGVO nicht, dafür wird der Datenschutzbeauftragte für diese Fälle europaweit verpflichtend eingeführt – in den meisten Ländern ein Novum.
Dies reduziert zunächst (!) die Zahl der zur Bestellung eines DSB verpflichteten Unternehmen drastisch. Allerdings gibt es eine Öffnungsklausel für nationale Ausnahmeregelungen, die vom Gesetzgeber im BDSG(neu) genutzt wurden und die vom BDSG(alt) bekannten Regeln in Deutschland weiterhin aufrecht erhält. (s. unten).
Im Gegensatz zum BDSG(alt) gibt es keine Verpflichtung zu einer schriftlichen Bestellung. Eine „Benennung“ des DSB ist nun ausreichend. Im Sinne der Rechtssicherheit und der Nachweisverpflichtungen empfiehlt es sich jedoch, die Benennung zu dokumentieren und Termin, Aufgaben, Zeitkontingent/Ressourcen und andere Rahmenbedingungen schriftlich zu regeln.
Art. 37 Abs. 7 sieht jedoch vor, dass „der Verantwortliche oder der Auftragsverarbeiter die Kontaktdaten des DSB veröffentlicht und diese Daten der Aufsichtsbehörde mitteilt.“
Die Artikel-29-Gruppe empfiehlt im Working-Paper 243 die Bereitstellung der postalischen Adresse sowie einer E-Mail-Adresse und Telefonnummer. Nicht zwingend muss der Name des Datenschutz-beauftragten veröffentlicht sein, aber die Benennung gegenüber Aufsichtsbehörden und Beschäftigten empfohlen.
Sanktionen bei fehlender Bestellung des DSB
Nach der DSGVO kann nach §83 Abs. 4 lit. A ein Bußgeld in Höhe von 10 Mio. € oder 2% des weltweiten Jahresumsatzes verhängt werden, je nachdem welcher Betrag höher ist. Eine zivilrechtliche – oder ordnungswidrigkeiten Haftung kann ausgeschlossen sein, wenn der DSB seine Pflichten entsprechend erfüllt hat. Hierbei trifft ihn eine Nachweispflicht.
Der Konzern-DSB
Eine Unternehmensgruppe darf einen gemeinsamen DSB ernennen, wenn dieser von jeder Niederlassung aus leicht erreicht werden kann.
Wenn zu einem Konzern auch nicht EU ansässige Unternehmen zählen, muss der DSB seinen Sitz in einer Gesellschaft haben, die sich in der EU befindet. Dadurch soll die leichte Erreichbarkeit gewährleistet sein.
Kündigungsschutz für den (stellvertretenden) DSB
In der DSGVO ist die Regelung des Kündigungsschutzes recht knapp ausgefallen. Art. 38 Abs. 3 spricht davon, dass der DSB von dem Verantwortlichen oder dem Auftragsverarbeiter wegen der Erfüllung seiner Aufgaben nicht abberufen oder benachteiligt werden darf.
Externer DSB als Service
Die Bestellung eines externen DSB auf Basis eines Dienstleistungsvertrages ist unter der DSGVO weiterhin möglich,
das gilt neuerdings auch für öffentliche Stellen, wie z.B. Behörden des Bundes und der Länder sowie für Kommunen.
Hierbei sind Aufwand/Arbeitsteilung und Budget verhandelbar. Es gibt keinen Kündigungsschutz und der externe DSB ist stärker haftbar als ein Mitarbeiter.
Die Bestellung eines DSB nach dem BDSG(neu)
Das neue Bundesdatenschutzgesetz ab dem 25. Mai 2018 – BDSG(neu) – novelliert das BDSG nach der DSGVO und regelt die nationalen Öffnungsklauseln.
Die Bestellpflicht des DSB für nicht-öffentliche Stellen (insbes. Unternehmen, Vereine, etc.) wird in §38 BDSG(neu) abweichend zur DSGVO erweitert und behält die Regelungen des BDSG weitgehend bei: demnach muss ein DSB bestellt werden, wenn mindestens zehn Personen ständig mit der Verarbeitung personenbezogener Daten beschäftigt sind.
Für öffentliche Stellen (Bundes-/Landesbehörden, Kommunen) findet sich eine Regelung in §§5-7 BDSG(neu). §6.IV, V.2 und VI BDSG(neu) finden auch Anwendung für nicht-öffentliche Stellen (§38.II BDSG(neu))
Auch der verschärfte Kündigungsschutz, wie im BDSG geregelt, findet seinen Einzug in das BDSG(neu), und zwar in §6.IV BDSG(neu). Dieser ist in der Privatwirtschaft aber durch dann gegeben, wenn die Bestellung eines Datenschutzbeauftragten verpflichtend erfolgte (Einschränkung der Anwendbarkeit in §38.II BDSG(neu) .
Unsere Management-Information zum Datenschutzbeauftragten ist als PDF-Datei abrufbar. (Plagiate werden verfolgt!)
- Publikation der hessischen Afusichtsbehörde zum Datenschutzbeauftragten nach neuem Recht vom Juni 2017
- Empfehlenswert auch: GDD-Praxishilfe DS-GVO I – Der Datenschutzbeauftragte nach der Datenschutz-Grundverordnung, Version 1.0, Stand November 2016
- Ferner die Richtlinie WP243 der Art. 29-Gruppe zum Datenschutzbeauftragten vom 13.12.2016 (Working-Paper 243) sowie ein FAQ dazu. Deutsche Vorabversion
Die Datenschutzfolgeabschätzung kommt zum Teil der deutschen Vorabprüfung nach 4d ABs. 5 BDSG gleich, z.T. wird sie in verschiedenen Ländern als „Data Privacy Impact Analysis (DPIA)“ oder schlicht PIA praktiziert, etwa in UK seit 2007 und Frankreich seit 2015.
Während jedoch eine PIA klassischerweise die Daten im Hinblick darauf untersucht, welcher Schutzbedarf durch die Nutzung der Daten durch einen Angreifer entsteht und draus Maßnahmen entlang den klassischen IT-Sicherheitszielen ableitet, ist die Datenschutz-Folgeabschätzung umfassender: es sollen generell die Risiken für den Betroffenen bewertet werden. Als möglicher „Angreifer“ im Sinne einer Grundrechtsverletzung gilt hier auch die verantwortliche Stelle und nicht nur ein fiktiver Dritter. Diese Anschätzung der Risiken dient als Basis für etwaige Maßnahmen.
Im Gegensatz zur Vorabkontrolle des BDSG kennt die Datenschutz-Folgenabschätzung auch technologisch-abhängige Anwendungsbereiche:
- jegliche „systematischer und umfassender Auswertung persönlicher Aspekte von natürlichen Personen, darunter insbesondere wohl Profiling, Rating, Scoring und etwaigen Big Data-Analysen, sowie sonstigen automatisierten Entscheidungen, die Einfluss auf geschäftliche Entscheidungen des Betroffenen haben oder sonstwie gravierend in seine Rechte eingreifen.
- Verarbeitung besonderer Daten personenbezogener Daten (z.B. Gesundheitsdaten etc.) nach Art. 9 EU-DSGVO oder Daten über strafrechtliche Verurteilungen/Straftaten nach Artikel 10 EU-DSGVO
- Weiträumiger Überwachung öffentlich zugänglicher Bereiche unabhängig von der Technologie, sicherlich aber einschließlich Videoüberwachung
- Die Verarbeitung personenbezogener Daten aus umfangreichen Dateien, die Daten über Kinder, genetische Daten oder biometrische Daten enthalten, sowie die verarbeitung personenbezogener Daten von mehr als 5.000 Betroffenen in einem durchgängigen 12-Monatszeitraum wurde im finalen Text gestrichen.
- Weitere Fälle, in denen eine Datenschutz-Folgeabschätzung zwingend durchzuführen ist oder auf bei denen darauf verzichtet werden kann, können durch die Aufsichtsbehörden beschlossen werden (Art. 35 Abs. 4 und 5 EU-DSGVO).
Vgl. auch Erwägungsgrund 91!
Nicht zur Folgeabschätzung verpflichtet: Rechtsanwälte, Ärzte und Angehörige des Gesundheitsberufs, vgl. EG 91 S. 4,5.
Anders als im BDSG für die Vorabkontrolle liegt die Zuständigkeit für die Durchführung der Datenschutz-Folgeabschätzung nicht beim Datenschutzbeauftragten, sondern bei der verantwortlichen Stelle. Sofern allerdings ein Datenschutzbeauftragter bestellt ist, ist dieser nach Abs. 2 zwingend an der Datenschutz-Folgenabschätzung zwingend zu beteiligen. Diese Regelung der EU-DSGVO macht einerseits Sinn aufgrund der geringen Anzahl von Unternehmen mit Verpflichtung nach Art. 37 EU-DSGVO einen Datenschutzbeauftragten zu bestellen, wird anderseits auch nicht förderlich sein für die Wirksamkeit der Vorschrift.
Mindest-Inhalte der Datenschutz-Folgeabschätzung sind nach Art. 35 Abs. 7 EU-DSGVO:
- eine systematische Beschreibung der Prozesse und deren Absicht (Zwecke) inkl. der verfolgten Interessen
- eine Bewertung der Notwendigkeit und Verhältnismäßigkeit
- eine Bewertung der Risiken für die Rechte und Freiheiten der Betroffenen
- die zur geplanten Maßnahmen zur Risikominimierung
Interessantes Whitepaper dazu von Forum-Privatfreiheit (Mai 2016)
Handreichung zur Datenschutz-Folgeabschätzung (PIA) bei RFID-Projekten (2011)
Leitfaden zu Risk-Assessment und Datenschutz-Folgeanschätzung des Branchenverbandes bitkom e.V., insbes. Abb. 6 auf Seite 39 ggf. hilfreich
Draft Working-Paper 248 der Art.29-Gruppe zu Data Protection Impact Assessments
Im Vegleich zum BDSG stellt die EU-DSGVO abgesenkte Meldepflichten vor. Demnach müssen sogenannte „Datenpannen“ der Aufsichtsbehörde nicht gemeldet werden, wenn diese „voraussichtlich nicht zu einem Risiko“ für den Betroffenen führen. Die Benachrichtigung an den Betroffenen muss widerrum erst dann erfolgen, wenn ein hohes Risiko für die Rechte und Freiheiten besteht oder wenn Maßnahmen zur Schadensbegrenzung getroffen wurden, die die Möglichkeiten auf ein Risiko beseitigen. Auch die Information gegenüber Betroffenen ist nicht mehr erforderlich, solange technische und organisatorische Maßnahmen vorhanden sind, die ein Zugang zu personenbezogenen Daten unmöglich machen (bspw. Verschlüsselung).
Die Datenpanne muss innerhalb von 72 Stunden bei der zuständigen Aufsichtsbehörde gemeldet werden. Da sich mit der Verordnung auch die Bußgelder drastisch erhöht haben ist Unternehmen zu raten die Meldepflichten dennoch erst zu nehmen.
Weitere Informationen zu der Meldepflicht nach der EU-DSGVO finden Sie hier
Das Verzeichnis der Verarbeitungstätigkeiten (VVT) löst das bisherige Verfahrensverzeichnis (VVZ) ab. Nach Art. 30 müssen nun auch Auftragsverarbeiter ein Verzeichnis der gesamten Verarbeitungstätigkeiten, die personenbezogene Daten betreffen, führen. Es muss der Aufsichtsbehörde auf Anfrage zur Verfügung gestellt werden.
Merke: nicht mehr der Datenschutzbeauftragte ist für die Führung der Verzeichnisse verantwortlich, sondern der Verantwortliche!
Inhalte des Verzeichnisses der Verarbeitungstätigkeiten:
- Namen und die Kontaktdaten des Verantwortlichen
und gegebenenfalls des gemeinsam mit ihm Verantwortlichen,
ggf. des Vertreters des Verantwortlichen (wenn keine Niederlassung in der EU)
- Empfehlung hier aus Kompatibilität zum alten Verfahrensverzeichnis:
- Übergreifend: Leiter der Verantwortlichen Stelle (Geschäftsführung) und Leiter der Datenverarbeitung
- Je Prozess: zuständiges Mitglied der Geschäftsführung sowie Bereichs-/ Abteilungsleitung
- ggf. Namen und die Kontaktdaten des Datenschutzbeauftragten
Empfehlung: nur übergreifend; - Zwecke der Verarbeitung;
- Kategorien betroffener Personen /Betroffene Personengruppen
- Kategorien personenbezogener Daten / Datenkategorien;
- Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, einschließlich Empfänger in Drittländern oder internationalen Organisationen;
Empfehlung: hier alle gem. Berechtigungskonzept oder faktisch zugriffsberechtigten oder faktisch zugriffsfähigen Empfängerkategorien; auch: öffentliche Stellen, - Übermittlungen von personenbezogenen Daten an ein Drittland oder internationale Organisationen
- Angabe des betreffenden Drittlands
- Arten / Kategorien von Daten
- Empfänger in Drittland oder bei internationaler Organisation,
- bei den in Artikel 49Absatz 1 Unterabsatz 2 genannten Datenübermittlungen die die geeigneten Garantien
- wenn möglich, die vorgesehenen Fristen für die Löschung je Datenkategorie
- wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Artikel 32 Absatz 1.
- Empfehlung: Angaben zur Beurteilung der Angemessenheit getroffener Sicherheitsmaßnahmen / Risikoanalyse
- Empfehlung: Vorabkontroll- bzw. Meldepflicht
- Empfehlung: Vermerke des DSB
Inhalte des von Auftragsverarbeitern für die im Auftrags verarbeiteten Tätigkeiten zu führenden Verzeichnisses
- Namen und die Kontaktdaten des Auftragsverarbeiters oder der Auftragsverarbeiter
und des bzw (wenn mehrere) jedes Verantwortlichen, in dessen Auftrag der Auftragsverarbeiter tätig ist, - Ggf. Vertreter wenn keine Niederlassung in der EU
- Namen und die Kontaktdaten des Datenschutzbeauftragten;
- Kategorien von Verarbeitungen, die im Auftrag jedes Verantwortlichen durchgeführt werden;
- Ggf. Übermittlungen an ein Drittland oder an eine internationale Organisation, einschließlich der Angabe des betreffenden Drittlands oder der betreffenden internationalen Organisation, sowie bei den in Artikel 49 Absatz 1 Unterabsatz 2 genannten Datenübermittlungen die Dokumentierung geeigneter Garantien;
- wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Artikel 32 Absatz 1.
Absatz 5 klingt so, als würden Stellen, die weniger als 250 Mitarbeiter beschäftigen, nicht dieser Pflicht unterliegen, es sei denn sie verarbeiten personenbezogene Daten, die ein Risiko für die Rechte und Freiheiten der Betroffenen darstellen, die Verarbeitung erfolgt nicht nur gelegentlich oder die Verarbeitung betrifft besondere Datenkategorien nach Art. 9 oder strafrechtliche Verurteilungen und Straftaten nach Art. 10 DSGVO.
Was zunächst nach einer Erleichterung für Unternehmen mit weniger als 250 Mitarbeitern aussieht, könnte aber beim wiederholten Lesen anders gedeutet werden, denn 1. gibt es immer eine irgendwie geartete Art von Risiko und 2. werden Daten bei einem auf Dauer ausgerichteten Geschäftsbetrieb immer „nicht nur gelegentlich“, sondern regelmäßig verarbeitet, und 3. werden immer auch zumindest einige besondere Datenkategorien nach Art. 9 DSGVO – nämlich Gesundheitsdaten in Form von Krankheitstagen oder Einschränkungen – verarbeitet. Insofern wären dann doch alle Unternehmen zur Führung eines Verzeichnisses verpflichtet. Dann würde jedoch der ganze Absatz, insbesondere die Einschränkung auf 250 Mitarbeiter keinen Sinn ergeben.
Hinichtlich des Verarbeitungsrisikos fehlt also vor dem Wort Risiko nur ein quantifizierendes Adjektiv wie z.B. „erhebliches“. So auch in der Kommtarliteratur: „Gemeint ist wohl eine Verarbeitung mit geringem Risiko, von der also kein hohes bzw. erhebliches Risiko oder ein mittleres Risiko ausgeht. “ (Paal/Pauly, Datenschutz-Grundverordnung, DS-GVO Art. 30 Rn. 32, beck-online)
Hinsichtlich der Regelmäßigkeit geht die Kommentarliteratur dahegen davon aus, dass es kein alternativer Tatbestand ist, sondern trotz des „oder“ weiter hinten im Satz hier eine weitere Tatbestandsvoraussetzung ist. Somit soll nur bei regelmäßiger Verarbeitung mit erheblichem Risiko die Pflicht zur Führung eines Verzeichnisses trotz einer Mitarbeiterzahl von weniger als 250 erforderlich sein.
Bei der Verarbeitung besonderer Kategorien personenbezogener Daten ist fraglich, ob schon beispielsweise geringfüge Gesundheitsdaten ausreichen würden, eine Pflicht zur Führung eines Verzeichnisses zu begründen.
Eine konsensfähige Kompromiß-Interpretation könnte (nach Härting, Datenschutzgrundverordnung, S. 9), sein, dass zwar alle Unternehmen weiterhin ein Verfahrensverzeichnis erstellen müssen, kleine unternehmen aber nur für die Verarbeitungen, die regelmäßig stattfinden. Dabei ist natürlich nicht gesagt, ab wann etwas regelmäßig ist.
Diese Interpretationen sind alle noch wenig im Diskurs geprüft und werden erst nach entsprechenden Stellungnahmen der Aufsichtsbehörden oder Gerichtsurteilen, vermutlich also nicht vor 2019 entschieden sein.
Auf der Basis dieser handwerklich unklaren Regelungen wird bis auf Weiteres zu empfehlen sein, die bisherige Praxis der Führung von Verfahrensverzeichnissen nach dem BDSG bis zur Klärung beizubehalten.
Auch gibt es kein öffentliches Verzeichnis mit Einsichtsrecht für jedermann und keine Meldepflicht mehr, die in § 4 d und e BDSG geregelt waren. (Dafür gibt es aber umfangreiche Informationspflichten!)
Mit Spannung ist abzuwarten, wie sich die technischen und organisatorischen Maßnahmen in dem neuen Verzeichnis wieder finden.
Es muss eine Historie der Verfahrensverzeichnisse geben, die die veränderung der Verfahren für die Aufsicht transparent machen. Es empfiehlt sich somit frühere Versionen aufzubewahren.
Mehr hilfreiche Informationen finden Sie hier:
- Handreichung des Bayerischen Landesamtes für Datenschutzaufsicht – BayLDA
- Ferner eine Veröffentlichung der Datenschutzkonferenz DSK (ehemals Düsseldorfer Kreis) als Kurzpapier Nr. 1 zu dem Thema.
- Hinweise und Muster-Unterlagen des BvD zum Verzeichnis der Verarbeitungstätigkeiten (VVT)
- GDD-Praxishilfe DSGVO V – zum VVT
Auf den ersten Blick kommt dem Leser des Art. 28 EU-DSGVO Vieles bekannt vor – neben der Kleinigkeit, dass es nun Auftragsverarbeitung und nicht mehr AuftragsDATENverarbeitung heisst:
- Im Vorgriff auf Art. 29 EU-DSGVO darf der Auftragsverarbeiter personenbezogene Daten nur auf Weisung des Verantwortlichen verarbeiten.
- Auftragnehmer müssen sorgfältig ausgewählt werden
- es ist eine Vereinbarung zur Auftragsverarbeitung notwendig
Auch andere, neu eingeführte Verpflichtungen sind zumindest aus der Praxis bereits bekannt:
- Der Auftragsverarbeiter muss explizit bei der Erfüllung der Verpflichtungen des Verantwortlichen hinsichtlich der Betroffenenrechte (z.B. Auskunftsrecht) unterstützen (Art. 28. III e) EU-DSGVO.
- Der Auftragsverarbeiter muss er Weisungen auf ihre Rechtmäßigkeit hin prüfen und in Zweifelsfällen seinen Kunden informieren (Art. 28. III h) EU-DSGVO). Zwar ist diese Verpflichtung auch bisher schon in vielen Vereinbarungen enthalten, jedoch stößt die Umsetzung dieser Verpflichtung auf zahlreiche Probleme. So etwa, ob der Auftragsverarbeiter verpflichtet ist zu monitoren, ob die Tätigkeiten des Auftraggebers rechtmäßig sein. Dies kann vor allem Server-Hoster vor Probleme stellen, die regelmäßig nicht wissen (können), welche Verarbeitungsverfahren konkret die Auftraggeber auf den gehosteten Maschienen betreiben.
- Die Weisungen Weisungen des Auftraggebers sind durch den Auftragsverarbeiter zu dokumentieren. (Art. 28.III a) EU-DSGVO)
- Der Auftragsverarbeiter haftet explizit für seine Sub-Auftragnehmer (Art. 28. IV EU-DSGVO), mit denen er ebenfalls eine Vereinbarung treffen muss (Art. 28. II EU-DSGVO).
- Der Auftraggeber muss bezüglich eines Wechsels der Subauftragnehmer informiert werden und diesbezüglich ein Einspruchsrecht erhalten, auch dann, wenn eine allgemeine schriftliche Genehmigung zur Einschaltung weiterer Auftragnehmer besteht (Art. 28. II EU-DSGVO)
- Der Auftragsverarbeiter muss gewährleisten, dass seine Mitarbeiter angemessen zur Verschwiegenheit verpflichtet wurden (Art. 28. III b) EU-DSGVO).
- Der Auftragsverarbeiter muss zur Dokumentation der Verarbeitungstätigkeit beitragen und entsprechende Verzeichnisse anlegen sowie diese auf Anforderung der Aufsichtsbehörde vorlegen.
Allerdings gilt das Privileg der Auftragsverarbeitung anders im BDSG nicht nur auf den EU/EWR-Raum begrenzt. Zudem kann der Vertrag, auf der die Auftragsverarbeitung beruht, nun auch elektronisch abgeschlossen werden.
Hauptänderung ist die Verantwortung für die Datenverarbeitung im Auftrag. Während bei der Auftragsdatenverarbeitung nach §11 BDSG der Auftraggeber allein verantwortliche Stelle blieb (nach §3 Abs. 7 BDSG: „durch andere im Auftrag vornehmen lässt.“), können nun sowohl Auftraggeber als auch Auftragnehmer verantwortliche Stelle sein.
Das gilt insbesondere dann, wenn (Art. 28.X EU-DSGVO) der Auftragsverarbeiter gegen die Bestimmungen der Verordnung verstößt und selbst Zwecke und Mittel der Verarbeitung bestimmt.
In der Folge
- haftet der Auftragnehmer nach Art. 82 EU-DSGVO gemeinsam mit dem Verantwortlichen (gesamtschuldnerisch) gegenüber der betroffenen Person sowohl für materielle wie auch immaterielle Schäden (z.B. Schmerzensgeld).
- ist der Auftragnehmer wie auch der Auftraggeber nach Art. 79 EU-DSGVO durch die betroffene Person auf diesen Schadensersatz verklagbar.
Die Verantwortung des Auftragsverarbeiters erhöht sich gegenüber den Regelungen des BDSG damit enorm.
Ferner muss die Einhaltung der technisch-organisatorischen Maßnahmen nunmehr vom Auftragsverarbeiter eigeninitiativ nachgewiesen werden (Art. 28. V EU-DSGVO), etwa durch Zertifizierung nach Art. 42 EU-DSGVO. Im Unterschied zur bisher geltenden Regelung, in denen Audits des Auftragnehmers durch den Auftraggeber schon aus Budgetgründen eher spärlich vorkamen, darf der Auftragverarbeiter nicht mehr auf die Anforderung des Auftraggebers warten, sondern muss die Einhaltung selbständig nachweisen.
Weitere wichtige Informationen zur Auftragsdatenverarbeitung vom BayLDA nach der DSGVO finden Sie hier.
Nachdem Art. 6f die Datenverarbeitung durch berechtigtes Interesse weitgehend freizügig regelt, wird durch diesen Art. 21 ein Gegengewicht geschaffen: Betroffene haben die Möglichkeit die Interessenabwägung anzugreifen und persönliche Gründe in feld zu führen, die Datenverarbeitung zu unterbinden, quasi per Opt-Out.
Dazumüssen durch die betroffene Person aber konkrete persönliche Gründe angeführt werden, die die Verarbeitung ihrer Daten – anders als für andere Betroffene – unzumutbar macht. Eine einfache Skepsis oder Laune reichen dafür nicht aus.
Selbst wenn eine Verarbeitung aus den genannten persönlichen Gründen für den einzelnen Betroffenen unzumutbar erscheint, so kann sie dennoch unter den genannten, wenn auch hohen Voraussetzungen rechtmäßig bleiben.
Voraussetzungen für das Recht auf Datenportabilität
• Datenverarbeitung auf Grundlage eines Vertrages nach Art. 6 Abs. 1 b) DSGVO oder auf Basis einer informierten Einwilligung nach Art. 7 DSGVO der betroffenen Person
• Daten beziehen sich auf die betroffene Person, die das Recht geltend macht
• Daten wurden auch von dieser aktiv und wissend bereitgestellt oder bei der Nutzung des Dienstes oder Produktes erhoben
Offenbar nicht von der Bereitstellungspflicht erfasst sind Daten, die aus den von der betroffenen Person bereitgestellten Daten errechnet wurden oder solche, die aus öffentlichen Quellen erhoben wurden. Andererseits besteht hinsichtlich dieser Daten möglicherweise ein Auskunftsrecht nach Art. 15 DSGVO.
Auf das Recht der Datenportabilität muss hingewiesen werden
Nach Art. 13 Abs. 3 b) bzw. Art. 14 Abs. 2 c) DSGVO muss die verantwortliche Stelle über das Recht auf Datenübertragbarkeit informieren.
Einschränkung: Rechte und Freiheiten anderer Personen
Nach Abs.4 dürfen Rechte und Freiheiten von Dritten nicht beeinträchtigt werden. Dies kann für verschiedene Fälle unterschiedlich zu beurteilen sein, etwa wenn es um die Übertragung eines Adressbuches von einem Email-Anbieter zu einem anderen geht oder aber um die Übertragung von Bildern, auf denen auch andere Personen zu sehen sind.
Richtlinie beschlossen
Die Art. 29 Datenschutzgruppe hat hier eine Richtlinie bez. des Rechts auf Datenportabilität bzw. Datenübertragbarkeit beschlossen. Das Dokument ist HIER verlinkt (englisch). Ebenfalls dazu gibt es ein FAQ (auch englisch). (deutsche Vorabversion) Die Bereitstellung von Daten in einem „strukturierten, gängigen und maschinenlesbaren Format“ gestaltet sich schon deshalb als schwierig, da bislang unbestimmt ist, was als solches interoperables Format gelten kann und welche Schnittstellen/APIs und Tools dabei zum Einsatz kommen sollen.
Betroffener muss selbst seine Daten herunterladen können
Wichtig ist auch, dass der Betroffene ein Recht erhalten soll, seine Daten selbst zu downloaden und selbst an eine andere verantwortliche Stelle zu üebrtragen, die Übermittlung also nicht zwangsweise von der verantwortlichen Stelle an eine andere verantwortliche Stelle geschehen muss.
Daten müssen sinnvoll wiederverwendbar sein
Die Art. 29-Gruppe stellt fest, dass nicht notwendigerweise unaggregierte Meta-Daten übertragen werden müssen aufgrund einer nicht weiter spezifizierten Nutzen-Annahme.
Interessante Handreichung des LDA Bayern zum „Recht auf Vergessen“ pdf-Datei, (19.7.2016)
hilfreiche Praxishinweise zur Durchsetzung des Rechts
insbs. auf Basis des Urteils gegen Google Spain von Bird & Bird
Enscheidung EuGH C 131/12 vom 13.4.2016 „Google Spain“:
Entscheidung, dass Google Links zu Zeitungsartiekln über eine viele Jahre zurückliegende Insovenz des Betroffenen entfernen muss
Die Rechtsnorm des Art. 17 EU-DSGVO knüpft an die Entscheidung des EuGH zum Recht auf vergessen an, auch wenn der EuGH dieses Recht nicht erfunden hat, sondern er dies aus den allgemeinen Datenschutzgrundsätzen entwickelte. Die Idee eines „digitalen Radiergummis“ hat sich jedoch nicht in der Form durchgesetzt wie ursprünglich geplant.
Die Voraussetzungen zur Anwendbarkeit des Art. 17 EU-DSGVO sind
• der Entfall des Zweckes für die Datenverarbeitung (lit. a),
• der Widerruf der ermächtigenden Einwilligung (lit. b) oder
• die Unrechtmäßigkeit der Datenverarbeitung (lit. c).
Sofern personenbezogene Daten veröffentlicht werden, sind die Stellen, die diese Daten verarbeiten, über den Löschungsantrag zu informieren. Vernünftigerweise können das im Rahmen der Verhältnismäßigkeit nur die Stellens sein, mit denen die veröffentlichende Stelle zusammenarbeitet. Die Entfernung von Links etwaiger Informationsaggregatoren (z.B. Personen-Suchmaschinen) werden durch die verantwortliche Stelle nur schwer durchsetzbar sein. Auch wird es u.E. kaum zumutbar sein, etwa durch Web-Tracking angebote zu identifizieren, welche anderen Dienste auf die veröffentlichen Inhalte referenzieren, nur um dort eine Löschung des Links zu fordern. Dies wird freilich zu diskutieren sein.
Es wird zu prüfen sein, inwieweit eine Anonymisierung oder auch Pseudonymisierung der Löschung gleichkommt, etwa die Speicherung von Detaildaten, wenn die Zuordnung zu einer Person mit verhältnismäßigen Mitteln ausgeschlossen ist. Praxis ist ferner das Überschreiben von Schlüsseln für verschlüsselte Daten – etwa bei er Smartphonelöschung. Ohne den Schlüssel können die Daten nicht mehr (mit verhältnismäßigem Aufwand) wiederhergestellt werden und gelten daher als gelöscht.
Die Löschpflicht des Art. 17 EU-DSGVO umfasst jedoch auch die Pflicht, etwaige Datenkopien und Links auf Daten und Kopien zu Löschen. Das kann beispielweise bei langfristigen Backups zum Problem werden, ebenso bei Archivierungsdiensten, die z.B. Webseiten archivieren und sich dem Zugriff der verantwortlichen Stelle entziehen.
Allerdings beschränkt sich die Vorschrift nicht nur auf elektronisch gespeicherte Daten. Auch Daten die in Form von Papierakten, Mikrofilen, Fotos oder auf anderen Medien gespeichert sind, sind von der Löschpflicht umfasst.
Sofern personenbezogene Daten im internen Bereich wie bspw. in einem Unternehmen verarbeitet werden, hat dennoch jede Person ein Recht auf Vergessen werden bzw. ein Recht auf Löschung nach Art. 17 EU-DSGVO. Dies war unteranderem der Hintergrund dieses Artikels, um Unternehmen nicht mehr die Möglichkeit zu bieten, Daten über ehemalige Beschäftigte dauerhaft zu speichern. Die Form der Speicherung ist nicht abhängig von der Geltendmachung dieses Rechts. Die Pflicht zur ausreichenden und technischen Sicherung besteht nach Art. 32 EU-DSGVO dennoch. Das Recht auf Vergessenwerden muss jedoch geltend gemacht werden. Eine Betroffene Person kann nicht davon ausgehen, dass nach Ausscheidung aus dem Unternehmen die personenbezogenen Daten automatisch gelöscht werden. Hierbei muss einer der in Art. 17 Abs. 1 aufgeführten Gründe vorliegen, welche nicht kumulativ vorliegen müssen. Die Ausnahmen sind in Art. 17 Abs. 3 beschrieben, wobei entgegenstehende Aufbewahrungsfristen zu beachten sind, so dass für diese Zeit die Daten auch in Backups weiterbestehen dürfen.
Ausnahmen von der Löschpflicht ergeben sich in Fällen, in denen ein übergeordnetes Interesse dem entgegensteht, etwa bei der Ausübung des Rechts auf Presse- oder Meinungsfreiheit oder zu Zwecken der Forschung. Bei erstgenannten Rechten ist jedoch zu beachten, dass das Recht der Intimsphäre stets höher gewichtet wurde, insofern kommt es sehr auf den Einzelfall der zu löschenden Information an.
Die tatsächliche Umsetzung dieses Artikels dürfte in der Praxis schwierig werden. Schon derzeit bestehen oft Schwierigkeiten in der Definition und Umsetzung von Löschkonzepten (vgl. TÜV Süd DSI v. 8.12.2015). Dies ist verständlich, wenn man bedenkt, dass nach einer Studie zwei Drittel der gespeicherten Daten gar nicht in den Unternehmen bekannt sind („Dark Data„). Dies ist verständlich, da es oft günstiger ist, Speicherkapazitäten zu vergrößern, als Zeit in die Löschung nicht mehr benötigter Daten zu investieren. Dies kann sich gleichwohl rächen, wenn durch entsprechende Leaks bekannt wird, dass – entgegen anderslautenden Zusicherungen – Daten niemals gelöscht wurden.
Entsprechende Designmerkmale von Verarbeitungsanlagen bzw. -software und fehlende technische Standards dürfen dies zusätzlich erschweren.
Daten bez. strafrechtlicher Verurteilungen, Straftaten wie auch Verdächtigungen diesbezüglich waren in der bisherigen Definition besonderer Arten personenbezogener Daten nach §3.IX BDSG nicht enthalten. Gleichwohl waren diese im Katalog von Datenkategorien enthalten, bei deren unrechtmäßiger Kenntniserlangung nach §42a BDSG eine Meldepflicht bestand.
Während andere besondere Kategorien personenbezogener Daten, wie z.B. Gesundheitsdaten, in bestimmten Kontexten eher unproblematisch sind, soll die Verarbeitung dieser Art von Daten besonders geschützt werden.
Die alten EU-Datenschutzrichtlinie stellte, wie auch verschiedene Entwurfsfassungen der Verordnung, auf ein umfassendes Register von solchen Daten ab, vgl. Art. 8 Abs. 5 EU-DS-RiLi.
Inhalt ist die Verarbeitung von Daten über Straftaten und Sicherungsmaßregeln (z.B. bei Schuldunfähigkeit), Ordnungswidrigkeiten bleiben außen vor. Zudem sind die Daten des Täters gemeint, nicht die von zufällig Beteiligten wie z.B. Zeugen.
Ein polizeiliches Führungszeugnis wird vermutlich unter den Anwendungsbereich des Art. 10 DSGVO fallen. Eine Verarbeitung dieser Daten ohne behördliche Aufsicht, etwa zu Zwecken des Beschäftigungsverhältnisses wäre dann möglich, denn der nationale Gesetzgeber dies aufgrund der enthaltenen Öffnungsklausel näher regelt.
Auch in der DSGVO gibt es Daten die besonders schutzwürdig sind. Es sind einige Neuerungen mitenthalten, wie z.B. Änderungen durch die Datenschutzfolgenabschätzung. Eine weitere Neuerung zeigt sich im Gesetzeswortlaut des Artikel 9, welcher sich um die genetischen und biometrischen Daten erweitert hat. Verantwortlichen ist nun zu raten, den Auswirkungen der hinzukommenden Einordnungen zu folgen. Die Regelungen der Sozialgesetzbücher bleiben jedoch auch nach 2018 erhalten. Hier finden Sie eine kurze Übersicht des BayLDA.
Inwieweit eine Videoüberwachung mit Nutzung biometrischer Gesichtserkennung tatsächlich unmöglich ist (vgl. Statement der Berliner Datenschutzbeauftragten Maja Smoltczyk bei HEISE.DE , bleibt hinsichtlich der vielen Ausnahmen vom „grundsätzlichen Verbot“ nach Art. 1 fraglich, insbesondere wenn ein nationales Gesetz dies erlauben sollte.
Erwägungsgründe: 32, 33, 42, 43 – vgl. auch Art. 4 (11) EU-DSGVO
Äquivalent im BDSG: §§4a, 28.IIIa, IIIb BDSG
Die Anforderungen gegenüber der Einwilligung haben sich in der EU-DSGVO deutlich verschärft:
Freiwilligkeit
- Kein Koppelgeschäft (Art. 7 Abs. 4 EU-DSGVO):
keine Erfüllung eines Vertrages oder keine Erbringung einer Dienstleistung wird davon abhängig gemacht - Kein Über-Unterordnungsverhältnis
- Widerrufbarkeit (muss so einfach wie die Erteilung sein)
- Ohne Unterbrechung des Dienstes (Erwägungsgrund 32)
Bestimmtheit
- Für verschiedene Zwecke / Verarbeitungsvorgänge müssen separate Einwilligungen abgegeben werden.
Informiertheit
- Über Zweck und Umfang der Verarbeitung
- Über den Verantwortlichen
- Über das Widerrufsrecht (galt bisher i.W. nur im TMG), insbesondere auch Folgen der Verweigerung und des Widerrufs der Einwilligung
Unmissverständlichkeit
- in einer (schriftlichen) Erklärung Form oder einer sonstigen aktiven, eindeutig bestätigenden Handlung, z.B. durch Anklicken eines Kästchens oder Auswahl entsprechender Einstellungen (Vorsicht: Privacy by default, Art. 25 (2) EU-DSGVO!)
- Kann auch mündlich oder elektronisch geschehen (=> Nachweisbarkeit?)
Nachweisbarkeit
- Die Einwilligung muss auch nach jahren noch nachweisbar sein,
was insbesondere bei schriftlichen Erklärungen schwierig sein dürfte (Auffindbarkeit? => einscannen und mit Namen taggen!).
In verständlicher und leicht zugänglicher Form / klaren, einfachen Sprache
- Hier ist die Auswirkung noch ziemlich unklar. Sicher ist gemeint, dass kein „Juristen-Deutsch“ (schon gar keine Fremdsprache) und keine zu verschachtelten Sätze benutzt werden sollten. vermutlich werden die Einwilligungstexte hierdurch deutlich länger!
Bei Minderjährigen
- bei Kindern bis 16 Jahren nur mit Zustimmung des Erziehungsberechtigten (Art. 8)
Update der Bestands-Opt-Ins
Ferner sind bestehende Einwilligungen bis zur Anwendbarkeit der DSGVO im Mai 2018 upzudaten, eine weitere Übergangsfrist ist nicht vogesehen. Ab diesem Datum müssen alle genutzten Einwillgungen den o.g. (strengeren) Anforderungen genügen.
Ausweichen auf eine Erlaubnisnorm wie Art. 6f EU-DSGVO?
Es ist daher mehr denn je fraglich, ob sich ein Unternehmen auf die Wirksamkeit seiner Einwilligungen verlassen kann. Aus diesem Grund werden viele Unternehmen versuchen, statt einer Einwilligung die Daten auf Basis rechtlicher Erlaubnisnormen z.B. des Art. 6 DSGVO zu verarbeiten. Hierzu gibt insbesondere Art. 6f EU-DSGVO mit dem weitgehend unbestimmten, interpretations- und abwägungswürdigen Begriff des begründeten Interesses weiten Spielraum.
Benachteiligung deutscher Werbetreibender aufgrund des strengen UWGs?
Deutsche Datenverarbeiter müssen insbesondere für Zwecke des Direktmarketings jedoch beachten, dass das Wettbewerbsrecht, insbesondere §7 UWG weiterhin Bestand haben wird, also für bestimmte Kanäle wie etwa eMail weiterhin ein Opt-In erforderlich sein wird. Insofern könnte Deutschland als Standort benachteiligt sein, sofern der die verantwortliche Stelle in einem europäischen Land seinen Sitz hat, das keine so strengen wettbewerbsrechtlichen Anforderungen kennt.
Hilfreiche Dokumente:
ECO Richtlinie für zulässiges Email-Marketing
Einwilligung nach der DSGVO des BayLDA
Werbung und Adresshandel
Da das UWG vermutlich nicht durch die EU-DSGVO verändert wird, ändert sich am wettbewerbsrechtlichen Einwilligungsvorbehalt wenig.
Da die Spezialnormen zur Eigenwerbung und zum List-Brokering wegfallen, wird die Erlaubnisnorm des Art. 6 f) (berechtigtes Interesse) entscheidend für die Zukunft des Direktmarketings und des Adresshandels sein. (vgl. Artikel zum Adresshandel)
Zu klären ist wie postalische Eigenwerbung an Bestandskunden, aus Listendaten oder Daten aus öffentlichen Verzeichnissen künftig geregelt sein soll.
Art. 5 der EU-DSGVO setzt die übergeordneten Prinzipien der Datenverarbeitung. Die Begrifflichkeiten Rechtmäßigkeit, Verarbeitung nach treu und Glauben und Transparenz (Abs. 1) werden – sofern überhaupt – erst in folgenden Artikel konkretisiert und bleiben hier im Ungefähren.
Die Prinzipen der Zweckbindung, Richtigkeit und Datenminimierung bzw. Speicherbegrenzung (bisher: Datensparsamkeit) sind bereits bekannt.
Insbesondere Datensparsamkeit und Zweckbindung wurden im Entwicklungsprozess der Verordnung hart umkämpft. Grund war u.a. die Behindung von möglichen Big-Data-Geschäftsmodellen, z.B. im medizinischen Bereich. Dies mag der Grund sein, warum wissenschaftliche oder historische Forschungszwecke als Ausnahme definiert wurde.
Art. 5 Abs. 2 EU-DSGVO führt für Verantwortliche wie auch Auftragsverarbeiter die Pflicht zum Nachweis der Datenschutz-Compliance ein (Rechenschaftspflicht bzw. „accountability“). Der Nachweis wird schwer zu führen sein, am ehesten durch den Nachweis geeigenter Verfahren und Prozesse. Dies kommt der Pflicht zur Einführung eines Datenschutz-Managementsystems mit konkret definierten Verantwortlichkeiten für die Datenschutz-Compliance und Einbindungsverpflichteten des Datenschutz-Beauftragten oder -koordinators.
Zur Pseudonymisierung der Daten(5) : es fehlt eine Entsprechung in der Einwilligung in Art. 6. Jedoch wird es in der Praxis i.d.R. so gehandhabt, dass pseudonymisierte Daten für die verantwortliche Stelle, die keinen Zugang zum personalisierenden Schlüssel besitzt und auch sonst die Daten wenn überhaupt nur mit unverhältnismäßigem Aufwand personalisieren könnte, als anonymisierte Daten und nicht mehr als personenbezogene Daten gelten. Interessante Erwägungsgründe bez. der Pseudonymisierung: 28 und 29
Es fehlt eine Definiton der Anonymisierung bzw. von anonymen Daten. Jedoch wird in Erwägungsgrund 26 auf diese eingegangen.
Absatz 1:
Die Regelungen sollen auch anwendbar sein für die Niederlassungen von außereuropäischen Unternehmen, die in Europa eine Niederlassung betreiben wie auch europäischen Unternehmen, die eine Datenverarbeitung irgendwo auf der Welt betreiben. Allerdings gilt dies offenbar nur für die Verarbeitung der Daten durch diese Niederlassung. Die bisher in europäischen Datenschutz-Paradiesen wie Irland durchgeführte Datenverarbeitung unterläge damit dem gleichen Recht wie etwa in Deutschland. gestalterisch könnte die Verarbeitung nur noch in ein Land außerhalb der EU transferiert werden mit den dann aufkommenden Problemen eines etwa unsicheren Drittlandes. Allerdings könnten Länder mit einem als EU-konform eingestuften Datenschutzniveau – wie z.B. Kanada – von dieser Regelung profitieren.
Ferner soll die Verordnung auch auf solche außereuropäischen Verarbeiter anwendbar sein, die für eine innereuropäische verantwortliche Stelle oder als Subunternehmers eines innereuropäischen Auftragsdatenverarbeiters tätig werden.
Absatz 2:
Die Verordnung ist auch dann anwendbar wenn die Datenverarbeitung durch außereuropäische Stellen gezielt Daten über Personen in der EU verarbeitet, sei es durch das Angebot von Waren oder Dienstleistungen oder der Verhaltensbeobachtung wie z.B. beim Tracking/Profiling und Targeting im Rahmen der Werbung.
Absatz 3:
Die Verordnung ist auch anwendbar auf solche Orte, die dem Recht eines europäischen Staates unterliegen.
Vergleich zu BDSG:
Die Regel erweitert den Anwendungsbereich deutlich über das, was nationalstaatliche Gesetze – wie etwa das BDSG – erreichen. Es wird sich aber zeigen, inweit dies außereuropäischen Unternehmen einerseits bekanngegeben werden soll und zweitens wie die Einhaltung durch gesetzt werden soll angesichts der Positionierung der Aufsichtsbehörden.
Handlungsbedarf für deutsche Unternehmen:
Sie sollten ihre außereuropäischen Datenverarbeiter darauf hinweisen, dass für sie künftig die EU Datenschutz Grundverordnung gilt und sie als für einen innereuropäischen Kunden tätiger Datenverarbeiter die entsprechend höheren Anforderungen zu erfüllen haben. Da in der Praxis wenig Reaktion insbesondere von US-Unternehmen zu erwarten ist, ist die Frage angebracht, ob deutsche Unternehmen sich nach innereuropäischen Verarbeitern umsehen sollten.
Absatz 1 beschreibt den Anwendungsbereich in Anlehnung an §27 BDSG
Absatz 2 grenzt den Anwendungsbereich ein: Die Verarbeitung von Daten i.R.d. nationalen Sicherheit – also z.B. der Geheimdienste – sowie der Strafverfolgung bleibt bei der Richtlinie außen vor. Dies gibt den Nationalstaaten weitgehend freie Hand für die Aufzeichnung von Daten i.R.d. Sicherheits bzw. der Kriminalitätsbekämpfung.
Der Datenschutz darf also kein Argument mehr sein, den Verkehr der Daten, d.h. die Weitergabe i.R.v. Verarbeitungen im Auftrag oder i.R.v. Übermittlungen, zu behindern. Für Datenverkehre darf es innereuropäisch keine Grenzen mehr geben (free movement of data). Dabei geht es weniger um die Lockerung der Bestimmungen, sondern um die Feststellung, dass der Datenverkehr zwischen EU-Ländern nicht stärker reguliert sein soll als innerhalb eines Mitgliedsstaates. Dies gilt selbstverständlich nicht für Übermittlungen an Staaten außerhalb der EU in sog. Drittländer, wie etwa die USA (vgl. dazu Kap. V, Art. 44ff ).
Es geht hier ebenso wie im BDSG ausschließlich um personenbezogene Daten. Natürliche Personen geniessen – im Unterschied zu juristischen Personen – ein Grundrecht auf den Schutz der sie betreffenden personenbezogenen Daten, das sich u.a. aus Art. 8 Abs. 2 der EU-Grundrechtscharta (EU-GRCh) ableitet, hilfsweise auch aus Art. 8 der Europäischen Konvention zum Schutz der Menschenrechte und Grundfreiheiten (EMRK). Bachte, dass es hier um ein Menschen- nicht um ein Bürgerrecht geht, da dieses Grundrecht nicht auf eine EU-Bürgerschaft abstellt.
Das Grundrecht auf Schutz der personenbezogenen Daten gilt jedoch nach EG 27 nicht für Verstorbene, jedoch existiert hier eine nationale Öffnungsklausel. Zu Beachten sind zudem andere rechtliche Vorschriften zur Wahrung der Ehre Verstorbener.
Allerdings wird hier der Schutzzweck auf die „Verarbeitung“ beschränkt. Das BDSG spricht hingegen immer von Erhebung, Verarbeitung und Nutzung. Diese ohenhin teilweise eher akademische Trennung wurde in der EU-DSGVO aufgegeben.