Diese Schulung vermittelt ohne spezifische Schwerpunkte nach Kategorien der betroffenen Personen, wie Kunden oder Beschäftigte, einen allgemeinen Überblick über den Datenschutz nach der DSGVO und dem BDSG. Die Schulung kann als Grundlagenschulung bei einem gemischten Teilnehmerkreis aus verschiedenen Fachbereichen eingesetzt werden. Die Rechte der Betroffenen wurden wegen der Bedeutung dieses Themas und der Relevanz in allen Fachbereichen ausführlich behandelt. Für die einzelnen Fachbereiche, wie HR u. a., steht eine spezielle Schulung zur Verfügung. Themen, wie Auftragsverarbeitung oder Datenübermittlung, werden in diesen Schulungen themenspezifisch und vertieft behandelt.

Rechtsgrundlagen

Europäische Datenschutzgrundverordnung

Unter der Bezeichnung „VERORDNUNG (EU) 2016/679“ wurde die Datenschutzgrundverordnung (DSGVO) erlassen und am 4. Mai 2016 im Amtsblatt der Europäischen Union veröffentlicht. Gemäß Art. 288 des Vertrags über die Arbeitsweise der Europäischen Union besitzt die Verordnung allgemeine Geltung und ist in allen ihren Teilen verbindlich und gilt unmittelbar in jedem Mitgliedstaat.

E-Privacy-Verordnung

Die E-Privacy-Verordnung sollte ursprünglich parallel mit der EU-Datenschutzgrundverordnung in Kraft treten. Zu zentralen Regeln, z. B. zum Nutzer-Tracking für zielgerichtete Direktwerbung, zu Cookies und dem Umgang mit Verkehrs- und Metadaten, wie Verbindungs- oder Standortdaten, konnte aber bisher keine Einigung erzielt werden. Derzeit liegt eine konsolidierte Entwurfsfassung des Rats der Europäischen Union vor. Bis zum Inkrafttreten der E-Privacy-Verordnung gelten die Regelungen der DSGVO.

Deutsche Rechtsgrundlagen

Zur Anpassung und Umsetzung der DSGVO wurde für die Stellen des öffentlichen Bereichs des Bundes und der nichtöffentlichen Stellen mit dem Datenschutz-Anpassungs- und Umsetzungsgesetz ein neues Datenschutzgesetz (BDSG) erlassen. Das neu konzipierte BDSG ergänzt ab dem 25. Mai 2018 die unmittelbar geltende Verordnung (EU) 2016/679 (DSGVO) um die Bereiche, in denen die EU-Verordnung den Mitgliedstaaten Gestaltungsspielräume belässt. Daneben werden mit dem BDSG wesentliche Teile der Richtlinie (EU) 2016/680 (Datenschutz-Richtlinie Polizei und Justiz) umgesetzt.

Gegenstand und Ziele des Datenschutzes

Gegenstand und Ziele des Datenschutzes sind nicht Datenverarbeitungsanlagen oder Datenverarbeitungssysteme, sondern die Persönlichkeitsrechte, Grundrechte und Grundfreiheiten der von der Verarbeitung der personenbezogenen Daten betroffenen natürlichen Personen und deren Recht auf Schutz personenbezogener Daten. Die Grundsätze und Vorschriften zum Schutz natürlicher Personen bei der Verarbeitung ihrer personenbezogenen Daten sollen gewährleisten, dass ihre Grundrechte und Grundfreiheiten und insbesondere ihr Recht auf Schutz personenbezogener Daten ungeachtet ihrer Staatsangehörigkeit oder ihres Aufenthaltsorts gewahrt bleiben (EG Nr. 2). Das Recht auf Schutz der personenbezogenen Daten ist aber kein uneingeschränktes Recht; es muss im Hinblick auf seine gesellschaftliche Funktion gesehen und unter Wahrung des Verhältnismäßigkeitsprinzips gegen andere Grundrechte abgewogen werden (EG Nr. 4). Schließlich soll vor dem Hintergrund der raschen technologischen Entwicklung und der Zunahme der Erhebung und des Austauschs von personenbezogenen Daten ein hohes Datenschutzniveau gewährleistet werden (EG. 6).

Unter besonderem Schutz stehen Kinder und sog. besondere Kategorien von personenbezogenen Daten. Dazu gehören Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie genetische Daten, biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person.

Sachlicher Anwendungsbereich der DSGVO

Nach EG. Nr. 15 soll der Schutz natürlicher Personen technologieneutral sein, d. h., der Schutz soll nicht von bestimmten Verarbeitungstechniken oder sonstigen technischen Umständen abhängig sein. Deshalb ist der Begriff der automatisierten Verarbeitung weit auszulegen und umfasst jede Art der IT-gestützten, automatisierten Verarbeitung, z. B. auch in einer Excel-Tabelle. Auch manuell geführte, strukturierte Datensammlungen fallen darunter, wenn die Daten in einem Dateisystem nach bestimmten Ordnungskriterien geführt werden und nach bestimmten Kriterien zugänglich sind. Des Weiteren sind auch personenbezogene Daten erfasst, die zwar noch nicht in einem derartigen Dateisystem gespeichert sind, aber in einem solchen System gespeichert werden sollen.

Das Datenschutzrecht schützt nur natürliche Personen. Die Rechte von juristischen Personen, wie Kapitalgesellschaften (Aktiengesellschaften, GmbHs etc.), fallen nicht unter den Schutz des Datenschutzrechts.

Personenbezogene Daten

Personenbezogene Daten sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (Betroffener). Dazu gehören auch Unternehmensdaten, wenn sich diese Daten auf eine bestimmte Person, nämlich den Unternehmer, beziehen lassen, z. B. bei Personengesellschaften oder inhabergeführten GmbHs. Geschützt sind vom Ansatz her alle personenbezogenen Daten ohne Wertung ihrer Sensibilität oder Herkunft. Das Datenschutzrecht gilt deshalb auch für scheinbar triviale oder unbedeutend erscheinende personenbezogene Daten. Der Grad der Schutzwürdigkeit ergibt sich erst aus der Art der Verarbeitungsprozesse und dem Grad der möglichen Verletzung des Persönlichkeitsrechts durch Datenschutzverstöße.

Im Arbeitsleben gehören dazu ausnahmslos alle Daten über Bewerber und Mitarbeiter, unabhängig davon, ob diese gezielt erfragt oder nur beiläufig bekannt geworden sind oder ob sie der Bewerber bzw. Mitarbeiter ungefragt offenbart hat. Seit dem 1. September 2009 spielt es auch keine Rolle mehr, in welcher Form (elektronische Datei, Datenbank, Kartei oder Personalakte) die Personaldaten gespeichert sind. Im Kundenbereich gehören alle Daten, die im Lauf einer Geschäftsverbindung entstehen oder anfallen (auch aus dem Vorfeld einer Geschäftsbeziehung, z. B. im Zusammenhang mit Anfragen oder Angeboten), zu den personenbezogenen Daten. Darunter fallen nicht nur Daten über Art und Inhalt von erbrachten Leistungen, z. B. über Bestellungen, Lieferung und Bezahlung etc., sondern im Konsumbereich z. B. auch Details, wie die Konfektionsgröße von bestellten Kleidungsstücken u. a.

Auf eine bestimmte Person beziehbar sind die Daten dann, wenn die zugehörige Person z. B. über einen Ordnungsbegriff identifizierbar ist oder wenn sich der Personenbezug aus der Kombination der Dateninhalte ergibt. Sie sind auch dann personenbezogen, wenn sich der Personenbezug durch Nutzung von vorhandenem Zusatzwissen, auch aus anderen Quellen, ergibt. Die Bestimmbarkeit einer Person geht erst dann verloren, wenn der Personenbezug nur mit einem unverhältnismäßig hohen Aufwand hergestellt werden kann. Nicht mehr geschützt, weil nicht mehr personenbezogen, sind auch aggregierte oder anonymisierte Daten.

Schutzziele und Grundsätze (Art. 5 DSGVO)

Die Grundsätze für die Verarbeitung von personenbezogenen Daten sind in Art. 5 Abs. 1 DSGVO geregelt. Bei diesen Grundsätzen handelt es sich nicht nur um Programmsätze, sondern für die Verantwortlichen und Auftragsverarbeiter um verbindliche Vorgaben. Die Nichtbefolgung ist gem. Art. 83 Abs. 5 DSGVO mit Bußgeld bis zu 20 Mio. Euro bzw. 4 % des gesamten Jahresumsatzes bedroht.

Zu den Grundsätzen gehören:

• Verarbeitung auf rechtmäßige Weise, transparent und nach Treu und Glauben
• Zulässigkeit der Verarbeitung nur für festgelegte, eindeutig legitimierte Zwecke
• Verarbeitung für einen anderen als den Erhebungszweck nur, wenn der neue Zweck mit dem ursprünglichen Zweck vereinbar ist (eine Weiterverarbeitung für Archive, wissenschaftliche, historische oder Forschungszwecke ist keine Zweckänderung in diesem Sinne)
• Die Daten müssen nach Art und Umfang dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein („Datenminimierung“).
• Die Daten müssen sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein („Richtigkeit“).
• Es sind alle angemessenen Maßnahmen zu treffen, damit personenbezogene Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung unrichtig sind, unverzüglich gelöscht oder berichtigt werden.
• Personenbezogene Daten dürfen in einer die Identifizierung der betroffenen Personen ermöglichenden Form nur so lange gespeichert werden, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist, und müssen zum frühestmöglichen Zeitpunkt pseudonymisiert werden.
• Durch geeignete technische und organisatorische Maßnahmen muss eine angemessene Sicherheit der Daten gewährleistet werden, einschließlich des Schutzes vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung („Integrität und Vertraulichkeit“).

Der Grundsatz der Rechtmäßigkeit verlangt, dass personenbezogene Daten nur verarbeitet werden dürfen, wenn für die Verarbeitung eine Rechtsgrundlage, also ein gesetzlicher Erlaubnistatbestand, i. d. R. nach Art. 6 DSGVO oder § 26 BDSG vorhanden ist. Dieser Grundsatz entspricht dem bereits nach dem BDSG a. F. gültigen Verbot der Verarbeitung von personenbezogenen Daten mit Erlaubnisvorbehalt.

Personenbezogene Daten müssen im Hinblick auf die Zwecke ihrer Verarbeitung richtig sein, d. h., soweit Daten für die Verarbeitung relevant sind, müssen sie richtig sein bzw. berichtigt werden. Lediglich Daten, die z. B. durch Zeitablauf nicht mehr für die Verarbeitung relevant sind, müssen zumindest dann, wenn die Berichtigung einen erheblichen Aufwand erfordert, nicht mehr berichtigt werden. Allerdings stellt sich für diese Daten die Frage der Löschung, weil nach dem Grundsatz der Speicherbegrenzung und Datenminimierung nicht mehr erforderliche Daten gelöscht werden müssen.

Die Rechenschaftspflicht des Art. 5 Abs. 2 DSGVO verlangt, dass der Verantwortliche in der Lage sein muss, die Einhaltung dieser Grundsätze des Art. 5 Abs. 1 DSGVO nachzuweisen. Dies verlangt eine vollständige Dokumentation aller Verfahren und Regelungen zum Datenschutz und ihre Nachprüfbarkeit, z. B. in einem Audit.

Der Grundsatz der Nichtverkettbarkeit ist wörtlich nicht in der DSGVO geregelt und bedeutet, dass personenbezogene Daten, die für getrennte Zwecke gespeichert und verarbeitet werden, nicht miteinander verkettet sind und möglichst nicht miteinander verkettet werden können.

Weitere Grundsätze, die nicht explizit in der DSGVO geregelt sind, wie der Grundsatz der Revisionsfähigkeit der Daten und der Datenverarbeitungsverfahren und Ordnungsmäßigkeitsgrundsätze, ergeben sich aus anderen Regelwerken, wie z. B. aus den Grundsätzen der ordnungsgemäßen Buchführung (GoB), den Grundsätzen der ordnungsgemäßen Datenverarbeitung (GoDV) und den Grundsätzen zur ordnungsbemäßen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff (GoBD).

Der Grundsatz der Intervenierbarkeit verlangt, dass den betroffenen Personen die ihnen zustehenden Rechte nach Art. 15 ff. DSGVO unverzüglich und wirksam gewährt werden.

Rechtmäßigkeit der Verarbeitung

Erforderlichkeit einer Rechtsgrundlage

Wenn keine Einwilligung der betroffenen Person vorliegt, ist eine Verarbeitung ihrer personenbezogenen Daten nur zulässig, wenn eine der in Art. 6 Abs. 1 DSGVO genannten sonstigen Voraussetzungen gegeben ist. In nichtöffentlichen Unternehmen stützt sich die Verarbeitung i. d. R. entweder auf einen Vertrag mit den Betroffenen bzw. auf vorvertragliche Maßnahmen, wie z. B. die Erstellung eines Angebots, oder auf ein berechtigtes Interesse des Unternehmens. Entsprechend ist die Verarbeitung gem. Art. 6 Abs. 1 lit. b DSGVO zulässig, soweit diese für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen, die auf Anfrage der betroffenen Person erfolgen, erforderlich ist. Der Begriff Vertrag und auch der vorvertraglicher Maßnahmen ist nicht zu eng auszulegen und umfasst, wie auch bisher schon nach den Vorschriften des BDSG a. F., alle Arten von Schuldverhältnissen.

Damit sind alle Formen von Verträgen gemeint, die im Zusammenhang mit der unternehmerischen Tätigkeit anfallen können, z. B. Kauf-, Werk-, Dienstleistungs-, Geschäftsbesorgungsverträge, Mietverträge, Verträge über Abonnements, Geschäftspartnerverträge, z. B. zur Vermittlung von Kunden etc., oder Verträge im Rahmen von Beschäftigungsverhältnissen.

Allgemeine Rechtsgrundlagen für die Verarbeitung personenbezogener Daten

Datenverarbeitung für Zwecke des Beschäftigungsverhältnisses Art. 88 DSGVO i. V. m. § 26 BDSG

Über die Beschäftigten eines Unternehmens dürfen gem. § 26 Abs. 1 BDSG personenbezogene Daten erhoben, verarbeitet oder genutzt werden, soweit dies zur Begründung, Durchführung oder Beendigung eines Beschäftigungsverhältnisses erforderlich ist. Zur Begründung eines Beschäftigungsverhältnisses, d. h. im Bewerbungsverfahren, dürfen alle für eine Entscheidung über die Einstellung erforderlichen personenbezogenen Daten erhoben werden.

Zur Einstellung und nach der Einstellung darf der Arbeitgeber vom Beschäftigten alle Daten über Umstände und Sachverhalte erheben und speichern, die erforderlich sind, um seine Pflichten im Zusammenhang mit dem Beschäftigungsverhältnis erfüllen und seine Rechte wahrnehmen zu können. Zulässig sind unter diesen Gesichtspunkten alle Fragen, die im Zusammenhang mit der Personalverwaltung, zur Durchführung der Lohn- und Gehaltsabrechnung, zur Mitarbeiterführung, Personalplanung, zur betrieblichen Fortbildung und Personalentwicklung etc. erforderlich sind. Der Begriff der Beendigung umfasst die vollständige Abwicklung eines Beschäftigungsverhältnisses

Gemäß § 26 Abs. 1 Satz 2 BDSG dürfen personenbezogene Daten eines Beschäftigten zur Aufdeckung von Straftaten erhoben, verarbeitet oder genutzt werden, wenn zu dokumentierende tatsächliche Anhaltspunkte den Verdacht begründen, dass der Betroffene im Beschäftigungsverhältnis eine Straftat begangen hat. Für die Vorgehensweise ist § 26 Abs. 1 Satz 2 BDSG zu beachten.

Verarbeitung zur Erfüllung eines Vertrags

Die Verarbeitung von personenbezogenen Daten ist gem. Art. 6 Abs. 1 lit. b DSGVO für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung von vorvertraglichen Maßnahmen zulässig, wenn diese vorvertraglichen Maßnahmen auf Anfrage der betroffenen Person erfolgen.

Zu beachten ist, dass die betroffene Person selbst Partei des Vertrags sein muss. Der Vertrag kann aber auch durch einen Bevollmächtigten abgeschlossen werden. Mit eingeschlossen ist jede Verarbeitung, die bis zur vollständigen Erfüllung des Vertrags, also aller Leistungen und Nebenleistungen/-pflichten erforderlich ist. Dazu gehören auch Verarbeitungen, die zur Durchsetzung von Ansprüchen, z. B. durch ein Inkassobüro, erforderlich werden können.

In den Vertrag können auch dritte Personen einbezogen sein, z. B. Mitreisende bei einer Gruppenreise, oder wenn bei einem Warenversand eine vom Besteller abweichende andere Person als Empfänger und Lieferadresse angegeben werden soll.

Erhoben werden dürfen nur diejenigen Daten, die zur Erfüllung des Vertrags und zur Wahrnehmung der Rechte und Pflichten aus dem Vertrag erforderlich sind. Dazu gehören z. B. auch Bonitätsanfragen bei einer Wirtschaftsauskunftei. Zulässig sind auch Datenübermittlungen, soweit diese für die Ausführung des Vertrags erforderlich sind, z. B. an Zulieferer, Speditionen oder Stellen zur Ausführung der Leistungen, z. B. im Zusammenhang mit der Buchung einer Reise oder der Erstellung eines Werks. Bei der Datenerhebung muss aber über diese Übermittlungen informiert werden.

Wenn der Kunde gleichzeitig Beschäftigter des Unternehmens ist, z. B. bei einer Bank oder einer Versicherung, müssen die Daten beider Vertragsverhältnisse strikt voneinander getrennt werden. Es ist deshalb nicht zulässig, z. B. aus dem Kundenvertragsverhältnis heraus Daten zum Beschäftigungsverhältnis zuzuziehen, in die Beschäftigtendaten einzusehen oder diese im Rahmen des Kundenverhältnisses zu nutzen.

Mit Verträgen sind alle Formen von Verträgen gemeint, die im Zusammenhang mit der unternehmerischen Tätigkeit anfallen können, z. B. Kauf-, Werk-, Dienstleistungs-, Geschäftsbesorgungsverträge, Mietverträge, Verträge über Abonnements, Geschäftspartnerverträge, z. B. zur Vermittlung von Kunden etc. Beschäftigungsverhältnisse sind in § 26 BDSG gesondert geregelt.

Durchführung vorvertraglicher Maßnahmen

Vorvertragliche Maßnahmen entstehen in der Anbahnungsphase von Verträgen, in Vorverhandlungen oder im Zusammenhang mit der Erstellung von Angeboten. Bei derartigen Anbahnungsverhältnissen oder Vorverhandlungen dürfen diejenigen Daten erhoben und verarbeitet werden, die in der jeweiligen Phase der Verhandlungen bzw. der Rechtsbeziehung erforderlich sind. Ob die Verhandlungen oder ein Angebot letztlich zu einem erfolgreichen Abschluss geführt haben, ist für die Befugnis der Speicherung unerheblich. Die vorvertraglichen Maßnahmen müssen von der betroffenen Person ausgelöst worden sein, z. B. durch Anforderung eines Angebots.

Auch hier sind Datenübermittlungen an Dritte zulässig, z. B. zur Einholung von Angeboten von Subunternehmern, wenn Teile der angebotenen Leistung von Zulieferern oder Subunternehmen ausgeführt werden und dazu die Kenntnis der anfragenden Person erforderlich ist.

Verarbeitung im berechtigten Interesse des Unternehmens

Gemäß Art. 6 Abs. 1 lit. f DSGVO dürfen personenbezogene Daten verarbeitet werden, wenn die Verarbeitung für die Wahrung berechtigter Interessen des Unternehmens oder eines Dritten erforderlich ist, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen. Bei dieser Abwägung sind insbesondere die Schutzbedürfnisse von Kindern zu berücksichtigen.

Bei der Beurteilung des berechtigten Interesses sind die vernünftigen Erwartungen der betroffenen Personen, die auf ihrer Beziehung zu dem Verantwortlichen beruhen, zu berücksichtigen, d. h., Ausgangspunkt der Beurteilung ist die Beziehung, in der die betroffene Person zum Unternehmen steht, z. B. Kundenbeziehung oder Nichtkunde. Ein berechtigtes Interesse an der Verarbeitung von personenbezogenen Daten kann sich insbesondere ergeben, wenn die betroffene Person ein Kunde des Verantwortlichen ist. Zu beurteilen ist dabei auch, von welchen Verarbeitungszwecken eine betroffene Person nach ihrem durchschnittlichen Erwartungshorizont zum Zeitpunkt der Erhebung der personenbezogenen Daten und angesichts der Umstände, unter denen sie erfolgt (z. B. einem Messebesuch, einer Gewinnspielteilnahme etc.), vernünftigerweise ausgehen kann, z. B. ob möglicherweise eine Verarbeitung von Daten (z. B. zur Durchführung von Werbemaßnahmen) erfolgen wird. Maßgebend sind damit die Situation und die Umstände zum Zeitpunkt der Erhebung der Daten, weil davon der Rahmen für die Erwartungshaltung des Betroffenen abhängt.

Diese Regelung greift dann, wenn mit dem Betroffenen kein Vertrag besteht und auch keine vorvertraglichen Maßnahmen anfallen, die eine Verarbeitung von personenbezogenen Daten begründen können, oder wenn Daten für einen Zweck verarbeitet werden sollen, der den Vertragsrahmen übersteigt.

Im Rahmen dieser Interessenabwägung ist danach eine Verarbeitung von personenbezogenen Daten außerhalb eines Vertragsverhältnisses oder eines vorvertraglichen Verhältnisses denkbar. Abgesehen von eventuellen Dokumentations- und Nachweispflichten kann im Rahmen des Art. 6 Abs. 1 lit. f DSGVO z. B. die Speicherung von Kundendaten nach Beendigung der Vertragsbeziehung gerechtfertigt sein, um in bestimmten Fällen einen technischen Service leisten oder Reklamationen bearbeiten zu können. Ebenso kann die Übermittlung von Daten im Zusammenhang mit der Übertragung oder dem Verkauf von Unternehmen gerechtfertigt sein. Auch die Speicherung von Kontaktdaten von Interessenvertretern, von Interessenten oder sonstigen Nichtkunden für Zwecke einer Interessenvertretung oder Werbung fällt unter diese Vorschrift. Lt. EG. Nr. 47 kann die Verarbeitung personenbezogener Daten zum Zweck der Direktwerbung als eine einem berechtigten Interesse dienende Verarbeitung betrachtet werden.

Ist ein berechtigtes Interesse vorhanden und sind die Daten für die Wahrung des berechtigten Interesses auch erforderlich, ist zu prüfen, ob ein Grund für die Annahme eines überwiegenden Interesses der betroffenen Person am Ausschluss der Verarbeitung besteht.

Aus der Sicht des Unternehmens dürfen bei sorgfältiger Betrachtung keine konkreten Umstände erkennbar sein, die auf das Bestehen eines überwiegenden schutzwürdigen Interesses des Betroffenen hindeuten. Bei einer Erhebung von Daten in Situationen, in denen eine betroffene Person vernünftigerweise nicht mit einer weiteren Verarbeitung rechnen muss, z. B. im Rahmen eines unverbindlichen Gesprächs bei einem Messebesuch, könnten die Interessen und Grundrechte der betroffenen Person das Interesse des Verantwortlichen überwiegen.

Werbung im berechtigten Interesse des Unternehmens

Das Recht, Werbung betreiben zu dürfen, ist ein Grundrecht und gehört zum Recht auf Berufsfreiheit i. S. v. Art. 12 GG, denn Art. 12 GG schützt nach der Rechtsprechung des Bundesverfassungsgerichts nicht nur die Freiheit der Berufswahl, sondern auch die Art und Weise der Ausübung des Berufs. Dazu gehören auch die berufliche Außendarstellung eines Unternehmens und die berufliche Werbung. Auch Art. 16 EU-Grundrechte-Charta schützt diese unternehmerische Freiheit. Dieses Grundrecht schließt auch das Recht mit ein, für Unternehmenszwecke im Rahmen der gesetzlichen Bestimmungen Datenverarbeitungsverfahren zu betreiben.

Eine Nutzung von personenbezogenen Daten zu Zwecken der Direktwerbung bedarf deshalb keiner besonderen Begründung, sondern ist per se zulässig, sofern die Interessen oder die Grundrechte und Grundfreiheiten der betroffenen Person nicht überwiegen. Bei dieser Abwägung sind die vernünftigen Erwartungen der betroffenen Personen, die auf ihrer Beziehung zu dem Verantwortlichen beruhen, zu berücksichtigen. Dabei ist zu prüfen, ob eine betroffene Person zum Zeitpunkt der Erhebung der personenbezogenen Daten und angesichts der Umstände, unter denen sie erfolgt, vernünftigerweise absehen kann, dass möglicherweise eine Verarbeitung von Daten für Zwecke der Werbung erfolgen wird. Insbesondere dann, wenn personenbezogene Daten für Werbezwecke verarbeitet werden, mit denen eine betroffene Person vernünftigerweise nicht rechnen muss, ist eine Nutzung der Daten für Werbung unzulässig.

Trotz dieser pauschalen Abwägung ist vor einer Werbemaßnahme zu prüfen, ob ein Grund zur Annahme eines schutzwürdigen Interesses der Betroffenen am Ausschluss der Nutzung der Daten für Zwecke der Werbung besteht. Dies gilt insbesondere, wenn sich die Werbemaßnahme an Kinder richtet. Denkbar ist auch, dass eine Werbung in bestimmten Situationen des Betroffenen oder an bestimmte Personenkreise die Rechte der Betroffenen verletzen kann (z. B. Behinderte, Personen mit bestimmten Erkrankungen, Mitglieder von sensiblen Gruppen oder Vereinigungen, wie z. B. Selbsthilfegruppen u. a.) oder die Nutzung von besonderen Datenarten oder auch eine offenkundige Werbung von Spezialversendern.

Sehr engen Voraussetzungen unterliegt die nach dem Wortlaut des Art. 6 Abs. 1 lit. f DSGVO nicht grundsätzlich ausgeschlossene Übermittlung von personenbezogenen Daten für Zwecke der Werbung an Dritte, d. h. an andere Unternehmen, denn Art. 6 Abs. 1 lit. f DSGVO erkennt auch ein berechtigtes Interesse eines Dritten an.

Das berechtigte Interesse umfasst unter Abwägung mit dem Schutz der Interessen, Grundrechte und Grundfreiheiten der betroffenen Personen auch das Recht, die Daten werbegerecht, z. B. nach Zielpersonen, aufzubereiten. Zu beachten sind aber auch hier die vernünftigen Erwartungen der betroffenen Personen, d. h. die Aufbereitung der Daten (Stichwort Werbescoring) ist in dem Umfang zulässig, in dem die betroffenen Personen angesichts der Beziehung zum Unternehmen, z. B. einer Kundenbeziehung, rechnen können.

Besonderheiten bei der Telefonwerbung

Gegenüber Verbrauchern ist gem. § 7 Abs. 2 Nr. 2 des Gesetzes über den unlauteren Wettbewerb (UWG) die Telefonwerbung nur mit vorheriger Einwilligung und gegenüber sonstigen Marktteilnehmern (Unternehmen und sonstigen Gewerbetreibenden) daneben auch zulässig, wenn eine mutmaßliche Einwilligung unterstellt werden kann. Eine mutmaßliche Einwilligung, auch als vermutetes Einverständnis bezeichnet, liegt vor, wenn es an einer ausdrücklichen Einwilligung fehlt, wenn aber die Wettbewerbshandlung dem objektiven Interesse oder dem wirklichen oder vermuteten Willen des Adressaten entspricht. Es muss aufgrund konkreter Umstände ein sachliches Interesse des Anzurufenden vermutet werden können.

Werbung mit elektronischer Post

Bei einer Werbung mit automatischen Anrufmaschinen, Faxgeräten oder elektronischer Post ist ebenfalls eine vorherige und ausdrückliche Einwilligung erforderlich.

Eine Ausnahme von der Einwilligungspflicht in die Nutzung von Adressen der elektronischen Post enthält § 7 Abs. 3 UWG. Danach ist eine unzumutbare Belästigung nicht anzunehmen (mit der Folge, dass eine Einwilligung nicht erforderlich ist), wenn

1.der Verantwortliche die elektronische Adresse im Zusammenhang mit dem Verkauf einer Ware oder einer Dienstleistung erhalten hat,

2.die Adresse zur Direktwerbung für eigene ähnliche Waren oder Dienstleistungen verwendet wird,

3.der Kunde der Verwendung nicht widersprochen hat und

4.der Kunde bei der Erhebung der Adresse und bei jeder Verwendung klar und deutlich darauf hingewiesen wird, dass er der Verwendung jederzeit widersprechen kann, ohne dass hierfür andere als die Übermittlungskosten nach den Basistarifen entstehen.

Die Ausnahmeregelung gilt für Adressen der elektronischen Post, also für E-Mail, SMS-/MMS, nicht für Werbung per Telefon oder Telefax.

Verarbeitung auf der Grundlage einer Einwilligung

Die Einwilligung steht in Art. 6 Abs. 1 DSGVO zwar an erster Stelle, es empfiehlt sich aber, eine datenschutzkonforme Verarbeitung von personenbezogenen Daten zuerst auf einwilligungsfreie Rechtsgrundlagen zu stützen bzw. die Verarbeitung so zu gestalten, dass eine Einwilligung nicht erforderlich ist. Dazu gehören ein Vertrag bzw. vorvertragliche Maßnahmen oder ein berechtigtes Interesse des Unternehmens oder eines Dritten unter Abwägung des Schutzinteresses der betroffenen Personen. Nur wenn derartige einwilligungsfreie Rechtsgrundlagen nicht zur Verfügung stehen, sollte auf Einwilligungen zurückgegriffen werden. Einwilligungen bieten sich deshalb insbesondere für Einzelfälle oder bei Verlosungen und Gewinnspielen oder, soweit erforderlich, für eine Nutzung von personenbezogenen Daten für Zwecke der Werbung an, weil hier eine Rücknahme einer Einwilligung nicht zu technischen Verarbeitungsproblemen führt. Für die Einwilligung wird ein bewusster Einwilligungsakt, z. B. durch Ankreuzen oder Anklicken einer Schaltfläche, verlangt. Die Einwilligung muss in einer nachweisbaren Form eingeholt werden, z. B. schriftlich oder in Schriftform, z. B. durch E-Mail oder bei einer elektronischen Einwilligung durch eine entsprechende Protokollierung.

Rechtliche Anforderungen an Einwilligungen

Die einwilligungspflichtigen Daten müssen ihrer Art nach hinreichend genau bezeichnet werden, sodass der Betroffene zweifelsfrei erkennen kann, auf welche Daten sich die Freiwilligkeit bezieht und welche Daten nicht der Freiwilligkeit unterworfen sind. Der Umfang der erteilten Einwilligung muss so umfassend beschrieben werden, dass sich der Betroffene über die Art der Daten, über die Art der Nutzungen und auch über eventuelle Empfänger der Daten und deren Nutzungsabsichten eine klare Vorstellung bilden und Umfang und Reichweite der Einwilligung beurteilen kann. Der Betroffene soll dadurch auch in die Lage versetzt werden, einzelnen Nutzungen (z. B. einer Übermittlung an bestimmte Stellen) widersprechen zu können. Unklare oder unvollständige Informationen führen zur Unwirksamkeit der Einwilligung. Wenn die Einwilligung mehrere einwilligungspflichtige Verarbeitungsvorgänge betrifft, sollte die Einwilligung so gestaltet werden, dass die Einwilligung nach den einzelnen Zwecken differenziert werden kann.

Bei einer Erhebung von besonderen Datenarten ist auf diese besonders hinzuweisen und sie sind in die Einwilligungserklärung einzubeziehen. Die Verarbeitung von besonderen Datenarten ist nur unter den besonders engen Voraussetzungen des Art. 9 DSGVO zugelassen. Voraussetzung für eine wirksame Einwilligung ist in diesen Fällen, dass sich die Einwilligung ausdrücklich auf diese besonderen Datenarten beziehen muss. Die einwilligungspflichtigen besonderen Datenarten müssen deshalb für den Betroffenen klar erkennbar als solche bezeichnet oder in der Einwilligung selbst konkret genannt werden. Der Betroffene muss klar erkennen können, für welche der besonderen Datenarten eine Einwilligung erforderlich ist und für welche Datenarten nicht, damit er in der Lage ist, eine zweifelsfreie Erklärung abzugeben.

Zu Beweiszwecken muss die Einwilligung dokumentiert werden, denn im Streitfall besteht eine Nachweispflicht gegenüber dem Betroffenen. Eine Nutzung der Daten für andere als die von der Einwilligung umfassten Zwecke ist, soweit nicht eine gesonderte Rechtsgrundlage besteht, nicht zulässig.

Newsletter werden häufig auf elektronischem Weg bestellt. Hierzu ist allerdings auch eine qualifizierte Form erforderlich. Eine einfache E-Mail oder ein einfaches Ankreuzen in einem elektronischen Formular (Single-Opt-in-Verfahren) ist nicht ausreichend. Vielmehr ist für eine wirksame Bestellung das sogenannte Double-Opt-in-Verfahren erforderlich. Bei einem Double-Opt-in-Verfahren wird z. B. bei der Bestellung eines Newsletters an eine vom Besteller angegebene E-Mail-Adresse eine Bestätigungs-E-Mail mit einem Link gesandt, den der Empfänger nochmals (also ein zweites Mal, deswegen Double-Opt-in) anklicken und damit die Bestellung bestätigen muss. Erst dann wird die angegebene E-Mail-Adresse beim Versender freigegeben. Die Bestätigungs-E-Mail muss aber frei von Werbung sein, d. h., einzige Funktion dieser E-Mail muss es sein, die Bestellung des Newsletters nochmals zu bestätigen.

Formelle Anforderungen an eine wirksame Einwilligung

Die Einwilligung soll durch eine eindeutige bestätigende Handlung erfolgen, mit der freiwillig, für den konkreten Fall, in informierter Weise und unmissverständlich bekundet wird, dass die betroffene Person mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist, etwa in Form einer schriftlichen Erklärung, die auch elektronisch erfolgen kann, oder einer mündlichen Erklärung. Die Abgabe der Erklärung muss aber zweifelsfrei nachweisbar sein, z. B. durch eine Protokollierung einer elektronischen Einwilligung. Dies könnte etwa durch Anklicken eines Kästchens beim Besuch einer Internetseite, durch die Auswahl technischer Einstellungen für Dienste der Informationsgesellschaft oder durch eine andere Erklärung oder Verhaltensweise geschehen, mit der die betroffene Person in dem jeweiligen Kontext eindeutig ihr Einverständnis mit der beabsichtigten Verarbeitung ihrer personenbezogenen Daten signalisiert. Stillschweigen, bereits angekreuzte Kästchen oder Untätigkeit der betroffenen Person sollten daher keine Einwilligung darstellen.

Erfolgt die Einwilligung der betroffenen Person durch eine schriftliche Erklärung, die noch andere Sachverhalte betrifft, so muss gem. Art. 7 Abs. 2 DSGVO die Einwilligung von anderen Sachverhalten unterschieden in einer verständlichen und leicht zugänglichen Form und in einer klaren und einfachen Sprache erfolgen, sodass sie von den anderen Sachverhalten klar zu unterscheiden ist. Hinsichtlich der Form der Einwilligungserklärung eignen sich zur Unterscheidung von anderen Erklärungen wie bisher die grafische Gestaltung, Schriftart, Schriftfarbe, Unterstreichung oder andere optische Hilfsmittel. Auf eine leichte Zugänglichkeit und eine klare und einfache Sprache ist zu achten.

Nicht ausreichend, weil nicht leicht zugänglich und nicht näher bestimmt, ist es beispielsweise, pauschale Einwilligungstatbestände in die allgemeinen Geschäftsbedingungen zu integrieren und nur darauf zu verweisen oder die Einwilligung im sog. Kleingedruckten eines Vertrags zu verstecken. So genügt eine formularmäßige Einwilligungserklärung in eine Nutzung der gespeicherten Daten zu eigenen Marketingzwecken, insbesondere zur telefonischen oder elektronischen Information, z. B. per E-Mail, über aktuelle Angebote und Veranstaltungen in den allgemeinen Geschäftsbedingungen nicht dem datenschutzrechtlichen Transparenzgebot und ist wettbewerbswidrig und damit rechtlich unwirksam.

Festlegung des Verwendungszwecks schon zur Ersterhebung

Das Verbot der Verarbeitung von personenbezogenen Daten mit Erlaubnisvorbehalt bedeutet, dass die Verarbeitung dieser Daten grundsätzlich verboten ist und nur dann zulässig ist, wenn für die Verarbeitung eine Rechtsgrundlage bzw. ein Erlaubnistatbestand existiert. Die Rechtsgrundlage ergibt sich regelmäßig aus Art. 6 DSGVO. Eine Rechtsgrundlage kann danach z. B. ein Vertrag mit der betroffenen Person, ein berechtigtes Interesse des Unternehmens unter Berücksichtigung der Interessen, Grundrechte und Grundfreiheiten der betroffenen Person, eine Einwilligung oder rechtliche Verpflichtungen, wie z. B. Aufbewahrungsvorschriften, sein.

Die Verarbeitung von personenbezogenen Daten ist gem. Art. 5 Abs. 1 lit. b DSGVO nur für festgelegte, eindeutige und legitime Zwecke zulässig. Daraus ergibt sich, dass die Zwecke, für die die zu erhebenden personenbezogenen Daten verarbeitet werden sollen, schon zum Zeitpunkt der Erhebung festgelegt sein müssen und eine Rechtsgrundlage vorhanden sein muss. Anders ist auch eine Überprüfung der Zulässigkeit der Verarbeitung der personenbezogenen Daten nicht möglich. Sollen die Daten auch für Zwecke der Werbung verarbeitet werden, müssen auch diese Verwendungszwecke und die Einzelheiten der Verarbeitungen, z. B. die Art und Weise der Werbung (postalische Werbung, Werbung per elektronischer Post oder Telefon etc.), unter Abwägung des berechtigten Interesses des Unternehmens mit den Interessen der betroffenen Personen festgelegt sein.

Zweckänderung

Art. 6 Abs. 4 DSGVO nennt an Kriterien für die Beurteilung der Zulässigkeit

1.jede Verbindung zwischen den Zwecken, für die die personenbezogenen Daten erhoben wurden, und den Zwecken der beabsichtigten Weiterverarbeitung,

2.den Zusammenhang, in dem die personenbezogenen Daten erhoben wurden, insbesondere hinsichtlich des Verhältnisses zwischen den betroffenen Personen und dem Verantwortlichen,

3.die Art der personenbezogenen Daten, insbesondere ob besondere Kategorien personenbezogener Daten gem. Art. 9 DSGVO verarbeitet werden oder ob personenbezogene Daten über strafrechtliche Verurteilungen und Straftaten gem. Art. 10 DSGVO verarbeitet werden,

4.die möglichen Folgen der beabsichtigten Weiterverarbeitung für die betroffenen Personen,

5.das Vorhandensein geeigneter Garantien, wozu Verschlüsselung oder Pseudonymisierung gehören können.

Die Verarbeitung personenbezogener Daten für andere Zwecke als die, für die die personenbezogenen Daten ursprünglich erhoben wurden, sollte gem. EG. Nr. 50 nur zulässig sein, wenn die Verarbeitung mit den Zwecken, für die die personenbezogenen Daten ursprünglich erhoben wurden, vereinbar ist. In diesem Fall ist keine andere gesonderte Rechtsgrundlage erforderlich als diejenige für die Erhebung der personenbezogenen Daten. Um festzustellen, ob ein Zweck der Weiterverarbeitung mit dem Zweck, für den die personenbezogenen Daten ursprünglich erhoben wurden, vereinbar ist, sollte der Verantwortliche nach Einhaltung aller Anforderungen für die Rechtmäßigkeit der ursprünglichen Verarbeitung unter anderem prüfen, ob ein Zusammenhang zwischen den Zwecken, für die die personenbezogenen Daten erhoben wurden, und den Zwecken der beabsichtigten Weiterverarbeitung besteht, in welchem Kontext die Daten erhoben wurden. Insbesondere sind die vernünftigen Erwartungen der betroffenen Person, die auf ihrer Beziehung zu dem Verantwortlichen beruhen, in Bezug auf die weitere Verwendung dieser Daten zugrunde zu legen, um welche Art von personenbezogenen Daten es sich handelt, welche Folgen die beabsichtigte Weiterverarbeitung für die betroffenen Personen hat, und ob sowohl beim ursprünglichen als auch beim beabsichtigten Weiterverarbeitungsvorgang geeignete Garantien bestehen. Je mehr also zwischen dem ursprünglichen Zweck und dem neuen Verarbeitungszweck eine Zweckverwandtschaft besteht, umso eher ist die Zweckänderung zulässig.

Verwendung von Wahrscheinlichkeitswerten einer Kreditauskunftei

Grundsätzliche Voraussetzung für eine Verwendung von Wahrscheinlichkeitswerten einer Auskunftei ist, dass die der Bildung der Wahrscheinlichkeitswerte zugrundeliegenden Daten nur Forderungen über eine geschuldete Leistung berücksichtigen, die trotz Fälligkeit nicht erbracht worden sind. Danach dürfen gem. § 31 Abs. 2 BDSG für die Ermittlung von Wahrscheinlichkeitswerten nur Forderungen berücksichtigt werden, die eine der in § 31 Abs. 2 BDSG genannten Voraussetzungen erfüllen.

Scoring, Bonitätsprüfung

Wenn von einem Unternehmen eine Leistung gegen Rechnung erbracht wird, entsteht ein mehr oder weniger hohes Kreditrisiko, wenn der Kunde die Rechnung nicht oder nicht fristgerecht begleicht. Vonseiten des Unternehmens besteht ein berechtigtes Interesse daran, festzustellen, ob der Kunde kreditwürdig ist, d. h., ob nicht die Gefahr besteht, dass die Rechnung letztlich offen bleibt. Um sich vor derart riskanten Kunden zu schützen, kann das Unternehmen zunächst auf eigene Daten und Zahlungserfahrungen aus früheren Geschäften zurückgreifen.

Darüber hinaus dürfen für Scorings und Bonitätsprüfungen personenbezogene Daten zur Entscheidung über die Begründung, Durchführung oder Beendigung von Vertragsverhältnissen von Kreditauskunfteien genutzt werden. Voraussetzung ist aber, dass die zur Berechnung des Wahrscheinlichkeitswerts genutzten Daten unter Zugrundelegung eines wissenschaftlich anerkannten mathematisch-statistischen Verfahrens nachweisbar für die Berechnung der Wahrscheinlichkeit des bestimmten Verhaltens erheblich sind.

Übermittlung von personenbezogenen Daten

Grundsätze

Wenn die Daten an Stellen innerhalb der Europäischen Union oder Europäischen Wirtschaftsraums (EU und Island, Liechtenstein und Norwegen) übermittelt werden, gelten die gleichen Voraussetzungen wie im Inland.

Die Datenübermittlung an Stellen in Drittländern und die Auftragsverarbeitung in Drittländern sind in Kapitel V (Art. 44 ff. DSGVO) geregelt. Art. 44 DSGVO bestimmt, dass jedwede Übermittlung personenbezogener Daten, die bereits verarbeitet werden oder nach ihrer Übermittlung an ein Drittland oder eine internationale Organisation verarbeitet werden sollen, nur zulässig ist, wenn der Verantwortliche und der Auftragsverarbeiter die in diesem Kapitel niedergelegten Bedingungen einhalten und auch die sonstigen Bestimmungen dieser Verordnung eingehalten werden; dies gilt auch für die etwaige Weiterübermittlung personenbezogener Daten durch das betreffende Drittland oder die betreffende internationale Organisation an ein anderes Drittland oder eine andere internationale Organisation.

Drittland im Sinne der DSGVO ist jeder Staat, der weder Mitglied der EU noch des EWR ist. Eine Datenübermittlung oder eine Auftragsverarbeitung in einen Drittland liegt immer dann vor, wenn personenbezogene Daten an Stellen außerhalb der EU oder des EWR übermittelt werden oder von dort aus zugänglich sind oder durch diese Stellen im Auftrag verarbeitet werden. Wenn Informationen in einem Netzwerk oder auf sonstige Weise so zur Verfügung gestellt werden, dass sie von Stellen außerhalb des Unionsgebiets oder des EWR abgerufen oder zur Kenntnis genommen oder verarbeitet werden können, stellt dies auch eine Datenübermittlung in Drittländer dar und unterfällt den Regelungen der Art. 44 ff. DSGVO. Ebenfalls unter die Regelungen der Art. 44 ff. DSGVO fallen nach einer Datenübermittlung an eine Stelle in einem Drittland Weiterübermittlungen von personenbezogenen Daten von dieser Stelle an eine andere Stelle in diesem Drittland oder an eine Stelle in einem anderen Drittland.

Angemessenheitsbeschluss der EU-Kommission

An erster Stelle und immer zuerst zu prüfen ist die Frage, ob durch einen Angemessenheitsbeschluss der EU-Kommission für den Empfängerstaat ein angemessenes Datenschutzniveau festgestellt worden ist.

Gemäß Art. 45 DSGVO kann die Kommission feststellen, dass ein Drittland oder ein bestimmtes Gebiet oder ein Sektor dieses Landes hinsichtlich des Schutzes der Privatsphäre sowie der Freiheiten und Grundrechte von Personen ein angemessenes, dem europäischen Datenschutzrecht adäquates Schutzniveau gewährleistet. Die Rechtsfolge dieser Anerkennung (Adäquanzentscheidung) ist, dass in diese Länder eine Datenübermittlung oder eine Auftragsverarbeitung ebenso, also ohne Genehmigung der zuständigen Aufsichtsbehörde für den Datenschutz, zulässig sein soll wie innerhalb der EU/EWR. Eine Liste der anerkannten Drittländer ist auf der Homepage der Europäischen Union einsehbar.

Binding Corporate Rules (BCR) gem. Art. 46 Abs. 2 lit. b DSGVO

Art. 46 Abs. 2 lit. b DSGVO stellt in Verbindung mit Art. 47 DSGVO als Rechtsgrundlage verbindliche interne Datenschutzvorschriften zur Verfügung. Dabei handelt es sich um die bereits aus dem bisherigen Recht bekannten Binding Corporate Rules (BCR). Diese BCR sind in Art. 4 Nr. 20 DSGVO als Maßnahmen zum Schutz personenbezogener Daten definiert, zu deren Einhaltung sich ein im Hoheitsgebiet eines Mitgliedstaats niedergelassener Verantwortlicher oder Auftragsverarbeiter im Hinblick auf Datenübermittlungen oder eine Kategorie von Übermittlungen personenbezogener Daten an einen Verantwortlichen oder Auftragsverarbeiter derselben Unternehmensgruppe oder derselben Gruppe von Unternehmen verpflichtet, die in einem oder mehreren Drittländern eine gemeinsame Wirtschaftstätigkeit ausüben. Diese Rechtsgrundlage ist Unternehmen derselben Gruppe von Unternehmen vorbehalten, die eine gemeinsame Wirtschaftstätigkeit ausüben. Typischerweise handelt es sich hier um Konzerne, die in mehreren Ländern innerhalb und außerhalb der EU vertreten sind und aus Ländern innerhalb der EU heraus an andere konzernangehörige Stellen in Drittländern personenbezogene Daten übermitteln wollen.

EU-Standardvertragsklauseln

Für eine Auftragsverarbeitung durch Stellen in einem Drittland, für den ein angemessenes Datenschutzniveau durch die EU-Kommission nicht anerkannt ist, steht ein Vertrag nach den EU-Standardvertragsklauseln zur Verfügung.

Diese Vertragsklauseln sind nach dem Urteil des EuGH über die Aufhebung des EU-US Privacy Shield vom 16. Juli 2020 nach wie vor anwendbar. Datenexporteur und Datenimporteur müssen aber in einer rechtsverbindlichen Einzelfallprüfung überprüfen, ob die Regelungen der vereinbarten Standardvertragsklauseln nach den im Drittland geltenden gesetzlichen Bestimmungen eingehalten werden können oder ob gesetzliche Regelungen des Drittlandes der Einhaltung der Vereinbarungen der Standardvertragsklauseln entgegenstehen. Diese Auflage gilt nicht nur für Datenexporte an Stellen in den USA, sondern auch für Stellen in anderen Drittländern, für die kein Angemessenheitsbeschluss besteht.

Bei der Beurteilung dieses Schutzniveaus sind neben den vertraglichen Regelungen zwischen dem Datenexporteur und dem Empfänger der Übermittlung die Zugriffsbefugnisse der Behörden dieses Drittlandes und die maßgeblichen Aspekte der Rechtsordnung dieses Landes zu berücksichtigen. Diese Prüfung ist zu dokumentieren. Insbesondere sollte beschrieben werden, auf welche Weise das verlangte Schutzniveau gewährleistet ist und welche Schutzmechanismen und Rechtsbehelfe zur Verfügung stehen. Da z. B. in den USA mehrere Überwachungsgesetze existieren und nicht alle Kategorien von Datenempfängern diesen Überwachungsgesetzen in gleicher Weise unterliegen, ist zu beachten, welchen Überwachungsgesetzen der jeweilige Importeur konkret unterliegt. Unterschiede können sich hier z. B. für Handelsunternehmen, für IT-Unternehmen oder Cloud-Anwender etc. ergeben. Kann allein mit den vorgegebenen Regelungen der Standardvertragsklauseln ein der EU vergleichbares Datenschutzniveau nicht hergestellt werden, müssen die Standardvertragsklauseln durch geeignete Zusatzregelungen ergänzt werden.

Kann der Datenimporteur die in den Vertragsklauseln vorgesehenen Garantien nicht einhalten, ist der Datenexporteur berechtigt (und verpflichtet), die Datenübermittlung auszusetzen und/oder vom Vertrag zurückzutreten. Die Aufsichtsbehörden für den Datenschutz sind ihrerseits verpflichtet, eine Übermittlung personenbezogener Daten in ein Drittland auszusetzen oder zu verbieten, wenn sie der Auffassung sind, dass die Standarddatenschutzklauseln in diesem Land nicht eingehalten werden oder nicht eingehalten werden können und dass der nach dem Unionsrecht erforderliche Schutz der übermittelten Daten mit den Standardvertragsklauseln und eventuellen Zusatzvereinbarungen nicht gewährleistet werden kann.

Vonseiten der EU-Kommission wurden am 4. Juni 2021 neue EU-Standardvertragsklauseln für den Drittlandtransfer herausgegeben. Diese Vertragsklauseln sind ungekürzt und unverändert anzuwenden. Es besteht dann keine Verpflichtung zur Vorlage des Vertrags bei der Aufsichtsbehörde und auch keine Genehmigungspflicht. Die Vertragsparteien müssen aber in einer Daten-Transfer-Folgenabschätzung (Transfer Impact Assessment) prüfen, ob Rechtsvorschriften oder sonstige Gepflogenheiten des Bestimmungslandes bestehen, die angesichts der Umstände der Übermittlung relevant sind und den Datenimporteur an der Erfüllung seiner Pflichten aus den Vertragsklauseln hindern. Ist dies der Fall, müssen der Datenexporteur und der Datenimporteur durch technische und organisatorische Maßnahmen sowie durch zusätzliche Regelungen und Garantien ein der EU vergleichbares Datenschutzniveau herstellen. Gelingt dies nicht, sind Datentransfers an diese Stellen nicht zulässig.

Die neuen EU-Standardvertragsklauseln decken mit vier Modulen sämtliche Fallgestaltungen der Datentransfers ab, d. h.: Übermittlungen von Verantwortlichen an Verantwortliche, Transfers von Verantwortlichen an Auftragsverarbeiter, von Auftragsverarbeitern an weitere Auftragsverarbeiter/Unterauftragsverarbeiter und von Auftragsverarbeitern an Verantwortliche. Die Module über Auftragsverarbeitungen erfüllen auch die Anforderungen des § 28 DSGVO. Ergänzende Regelungen zur Erfüllung der Anforderungen des Art. 28 DSGVO sind deshalb nicht mehr erforderlich.

Von den Aufsichtsbehörden angenommene Standardvertragsklauseln gem. Art. 46 Abs. 2 lit. d DSGVO

Diese Standardvertragsklauseln sind als Möglichkeit einer geeigneten Garantie neu. Hier handelt es sich um Vertragsklauseln, die nicht von der EU-Kommission erlassen werden, sondern von einer Aufsichtsbehörde eines Mitgliedsstaats angenommen oder selbst erstellt werden können. Vor ihrem verbindlichen Erlass müssen diese Klauseln in einem Prüfverfahren nach Art. 93 Abs. 2 DSGVO genehmigt werden. Denkbar sind derartige Standardvertragsklauseln für bestimmte Branchen.

Verbindliche Unternehmensregelungen (Codes of Conduct)

Verbände und andere Vereinigungen können nach der ebenfalls neuen Regelung gem. Art. 40 Abs. 2 DSGVO für Kategorien von Verantwortlichen oder Auftragsverarbeiter oder Verarbeitungsbereiche wie z. B. Kleinstunternehmen oder kleine und mittlere Unternehmen mit den in Art. 40 Abs. 2 DSGVO näher beschriebenen Inhalten und Regelungen für ihren Bereich Verhaltensregeln erarbeiten und nach dem in Art. 40 DSGVO geregelten Verfahren genehmigen lassen.

Ausnahmen vom Übermittlungsverbot

U. a. handelt es sich um folgende Ausnahmeregelungen:

• Einwilligung des Betroffenen (Art. 49 Abs. 1 lit. a DSGVO)
• Erfüllung eines Vertrags zwischen dem Betroffenen und der verantwortlichen Stelle oder zur Durchführung von vorvertraglichen Maßnahmen, die auf Veranlassung des Betroffenen getroffen worden sind (Art. 49 Abs. 1 lit. b DSGVO)
• Erforderliche Übermittlung zum Abschluss oder zur Erfüllung eines Vertrags im Interesse des Betroffenen (Art. 49 Abs. 1 lit. c DSGVO)
• Übermittlung zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen (Art. 49 Abs. 1 lit. e DSGVO)

Weitere ausreichende Garantien

Von dem Übermittlungsverbot hat der Gesetzgeber in Art. 49 DSGVO für bestimmte Fälle Ausnahmen zugelassen.

Wenn für ein Drittland ein angemessenes Datenschutzniveau nicht anerkannt und keiner der genannten Ausnahmetatbestände erfüllt ist, ist gem. Art. 49 Abs. 1 DSGVO eine Übermittlung zulässig, wenn

• die Übermittlung nicht wiederholt erfolgt,
• die Übermittlung nur eine begrenzte Zahl von betroffenen Personen betrifft,
• die Übermittlung für die Wahrung der zwingenden berechtigten Interessen des Verantwortlichen erforderlich ist,
• die Interessen oder die Rechte und Freiheiten der betroffenen Person nicht überwiegen,
• der Verantwortliche alle Umstände der Datenübermittlung beurteilt und auf der Grundlage dieser Beurteilung angemessene Garantien in Bezug auf den Schutz personenbezogener Daten vorgesehen hat,
• der Verantwortliche die Aufsichtsbehörde von der Übermittlung in Kenntnis setzt und
• der Verantwortliche die betroffene Person über die Übermittlung und seine zwingenden berechtigten Interessen unterrichtet.

Diese Information ist zusätzlich zu den nach den Art. 13 und 14 DSGVO vorgeschriebenen Informationen, d. h. unabhängig von diesen Informationen, zu erteilen.

Besondere Kategorien von personenbezogenen Daten

Besondere Datenarten

Die Rechtsgrundlagen für die Verarbeitung besonderer Kategorien von personenbezogenen Daten sind in Art. 9 DSGVO und über strafrechtliche Verurteilungen und Straftaten in Art. 10 DSGVO geregelt. Die besonderen Datenarten sind in Art. 9 Abs. 1 DSGVO abschließend aufgezählt. Neu im Vergleich zu Art. 8 RL 95/46/EG und § 3 Abs. 9 BDSG a. F. sind genetische und biometrische Daten.

Als besondere Kategorien von personenbezogenen Daten sind in Art. 9 Abs. 1 DSGVO Daten definiert, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person. Die besonderen Datenarten sind in dieser Bestimmung abschließend aufgezählt.

Art. 9 Abs. 1 DSGVO unterwirft besondere Kategorien von personenbezogenen Daten, genetische und biometrische Daten, Gesundheitsdaten sowie Daten zum Sexualleben oder der sexuellen Orientierung einem pauschalen Verarbeitungsverbot.

Art. 9 Abs. 2 lit. a DSGVO verschärft diese Anforderung und verlangt zusätzlich zu den sonstigen Voraussetzungen der Einwilligung eine ausdrückliche und aktive Einwilligungshandlung (Opt-in), wobei die besonderen Datenarten, in deren Verarbeitung eingewilligt werden soll, und die Verarbeitungszwecke konkret zu bezeichnen sind.

Ausnahmen vom Verarbeitungsverbot gem. Art. 9 Abs. 2 DSGVO

Als Ausnahme ist in Art. 9 Abs. 2 lit. a DSGVO eine Einwilligung vorangestellt. Danach ist die Verarbeitung von besonderen Datenarten zulässig, wenn die betroffene Person in die Verarbeitung für einen oder mehrere festgelegte Zwecke ausdrücklich eingewilligt hat. Dies gilt nicht, wenn nach Unionsrecht oder dem Recht der Mitgliedstaaten die Verarbeitung für diese Zwecke überhaupt nicht einwilligungsfähig ist. Die Verarbeitung besonderer Kategorien von personenbezogenen Daten ist gem. Art. 9 Abs. 2 lit. b DSGVO auch zulässig, soweit sie für den Verantwortlichen oder für die betroffene Person zur Ausübung von Rechten oder zur Wahrnehmung von Pflichten aus dem Arbeitsrecht und dem Recht der sozialen Sicherheit und des Sozialschutzes erforderlich ist. Mit dem Bezug auf Kollektivvereinbarungen ist auch klargestellt, dass Tarifverträge oder Betriebsvereinbarungen weiter eine Rechtsgrundlage für die Verarbeitung von Beschäftigtendaten bilden können.

Gemäß Art. 9 Abs. 2 lit. c DSGVO ist eine Verarbeitung zulässig, wenn diese zum Schutz lebenswichtiger Interessen der betroffenen Person oder einer anderen natürlichen Person erforderlich ist und die betroffene Person aus körperlichen oder rechtlichen Gründen außerstande ist, ihre Einwilligung zu geben. Voraussetzung ist, dass der/die Betroffene umständehalber nicht in der Lage ist, selbst einzuwilligen, z. B. bei einer mangelnden Einwilligungsfähigkeit etc.

Die Verarbeitung ist gem. Art. 9 Abs. 2 lit. d DSGVO zulässig auf der Grundlage geeigneter Garantien durch eine politisch, weltanschaulich, religiös oder gewerkschaftlich ausgerichtete Stiftung, Vereinigung oder sonstige Organisation ohne Gewinnerzielungsabsicht im Rahmen ihrer rechtmäßigen Tätigkeiten und unter der Voraussetzung, dass sich die Verarbeitung ausschließlich auf die Mitglieder oder ehemalige Mitglieder der Organisation oder auf Personen, die im Zusammenhang mit deren Tätigkeitszweck regelmäßige Kontakte mit ihr unterhalten, bezieht und die personenbezogenen Daten nicht ohne Einwilligung der betroffenen Personen nach außen offengelegt werden.

Da biometrische Daten ebenfalls unter das Regime dieser Regelung fallen, ist die Verarbeitung dieser Daten, z. B. von Venen- und Fingerabdruckanalysen, Augenerkennung, oder der Einsatz von Gesichtserkennungssoftware in Unternehmen, z. B. zur Identifikation der Beschäftigten zur Berechtigungsprüfung und zur Nutzung in IT-Systemen oder im Zusammenhang mit Zutrittskontrollen, nach dieser Vorschrift zu beurteilen und wohl nur bei erhöhten Sicherheitsanforderungen als zulässig zu beurteilen.

Die Nutzung von besonderen Kategorien von personenbezogenen Daten von Beschäftigten hat der deutsche Gesetzgeber in § 26 Abs. 3 und 4 BDSG geregelt.

Daten, die die betroffene Person offensichtlich öffentlich gemacht hat, dürfen für Zwecke des Unternehmens verarbeitet werden. Hier ist darauf zu achten, ob diese Daten vom Betroffenen selbst und auch tatsächlich mit dem Willen der Veröffentlichung offengelegt worden sind, z. B. in sozialen Netzwerken. Mit Suchmaschinen u. U. unter Missachtung von privaten Bereichen von sozialen Netzwerken erhobene Daten dürfen unter diesem Gesichtspunkt nicht verarbeitet werden.

Pflichten des Verantwortlichen und des Auftragsverarbeiters

Allgemeine Pflichten

Verantwortlicher

Verantwortlicher ist nach der Definition des Art. 4 Nr. 7 DSGVO jede natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.

Art. 24 DSGVO enthält die Verpflichtung des Verantwortlichen, die Verarbeitung personenbezogener Daten nach den Vorschriften der DSGVO sicherzustellen.

Der Verantwortliche hat danach drei Aufgaben zu erfüllen:

1.Er hat unter Berücksichtigung der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der Risiken für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen umzusetzen. Ziel dieser Maßnahmen ist es, die Verarbeitung der Daten gemäß dieser Verordnung einerseits sicherzustellen und andererseits dafür auch den Nachweis zu erbringen.

2.Er hat sicherzustellen und den Nachweis dafür zu erbringen, dass die Verarbeitung gemäß den Vorschriften der DSGVO erfolgt. Sicherstellen bedeutet, dass entsprechende Regelungen einzuführen sind, deren Wirksamkeit aufrechtzuerhalten und zu kontrollieren ist. Ohne verbindliche Regelungen und ohne Dokumentation der festgelegten Regelungen ist eine Überprüfung der Einhaltung der Vorschriften der DSGVO nicht möglich. Welche Regelungen erforderlich sind, ergibt sich aus den individuellen Umständen der Verarbeitung.

3.Er hat die Maßnahmen erforderlichenfalls zu überprüfen und zu aktualisieren.

Gemeinsam Verantwortliche und Auftragsverarbeitung

Gemeinsam Verantwortliche

Art. 26 DSGVO regelt die Verantwortung für die Verarbeitung von personenbezogenen Daten für die Fälle, in denen die Verarbeitung der Daten nicht durch eine Stelle allein geschieht, sondern auf mehrere Stellen verteilt ist. Dies kann insbesondere innerhalb von Konzernunternehmen der Fall sein, wenn Datenverarbeitungsverfahren zentral eingesetzt und von verschiedenen Stellen, z. B. von den einzelnen Konzerngesellschaften, für ihre eigenen Zwecke genutzt werden. In diesen Fällen ist ein Anliegen des Art. 26 DSGVO, die mit den jeweiligen Nutzungen verbundenen Verantwortungen abzugrenzen und den einzelnen Verantwortlichen zuzuordnen. Schließlich muss davon die Datenverarbeitung im Auftrag abgegrenzt werden, weil diese anderen Regelungen folgt.

Ob eine Stelle verantwortliche Stelle i. S. v. Art. 4 Nr. 7 DSGVO ist, beurteilt sich in erster Linie daran, ob die Stelle über die Zwecke der Verarbeitung entscheidet und für die Rechtmäßigkeit der Verarbeitung verantwortlich ist. Die Entscheidung über die zur Verarbeitung der personenbezogenen Daten eingesetzten technischen und organisatorischen Mittel kann vielfach der Entscheidung eines Auftragsverarbeiters vorbehalten sein, ohne dass der Auftragsverarbeiter dadurch selbst zur verantwortlichen Stelle wird.

Art. 26 Abs. 1 Satz 1 DSGVO geht dann von einer gemeinsamen Verantwortung aus, wenn zwei oder mehrere Verantwortliche gemeinsam die Zwecke und Mittel zur Verarbeitung der personenbezogenen Daten festlegen. In der Praxis wird es nicht immer einfach sein, gerade innerhalb von Konzernstrukturen, bei einer Vielzahl von z. T. gleichrangigen, z. T. in Beherrschungsstrukturen eingebauten konzernangehörigen Gesellschaften und komplexen Matrixorganisationen eine Verarbeitung von personenbezogenen Daten durch mehrere Gesellschaften in gemeinsamer Verantwortung von einer Datenübermittlung oder einer Datenverarbeitung im Auftrag zu unterscheiden und abzugrenzen.

Gemeinsam Verantwortliche sind teil- oder mitverantwortlich oder es ist jede Stelle für sich für einen bestimmten Bereich der Verarbeitung zuständig und verantwortlich, und sie sind zueinander nicht weisungsberechtigt. Eine Weisungsbefugnis wäre ein Indiz für eine Datenverarbeitung im Auftrag.

Vereinbarung der gemeinsamen Verarbeitung

Wird ein Verarbeitungsverfahren oder werden Teile eines Verarbeitungsverfahrens von zwei oder mehreren Unternehmen in gemeinsamer Verantwortung betrieben, verlangt Art. 26 Abs. 1 DSGVO von den beteiligten Verantwortlichen, dass in einer Vereinbarung in transparenter Form festgelegt wird, wer welche Verpflichtungen der DSGVO erfüllt. Schwerpunkte sind die Regelung der Wahrnehmung der Rechte der Betroffenen und deren Information gem. Art. 13 und 14 DSGVO. Hier sind das Verfahren für die Rechtewahrnehmung zu regeln und die Stelle bzw. die Stellen festzulegen, an die sich die Betroffenen zur Wahrnehmung ihrer Rechte wenden können, von wem und auf welche Weise die Informationspflichten wahrgenommen werden sollen, und auch die Informationen sind festzulegen.

Das Wesentliche der Vereinbarung, insbesondere die Teile, die die Rechte der Betroffenen berühren, ist gem. Art. 26 Abs. 2 Satz 2 DSGVO den betroffenen Personen zur Verfügung zu stellen. Mit dem „Wesentlichen der Vereinbarung“ sind die datenschutzrechtlichen Bestandteile gemeint, die den Schutz der Rechte der Betroffenen und die Wahrnehmung der Rechte der Betroffenen nach Kap. III der DSGVO i. V. m. Kap. 2 BDSG betreffen.

Auftragsverantwortung

Der Auftragsverarbeiter ist in Art. 4 Nr. 8 DSGVO als eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle definiert, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet. Er ist gem. Art. 4 Nr. 10 DSGVO nach wie vor nicht Dritter, wohl aber gem. Art. 4 Nr. 9 DSGVO Empfänger von Daten. Damit greifen auch bei einer Auftragsverarbeitung die Informationspflichten gem. Art. 13 Abs. 1 lit. e und Art. 14 Abs. 1 lit. e DSGVO hinsichtlich der Information über Datenempfänger.

Erfolgt eine Verarbeitung von personenbezogenen Daten im Auftrag, arbeitet der Auftraggeber nur mit Auftragsverarbeitern zusammen, die hinreichend Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung der personenbezogenen Daten im Einklang mit den Anforderungen der DSGVO erfolgt und der Schutz der Rechte und Freiheiten der betroffenen Personen gewährleistet wird. Diese Vorschrift des Art. 28 Abs. 1 DSGVO schreibt zwar nicht mehr diese formelle Prüfpflicht vor, wie sie in § 11 Abs. 2 Satz 4 BDSG a. F. enthalten war, mündet aber ebenso in eine Prüfpflicht des Auftraggebers. Denn anders als durch eine Prüfung der technischen und organisatorischen Maßnahmen beim Auftragsverarbeiter lässt sich diese Anforderung nicht erfüllen.

Über die Verarbeitung durch einen Auftragsverarbeiter ist gem. Art. 28 Abs.3 DSGVO ein Vertrag abzuschließen, in dem Gegenstand und Dauer der Verarbeitung, Art und Zweck der Verarbeitung, die Art der personenbezogenen Daten, die Kategorien betroffener Personen und die Pflichten und Rechte des Verantwortlichen festgelegt werden.

Sicherheit der Daten

Datenschutz durch Technikgestaltung

Art. 25 DSGVO enthält zwei grundsätzlich unterschiedliche Anforderungen und zwar die Forderung nach Datenschutz durch Technikgestaltung (data protection by design) und nach Datenschutz durch datenschutzfreundliche Voreinstellungen (data protection by default). Data protection by design richtet sich schwerpunktmäßig, aber nicht ausschließlich, an die System- und Softwareentwickler, während data protection by default im Zusammenhang mit der Auslieferung und der Einrichtung der Verfahren eher an die Verantwortlichen bzw. Auftragsverarbeiter adressiert ist.

Die Anforderungen des data protection by design, müssen, wie der Name schon sagt, im Design der Systeme und damit bereits in der Entwicklungsphase berücksichtigt bzw. in die Datenverarbeitungsverfahren hineinentwickelt bzw. hineinkonstruiert werden, damit dem Datenschutz abträgliche Verarbeitungsweisen erst gar nicht möglich oder entsprechend sicher gestaltet sind. Dazu gehören z. B. Mandantenfähigkeit, Sicherheitsfunktionen, wie Möglichkeiten zur Einschränkung des Umfangs der Daten und der Datenverarbeitungsfunktionen, Separierung von Daten, Modularisierung des Systems zur Differenzierung und Begrenzung des Umfangs der Verarbeitungsfunktionen nach Nutzer und Zwecken der Verarbeitung, möglichst frühzeitige Pseudonymisierung der Daten im Verarbeitungsprozess, Beschränkung der Zugänglichkeit zu den Daten durch Zugriffsstrukturen und -berechtigungen, differenzierte Zuweisung von Nutzungsfunktionen (vorkonfiguriert, möglichst anonymisiert, nur soweit nötig frei gestaltbar und personenbezogen, Auslieferung der Verarbeitungsverfahren und Systeme mit möglichst restriktiven Voreinstellungen im Sinne einer Whitelist-Strategie), Transparenz und Kontrolle von Datenübermittlungen und Exportschnittstellen zu anderen Verfahren (insbesondere von voreingestellten Übermittlungen, z. B. bei Apps), Löschfunktionen, Protokollierungen, Funktionen zur Unterstützung der Rechte der Betroffenen wie z. B. zur Auskunftserteilung, Sperrung (jetzt Einschränkung der Verarbeitung) und die Unterstützung des Rechts auf Übertragbarkeit.

Data protection by default ist sowohl bei den standardisierten Voreinstellungen von Systemen und Apps als auch bei der Einrichtung der Datenverarbeitungsverfahren zu berücksichtigen. In dieser Phase werden die Rechte konkret konfiguriert, wird im Hinblick auf Datenminimierung die Zulässigkeit bzw. Unzulässigkeit bestimmter Eingaben bzw. Eingabemöglichkeiten (z. B. von Freitexten) festgelegt, über Nutzungsfunktionen entschieden (Umfang der Verarbeitung), ebenso über Art und Umfang des Personenbezugs bzw. der Anonymisierung (z. B. bei Auswertungsfunktionen), über Verfügbarkeit von bestimmten Kontroll- und Verarbeitungsfunktionen, Protokollierungen etc.

Technische und organisatorische Maßnahmen/Sicherheit der Verarbeitung

Die DSGVO schreibt nicht konkrete Maßnahmen vor, sondern definiert Schutzziele. Diese Schutzziele sind in Art. 32 Abs. 1 lit. a bis d näher erläutert und geben vor, die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen und verlangen die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen.

Grundsatz

Im Zusammenhang mit der Informationssicherheit unterscheidet man grundsätzlich zwischen vier Arten von Bedrohungen und zwar den Verlust der

• Vertraulichkeit,
• Verfügbarkeit,
• Integrität und
• Authentizität.

Vertraulichkeit

Unter dem Schutz der Vertraulichkeit ist der Schutz aller in einem System enthaltenen Informationen vor einer Kenntnisnahme durch unbefugte Personen oder Stellen zu verstehen.

Verfügbarkeit

Ziel der Verfügbarkeit ist es, alle Daten und Informationen zu einem vorgegebenen Zeitpunkt vollständig und in der zugesicherten Form und Qualität zur Verfügung zu stellen.

Integrität

Das Schutzziel der Integrität gewährleistet, dass sich alle Daten und Informationen jederzeit in dem erwarteten korrekten und unverfälschten Zustand befinden.

Authentizität

Unter Authentizität sind die jederzeitige Echtheit der Informationen, ihre Übereinstimmung mit dem Original und der Nachweis der Urheberschaft zu verstehen.

Diese Anforderungen entsprechen auch den Anforderungen der Grundsätze ordnungsgemäßer DV-gestützter Buchführungssysteme – GoBS – und den Grundsätzen ordnungsgemäßer Datenverarbeitung – GoDV – sowie den Grundsätzen zur ordnungsbemäßen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff (GoBD) und sind damit Teil des internen Kontrollsystems.

Verschiedentlich werden weitere Schutzziele definiert, und zwar:

• Nichtverkettbarkeit
• Intervenierbarkeit
• Revisionsfähigkeit
• Nachweis (durch Protokollierungsverfahren), wer wann welche personenbezogenen Daten in welcher Weise verarbeitet hat
• Transparenz
• Vollständige und aktuelle Dokumentation der Verfahrensweisen der DV und deren Nachvollziehbarkeit innerhalb einer zumutbaren Zeit

Datenschutzbeauftragter

Benennungspflicht

Eine Benennungspflicht besteht, wenn die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen.

Die Kerntätigkeit bezieht sich auf die Haupttätigkeiten eines Unternehmens und nicht auf die Verarbeitung personenbezogener Daten als Hilfs- oder Nebentätigkeit. Diese Kerntätigkeit des Unternehmens muss also Teil des Geschäftsmodells sein und dem Erwerbszweck bzw. Geschäftszweck des Unternehmens entsprechen. Hilfstätigkeiten sind z. B. ein Videoüberwachungssystem im Verpackungs- und Versandbereich eines Unternehmens, weil Unternehmenszweck nicht die Überwachung, sondern der Verkauf und Versand von Waren ist, oder Zeiterfassungs- und Zutrittskontrollsysteme und Protokollierungen im Zusammenhang mit der Nutzung von IT-Systemen.

Eine umfangreiche, regelmäßige und systematische Überwachung liegt z. B. bei einem Sicherheitsdienst vor, dessen Geschäftszweck aus Überwachungstätigkeiten besteht. Während der Begriff der Kerntätigkeit wenigstens einigermaßen eingrenzbar ist, geben die DSGVO und die Erwägungsgründe für die Interpretation der Begriffe „umfangreich“, „regelmäßig“ und „systematisch“ keine weiteren Hilfestellungen.

In gleicher Weise wie bisher muss ein betrieblicher Datenschutzbeauftragter gem. § 38 BDSG auch benannt werden, wenn i. d. R. mindestens 20 Personen ständig mit der automatisierten Verarbeitung von personenbezogenen Daten beschäftigt sind oder Verarbeitungen vorgenommen werden, die einer Datenschutz-Folgenabschätzung unterliegen. Auskunfteien, Unternehmen des Adresshandels oder der Markt- und Meinungsforschung haben unabhängig von der Zahl der mit der Verarbeitung von personenbezogenen Daten beschäftigten Personen immer einen Datenschutzbeauftragten zu benennen.

Aufgaben des Datenschutzbeauftragten

Dem Datenschutzbeauftragten obliegen gem. Art. 39 DSGVO zumindest folgende Aufgaben:

• Unterrichtung und Beratung des Verantwortlichen oder des Auftragsverarbeiters und der Beschäftigten, die Verarbeitungen durchführen, hinsichtlich ihrer Pflichten nach dieser Verordnung sowie nach sonstigen Datenschutzvorschriften der Union bzw. der Mitgliedstaaten;
• Überwachung der Einhaltung dieser Verordnung, anderer Datenschutzvorschriften der Union bzw. der Mitgliedstaaten sowie der Strategien des Verantwortlichen oder des Auftragsverarbeiters für den Schutz personenbezogener Daten einschließlich der Zuweisung von Zuständigkeiten, der Sensibilisierung und Schulung der an den Verarbeitungsvorgängen beteiligten Mitarbeiter und der diesbezüglichen Überprüfungen;
• Beratung – auf Anfrage – im Zusammenhang mit der Datenschutz-Folgenabschätzung und Überwachung ihrer Durchführung gemäß Artikel 35 DSGVO;
• Zusammenarbeit mit der Aufsichtsbehörde;
• Tätigkeit als Anlaufstelle für die Aufsichtsbehörde in mit der Verarbeitung zusammenhängenden Fragen, einschließlich der vorherigen Konsultation gemäß Artikel 36 DSGVO und gegebenenfalls Beratung zu allen sonstigen Fragen.

Verschwiegenheitspflicht des Datenschutzbeauftragten

Betroffene Personen können sich gem. Art. 38 Abs. 4 DSGVO zu allen mit der Verarbeitung ihrer personenbezogenen Daten und mit der Wahrung ihrer Datenschutzrechte zusammenhängenden Fragen an den Datenschutzbeauftragten wenden.

Der Datenschutzbeauftragte ist bei der Erfüllung seiner Aufgaben gem. Art. 38 Abs. 5 DSGVO an die Wahrung der Geheimhaltung gebunden. Gem. § 38 Abs. 2 S. 1 BDSG i. V. m. § 6 Abs. 5 S. 2 BDSG ist er auch über die Identität von Betroffenen sowie über die Umstände, die Rückschlüsse auf die Person des Betroffenen zulassen, zur Verschwiegenheit verpflichtet. Unter den Voraussetzungen des § 6 Abs. 6 BDSG hat der Datenschutzbeauftragte auch ein Zeugnisverweigerungsrecht.

Gem. § 79a Betriebsverfassungsgesetz (BetrVG) ist der Datenschutzbeauftragte gegenüber dem Arbeitgeber zur Verschwiegenheit über Informationen, die Rückschlüsse auf den Meinungsbildungsprozess des Betriebsrats zulassen, verpflichtet.

Rechte der Betroffenen

Die Rechte der Betroffenen entsprechen grundsätzlich den bisher schon bestehenden Rechten. Neu hinzugekommen ist das Recht auf Vergessenwerden, das einem Löschungsrecht entspricht, und das Recht auf Datenübertragbarkeit.

Anhand der Instrumente gem. Art. 15 ff. DSGVO kann die betroffene Person in der Folge die Verarbeitung ihrer personenbezogenen Daten kontrollieren und ggf. deren Berichtigung oder Löschung verlangen. Damit stehen der betroffenen Person Möglichkeiten und Mittel zur Verfügung, um die Rechtmäßigkeit der Verarbeitung ihrer Daten zu kontrollieren.

Recht auf Auskunft

Das zentrale Transparenzrecht der Betroffenen ist das Recht auf Auskunft über die verarbeiteten Daten gem. Art. 15 DSGVO. Das Auskunftsrecht kann ohne Begründung oder Geltendmachung von Zweifeln an der Richtigkeit der gespeicherten Daten von jeder natürlichen Person gegen jedes Unternehmen bzw. gegen jede Stelle geltend gemacht werden. Der Betroffene hat das Recht, vom Verantwortlichen eine Bestätigung darüber zu verlangen, ob zu seiner Person Daten verarbeitet werden oder nicht. Wenn dies der Fall ist, kann der Betroffene Auskunft über die zu seiner Person gespeicherten Daten verlangen. Über die gespeicherten Daten ist eine Kopie zur Verfügung zu stellen.

Auskunft ist über die Verarbeitungszwecke, die Kategorien der verarbeiteten Daten, die Empfänger bzw. Kategorien von Empfängern, die geplante Dauer der Speicherung und die Kriterien für die Festlegung der Speicherdauer, über das Bestehen eines Beschwerderechts bei der Aufsichtsbehörde, über die Herkunft der Daten, wenn sie nicht vom Betroffenen erhoben worden sind und über die weiteren Betroffenenrechte zu erteilen.

Im Fall einer automatisierten Entscheidungsfindung einschließlich Profiling gem. Art. 22 Absätze 1 und 4 DSGVO hat der Verantwortliche auch aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person zur Verfügung zu stellen.

Wenn personenbezogene Daten an Stellen in einem Drittland oder an eine internationale Organisation übermittelt werden, muss der Verantwortliche oder der Auftragsverarbeiter Auskunft darüber geben, ob und ggf. welche geeigneten Garantien er für die Rechte der Betroffenen vorgesehen hat (z. B. einen EU-Standardvertrag), und auf Verlangen eine Kopie zur Verfügung stellen oder Einsicht gewähren.

Eine Auskunftspflicht entfällt gem. § 34 Abs. 1 Nr. 2 BDSG, wenn die Daten nur deshalb gespeichert sind, weil sie aufgrund gesetzlicher oder satzungsmäßiger Aufbewahrungsvorschriften nicht gelöscht werden dürfen, oder ausschließlich Zwecken der Datensicherung oder der Datenschutzkontrolle dienen und die Auskunftserteilung einen unverhältnismäßigen Aufwand erfordern würde sowie eine Verarbeitung zu anderen Zwecken durch geeignete technische und organisatorische Maßnahmen ausgeschlossen ist. Die Gründe der Auskunftsverweigerung sind zu dokumentieren. Die Ablehnung der Auskunftserteilung ist gegenüber der betroffenen Person zu begründen, soweit nicht durch die Mitteilung der tatsächlichen und rechtlichen Gründe, auf die die Entscheidung gestützt wird, der mit der Auskunftsverweigerung verfolgte Zweck gefährdet würde.

Recht auf Berichtigung

Wenn der Betroffene z. B. über eine Auskunft gem. Art. 15 DSGVO davon Kenntnis erhält, dass Daten zu seiner Person unrichtig sind, kann er gem. Art. 16 DSGVO die Berichtigung der Daten verlangen. Tatsächlich enthält Art. 16 DSGVO zwei verschiedene Ansprüche und zwar das Recht auf Berichtigung unrichtiger Daten und das Recht auf Vervollständigung unvollständiger Daten. Beide Rechte sind ein Recht des Betroffenen, d. h., sie müssen von ihm aktiv geltend gemacht werden.

Recht auf Löschung, Vergessenwerden

Betroffene Personen haben ein „Recht auf Vergessenwerden“, wenn die Speicherung ihrer Daten gegen diese Verordnung oder gegen das Unionsrecht oder das Recht der Mitgliedstaaten, dem der Verantwortliche unterliegt, verstößt. Insbesondere sollten betroffene Personen Anspruch darauf haben, dass ihre personenbezogenen Daten gelöscht und nicht mehr verarbeitet werden, wenn die personenbezogenen Daten hinsichtlich der Zwecke, für die sie erhoben bzw. anderweitig verarbeitet wurden, nicht mehr benötigt werden, wenn die betroffenen Personen ihre Einwilligung in die Verarbeitung widerrufen oder Widerspruch gegen die Verarbeitung der sie betreffenden personenbezogenen Daten eingelegt haben oder wenn die Verarbeitung ihrer personenbezogenen Daten aus anderen Gründen gegen diese Verordnung verstößt. Diese Bestimmung enthält auch das Recht, sich unmittelbar an Suchmaschinenbetreiber zu wenden und unter bestimmten Voraussetzungen die Entfernung des Links aus der Ergebnisliste zu erwirken.

Wenn der Verantwortliche die personenbezogenen Daten öffentlich gemacht hat und gem. Art. 17 Abs. 1 DSGVO zu deren Löschung verpflichtet ist, hat er gem. Art. 17 Abs. 2 DSGVO unter Berücksichtigung der verfügbaren Technologie und der Implementierungskosten angemessene Maßnahmen, auch technischer Art, zu treffen, um die Empfänger, die die personenbezogenen Daten verarbeiten, darüber zu informieren, dass eine betroffene Person von ihnen die Löschung aller Links zu diesen personenbezogenen Daten oder von Kopien oder Replikationen dieser personenbezogenen Daten verlangt hat.

Ausnahmen von der Löschpflicht

Ausnahmen von der Löschpflicht sind in Art. 17 Abs. 3 DSGVO und in § 35 BDSG geregelt.

Von Bedeutung sind insbesondere die Ausnahmen gem. Art. 17 Abs. 3 lit. c DSGVO i. V. m. Art. 9 Abs. 2 lit. h und i DSGVO und Art. 9 Abs. 3 DSGVO. Danach bestehen Ausnahmen von der Löschpflicht für die Verarbeitung für Zwecke der Gesundheitsvorsorge oder der Arbeitsmedizin, für die Beurteilung der Arbeitsfähigkeit des Beschäftigten, für die medizinische Diagnostik, für die Versorgung oder Behandlung im Gesundheits- oder Sozialbereich oder für die Verwaltung von Systemen und Diensten im Gesundheits- oder Sozialbereich sowie für die Verarbeitung aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit, wie dem Schutz vor schwerwiegenden grenzüberschreitenden Gesundheitsgefahren, oder zur Gewährleistung hoher Qualitäts- und Sicherheitsstandards bei der Gesundheitsversorgung und bei Arzneimitteln und Medizinprodukten.

Wenn die betroffene Person ihre Einwilligung gem. Art. 6 Abs. 1 lit. a oder Art. 9 Abs. 2 lit. a DSGVO widerruft, kann sie eine Löschung der Daten verlangen, wenn es an einer anderweitigen Rechtsgrundlage für die Verarbeitung fehlt. Art. 7 Abs. 3 DSGVO bestimmt, dass durch den Widerruf der Einwilligung die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt wird. Soweit sich aus den bis zum Widerruf der Einwilligung durchgeführten Verarbeitungen für die Daten eine Aufbewahrungspflicht ergibt, kann der Betroffene keine Löschung verlangen.

Recht auf Einschränkung der Verarbeitung

Das Recht auf Einschränkung der Verarbeitung entspricht der Sperrung gem. § 35 BDSG a. F. Die Einschränkung der Verarbeitung ist in Art. 4 Nr. 3 DSGVO als die Markierung gespeicherter personenbezogener Daten mit dem Ziel, ihre künftige Verarbeitung einzuschränken, beschrieben.

Mit dem Recht auf Einschränkung der Verarbeitung soll dem Betroffenen das Recht gegeben werden, die Einschränkung der Verarbeitung seiner Daten zu verlangen, wenn keine Gründe für eine operative Verarbeitung seiner Daten mehr vorliegen oder die Richtigkeit der Daten oder die Zulässigkeit der Verarbeitung der Daten strittig ist. Schließlich kann der Betroffene die Einschränkung der Verarbeitung auch verlangen, wenn er wegen seiner besonderen Situation gem. Art. 21 Abs. 1 DSGVO Widerspruch gegen die Verarbeitung eingelegt hat. Die Verarbeitung ist einzuschränken, solange noch nicht feststeht, ob die berechtigten Gründe des Verantwortlichen gegenüber denen der betroffenen Person überwiegen.

Das Recht auf Einschränkung der Verarbeitung muss vom Betroffenen geltend gemacht werden.

Eine Verarbeitung von Daten, deren Nutzung eingeschränkt ist, ist zulässig, wenn die Nutzung oder Verarbeitung der Daten zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen oder zum Schutz der Rechte einer anderen Person erforderlich ist. Damit soll verhindert werden, dass der Betroffene mit dem Rechtsmittel der Einschränkung der Verarbeitung die Rechtsposition einer anderen natürlichen oder juristischen Person dadurch verschlechtert, dass die Daten z. B. als Beweismittel nicht mehr zur Verfügung stehen.

Wenn der Verantwortliche die Daten, deren Verarbeitung eingeschränkt wird, an andere Stellen übermittelt hat, sind gem. Art. 19 DSGVO die Empfänger der personenbezogenen Daten über die Einschränkung der Verarbeitung zu informieren. Die Benachrichtigungspflicht über die Einschränkung der Verarbeitung besteht nicht, wenn sich die Benachrichtigung als unmöglich erweist oder mit einem unverhältnismäßigen Aufwand verbunden ist.

Recht auf Datenübertragbarkeit

Das Recht auf Datenübertragbarkeit ist neu und umfasst einerseits ein Recht des Betroffenen, vom Verantwortlichen die zu seiner Person gespeicherten Daten in einem strukturierten, gängigen und maschinenlesbaren Format zur Verfügung gestellt zu bekommen, und andererseits die Verpflichtung des Verantwortlichen, auf Verlangen des Betroffenen diese Daten einem anderen Verantwortlichen zu übermitteln. Ihrem Sinn nach richtet sich diese Vorschrift insbesondere an soziale Netzwerke. Das Recht auf Datenübertragbarkeit besteht aber nicht uneingeschränkt, sondern bezieht sich einerseits nur auf diejenigen personenbezogenen Daten, die der Betroffene dem Verantwortlichen bereitgestellt hat, und andererseits nur auf Daten, die auf der Grundlage einer Einwilligung gem. Art. 6 Abs. 1 lit. a oder Art. 9 Abs. 2 lit. a DSGVO oder auf der Grundlage eines Vertrags gem. Art. 6 Abs. 1 lit. b DSGVO verarbeitet werden. Weitere Voraussetzung ist gem. Art. 20 Abs. 1 lit. b DSGVO, dass die Daten vom Verantwortlichen in einem automatisierten Verfahren verarbeitet werden.

Der Verantwortliche hat die personenbezogenen Daten in einem strukturierten, gängigen und maschinenlesbaren Format zur Verfügung zu stellen. Damit wird eine strukturierte und aufbereitete Form der Daten verlangt, z. B. ein Dateiformat, oder im einfachen Fall eine Tabellenform, die eine Übernahme und eine Weiterverarbeitung oder -nutzung in einem anderen automatisierten Verfahren unterstützt.

Die zweite Alternative des Art. 20 Abs. 1 DSGVO gibt der betroffenen Person das Recht, die personenbezogenen Daten in einem ebenfalls strukturierten, gängigen und maschinenlesbaren Format ohne Behinderung durch den Verantwortlichen, dem die personenbezogenen Daten bereitgestellt wurden, einem anderen Verantwortlichen zu übermitteln. Ein bestimmtes Format kann aber nicht verlangt werden. Darüber hinaus hat die betroffene Person gem. Art. 20 Abs. 2 DSGVO das Recht zu erwirken, dass die personenbezogenen Daten direkt von einem Verantwortlichen einem anderen Verantwortlichen übermittelt werden, soweit dies technisch machbar ist.

Soweit die Daten auf der Grundlage einer Einwilligung verarbeitet werden, umfasst dieses Recht diejenigen Daten, auf die sich die Einwilligungserklärung bezieht bzw. die vom Betroffenen für die in der Einwilligungserklärung angegebenen Zwecke zur Verfügung gestellt werden. Auch bei einer Verarbeitung auf der Grundlage eines Vertrags werden nur diejenigen Daten umfasst, die der Betroffene zur Ausführung des Vertrags angegeben hat. Dies sind vor allem die Stammdaten zur Person des Betroffenen und alle weiteren Daten, die der Betroffene bei Abschluss oder zur Begründung und Ausführung des Vertrags angegeben hat. Weitere Daten, die im Rahmen der Beziehung zwischen dem Betroffenen und dem Verantwortlichen in Verarbeitungsprozessen anfallen oder gewonnen werden, z. B. Profildaten, Bewertungen etc. oder Daten, die im Rahmen der weiteren Vertragsausführung entstehen, fallen nicht mehr unter die zur Verfügung gestellten Daten.

Widerspruchsrecht gegen Werbung und Profiling

Art. 21 DSGVO räumt den Betroffenen das Recht ein, aus Gründen, die sich aus ihrer besonderen Situation ergeben und eine besondere Betroffenheit nach sich ziehen, einer Verarbeitung ihrer personenbezogenen Daten zu widersprechen. Die Regelung des Art. 21 DSGVO fokussiert auf Datenverarbeitungsverfahren, die zulässig sind, gegen die aber der Betroffene aus besonderen, in seiner Person bestehenden Gründen ein Widerspruchsrecht besitzen soll.

Dieses Widerspruchsrecht aus besonderen Gründen gilt nur für Verarbeitungen auf der Grundlage von Art. 6 Abs. 1 lit. e oder f DSGVO, d. h. für Aufgaben im öffentlichen Interesse oder in Ausübung öffentlicher Gewalt, die dem Verantwortlichen übertragen wurde, (z. B. zur Wahrung der öffentlichen Gesundheit oder der öffentlichen Sicherheit oder bei einer Übertragung von hoheitlichen Aufgaben an sog. Beliehene, z. B. an Ingenieure von Prüfgesellschaften, wie dem Technischen Überwachungsverein u. a. Prüfingenieure oder an Bezirksschornsteinfeger) oder auf der Grundlage eines berechtigten Interesses des Verantwortlichen unter Berücksichtigung des Schutzes des Interesses, der Grundrechte und Grundfreiheiten der betroffenen Person.

Die betroffene Person muss die in ihren besonderen persönlichen Verhältnissen begründeten, schutzwürdigen Interessen und die besondere Betroffenheit darlegen, die den ansonsten berechtigten Interessen der verantwortlichen Stelle an einer Erhebung, Verarbeitung oder Nutzung personenbezogener Daten vorrangig sein sollen. Ein unbegründeter Widerspruch reicht hier, anders als bei einem Widerspruch gegen Werbemaßnahmen, für die Durchsetzung einer Beendigung der Verarbeitung der Daten nicht aus. Zur Begründung gehört auch eine nähere Bezeichnung des Gegenstands des Widerspruchs, z. B. der konkreten Art der Verarbeitung, z. B. von bestimmten Übermittlungen oder von bestimmten Arten, gegen deren spezielle Verarbeitung sich der Widerspruch wendet. Der Verantwortliche kann zur Aufklärung des Widerspruchsbegehrens und des Gegenstands des Widerspruchs oder zur Aufklärung von Sachverhalten auch Nachweise und Unterlagen verlangen, um überhaupt eine fundierte Prüfung vornehmen zu können.

Werden personenbezogene Daten verarbeitet, um Direktwerbung zu betreiben, so hat die betroffene Person das Recht, jederzeit und ohne weitere Voraussetzungen ohne Angabe von Gründen Widerspruch gegen die Verarbeitung sie betreffender personenbezogener Daten zum Zweck derartiger Werbung einzulegen; dies gilt auch für das Profiling, soweit es mit solcher Direktwerbung in Verbindung steht. Auch hier bestimmt Art. 21 Abs. 2 DSGVO, dass die Daten für diese Zwecke nicht mehr verarbeitet werden dürfen. Dass keine Löschung vorgeschrieben wird, ist folgerichtig, denn die für Werbezwecke genutzten Daten werden häufig auch noch für andere Zwecke benötigt, z. B. wenn mit dem Betroffenen ein Vertrag besteht und die Nutzung für Werbezwecke lediglich eine zusätzliche Nutzung darstellt. Aber auch wenn die Daten nicht für andere Zwecke benötigt werden, ist diese Regelung sinnvoll, weil sie die Möglichkeit schafft, die für die Speicherung eines Werbeausschlusskennzeichens erforderlichen Daten weiter zu speichern und so für die Zukunft eine weitere Werbung zuverlässig zu unterbinden. Allerdings kann in diesen Fällen der Betroffene gem. Art. 17 DSGVO die Löschung seiner Daten verlangen. Die betroffene Person muss gem. Art. 21 Abs. 4 DSGVO spätestens zum Zeitpunkt der ersten Kommunikation mit ihr ausdrücklich auf das in Art. 21 Abs. 1 und 2 DSGVO normierte Widerspruchsrecht hingewiesen werden.

Automatisierte Einzelentscheidung und Profiling

Die betroffene Person hat das Recht, nicht einer ausschließlich auf einer automatisierten Verarbeitung – einschließlich Profiling – beruhenden Entscheidung unterworfen zu werden, die ohne jegliches menschliche Eingreifen ihr gegenüber rechtliche Wirkungen entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt. Art. 22 DSGVO betrifft damit nur solche Verarbeitungsprozesse, die ohne menschliches Zutun ausschließlich auf einer automatisierten Entscheidung beruhen.

Zu Entscheidungen mit rechtlicher Wirkung gehören z. B. Verarbeitungen, deren Ergebnisse über die Auflösung oder das Zustandekommen eines Vertrags entscheiden, wie eine automatisierte Entscheidung über einen Online-Kreditvertrag, Entscheidungen, die den Zugang zu Gesundheitsdienstleistungen betreffen oder zu Arbeitsplätzen verwehren, z. B. vollautomatisierte Bewerberauswahlverfahren, oder sich auf den Zugang zu Bildungseinrichtungen auswirken.

Zu einer derartigen Verarbeitung zählt auch das „Profiling“, das in jeglicher Form automatisierter Verarbeitung personenbezogener Daten unter Bewertung der persönlichen Aspekte in Bezug auf eine natürliche Person besteht, insbesondere zur Analyse oder Prognose von Aspekten bezüglich Arbeitsleistung, wirtschaftlicher Lage, Gesundheit, persönlicher Vorlieben oder Interessen, Zuverlässigkeit oder Verhalten, Aufenthaltsort oder Ortswechsel der betroffenen Person, soweit dies rechtliche Wirkung für die betroffene Person entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt. Dies gilt nicht, wenn die Entscheidung für den Abschluss oder die Erfüllung eines Vertrags zwischen der betroffenen Person und dem Verantwortlichen erforderlich ist oder mit ausdrücklicher Einwilligung der betroffenen Person erfolgt.

Die Regelungen des Art. 22 DSGVO greifen nicht, wenn das Verarbeitungsverfahren lediglich Vorschläge erzeugt, aus denen dann in einer manuellen Nachbearbeitung oder abschließenden Bearbeitung eine Auswahl bzw. Entscheidung getroffen wird oder wenn Vorbereitungen für eine abschließende manuelle Entscheidung erzeugt werden. Die Entscheidung muss also vollständig automatisiert und abschließend ohne eine menschliche Mitwirkung bzw. Mitentscheidung in einem automatisierten Verarbeitungsverfahren getroffen werden.

Recht auf Beschwerde bei einer Aufsichtsbehörde

Jede betroffene Person hat das Recht, bei einer Aufsichtsbehörde, insbesondere in dem Mitgliedstaat ihres Aufenthaltsorts, ihres Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes, eine Beschwerde einzureichen und gemäß Artikel 47 der Charta einen wirksamen gerichtlichen Rechtsbehelf einzulegen, wenn die betroffene Person der Ansicht ist, dass die Verarbeitung der sie betreffenden personenbezogenen Daten gegen diese Verordnung verstößt, und wenn sie sich in ihren Rechten gemäß dieser Verordnung verletzt sieht oder wenn die Aufsichtsbehörde auf eine Beschwerde hin nicht tätig wird, eine Beschwerde teilweise oder ganz abweist oder ablehnt, obwohl dies zum Schutz der Rechte der betroffenen Person notwendig ist. Befasst sich die Aufsichtsbehörde nicht mit der Beschwerde oder informiert sie nicht innerhalb einer Frist von drei Monaten den Beschwerdeführer über das Ergebnis der Beschwerde, stehen dem Beschwerdeführer die gerichtlichen Rechtsbehelfe zu dem Gericht zur Verfügung, in dessen Zuständigkeitsbereich die Aufsichtsbehörde ihren Sitz hat.

Informationsrechte

Datenerhebung vom Betroffenen

Die Betroffenen sind gem. Art. 13 Abs. 1 DSGVO spätestens bei der Datenerhebung über folgende Sachverhalte zu informieren:

a) den Namen und die Kontaktdaten des Verantwortlichen sowie gegebenenfalls seines Vertreters;

b) gegebenenfalls die Kontaktdaten des Datenschutzbeauftragten;

c) die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen, sowie die Rechtsgrundlage für die Verarbeitung;

d) wenn die Verarbeitung auf Art. 6 Abs. 1 Buchst. f DSGVO beruht, die berechtigten Interessen, die von dem Verantwortlichen oder einem Dritten verfolgt werden;

e) gegebenenfalls die Empfänger oder Kategorien von Empfängern der personenbezogenen Daten und

f) gegebenenfalls die Absicht des Verantwortlichen, die personenbezogenen Daten an ein Drittland oder eine internationale Organisation zu übermitteln, sowie das Vorhandensein oder das Fehlen eines Angemessenheitsbeschlusses der Kommission oder im Fall von Übermittlungen gemäß Art. 46 oder Art. 47 oder Art. 49 Abs. 1 Unterabsatz 2 einen Verweis auf die geeigneten oder angemessenen Garantien und die Möglichkeit, wie eine Kopie von ihnen zu erhalten ist, oder wo sie verfügbar sind.

Diese Informationen sind Pflichtbestandteile der den Betroffenen zu erteilenden Informationen und sind bei der Erhebung zu erteilen.

Soweit es für eine transparente und faire Verarbeitung erforderlich ist, hat der Verantwortliche zusätzlich zu den genannten Informationen der betroffenen Person zum Zeitpunkt der Erhebung dieser Daten folgende weitere Informationen zur Verfügung zu stellen:

a) die Dauer, für die die personenbezogenen Daten gespeichert werden, oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer;

b) Auskunft über die Rechte des Betroffenen einschließlich Widerrufsrecht bei Einwilligungen;

c) das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde;

d) gesetzliche oder vertragliche Rechtsgrundlagen, und welche möglichen Folgen die Nichtbereitstellung hätte und

e) das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Art. 22 Absätze 1 und 4 DSGVO und – zumindest in diesen Fällen – aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person.

Eine Informationspflicht entfällt unter den Voraussetzungen des § 32 BDSG.

Informationspflicht bei einer Datenerhebung von anderen Stellen

Wenn die Daten nicht von der betroffenen Person, sondern von einer anderen Stelle erhoben worden sind, müssen die betroffenen Personen gem. Art. 14 DSGVO über diese Erhebung und Speicherung informiert werden. Der Umfang der Informationspflicht entspricht weitgehend der bei einer Datenerhebung vom Betroffenen.

Beschränkungen der Betroffenenrechte

Die Rechte der Betroffenen sind unter bestimmten Umständen eingeschränkt. Die Öffnungsklausel für Regelungen im BDSG findet sich in Art. 23 DSGVO. Im Einzelnen sind die Einschränkungen in den §§ 32 bis 37 BDSG geregelt. Das Recht auf Auskunft ist u. a. eingeschränkt, wenn die Daten nur aufgrund von Aufbewahrungsvorschriften nicht gelöscht werden dürfen oder ausschließlich Zwecken der Datensicherung oder Datenschutzkontrolle dienen und die Auskunftserteilung einen unverhältnismäßig hohen Aufwand verursachen würde. Voraussetzung ist hier, dass durch geeignete technische und organisatorische Maßnahmen eine Verarbeitung zu anderen Zwecken ausgeschlossen ist. Eine Löschung entfällt auch, solange und soweit der Verantwortliche Grund zu der Annahme hat, dass durch eine Löschung schutzwürdige Interessen der betroffenen Person beeinträchtigt würden. Der Verantwortliche unterrichtet die betroffene Person über die Einschränkung der Verarbeitung, soweit sich dies nicht als unmöglich erweist oder einen unverhältnismäßigen Aufwand erfordern würde.

Verfahren für die Ausübung der Betroffenenrechte

Die Modalitäten für die Ausübung der Betroffenenrechte sind in Art. 12 DSGVO zusammenfassend für alle Betroffenenrechte geregelt. Die Vorschrift enthält für die Erfüllung der Rechte der Betroffenen detaillierte Regelungen einschließlich Fristenregelungen und verlangt vom Verantwortlichen, dass geeignete Maßnahmen getroffen werden, um der betroffenen Person alle Auskünfte und Informationen, die sich auf die Verarbeitung ihrer Daten beziehen, in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln. Die Übermittlung der Informationen kann schriftlich oder in anderer Form, gegebenenfalls auch elektronisch, erfolgen. Falls von der betroffenen Person verlangt, kann die Information mündlich erteilt werden, sofern die Identität der betroffenen Person in anderer Form nachgewiesen wurde.

Der Verantwortliche hat der betroffenen Person Auskünfte und Informationen über die ergriffenen Maßnahmen unverzüglich, in jedem Fall aber innerhalb eines Monats nach Eingang des Antrags zur Verfügung zu stellen. Diese Frist kann um weitere zwei Monate verlängert werden, wenn dies unter Berücksichtigung der Komplexität und der Anzahl von Anträgen erforderlich ist. Der Verantwortliche unterrichtet die betroffene Person innerhalb eines Monats nach Eingang des Antrags über eine Fristverlängerung, zusammen mit den Gründen für die Verzögerung.

Meldung von Datenschutzverstößen

Kommt es im Zusammenhang mit der Verarbeitung von personenbezogenen Daten zu einer Verletzung des Schutzes von personenbezogenen Daten, ist dies binnen 72 Stunden der zuständigen Aufsichtsbehörde für den Datenschutz zu melden. Der Auftragsverarbeiter hat diese Meldung an den Auftraggeber zu richten. Die Meldepflicht an die Aufsichtsbehörde entfällt nur dann, wenn die Datenschutzverletzung voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt.

Ein Risiko kann in einem Kontrollverlust der Betroffenen über ihre Daten oder in einer Einschränkung ihrer Rechte, einer Diskriminierung, einem Identitätsdiebstahl oder -betrug, in finanziellen Verlusten, einer unbefugten Aufhebung der Pseudonymisierung, einer Rufschädigung oder dem Verlust der Vertraulichkeit von dem Berufsgeheimnis unterliegenden Daten oder anderen erheblichen wirtschaftlichen oder gesellschaftlichen Nachteilen für die betroffene natürliche Person bestehen.

Art. 34 Abs. 1 DSGVO schreibt bei einer Verletzung des Schutzes personenbezogener Daten auch eine Benachrichtigung der Betroffenen vor, die aber abweichend von der Benachrichtigungspflicht der Aufsichtsbehörde nur dann vorzunehmen ist, wenn die Verletzung des Schutzes personenbezogener Daten für die persönlichen Rechte und Freiheiten der natürlichen Personen ein hohes Risiko zur Folge hat. Diese Benachrichtigung muss zumindest den Namen und die Kontaktdaten des Datenschutzbeauftragten oder einer sonstigen Anlaufstelle, eine Beschreibung der wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten, eine Beschreibung der vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Schutzes von personenbezogenen Daten sowie ggf. Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen enthalten.

Rechtsbehelfe, Haftung und Sanktionen

Jede natürliche oder juristische Person hat gem. Art. 78 DSGVO ein Recht auf einen wirksamen gerichtlichen Rechtsbehelf gegen eine rechtsverbindliche Maßnahme der Aufsichtsbehörde. Ein Rechtsbehelfsverfahren gegen aufsichtsrechtliche Maßnahmen ist jedoch in der Verordnung nicht geregelt. Der gerichtliche Rechtsschutz gegen Maßnahmen der Aufsichtsbehörde, z. B. gegen einen Bescheid mit Auflagen zum Betrieb eines Datenverarbeitungsverfahrens, richtet sich nach § 20 BDSG. Gegeben ist hier der Verwaltungsrechtsweg, d. h., die Streitigkeiten werden vor den Gerichten der Verwaltungsgerichtsbarkeit ausgetragen. Bußgeldverfahren richten sich nach den Vorschriften des Ordnungswidrigkeitengesetzes.

Erleidet eine natürliche Person infolge der Verarbeitung ihrer personenbezogenen Daten oder aufgrund eines Verstoßes gegen Datenschutzvorschriften einen materiellen oder einen immateriellen Schaden, ist der Verantwortliche oder der Auftragsverarbeiter zum Schadenersatz verpflichtet. Die Haftung für diese Schäden richtet sich nach Art. 82 DSGVO. Danach haftet jeder Beteiligte für den Schaden, den er durch eine nicht der DSGVO entsprechende Verarbeitung verursacht hat, den betroffenen Personen gegenüber unmittelbar. Auftragsverarbeiter und Unterauftragsverarbeiter haften für den durch eine Verarbeitung verursachten Schaden nur dann, wenn sie ihren speziell auferlegten Pflichten nicht nachgekommen sind oder gegen Weisungen des Auftraggebers verstoßen haben. Bei gemeinsam verursachten Schäden haftet jeder Beteiligte gesamtschuldnerisch für den gesamten Schaden, damit ein wirksamer Schadenersatz für die betroffene Person sichergestellt ist. Der in Anspruch genommene Beteiligte kann dem Anteil des Verschuldens entsprechend Rückgriff auf die anderen Beteiligten ausüben. Ein Auftragsverarbeiter ist von der Haftung befreit, wenn er nachweisen kann, dass er in keinerlei Hinsicht für den Eintritt des Schadens verantwortlich ist.

Art. 83 Abs. 4 und 5 DSGVO legen bei Datenschutzverstößen je nach Art des Datenschutzverstoßes, je nachdem, welcher Betrag höher ist, einen Bußgeldrahmen bis zu 10 Millionen Euro oder 2 % bzw. 20 Millionen Euro oder 4 % des gesamten weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahrs fest.