Was ist im Datenschutzrecht seit dem Mai 2018 zu beachten (FAQ)
Für alle, die es etwas genauer wissen möchten, habe ich nachfolgend die wesentlichen Punkte der Datenschutz-Grundverordnung sowie des neuen Bundesdatenschutzgesetzes zusammengefasst. Wer dies alles in seinem Unternehmen umsetzt, ist datenschutzrechtlich auf der sicheren Seite. Aber meine Empfehlung lautet:
„Lassen Sie dies jemanden machen, der sich damit auskennt.“
Der erste Schritt zu einem datenschutzrechtlich sicheren Unternehmen ist daher die Durchführung des Datenschutz-Gutachtens.
Gilt die Datenschutzgrundverordnung überhaupt für mich als Unternehmer?
Ja, sobald Sie personenbezogene Daten verarbeiten. Personenbezogene Daten sind alle Daten, die in irgendeiner Weise einer Person zugeordnet sind und mit denen dann ein Bezug zu dieser Person hergestellt werden könnte (z.B. IP-Adresse, Telefonnummer etc.). Jedes Unternehmen, das eine Website betreibt, verarbeitet bereits die IP-Adresse und das Datum des Zugriffs und könnte damit einen Rückschluss auf die Person des Nutzers ziehen. Jeder, der die Adressen seiner Kunden im Computer speichert, verarbeitet bereits personenbezogene Daten. Somit betrifft die Datenschutzgrundverordnung eigentlich jeden Unternehmer.
Kann ich die Datenschutzgrundverordnung durch eine Niederlassung außerhalb der EU umgehen?
Nein. Solange auch innerhalb der EU eine Niederlassung existiert (die Rechtsform der Niederlassung innerhalb der EU ist dabei unerheblich) und die Datenverarbeitung hierzu einen Bezug aufweist, gilt selbst für außereuropäische Unternehmen die verpflichtende Einhaltung der Datenschutzgrundverordnung. Und selbst wenn Sie innerhalb der EU gar keine Niederlassung mehr unterhalten, müssen Sie die Datenschutzgrundverordnung dennoch beachten, sobald Sie beabsichtigen, gegenüber Personen in der Union Waren oder Dienstleistungen anzubieten (Art. 3 II a DSGVO).
Und wenn ich EU-Bürger nur „beobachte“?
Auch wenn Sie das Verhalten von Personen innerhalb der EU lediglich beobachten (z.B. Profiling, Tracking, Analyse), müssen Sie sich an die Datenschutzgrundverordnung halten. Spätestens durch die Regelung des Art. 3 II b DSGVO ist klargestellt, dass die Datenschutzgrundverordnung weltweit einzuhalten ist.
Was muss ich als Unternehmer nun tun?
Als Unternehmer (in der DSGVO als „Verantwortlicher“ bezeichnet) müssen Sie geeignete technische und organisatorische Maßnahmen in Ihrem Unternehmen installieren, um sicherzustellen und auch den Nachweis erbringen zu können, dass die Verarbeitung von personenbezogenen Daten entsprechend der Datenschutzgrundverordnung erfolgt.
Hierzu gehört:
1. Datenschutz durch Technik (data protection by design).
2. Datenschutz durch datenschutzfreundliche Voreinstellungen (data protection by default).
3. Ein Verzeichnis von Verarbeitungstätigkeiten zu führen (Art. 30 DSGVO).
Verletzungen des Schutzes personenbezogener Daten sind unverzüglich, möglichst binnen 72h nachdem die Verletzung dem Unternehmen bekannt wurde, an die Aufsichtsbehörde zu melden. Darüber hinaus muss grundsätzlich auch die betroffene Person von der Datenschutzverletzung benachrichtigt werden.
Was hat es mit dem Verzeichnis von Verarbeitungstätigkeiten auf sich?
Bei dem Verzeichnis von Verarbeitungstätigkeiten handelt es sich um Dokumentation von und Übersicht über Verfahren, bei denen personenbezogene Daten verarbeitet werden. Dieses Verzeichnis ist nicht öffentlich, sodass hier nur die Aufsichtsbehörde ein Einsichtsrecht hat. Wenn ein Unternehmer ein solches Verzeichnis nicht jederzeit und vollständig für die Aufsichtsbehörden vorhält, droht bereits ein Bußgeld.
Die Verpflichtung zur Führung des Verzeichnisses von Verarbeitungstätigkeiten trifft nahezu jedes Unternehmen. Zwar gibt es theoretisch für Unternehmen mit weniger als 250 Mitarbeitern eine Einschränkung, aber diese greift nur, wenn die Verarbeitung der personenbezogenen Daten nur gelegentlich erfolgt (jeder Onlineshop und jeder Websitebetreiber verarbeitet aber kontinuierlich entsprechende Daten). Soweit ein Unternehmen tatsächlich nur gelegentlich personenbezogene Daten verarbeitet, greift die Ausnahme auch dann nicht, wenn es sich hierbei um sensible Daten handelt oder um Daten, deren Verarbeitung ein Risiko für die Rechte und Freiheiten des Betroffenen bergen. Es wird somit nur noch sehr wenige Unternehmen geben, welche kein Verzeichnis von Verarbeitungstätigkeiten führen müssen.
In dem Verzeichnis müssen gemäß Art. 30 DSGVO folgende Angaben enthalten sein:
1. der Name und die Kontaktdaten des Verantwortlichen und ggf. des gemeinsam mit ihm Verantwortlichen, des Vertreters des Verantwortlichen sowie eines etwaigen Datenschutzbeauftragten;
2. die Zwecke der Verarbeitung;
3. eine Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten;
4. die Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden;
5. ggf. Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation;
6. wenn möglich, die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien;
7. wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen.
Neben dem Verantwortlichen (Unternehmen) muss auch der Auftragsdatenverarbeiter ein entsprechendes Verzeichnis von Verarbeitungstätigkeiten (mit einem gemäß Art. 30 Abs. 2 DSGVO etwas geringerem Inhalt) führen.
Was ist im Hinblick auf die Unternehmenswebsite zu beachten?
Die DSGVO verpflichtet Unternehmer, den Betroffenen (also Nutzern der Website) alle Informationen, die sich auf die Verarbeitung personenbezogener Daten beziehen, in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln. Und wenn sich die Website gar auf Kinder bezieht, dann sollte es in einer kindgerechten Sprache erfolgen, wobei hier dann die sorgeberechtigte Person (zumeist die Eltern) der Verarbeitung der personenbezogenen Daten ihres Kindes zustimmen muss.
Das Problem wird nun sein, dass man für eine Information in einfacher Sprache deutlich mehr Text benötigen wird. Zugleich führt aber diese Fülle an mehr Text zu einer Unübersichtlichkeit bzw. abschreckenden Länge der Texte. Hier wird man somit im Interesse der Betroffenen einen Mittelweg finden müssen. Jede Website sollte deswegen überprüft werden, ob die bestehende Datenschutzerklärung auch für Laien verständlich formuliert ist.
Verstöße gegen die Informationspflichten oder gar falsche oder fehlende Informationen in der Datenschutzerklärung auf der Website können nicht nur mit Bußgeld von der Aufsichtsbehörde belegt werden, sondern sind besonders leicht für Mitbewerber und abmahnende Verbände festzustellen.
Wann muss mein Unternehmen Betroffene über die Datenverarbeitung informieren?
Sofort, wenn die Daten direkt bei dem Betroffenen erhoben werden, Art. 13 DSGVO.
Spätestens binnen eines Monats bzw. zum Zeitpunkt der ersten Kommunikation mit dem Betroffenen, aber auf jeden Fall vor Weitergabe der Daten, wenn die Daten nicht beim Betroffenen selbst erhoben wurden (Art. 14 DSGVO).
Welche Informationen müssen gegeben werden?
Bei einer Datenerhebung direkt beim Betroffenen (soweit der Betroffene über diese Informationen nicht bereits verfügt):
1. der Name und die Kontaktdaten des Verantwortlichen sowie ggf. seines Vertreters;
2. ggf. die Kontaktdaten des Datenschutzbeauftragten;
3. die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen;
4. die Rechtsgrundlage für die Verarbeitung;
5. ggf. die berechtigten Interessen, die von dem Verantwortlichen oder einem Dritten verfolgt werden;
6. ggf. die Empfänger oder Kategorien von Empfängern der personenbezogenen Daten;
7. ggf. die Absicht des Verantwortlichen, die personenbezogenen Daten an ein Drittland oder eine internationale Organisation zu übermitteln;
8. die Dauer, für die die personenbezogenen Daten gespeichert werden oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer;
9. das Bestehen eines Rechts auf Auskunft, Berichtigung oder Löschung oder auf Einschränkung der Verarbeitung oder eines Widerspruchsrechts gegen die Verarbeitung sowie des Rechts auf Datenübertragbarkeit;
10. ggf. das Bestehen eines Rechts, die Einwilligung jederzeit zu widerrufen, ohne dass die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung berührt wird;
11. das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde;
12. ob die Bereitstellung der personenbezogenen Daten gesetzlich oder vertraglich vorgeschrieben oder für einen Vertragsabschluss erforderlich ist,
13. ob die betroffene Person verpflichtet ist, die personenbezogenen Daten bereitzustellen, und welche möglichen Folgen die Nichtbereitstellung hätte;
14. das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling (inkl. Informationen über die involvierte Logik sowie die Tragweite einer derartigen Verarbeitung)
15. Informationen über eine mögliche Weiterverarbeitung der personenbezogenen Daten für einen anderen Zweck.
Bei einer Datenerhebung nicht beim Betroffenen (z.B. via Auskunftei, öffentlich zugängliche Quelle etc.) müssen nicht alle vorstehenden Informationen gegeben werden. Und auch hier gilt, dass die Information nicht gegeben werden muss, wenn der Betroffene hierüber bereits verfügt. Zusätzlich auch nicht, wenn es sich um geheimhaltungspflichtigte Daten handelt, die Mitteilung unmöglich und nur mit unverhältnismäßigem Aufwand möglich ist oder es eine Rechtsvorschrift gibt, welche diese Datenerhebung ausdrücklich geregelt hat. Soweit erforderlich, sind somit nachfolgende Informationen herauszugeben:
1. den Namen und die Kontaktdaten des Verantwortlichen sowie ggf. seines Vertreters;
2. ggf. die Kontaktdaten des Datenschutzbeauftragten;
3. die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen;
4. die Rechtsgrundlage für die Verarbeitung;
5. die Kategorien personenbezogener Daten, die verarbeitet werden;
6. ggf. die Empfänger oder Kategorien von Empfängern der personenbezogenen Daten;
7. ggf. die Absicht des Verantwortlichen, die personenbezogenen Daten an ein Drittland oder eine internationale Organisation zu übermitteln
8. die Dauer, für die die personenbezogenen Daten gespeichert werden oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer;
9. ggf. die berechtigten Interessen, die von dem Verantwortlichen oder einem Dritten verfolgt werden;
10. das Bestehen eines Rechts auf Auskunft, Berichtigung oder Löschung oder auf Einschränkung der Verarbeitung oder eines Widerspruchsrechts gegen die Verarbeitung sowie des Rechts auf Datenübertragbarkeit;
11. ggf. das Bestehen eines Rechts, die Einwilligung jederzeit zu widerrufen, ohne dass die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung berührt wird;
12. das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde;
13. aus welcher Quelle die personenbezogenen Daten stammen;
14. das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling (inkl. Informationen über die involvierte Logik sowie die Tragweite einer derartigen Verarbeitung)
15. Informationen über eine mögliche Weiterverarbeitung der personenbezogenen Daten für einen anderen Zweck.
Diese vorstehenden Kataloge von Informationen können typischerweise in Datenschutzerklärungen gegeben werden, welche dem Betroffenen zur Kenntnis gegeben werden.
Zusätzlich noch ein Auskunftsrecht des Betroffenen?
Der Betroffene hat neben den vorstehenden Informationen, welche unaufgefordert von Ihrem Unternehmen gegeben werden müssen, auch das Recht auf Auskunft in Bezug auf seine personenbezogenen Daten. Die entsprechende Auskunft bezieht sich im Wesentlichen auf die Informationen, die der Betroffene sowieso bereits gemäß Art. 13 oder 14 DSGVO erhalten haben sollte. Diese Auskunft ist dem Betroffenen in Kopie zur Verfügung zu stellen, soweit der Antrag elektronisch gestellt wurde, reicht auch eine elektronische Auskunft.
Berichtigung, Löschung, Einschränkung der Verarbeitung
Der Betroffene hat jederzeit ein Recht darauf, dass seine personenbezogenen Daten richtig sind (Art. 16 DGSVO). Darüber hinaus hat der Betroffene ein Recht auf Löschung (Art. 17 DSGVO) seiner Daten, wenn:
– die Speicherung nicht mehr notwendig ist;
– er seine Einwilligung widerrufen hat;
– die Daten unrechtmäßig verarbeitet wurden;
– ein gesetzliches Löschungsrecht besteht.
Flankierend gibt es die Einschränkung der Verarbeitung der Daten (Art. 18 DSGVO). Dann dürfen die Daten zwar noch gespeichert werden, aber außer in sehr engen Grenzen (z.B. Geltendmachung von Ansprüchen oder zur Verteidigung) nicht weiterverarbeitet werden.
Gemäß Art. 19 DSGVO muss der Unternehmer sicherstellen, dass alle Empfänger der Daten von einer Berichtigung, Löschung oder Einschränkung der Verarbeitung der personenbezogenen Daten des Betroffenen Kenntnis erlangen. Und auf Verlangen des Betroffenen muss der Unternehmer diese Empfänger dem Betroffenen gegenüber auch benennen.
Was bedeutet das Recht auf Datenübertragbarkeit?
Der Betroffene hat das Recht, von dem Unternehmer zu fordern, dass dieser die von dem Betroffenen „gesammelten“ personenbezogenen Daten an einen Dritten überträgt. Dies bezieht sich nur auf die Daten, welche Ihr Unternehmen von dem Betroffenen zur Verfügung gestellt bekommen hat. Hierdurch soll dem Betroffenen der Anbieterwechsel z.B. im Rahmen von Sozialen Netzwerken erleichtert werden.
Was ist mit den Daten meiner eigenen Arbeitnehmer?
Hierzu enthält die Datenschutzgrundverordnung keine abschließende Regelung, sondern verweist insoweit lediglich auf die allgemein geltenden Grundsätze. Das neue BDSG hat diesbezüglich in § 26 Regelungen zur Datenverarbeitung für Zwecke des Beschäftigungsverhältnisses, welche in diesem Bereich der europäischen Regelung vorgehen.
Was sind die Anforderungen an eine Einwilligung?
Ein Dreh- und Angelpunkt des Datenschutzrechts ist die Einwilligung des Betroffenen in die Erhebung und Verarbeitung seiner personenbezogenen Daten. Im Datenschutzrecht auch nach der DSGVO gilt, dass generell alles verboten ist, soweit es nicht ausdrücklich durch Gesetz oder Einwilligung des Betroffenen erlaubt wurde (Verbot mit Erlaubnisvorbehalt). Um wirksam zu sein, muss die datenschutzrechtliche Einwilligung des Betroffenen folgende Voraussetzungen erfüllen:
1. Die Einwilligung muss freiwillig erfolgt sein.
2. Er muss vor der Einwilligung über den Zweck der Erhebung, Verarbeitung oder Nutzung informiert werden.
3. Die Einwilligung muss nachweisbar gegeben werden.
4. Die Einwilligung muss durch aktives Tun des Betroffenen erfolgen (Opt-In).
5. Er muss vor der Einwilligung auf sein jederzeitiges Widerrufsrecht hingewiesen werden.
Was muss ich bei der Auftragsdatenverarbeitung beachten?
Auftragsdatenverarbeitung ist die Erhebung, Verarbeitung oder Nutzung von personenbezogenen Daten durch einen Auftragnehmer gemäß den Weisungen des Auftraggebers. Es muss eine vertragliche Regelung zwischen dem für die Verarbeitung Verantwortlichen und dem Auftragsdatenverarbeiter bestehen (die Schriftform ist hier nicht vorgeschrieben). Der Auftragsdatenverarbeiter darf nur auf Weisung des für die Verarbeitung Verantwortlichen die personenbezogenen Daten verarbeiten. Wenn er diesen Rahmen der Weisung verlässt, wird er selbst zum Verantwortlichen. Sie als Unternehmer dürfen nur mit Auftragsdatenverarbeitern arbeiten, die hinreichende Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen durchgeführt werden, damit die Verarbeitung der Daten im Einklang mit der Datenschutzgrundverordnung erfolgt. Die Auftragsdatenverarbeitung darf aber auch außerhalb der EU stattfinden. Der Katalog der Regelungen, welche der Vertrag über die Auftragsdatenverarbeitung enthalten muss, ergibt sich aus Art. 28 III DSGVO. Dies sind:
1. Gegenstand der Verarbeitung,
2. Dauer der Verarbeitung,
3. Art und Zweck der Verarbeitung,
4. Art der personenbezogenen Daten,
5. Kategorien betroffener Personen,
6. Pflichten und Rechte des Verantwortlichen (Weisungsbefugnis),
7. die Verpflichtung, die personenbezogenen Daten nur auf dokumentierte Weisung des Verantwortlichen zu verarbeiten,
8. die Verpflichtung zur Vertraulichkeit der zur Verarbeitung der personenbezogenen Daten befugten Personen,
9. Regelungen zur Hinzuziehung von Subunternehmern,
10. die Verpflichtung, den Verantwortlichen bei Anfragen und Ansprüchen Dritter sowie bei den Meldepflichten zu unterstützen,
11. die Verpflichtung nach Abschluss der Erbringung der Verarbeitungsleistungen alle personenbezogenen Daten nach Wahl des Verantwortlichen entweder zu löschen oder zurückzugeben,
12. die Verpflichtung dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung und Überprüfung der datenschutzrechtlichen Pflichten zu ermöglichen,
13. die Verpflichtung den Verantwortlichen unverzüglich zu informieren, falls er der Auffassung ist, dass eine Weisung gegen das Datenschutzrecht verstößt.
Der Unternehmer als Auftraggeber bleibt weiterhin der Verantwortliche der Datenverarbeitung und damit auch Ansprechpartner der Betroffenen. Auch ist der Auftraggeber in erster Linie für die Einhaltung des Datenschutzrechts verantwortlich. Aber gegenüber dem Betroffenen haftet der Auftragsdatenverarbeiter neben dem Auftraggeber auf Schadenersatz gegenüber Betroffenen, wenn diesen durch einen Verstoß gegen die DSGVO ein Schaden entstanden ist. In Bezug auf den Auftragsdatenverarbeiter aber nur, wenn der Schaden auf Verstöße des Auftragverarbeiters gegen ihn auferlegte Pflichten herrührt. Bei Verstößen gegen die Regelungen zur Auftragsdatenverarbeitung können dem für die Verarbeitung Verantwortlichen und dem Auftragsdatenverarbeiter Geldbußen von bis zu 20.000.000 EUR oder 4% des gesamten weltweit erziehlten Jahresumsatzes festgelegt werden. Dies stellt die wesentliche Verschärfung zur bisherigen Rechtslage dar. Deswegen sollten alle bestehenden Verträge in Bezug auf die Auftragsdatenverarbeitung diesen Erfordernissen der neuen Rechtslage angepasst werden.
Sind Wartungen am System eine Auftragsdatenverarbeitung?
Hier scheinen sich aktuell die Gelehrten zu streiten. Um auf der rechtlich sicheren Seite zu sein, sollten Sie, bis eine gerichtliche Klärung vorliegt, auch mit Ihren Dienstleistern, welche zwar nicht personenbezogene Daten verarbeiten sollten, aber durch ihre Funktion und auch tatsächlich Zugriff auf personenbezogene Daten nehmen könnten, eine entsprechende Vereinbarung aufsetzen, welche die Erfordernisse an eine Auftragsdatenverarbeitung erfüllt. Denn dann können Sie unabhängig von der zukünftigen Einordnung der Wartungsarbeiten etc. einer Bewertung durch die Aufsichtsbehörde entspannt entgegensehen.
Was ist eine Datenschutz-Folgenabschätzung?
Immer wenn die Form der Verarbeitung personenbezogener Daten voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat, muss eine Datenschutz-Folgenabschätzung vorgenommen werden. Dies sind entsprechend Art. 35 III DSGVO:
– die systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen, die sich auf automatisierte Verarbeitung einschließlich Profiling gründet und die ihrerseits als Grundlage für Entscheidungen dient, die Rechtswirkung gegenüber natürlichen Personen entfalten oder diese in ähnlich erheblicher Weise beeinträchtigen;
– die umfangreiche Verarbeitung besonderer Kategorien von personenbezogenen Daten (rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit, die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung) oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten;
– die systematische und umfangreiche Überwachung öffentlich zugänglicher Bereiche;
Die Folgenabschätzung enthält zumindest Folgendes:
1. eine systematische Beschreibung der geplanten Verarbeitungsvorgänge und der Zweck der Verarbeitung, gegebenenfalls einschließlich der von dem Verantwortlichen verfolgten berechtigten Interessen;
2. eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf den Zweck;
3. eine Bewertung der Risiken für die Rechte und Freiheiten der betroffenen Personen;
4. die zur Bewältigung der Risiken geplanten Abhilfemaßnahmen, einschließlich Garantien, Sicherheitsvorkehrungen und Verfahren, durch die der Schutz personenbezogener Daten sichergestellt und der Nachweis dafür erbracht wird, dass diese Verordnung eingehalten wird, wobei den Rechten und berechtigten Interessen der betroffenen Personen und sonstiger Betroffener Rechnung getragen wird.
Wenn das Ergebnis der Datenschutz-Folgenabschätzung ist, dass die Verarbeitung ein hohes Risiko zur Folge hätte, sofern keine Maßnahmen zur Eindämmung des Risikos getroffen werden, muss vor einem Beginn der Verarbeitung der personenbezogenen Daten die Aufsichtsbehörde konsultiert werden (Art. 36 I DSGVO).
Darf ich als Unternehmer die Daten ins Ausland übermitteln oder dort verarbeiten lassen?
Wichtig ist, dass auch in dem Drittstaat sichergestellt ist, dass ein angemessenes Datenschutzniveau vorliegt. Dies kann durch verbindliche Unternehmensvorschriften (Binding Corporate Rules – BCR) oder die sog. EU-Standardverträge der EU-Kommission sichergestellt werden. Darüber hinaus dann, wenn eine der Ausnahmen des Art. 49 DSGVO vorliegt. Diese wären:
a. die betroffene Person hat in die vorgeschlagene Datenübermittlung ausdrücklich eingewilligt, nachdem sie über die für sie bestehenden möglichen Risiken derartiger Datenübermittlungen ohne Vorliegen eines Angemessenheitsbeschlusses und ohne geeignete Garantien unterrichtet wurde,
b. die Übermittlung ist für die Erfüllung eines Vertrags zwischen der betroffenen Person und dem Verantwortlichen oder zur Durchführung von vorvertraglichen Maßnahmen auf Antrag der betroffenen Person erforderlich,
c. die Übermittlung ist zum Abschluss oder zur Erfüllung eines im Interesse der betroffenen Person von dem Verantwortlichen mit einer anderen natürlichen oder juristischen Person geschlossenen Vertrags erforderlich,
d. die Übermittlung ist aus wichtigen Gründen des öffentlichen Interesses notwendig,
e. die Übermittlung ist zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich,
f. die Übermittlung ist zum Schutz lebenswichtiger Interessen der betroffenen Person oder anderer Personen erforderlich, sofern die betroffene Person aus physischen oder rechtlichen Gründen außerstande ist, ihre Einwilligung zu geben,
g. die Übermittlung erfolgt aus einem Register, das gemäß dem Recht der Union oder der Mitgliedstaaten zur Information der Öffentlichkeit bestimmt ist und entweder der gesamten Öffentlichkeit oder allen Personen, die ein berechtigtes Interesse nachweisen können, zur Einsichtnahme offensteht, aber nur soweit die im Recht der Union oder der Mitgliedstaaten festgelegten Voraussetzungen für die Einsichtnahme im Einzelfall gegeben sind,
Sollte keiner dieser Gründe vorliegen, verbleibt immer noch die Möglichkeit, eine nicht wiederholt erfolgende Übermittlung einer nur begrenzten Zahl von personenbezogenen Daten in Drittländer zu übermitteln, wenn eine Interessenabwägung stattgefunden hat und die Aufsichtsbehörde und auch die betroffene Person über die Übermittlung und die zwingenden berechtigten Interessen informiert wurden.
Warum und wann benötige ich einen Datenschutzbeauftragten?
Jedes Unternehmen kann freiwillig einen Datenschutzbeauftragten benennen. Und gemäß der Datenschutzgrundverordnung ist in folgenden Fällen zwingend ein Datenschutzbeauftragter zu benennen:
1. wenn die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen,
2. wenn die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der umfangreichen Verarbeitung besonderer Kategorien von Daten gemäß Art. 9 oder 10 DSGVO (sensible Daten) besteht.
Kerntätigkeit bedeutet, dass diese Tätigkeit wesentlich für die Erreichung der Ziele Ihres Unternehmens ist.
Welche Anforderungen muss ein Datenschutzbeauftragter erfüllen?
Konzernverbundene Unternehmen können einen Konzern-Datenschutzbeauftragten benennen. Und es ist auch möglich, statt eines betriebsangehörigen internen einen externen Datenschutzbeauftragten zu bestellen. Der Datenschutzbeauftragte muss eine gewisse berufliche Qualifikation, Fachwissen auf dem Gebiet des Datenschutzes und Fähigkeiten zur Erfüllung der gesetzlichen Aufgaben vorweisen. Dennoch gilt, dass grundsätzlich jedermann Datenschutzbeauftragter werden kann. Es muss lediglich sichergestellt werden, dass der Datenschutzbeauftragte bei der Erfüllung seiner Aufgaben keinen Interessenkonflikt mit seiner sonstigen Tätigkeit hat.
Der Datenschutzbeauftragte ist innerbetrieblich direkt der Geschäftsführung unterstellt und es gilt ein Benachteiligungsverbot (er darf wegen der Erfüllung seiner Pflichten weder abberufen noch benachteiligt werden).
Welche Aufgaben hat der Datenschutzbeauftragte?
Dies wird in Art. 39 DSGVO in Form eines Minimalkatalogs geregelt. Die Pflichten sind:
1. Unterrichtung und Beratung des Verantwortlichen oder des Auftragsverarbeiters und der Beschäftigten, die Verarbeitungen durchführen, hinsichtlich ihrer Pflichten;
2. die Überwachung der Einhaltung der Datenschutzgesetze und der Strategien des Verantwortlichen oder des Auftragsverarbeiters für den Schutz personenbezogener Daten
3. die Zuweisung von Zuständigkeiten, der Sensibilisierung und Schulung der an den Verarbeitungsvorgängen beteiligten Mitarbeiter und der diesbezüglichen Überprüfungen;
4. die Beratung – auf Anfrage – im Zusammenhang mit der Datenschutz-Folgenabschätzung und die Überwachung ihrer Durchführung;
5. die Zusammenarbeit mit der Aufsichtsbehörde und deren Anlaufstelle.
Diese Aufgaben gehen über die bisherigen Aufgabenbereiche des betrieblichen Datenschutzbeauftragten hinaus. Einhergehend mit der hierdurch aufgewerteten Position des betrieblichen Datenschutzbeauftragten wird nun auch zu prüfen sein, inwieweit der Datenschutzbeauftragte nun auch einer Haftung für Verstöße bzw. Vernachlässigungen seiner Pflichten übernehmen muss, zumal auch dem Datenschutzbeauftragten Bußgelder auferlegt werden können.
Unternehmensvertreter in der Union (sog. EU-Vertreter)
Das europäische Datenschutzrecht gilt nicht nur für Unternehmen innerhalb der EU, sondern es gilt für alle Unternehmen, die sich mit einem Angebot an einen bestimmten nationalen Markt innerhalb der EU richten, oder deren Datenverarbeitung der Beobachtung auch des Verhaltens von Personen innerhalb der EU dient. Eine Niederlassung innerhalb der EU ist also nicht erforderlich.
Wenn nun ein Unternehmen keine Niederlassung in der EU hat, aber z.B. durch Tracking oder Profiling unter den Geltungsbereich der Datenschutzgrundverordnung fällt, dann muss das Unternehmen einen EU-Vertreter bestellen. Diese Regelung gilt für den eigentlichen Verantwortlichen als auch für den Auftragsdatenverarbeiter. Eine Ausnahme von der Verpflichtung der Bestellung eines EU-Vertreters liegt vor, wenn die Verarbeitung nur gelegentlich erfolgt, nicht in größerem Umfang sensible Daten verarbeitet werden und es unter Berücksichtigung der Art, Umstände und Zwecke der Verarbeitung wohl nicht zu einem Risiko für die Rechte und Freiheiten der Betroffenen führt.
Wenn nun z.B. ein Auftragsdatenverarbeiter aus einem Drittland den Auftrag zur Datenverarbeitung für ein Unternehmen aus der EU erhält, dann kann dies dazu führen, dass der Auftragsdatenverarbeiter einen EU-Vertreter bestellen muss. Diese Bestellung eines EU-Vertreters hat schriftlich zu erfolgen und der EU-Vertreter muss eine natürliche oder juristische Person sein, die in dem Staat der EU niedergelassen ist, in welchem auch die von der Datenverarbeitung betroffenen Personen sind.
Das Vorhandensein eines EU-Vertreters hat keinen Einfluss auf die bestehende Verantwortung und Haftung der datenverarbeitenden Stelle selbst.
Und wie muss ich als Unternehmer die Daten sichern?
Sie müssen unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs und der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen die geeigneten technischen und organisatorischen Sicherheitsmaßnahmen treffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Da der Stand der Technik sich fortlaufend entwickelt, ist zur Einhaltung einer ausreichenden Datensicherheit eine kontinuierliche Prüfung der tatsächlichen Gegebenheiten erforderlich. Ein einmal eingerichtetes IT-System kann somit nicht erst nach vielen Jahren kontrolliert werden.
Nicht jede Art von personenbezogenen Daten muss auf die gleiche Weise gesichert werden. Hier wird man zu jeder Kategorie von personenbezogenen Daten prüfen müssen, welches Schutzniveau angemessen ist. Man wird hier in verschiedenen Schutzkategorien arbeiten können und das erforderliche Schutzniveau je nach vorhandenen Daten als „normal“, „hoch“ oder „sehr hoch“ einstufen. Hierfür muss also eine Risikobewertung durchgeführt werden, um mögliche Bedrohungen und Schwachstellen sowie die jeweilige Eintrittswahrscheinlichkeit und die Schwere eines Schadens für die Persönlichkeits- und Freiheitsrechte der Betroffenen festzustellen.
Als Maßnahmen nennt Art. 32 DSGVO ausdrücklich:
1. die Pseudonymisierung und Verschlüsselung personenbezogener Daten;
2. die Fähigkeit, Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen;
3. die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen;
4. ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.
Es ist somit nicht ausreichend, die Daten „geheim“ zu halten und vor Zugriffen unberechtigter Dritter zu schützen, sondern der Unternehmer muss vor allem auch eine effektive und ständig kontrollierte Sicherung und vor allem Wiederherstellung der Daten gewährleisten können. Für die automatisierte Datenverarbeitung gibt in Bezug auf die Datensicherheit die neue Fassung des Bundesdatenschutzgesetzes in § 64 Abs. 3 BDSG folgende Verpflichtungen vor:
1. Verwehrung des Zugangs zu Verarbeitungsanlagen, mit denen die Verarbeitung durchgeführt wird, für Unbefugte (Zugangskontrolle),
2. Verhinderung des unbefugten Lesens, Kopierens, Veränderns oder Löschens von Datenträgern (Datenträgerkontrolle),
3. Verhinderung der unbefugten Eingabe von personenbezogenen Daten sowie der unbefugten Kenntnisnahme, Veränderung und Löschung von gespeicherten personenbezogenen Daten (Speicherkontrolle),
4. Verhinderung der Nutzung automatisierter Verarbeitungssysteme mit Hilfe von Einrichtungen zur Datenübertragung durch Unbefugte (Benutzerkontrolle),
5. Gewährleistung, dass die zur Benutzung eines automatisierten Verarbeitungssystems Berechtigten ausschließlich zu den von ihrer Zugangsberechtigung umfassten personenbezogenen Daten Zugang haben (Zugriffskontrolle),
6. Gewährleistung, dass überprüft und festgestellt werden kann, an welche Stellen personenbezogene Daten mit Hilfe von Einrichtungen zur Datenübertragung übermittelt oder zur Verfügung gestellt wurden oder werden können (Übertragungskontrolle),
7. Gewährleistung, dass nachträglich überprüft und festgestellt werden kann, welche personenbezogenen Daten zu welcher Zeit und von wem in automatisierte Verarbeitungssysteme eingegeben oder verändert worden sind (Eingabekontrolle),
8. Gewährleistung, dass bei der Übermittlung personenbezogener Daten sowie beim Transport von Datenträgern die Vertraulichkeit und Integrität der Daten geschützt werden (Transportkontrolle),
9. Gewährleistung, dass eingesetzte Systeme im Störungsfall wiederhergestellt werden können (Wiederherstellbarkeit),
10. Gewährleistung, dass alle Funktionen des Systems zur Verfügung stehen und auftretende Fehlfunktionen gemeldet werden (Zuverlässigkeit),
11. Gewährleistung, dass gespeicherte personenbezogene Daten nicht durch Fehlfunktionen des Systems beschädigt werden können (Datenintegrität),
12. Gewährleistung, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können (Auftragskontrolle),
13. Gewährleistung, dass personenbezogene Daten gegen Zerstörung oder Verlust geschützt sind (Verfügbarkeitskontrolle),
14. Gewährleistung, dass zu unterschiedlichen Zwecken erhobene personenbezogene Daten getrennt verarbeitet werden können (Trennbarkeit).
Diese Maßnahmen sind darüber hinaus durch den Unternehmer zu dokumentieren, damit gegenüber der Aufsichtsbehörde jederzeit ein Nachweis über die Einhaltung der datenschutzrechtlichen Vorgaben vorgelegt werden kann.
Wie muss ich bei einer Datenpanne reagieren?
Die Datenschutzgrundverordnung geht davon aus, dass es zu Datenpannen (sog. Data Breach) kommen wird. Gemäß Art. 33 DSGVO muss jede Verletzung des Schutzes personenbezogner Daten an die zuständige Aufsichtsbehörde gemeldet werden, es sei denn, dass es voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt. Es muss also bei jeder Datenpanne eine Risikoabwägung durchgeführt werden und diese sollte auch dokumentiert werden. Soweit das Ergebnis der Risikoabwägung ein hohes Risiko für die personlichen Rechte und Freiheiten des Betroffenen darstellen, ist dieser gemäß den Bedingungen des Art. 34 DSGVO zu benachrichtigten.
Die sog. Data Breach Notification an die Aufsichtsbehörde und auch die Information der Betroffenen hat unverzüglich nach Kenntnis der Datenpanne zu erfolgen, wobei die DSGVO einen Zeitraum von 72h noch als unverzüglich ansieht.
Gemäß Art. 33 Abs. 5 DSGVO hat der Unternehmer die Verletzungen des Schutzes personenbezogener Daten einschließlich aller im Zusammenhang mit der Verletzung des Schutzes personenbezogener Daten stehenden Fakten, von deren Auswirkungen und der ergriffenen Abhilfemaßnahmen gegenüber der Aufsichtsbehörde zu dokumentieren. Die Aufsichtsbehörde hingegen kann gerade diese erst mit der Data Breach Notification nutzen, um auf dieser Basis ein Bußgeldverfahren gegen das Unternehmen bzw. den Verantwortlichen einzuleiten.
Da die Data Breach Notification nicht auf Datenpannen mit besonders sensiblen Daten beschränkt ist, wird durch die Aufsichtsbehörden wohl ein System etabliert werden, welches die zu erwartende Zahl der Meldungen auch kleinerer Pannen bei der Verarbeitung oder Speicherung von personenbezogenen Daten erfasst und bewältigt.