Anwalt DSGVO – Jetzt erforderliche Anpassungsmaßnahmen

 1. Mai 2018
von Christian Kramarz, LL.M.

Ab dem 28.5.2018 wird die Datenschutzgrundverordnung (DSGVO) in allen Mitgliedstaaten der EU, also auch in Deutschland geltendes Recht. Dies bedeutet, dass ab diesem Tag die Regelungen umgesetzt sein müssen, aber nur in Bezug auf personenbezogene Daten. Dahingehend ist die DSGVO mit dem BDSG noch gleichzusetzen.

Daher sollten nun die folgenden Änderungen vorgenommen werden (Schenck/Mueller-Stöfen: Die Datenschutz – Grundverordnung: Auswirkungen in der Praxis, Gesellschafts- und Wirtschaftsrecht (GWR), 2017, Heft 9, S. 171-179; Wybitul: Welche Folgen hat die EU-Datenschutz-Grundverordnung für Compliance?, CCZ, 2016, Heft 05, S.194-198):

  1. Datenschutzbeauftragter

Bisher nach dem BDSG hatten nur Unternehmen, bei welchen mehr als neun Mitarbeiter mit der automatisierten Verarbeitung von personenbezogenen Daten beschäftigt sind, einen Datenschutzbeauftragten zu bestellen. Nach der DSGVO ist die Anzahl der Mitarbeiter nun nicht mehr ausschlaggebend für die Pflicht der Bestellung eines Datenschutzbeauftragten, sondern nach Art. 37 Abs. 1 DSGVO Unternehmen, wie Ihres, einen Datenschutzbeauftragten bestellen, wenn:

  • Die Kerntätigkeit in der Datenverarbeitung (v.a. von besonders sensibler Daten) liegt (s. BeckOK DatenschutzR/Moos, 22. Ed. 1.5.2017, DS-GVO Art. 37 Rn. 3-8):

Unter Kerntätigkeit versteht man die Datenverarbeitung eines Unternehmens als Haupttätigkeit und nicht als Nebentätigkeit, man muss also auf den Geschäftsgegenstand des Unternehmens abstellen. Die Verarbeitung von Mitarbeiterdaten fällt daher in der Regel nicht darunter.

Kerntätigkeiten, die eine umfangreiche, regelmäßige und systematische Überwachung betroffener Personen mit sich bringen oder in einer umfangreichen Verarbeitung besonders sensibler personenbezogener Daten umfassen, bedürfen aber eines Datenschutzbeauftragten.

Unter Systematische und umfangreiche Überwachung versteht man die Videoüberwachung in öffentlichen Bereichen. Dies muss aber auch die Haupttätigkeit eines Unternehmens sein, d.h. Videoüberwachungen in Ladenlokalen zur Durchsetzung des Hausrechts und zur Diebstahlverhinderung bzw. -Aufklärung sowie die Mitarbeiterüberwachung fallen nicht darunter.

Unter der umfangreichen Verarbeitung besonders sensibler Daten versteht man die Haupttätigkeit eines Unternehmens, große Mengen an personenbezogenen Daten der Datenkategorien des Art. 9 DSGVO und Art. 10 DSGVO (sensible Daten) oder von vielen Personen zu verarbeiten.

  • mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind (§ 38 Abs. 1 des vom Bundestag am 27. April 2017 angenommene Entwurf des DSAnpUG-EU; zusätzlich zur DSGVO anzuwenden)
  1. Verfahrensverzeichnis

Nach der DSGVO muss nun ein Verfahrensverzeichnis geführt werden, Art. 30 Abs. 1, 3 DSGVO. Art. 30 Abs. 5 DSGVO sieht allerdings eine Vereinfachung eines Verfahrensverzeichnisses bzw. der Pflichten für ein Unternehmen/eine Einrichtung, die weniger als 250 Mitarbeitern hat, vor. Ein Verfahrensverzeichnis muss für kleinere Unternehmen nur dann angelegt werden, wenn die Verarbeitung der Daten z.B.

  • risikoreich für die Rechte und Freiheiten der Betroffenen ist,

Rechte und Freiheiten sind dabei weit zu verstehen, der Betroffene soll aber vor jedem „physischen, materiellen oder immateriellen Schaden“ geschützt sein (75. Erwägungsgrund). Eine Schädigung des Betroffenen liegt z.B. dann vor, wenn er Opfer von Straftaten (wie z.B. Verleumdung, Betrug, Rufschädigung oder Diskriminierung) wird. Die Rechte und Freiheiten werden durch jeglichen Nachteil (wirtschaftlich oder gesellschaftlich) angegriffen. Risikoreich ist bspw. das Unterlassen einer Pseudonymisierung, der Vertraulichkeitsverlust von vertraulichen Daten und die „Bewertung persönlicher Aspekte“ wie Vorlieben, Interessen, Aufenthaltsort oder wirtschaftliche Lage (ErwGr 75, s. auch die dort aufgeführten vielen weiteren Beispiele). Somit kann eigentlich jede Verarbeitung der Daten die Rechte und Freiheiten betreffen. Allerdings kommt es auf die Risikoschwelle an. Das Risiko muss höher liegen als bei jeder Datenverarbeitung. Riskant kann z.B. das Verwenden neuer Technologien/Methoden sein. Art. 30 Abs. 5 DSGVO gibt aber keinen Aufschluss darüber, welche Verarbeitungen risikoreich sein könnten. Mögliche Anknüpfungspunkte sind nach den 74. und 89. Erwägungsgründen Art, Umfang (vgl. auch 91. Erwägungsgrund), Umstände und Zwecke einer Datenverarbeitung. Ein zu beachtender Zweck nach dem 75. Erwägungsgrund ist z.B. die „Bewertung persönlicher Aspekte“ für eine Profilerstellung, z.B. zum Einkaufsverhalten oder zur Kredit- und Miet(un)würdigkeit. Zu den Umständen der Verarbeitung zählt insbes. die sensible Natur der Daten (BeckOK DatenschutzR/Spoerr, 22. Ed. 1.11.2017, DS-GVO Art. 30 Rn. 18-23).

  • nicht nur gelegentlich erfolgt (Verarbeitungen von Daten im Rahmen der Lohnbuchhaltung/Führung von Personalakten/Kundendatenverarbeitung erfolgen nicht gelegentlich)

In der DSGVO findet man auch keine Definition von „gelegentlich“, eine Datenverarbeitung kann aber nach Art. 28 Abs. 4 lit. b des nicht mehr als gelegentlich eingestuft werden, wenn sie in der Kerntätigkeit des Unternehmens liegt. Zudem ist eine vorhersehbar regelmäßig wiederkehrende Datenverarbeitung (Verarbeitung im Rahmen des Kundenmanagements, Buchhaltung und Personalmanagement) nicht nur gelegentlich. Gelegentlich ist eine Datenverarbeitung, wenn sie nur eingesetzte wird, zur Hilfe, um ein anderes Ziel zu erreichen (BeckOK DatenschutzR/Spoerr, 22. Ed. 1.11.2017, DS-GVO Art. 30 Rn. 24).

Ist dies der Fall muss es die folgenden Pflichtangaben enthalten:

  • Name und Kontaktdaten des Verantwortlichen, ggf. des mit ihm gemeinsam Verantwortlichen, der Vertreter des Verantwortlichen, ggf. der Datenschutzbeauftragte,
  • Zwecke/Ziele der Datenverarbeitung,
  • Beschreibung der Kategorien Betroffener und Beschreibung der personenbezogenen Daten,
  • Empfängerkategorien,
  • Datenübermittlungen an ein Drittland oder eine internationale Organisation,
  • Sofern es möglich ist, Angaben zu Fristen für die Löschung der Daten,
  • Sofern möglich, eine allgemeine Beschreibung von technischen und organisatorischen Maßnahmen.
  1. Folgeabschätzung

Stellt eine Verarbeitung der Daten ein voraussichtlich erhöhtes Risiko für die Rechte und Freiheiten (Def. s.o.) des Betroffenen dar, müssen Sie vorher eine Folgeabschätzung unternehmen nach Art. 35 Abs. 1 DSGVO. Nach Art. 35 Abs. 2 DSGVO muss der Datenschutzbeauftragte diesbezüglich um Rat gefragt werden, sofern Sie einen bestellt haben. Mit der Folgenabschätzung soll überprüft werden, ob das geprüfte Verfahren datenschutzrechtlich zulässig ist. Ergibt sie, dass ein hohes Risiko, das der Verantwortliche nicht eindämmen will oder kann, besteht, so muss er sich nach Art. 36 Abs. 1 DSGVO an die Aufsichtsbehörde wenden. Diese kontrolliert dann, ob das Verfahren datenschutzrechtlich zulässig ist oder nicht und gibt innerhalb von acht Wochen eine Empfehlung ab. Die Frist kann auch um 6 Wochen ausgesetzt oder verlängert werden.

Eine Folgenabschätzung ist nach Art. 35 Abs. 3 DSGVO insbesondere in folgenden Fällen vorzunehmen:

  • systematische und umfassende Persönlichkeitsbewertung auf der Basis automatisierter Datenverarbeitung einschließlich Profiling, welche eine Entscheidungsgrundlage mit Rechtswirkungen für den Einzelnen bildet oder sich ähnlich auf diesen auswirkt,
  • Verarbeitung sensitiver Daten gem. Art. 9 Abs. 1 DSGVO oder Art. 10 Abs. 1 DSGVO,
  • systematisch umfangreiche Überwachung öffentlich zugänglicher Bereiche.

Die Folgenabschätzung hat nach Art. 35 Abs. 7 DSGVO mindestens Folgendes zu enthalten:

  • systematische Beschreibung der geplanten Verarbeitungsvorgänge und der Zwecke der Verarbeitung,
  • Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge,
  • Bewertung der Risiken für Rechte und Freiheiten der Betroffenen,
  • die zur Bewältigung der Risiken geplanten Abhilfemaßnahmen, durch die der Datenschutz sichergestellt wird.

Stellt sich heraus, dass ein Risiko besteht und wendet sich der Verantwortliche an die Aufsichtsbehörde muss er folgendes mitteilen:

  • Angaben zu den jeweiligen Zuständigkeiten bei dem Verantwortlichen/ Auftragsdatenverarbeiter,
  • Zweck/Mittel der beabsichtigten Verwendung,
  • Maßnahmen/ Garantien zum Schutz der Rechte/Freiheiten der Betroffenen,
  • Kontaktdaten des Datenschutzbeauftragten,
  • die Datenschutz-Folgenabschätzung,
  • alle sonstigen von der Aufsichtsbehörde angeforderten Informationen.
  1. technische und organisatorische Maßnahmen

Bezüglich der technischen und organisatorischen Maßnahmen sieht die DSGVO auch einige Änderungen vor, nach Art. 32 DSGVO muss der Verantwortliche nun u. a. folgende Maßnahmen, einrichten, die ein angemessenen Schutzniveau (und kein hohes) bieten müssen:

  • Pseudonymisierung der personenbezogenen Daten (neu nach der DSGVO) und Verschlüsselung der personenbezogener Daten
  • ein Verfahren welches regelmäßig eine Überprüfung/Bewertung/Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen durchführt, um die Sicherheit der Verarbeitung gewährleisten zu können (neu nach der DSGVO)
  • (ähnlich dem BDSG) die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste sicherzustellen,
  • die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfällen rasch wiederherzustellen (Datensicherung),
  1. Privacy by Design und Privacy by Default

Bisher gab es durch das BDSG keine ausdrücklichen Vorgaben zu Privacy by Design und Privacy by Default. Die DSGVO verpflichtet den Datenverarbeiter in Art. 25 Abs. 1 zu Privacy by Design. Dies bedeutet, dass er bereits bei der Einrichtung eines Datenverarbeitungssystems sowie bei der eigentlichen Datenverarbeitung selbst geeignete technische und organisatorische Maßnahmen treffen muss, die eine datenschutzrechtskonforme Datenverarbeitung nach sich ziehen, insbesondere eine Datenminimierung. Die oben genannten technischen und organisatorischen Maßnahmen sollten daher nach den folgenden Punkten ausgewählt werden:

  • Stand der Technik,
  • Implementierungskosten,
  • Art, Umfang, Umstände und Zweck der Datenverarbeitung,
  • Eintrittswahrscheinlichkeit und Schwere der mit der Verarbeitung verbundenen Risiken für den Betroffenen.

In Abs. 2 werden Sie dann auch zu Privacy by Default verpflichtet. Dies bedeutet, dass z.B. die Online-Dienste so eingestellt werden müssen, dass möglichst wenig personenbezogene Daten verarbeitet werden, und zwar nur die personenbezogenen Daten, die für den jeweiligen Zweck notwendig sind. Dies bezieht sich auf die Anzahl der erhobenen Daten, den Umfang der Verarbeitung, die First der Datenspeicherung sowie die Zugänglichkeit der Daten.

  1. Datenschutzerklärung

Natürlich sieht die DSGVO auch Änderungen bzgl. Datenschutzerklärungen vor. In Art. 13 DSGVO sind die Informationen aufgelistet, die nun eine Datenschutzerklärung enthalten muss. Die folgenden Inhalte müssen nun auch in einer Datenschutzerklärung enthalten sein:

  • Name und Kontaktdaten des Verantwortlichen und ggf. des Vertreters
  • die Kontaktdaten des Datenschutzbeauftragten, sofern einer bestellt wurde
  • Rechtsgrundlage der Verarbeitung
  • Dauer der Datenspeicherung oder die Kriterien für die Festlegung der Dauer
  • Der Betroffene hat ein Recht auf Auskunft, auf Berichtigung oder Löschung oder auf Einschränkung der Verarbeitung oder auf Widerspruch und ein Recht auf Datenübertragbarkeit
  • Der Betroffene hat ein Recht zur Beschwerde bei einer Aufsichtsbehörde
  • Ist die Bereitstellung der Daten gesetzlich oder vertraglich vorgeschrieben, oder für einen Vertragsabschluss erforderlich oder ist der Betroffene verpflichtet, die Daten bereitzustellen und welche Folgen hat es, wenn er dem nicht nachkommt
  • wenn die Verarbeitung auf einer Einwilligung beruht, das Bestehen eines Widerrufsrechts
  1. Rechte der Betroffenen

Durch die DSGVO stehen dem Betroffenen nun mehr Rechte zu (über diese muss in der Datenschutzerklärung wie oben erklärt informiert werden). Was diese Erweiterung der Rechte nun genau bedeutet, wird im Folgenden erläutert:

  • Recht auf Auskunft:

Dies ist bei der DSGVO weitergefasst als bei dem BDSG. Nach Art. 15 Abs. 1 DSGVO können die Betroffenen eine Auskunft verlangen, ob durch den Datenverarbeiter von dem Betroffenen personenbezogene Daten verarbeitet werden. Der Betroffene kann demnach Informationen über die folgenden Punkte verlangen:

  • die Verarbeitungszwecke;
  • die Kategorien personenbezogener Daten, die verarbeitet werden;
  • die Empfänger oder Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, insbesondere bei Empfängern in Drittländern oder bei internationalen Organisationen;
  • die Dauer der Speicherung oder die Kriterien für die Festlegung der Dauer;
  • das Bestehen eines Rechts auf Berichtigung oder Löschung, auf Einschränkung der Verarbeitung oder eines Widerspruchsrechts gegen diese Verarbeitung;
  • das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde;
  • wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben werden, alle verfügbaren Informationen über die Herkunft der Daten;

 

  • Recht auf erhalten einer Kopie:

Nach Art. 15 Abs. 3 DSGVO haben die Betroffenen nun das Recht kostenlos eine Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, zu erhalten. Für alle weiteren Kopien, die die betroffene Person beantragt, kann der Datenverarbeiter aber ein angemessenes Entgelt auf der Grundlage der Verwaltungskosten verlangen. Nach Art. 15 Abs. 4 DSGVO darf dieses Recht aber nicht die Rechte und Freiheiten (Def. s.o.) anderer Personen beeinträchtigen.

  • Recht auf Berichtigung der Daten:

Dieses Recht ist in Art. 16 DSGVO festgelegt und mit der Vorschrift aus dem BDSG vergleichbar. Zudem hat der Betroffene nach Art. 18 Abs. 1 lit. a DSGVO das Recht, die Sperrung der Daten zu verlangen, sofern die Daten nicht richtig sind.

  • Recht auf Löschung:

Dieses Recht ist nach dem DSGVO etwas ausgeprägter als nach dem BDSG. Nun hat man das sog. Recht auf „Vergessenwerden“, welches in Art. 17 Abs. 1 DSGVO festgelegt ist. Der Betroffene kann die Löschung der Daten in folgenden Situationen verlangen:

  • Die personenbezogenen Daten sind für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig.
  • Die betroffene Person widerruft ihre Einwilligung und es fehlt an einer anderweitigen Rechtsgrundlage für die Verarbeitung.
  • Die betroffene Person legt Widerspruch gegen die Verarbeitung ein und es liegen keine vorrangigen berechtigten Gründe (nach Art. 21 Abs. 1 DSGVO) für die Verarbeitung vor
  • Die personenbezogenen Daten wurden unrechtmäßig verarbeitet
  • Löschung aufgrund von Unionsrecht oder eines Rechts der Mitgliedsstaaten
  • Datenverarbeitung aufgrund Einwilligung der Verarbeitung von Daten von Kindern

Nach Art. 17 Abs. 2 DSGVO, sofern der Datenverarbeiter die Daten öffentlich gemacht haben, muss er auch andere Datenverarbeiter über die Löschung berichten, damit diese anderen Verarbeiter auch alle Daten löschen. Nach Art. 17 Abs. 3 DSGVO darf der Verantwortliche die Löschung der Daten aber verweigern, wenn die Verarbeitung zur Ausübung der Meinungs- und Informationsfreiheit (Einzelfallabhängig, überwiegen die Belange der Meinungsfreiheit die Belange des Persönlichkeitsschutzes?, BeckOK DatenschutzR/Worms, 22. Ed. 1.8.2017, DS-GVO Art. 17 Rn. 81), zur Erfüllung einer Rechtspflicht, aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit (nach Art. 9 Abs.2, Abs.3 DSGVO), für öffentliche Zwecke (Archivzwecke, wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke nach Art. 89 Abs. 1 DSGVO) (BeckOK DatenschutzR/Worms, 22. Ed. 1.8.2017, DS-GVO Art. 17 Rn. 86) oder zur Wahrnehmung von Rechtsansprüchen (hier geht es darum, zu verhindern, dass die betroffene Person die Löschung ihrer Daten betreibt, um dem Dritten die Rechtsverfolgung zu erschweren oder unmöglich zu machen, BeckOK DatenschutzR/Worms, 22. Ed. 1.8.2017, DS-GVO Art. 17 Rn. 87) erforderlich ist.

  • Recht auf Einschränkung der Verarbeitung:

Nach Art. 18 Abs. 1 DSGVO können die Betroffenen dieses Recht in Anspruch nehmen, wenn

  • die Richtigkeit der Daten für die zur Prüfung erforderliche Dauer bestritten wird,
  • die Daten unrechtmäßig verarbeitet werden, anstatt Löschung,
  • Rechtsansprüche wahrgenommen werden,
  • die Begründetheit eines Widerspruchs nach Art. 21 Abs. 1 DSGVO geprüft wird

 

  • Recht auf Benachrichtigung:

Dieses Recht ist nach der DSGVO etwas ausgeprägter als bei dem BDSG. Nach Art. 19 DSGVO muss der Verantwortliche den Empfänger der Daten über die Berichtigung/ Löschung/ Sperrung informieren, soweit dies nicht unmöglich oder mit einem unverhältnismäßigen Aufwand verbunden ist. Der Betroffene kann Sie zudem dazu auffordern ihm Auskunft über die Empfänger der Daten zu geben.

 

  • Recht auf Datenübertragbarkeit:

Dieses Recht ist neu nach der DSGVO und in Art. 20 verankert. Vom Verantwortlichen kann nun verlangt werden, dass er die personenbezogenen Daten, die ihm zur Verfügung gestellt wurden, in einem strukturierten, gängigen und maschinenlesbaren Format dem Betroffenen zukommen lässt. Zudem hat der Betroffene das Recht, die Daten einem anderen Verantwortlichen zu übermitteln, wenn

  • die Datenverarbeitung durch Einwilligung oder aufgrund eines Vertrages erfolgte
  • und die Verarbeitung mithilfe automatisierter Verfahren erfolgt.

Nach Abs. 2 kann vom Verantwortlichen sogar verlangt werden, dass er die Daten direkt an einen anderen Verantwortlichen überträgt, sofern dies technisch umsetzbar ist.

  • Widerspruchsrecht:

Nach Art. 21 DSGVO hat der Betroffene nun auch das Recht auf Widerspruch. Der Datenverarbeitung kann also nun widersprochen werden.

  • 1 befasst sich allgemein damit,
  • 2 und Abs. 3 befassen sich mit der Direktwerbung (Direktwerbung nicht definiert; zum Begriff s. Ehmann/Selmayr/Kamann/Braun Rn. 47, die insbes. auf den unmittelbaren Kontakt zwischen Werbenden und Adressaten abstellen. Darunter fällt die Verletzung der Privatsphäre durch unerbetene Nachrichten, insbes. durch automatische Anrufsysteme, Faxgeräte und elektronische Post, einschließlich SMS (Richtlinie 2002/58/EG, EG 40). BeckOK DatenschutzR/Forgó, 22. Ed. 1.11.2017, DS-GVO Art. 21 Rn. 20-22).
  • 4 soll sicherstellen, dass der Betroffene über das Widerspruchsrecht informiert ist
  • 5 regelt, dass der Widerspruch durch technische Mittel vereinfacht werden soll (BeckOK DatenschutzR/Forgó, 22. Ed. 1.11.2017, DS-GVO Art. 21 Rn. 28-29)
  • 6 regelt das Widerspruchsrecht für die Datenverarbeitung von zu wissenschaftlichen oder historischen Forschungszwecken oder zu statistischen Zwecken erhobenen Daten (BeckOK DatenschutzR/Forgó, 22. Ed. 1.11.2017, DS-GVO Art. 21 Rn. 30-33).
  1. Rechtsbehelfe, Haftung und Sanktionsmöglichkeiten
  • Rechte der Betroffenen:

Wenn die Betroffenen eines der oben genannten Rechte geltend machen, dann muss dem Betroffenen nach Art. 12 Abs. 3 S. 1 DSGVO innerhalb eines Monats Rückmeldung geben werden. Kann der Verantwortliche dies nicht innerhalb eines Monats, z.B. aufgrund einer hohen Anzahl an (komplexen) Aufträgen, dann muss er den Betroffenen über die Verzögerung unterrichten. Die Verlängerung darf aber nur maximal 2 Monate betragen. Art. 12 Abs. 5 DSGVO sieht vor, dass solche Anträge unentgeltlich bearbeitet werden, lediglich bei offensichtlich unbegründeten oder exzessiven Anträgen darf die Bearbeitung verweigert oder ein Entgelt verlangt werden.

  • Haftung:

Nach Art. 82 Abs. 1 DSGVO kann vom Verantwortlichen nun aufgrund von Verstößen gegen das Datenschutzrecht von dem Betroffenen ein Ersatz für dessen entstandenen Schaden (materiell und nun auch immateriell) verlangt werden. Der Verantwortliche kann sich nach Art. 82 Abs. 3 DSGVO entlasten, wenn er die erforderliche Sorgfalt beachtet haben (er muss beweisen können, dass er jegliche Vorgaben der Verordnung (inkl. delegierter bzw. präzisierender Rechts- und Durchführungsakte) tatsächlich umgesetzt hat (BeckOK DatenschutzR/Quaas, 22. Ed. 1.5.2017, DS-GVO Art. 82 Rn. 17-22)). Zudem kann von ihm Schadensersatz verlangt werden.

  • Sanktionen:

Werden die neuen Pflichten durch die DSGVO nicht umgesetzt, besteht die Gefahr einer Geldbuße von bis zu 20 Millionen Euro oder bis zu 4 % des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs. Zudem besteht die Gefahr von Mitbewerbern wettbewerbsrechtlich abgemahnt zu werden.

  1. Auftragsdatenverarbeitung

In Art. 28 und Art. 29 DSGVO wird die Auftragsdatenverarbeitung geregelt. Sie ähnelt im Großen und Ganzen der Auftragsdatenverarbeitung des BDSG, nur bzgl. der folgenden Punkte gibt es Neuerungen:

  • Pflichten des Auftragsdatenverarbeiters:

Diese entsprechen den Pflichten des Verantwortlichen ganz oder teilweise, so die Pflicht zur Einrichtung eines Verfahrensverzeichnisses (§ 30 Abs. 2 DSGVO), zur Durchführung technischer und organisatorischer Maßnahmen (Art. 32 DSGVO) und zur Bestellung eines Datenschutzbeauftragten (Art. 37 DSGVO).

  • Zusätzliche Pflichten:
    • Auswahl- und Kontrollpflichten nach Art. 28 Abs. 1 DSGVO
      • Auftragsverarbeiter müssen sorgfältig ausgewählt werden (durch den Verantwortlichen).
      • Sie haben Kontrollrechte, sind aber nicht mehr wie nach § 11 Abs. 2 S. 4, 5 BDSG verpflichtet, vor und während der Auftragsverarbeitung die Einhaltung der technischen und organisatorischen Maßnahmen regelmäßig zu kontrollieren/dokumentieren
    • Art und Form des Auftragsdatenverarbeitungsvertrags
      • Die Auftragsverarbeitung muss ist schriftlich oder in einem elektronischen Format fixiert werden
      • Die Verarbeitung kann aufgrund eines Vertrags oder eines anderen Rechtsinstruments (z. B. einseitige Verpflichtungserklärung des Auftragsverarbeiters) erfolgen (Art. 28 Abs. 3 DSGVO).
    • Weisungsgebundenheit Art. 28 Abs. 3 lit. a DSGVO
      • Der Auftragsverarbeiter muss sich gegenüber dem Verantwortlichen verpflichten, Daten nur aufgrund von dokumentierten Weisungen des Verantwortlichen zu verarbeiten.
    • Verschwiegenheitspflicht Art. 28 Abs. 3 S. 2 lit. b DSGVO
      • Der Auftragsverarbeiter zur Verschwiegenheit verpflichtete Personen einsetzen
    • Unterstützung des Verantwortlichen nach Art. 28 Abs. 3 S. 2 lit. e DSGVO
      • Der Auftragsverarbeiter muss den Verantwortlichen unterstützen, wenn Betroffene ihre Rechte nach der DSGVO diesem gegenüber geltend machen.
    • Unterstützung nach Art. 28 Abs. 3 S. 2 lit. f DSGVO bei der Einhaltung dessen folgender Pflichten unterstützen:
      • Einrichtung von technischen und organisatorischen Maßnahmen,
      • Meldung von Datenpannen,
      • Durchführung von Datenschutz-Folgenabschätzungen und diesbezügliche Konsultation der Datenschutzbehörde.
    • Einschaltung von Subunternehmern Art. 28 Abs. 2 DSGVO:
      • Auftragsverarbeiter dürfen Subunternehmer nur einsetzen dürfen, wenn der Verantwortliche dem zugestimmt hat (anders als beim BDSG)
      • Der Vertrag zwischen Auftragsverarbeiter und Subunternehmer muss nach Art. 28 Abs. 4 DSGVO dem Subunternehmer die Datenschutzpflichten auferlegen, die nach Art. 28 Abs. 3 DSGVO der Auftragsverarbeiter gegenüber dem Verantwortlichen einzugehen hat.
      • Der Auftragsverarbeiter haftet dem Verantwortlichen uneingeschränkt für Datenschutzverstöße des Subunternehmers.
  1. Datenübermittlung in Drittstaaten

Nach Art. 44 ff. DSGVO ist die Datenübermittlung aus der EU bzw. des EWR in ein Drittstaat bzw. an eine internationale Organisation nur zulässig, wenn

die Kommission beschlossen hat, dass das betreffende Drittland/ internationale Organisation, angemessenes Schutzniveau bietet, oder wenn

geeignete Garantien oder bestimmte Ausnahmetatbestände vorliegen

  • Angemessenes Schutzniveau:
    • Das Datenschutzrecht des Landes muss ein mit dem der EU vergleichbares Datenschutzniveau gewähren. Die Kommission hat dies bislang für folgende Länder anerkannt: Andorra, Argentinien, Kanada (eingeschränkt), Färöer Inseln, Guernsey, Israel (eingeschränkt), Isle of Men, Jersey, Neuseeland, Schweiz und Uruguay.
    • Einen weiteren Angemessenheitsbeschluss hat die Kommission für Datentransfers unter dem EU-US Privacy Shield erlassen. Datentransfers aufgrund dieses Abkommens sind zulässig, wenn das die Daten empfangende Unternehmen nach dem Privacy Shield-Abkommen zertifiziert ist. Die zertifizierten Unternehmen können auf einer eigens eingerichteten Webseite (https://www.privacyshield.gov/list) des US-amerikanischen Departments of Commerce eingesehen werden.
  • Garantien:

Die Datenübermittlung ist zulässig nach Art. 46 Abs. 1 DSGVO wenn der Verantwortliche oder der Autftragsdatenverarbeiter „geeignete Garantien“ nach Art. 46 Abs. 2 DSGVO vorgesehen hat und sofern den betroffenen Personen durchsetzbare Rechte und wirksame Rechtsbehelfe zur Verfügung stehen. Geeignete Garantien können sein:

  • Standarddatenschutzklauseln
  • Binding Corporate Rules (verbindliche Vereinbarungen unter konzernangehörigen Unternehmen, die von der zuständigen Datenschutzbehörde genehmigt worden sind (Art. 47 DSGVO). Aber nicht nur Konzerne, sondern auch gemeinsam tätige Gruppen von Unternehmen dürfen diese verwenden)
  • Genehmigte Verhaltensregeln oder Zertifizierungen (Drittstaatenunternehmen können sich genehmigten Verhaltensregeln (Art. 40 f. DSGVO) unterwerfen oder eine genehmigte Zertifizierung (Art. 42 f. DSGVO) erlangen. Der Verantwortliche/ Auftragsverarbeiter muss in dem Drittstaat zur Anwendung der geeigneten Garantie verpflichtet sein.

 

  • Ausnahmetatbestände nach Art. 49 DSGVO, wann die Datenübermittlung zulässig ist:
    • Einwilligung des Betroffenen (wenn sie ausreichend informiert und aufgeklärt wurden)
    • für die Erfüllung eines Vertrags erforderlich/vorvertraglicher Maßnahmen.
    • Notwendigkeit der Übermittlung aus wichtigen Gründen des öffentlichen Interesses.
    • Übermittlung ist zur Wahrnehmung von Rechtsansprüchen erforderlich.
    • Übermittlung ist zum Schutz lebenswichtiger Interessen des Betroffenen erforderlich
    • Übermittlung erfolgt aus einem öffentlich zugänglichen Register.
    • Übermittlung erfolgt nicht wiederholt, betrifft nur eine begrenzte Zahl von Personen und ist aufgrund zwingender berechtigter Interessen des Verantwortlichen gerechtfertigt.

Zusammenfassung:

Aufgrund der DSGVO ergibt sich Handlungsbedarf für die folgenden Aspekte:

  • Verfahrensverzeichnis anpassen
  • Folgeabschätzung entwerfen
  • Technische und organisatorische Maßnahmen überprüfen und anpassen,
  • Privacy by Design und Privacy by Default einführen
  • Datenschutzerklärung anpassen
  • Auftragsdatenverarbeitungsverträge anpassen,
  • Informationen an Betroffene anpassen,
  • Einhaltung datenschutzrechtlicher Grundsätze dokumentieren (Rechenschaftspflicht),
  • Interne Richtlinien und Verfahren einführen, um den Betroffenenrechten nachkommen zu können und um der Aufsichtsbehörde gegenüber Datenschutzkonformität nachweisen zu können,
  • Mitarbeiter schulen,
  • Meldungen der Aufsichtsbehörden verfolgen,
  • Gesetzgebungsverfahren verfolgen.