Das müssen Sie zur Datenschutz-
Grundverordnung wissen

 

Grundsätzliches


Die Datenschutz-Grundverordnung (DSGVO) löst die Datenschutzrichtlinie 95/46/ EG aus dem Jahre 1995 ab. Die DSGVO gilt unmittelbar in der gesamten Europäischen Union (Art. 288 Abs. 2 AEUV). Es bedarf keiner Umsetzung in nationales Recht

Ziele der DSGVO

  • Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten
  • Schutz des freien Verkehrs personenbezogener Daten

 

Für wen gilt die DSGVO?


Die Verordnung gilt für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung(z.B. Karteikarten oder Aktenordner, die nach bestimmten Kriterien geordnet sind) personenbezogener Daten (zumeist aber nicht nur) durch Unternehmen, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen.

Die Verordnung findet keine Anwendung auf die Verarbeitung personenbezogener Daten

  • im Rahmen einer Tätigkeit, die nicht in den Anwendungsbereich des Unionsrechts fällt,
  • durch natürliche Personen zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten,
  • durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung, einschließlich des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit.

(vgl. Art. 2 DSGVO)

 

Unternehmen

Im Sinne der DSGVO bezeichnet der Ausdruck „Unternehmen“ eine natürliche und juristische Person, die eine wirtschaftliche Tätigkeit ausübt, unabhängig von ihrer Rechtsform, einschließlich Personengesellschaften oder Vereinigungen, die regelmäßig einer wirtschaftlichen Tätigkeit nachgehen.

(vgl. Art. 4 Nr. 18 DSGVO)

Auch Freiberufler wie Ärzte, Zahnärzte, Tierärzte, Heilpraktiker, Rechtsanwälte, Steuerberater, Wirtschaftsprüfer, Architekten etc. fallen darunter.

 

Merke

Der Anwendungsbereich der DSGVO ist somit eröffnet, wenn Unternehmen Dienstleistungen oder Waren in Deutschland oder der Europäischen Union anbieten oder Mitarbeiter beschäftigen. Damit unterfällt praktisch jedes Unternehmen der DSGVO. Aber auch Vereine unterliegen den Vorgaben der DSGVO.

Auftragsverarbeiter ist ein Unternehmen dann, wenn in fremdem Namen, d. h. im Auftrag eines Dritten Dienstleistungen oder Waren in Deutschland oder der Europäischen Union angeboten werden. Auch dann muss die DSGVO beachtet werden.

 

Verarbeitung personenbezogener Daten


Personenbezogene Daten

Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann.

(vgl. Art. 4 Nr. 1 DSGVO).

 

Beispiele

Vorname, Name, Wohnort, Steuernummer, Kontonummer, Religionszugehörigkeit etc.

 

Vorsicht

Dazu gehört auch die (dynamische) IP-Adresse!

Bei der IP-Adresse handelt es sich lediglich um eine Nummer, die zunächst keinen Rückschluss auf die Person zulässt, die sich in das Internet einwählt. Dynamische IP-Adressen werden bei jeder Einwahl oder einmal am Tag neu vergeben, sodass dauerhaft keine Zuordnung zu einer bestimmten Person möglich ist. Ohnehin ist eine Zuordnung nach §§ 100b, 100g StPO nur nach richterlicher Anordnung bei Straftaten von im Einzelfall erheblicher Bedeutung oder Straftaten mittels Telekommunikation zulässig. Unter dem Vorbehalt richterlicher Anordnung steht auch der Auskunftsanspruch des Urhebers gem. § 101 Abs. 9 UrhG.

(vgl. BGH, Urteil vom 16.05.2017 – VI ZR 135/13)

Eine dynamische IP-Adresse, die von einem Anbieter von Online-Mediendiensten beim Zugriff einer Person auf eine Internetseite, die dieser Anbieter allgemein zugänglich macht, gespeichert wird, stellt ein (geschütztes) personenbezogenes Datum (Merkmal) dar.

Als personenbezogenes Datum darf die IP-Adresse nur unter den Voraussetzungen des § 15 Abs. 1 TMG gespeichert werden. Diese Vorschrift ist richtlinienkonform entsprechend Art. 7 Buchst. f der Richtlinie 95/46 EG – in der Auslegung durch den EuGH – dahin anzuwenden, dass ein Anbieter von Online-Mediendiensten personenbezogene Daten eines Nutzers dieser Dienste ohne dessen Einwilligung auch über das Ende eines Nutzungsvorgangs hinaus dann erheben und verwenden darf, soweit ihre Erhebung und ihre Verwendung erforderlich sind, um die generelle Funktionsfähigkeit der Dienste zu gewährleisten. Dabei bedarf es allerdings einer Abwägung mit dem Interesse und den Grundrechten und -freiheiten der Nutzer.“

 

„Verarbeiten“ im Sinne der DSGVO

Der Ausdruck „Verarbeitung“ bezeichnet jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung.

 

Beispiele

Daten beschaffen, erfassen, sammeln, Berichtigung des Namens oder einer E-Mail-Adresse, Abfrage von Daten, Weitergabe von Daten an Dritte oder Dritten Einblick in die Daten gewähren, ohne diese zu übermitteln, neben dem Löschen von Daten auch die Vernichtung alter Computer, von CD’s oder USB-Sticks

 

Fazit

Der Begriff ist weit auszulegen. Was auch immer Sie mit Daten machen, es handelt sich immer um ein „Verarbeiten“.

 

Beschäftigtendatenschutz


Die DSGVO enthält eine Öffnungsklausel in Art. 88. Davon hat Deutschland Gebrauch gemacht und mit § 26 BDSG (neue Fassung) eine konkretisierende Vorschrift erlassen.

Personenbezogene Daten von Beschäftigten dürfen für Zwecke des Beschäftigungsverhältnisses verarbeitet werden, wenn dies für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses oder nach Begründung des Beschäftigungsverhältnisses für dessen Durchführung oder Beendigung oder zur Ausübung oder Erfüllung der sich aus einem Gesetz oder einem Tarifvertrag, einer Betriebs- oder Dienstvereinbarung (Kollektivvereinbarung) ergebenden Rechte und Pflichten der Interessenvertretung der Beschäftigten erforderlich ist.

Zur Aufdeckung von Straftaten dürfen personenbezogene Daten von Beschäftigten nur dann verarbeitet werden, wenn zu dokumentierende tatsächliche Anhaltspunkte den Verdacht begründen, dass die betroffene Person im Beschäftigungsverhältnis eine Straftat begangen hat, die Verarbeitung zur Aufdeckung erforderlich ist und das schutzwürdige Interesse der oder des Beschäftigten an dem Ausschluss der Verarbeitung nicht überwiegt, insbesondere Art und Ausmaß im Hinblick auf den Anlass nicht unverhältnismäßig sind.

Erfolgt die Verarbeitung personenbezogener Daten von Beschäftigten auf der Grundlage einer Einwilligung ist besonderes Augenmerk auf die „Freiwilligkeit“ zu richten. Daher ist Vorsicht bei Einwilligungen im Rahmen von AGB geboten. Auch Arbeitsverträge stellen in der Regel AGB dar.

Für die Einwilligung gilt (soweit nicht wegen besonderer Umstände eine andere Form angemessen ist) das Schriftformerfordernis (= §126 BGB = eigenhändige Unterschrift erforderlich).

Dem Arbeitnehmer steht ein Widerrufsrecht zu, über das er in Textform aufgeklärt werden muss.

 

Verzeichnis von Verarbeitungstätigkeiten


Wer ist Verantwortlicher?

Verantwortlicher ist die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet; sind die Zwecke und Mittel dieser Verarbeitung durch das Unionsrecht oder das Recht der Mitgliedstaaten vorgegeben, so können der Verantwortliche beziehungsweise die bestimmten Kriterien seiner Benennung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten vorgesehen werden.

(vgl. Art. 4 Nr. 7 DSGVO)

Verantwortlicher ist somit jeder, der mit personenbezogenen Daten von anderen umgeht.

 

Ausnahme von der Verpflichtung ein Verzeichnis von Verarbeitungstätigkeiten zu führen

Die Verpflichtung gilt nicht für Unternehmen oder Einrichtungen, die weniger als 250 Mitarbeiter beschäftigen, es sei denn die von ihnen vorgenommene Verarbeitung birgt ein Risiko für die Rechte und Freiheiten der betroffenen Personen, die Verarbeitung erfolgt nicht nur gelegentlich oder es erfolgt eine Verarbeitung besonderer Datenkategorien gemäß Artikel 9 Absatz 1 DSGVO (rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen, Gewerkschaftszugehörigkeit, genetische Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten, Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person.) bzw. die Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten im Sinne des Artikels 10.

(vgl. Art. 30 Abs. 5 DSGVO)

Der Ausnahmetatbestand dürfte daher praktisch für die allermeisten Unternehmen ohne jegliche Relevanz sein. Dies wird bereits deutlich, wenn man allein darauf abstellt, dass die Verarbeitung nicht nur gelegentlich erfolgt. Ein Verzeichnis von Verarbeitungstätigkeiten ist bereits dann (unabhängig von der Anzahl der Beschäftigten) zu führen, wenn Gehaltsabrechnungen durchgeführt werden, inklusive der Verarbeitung religiöser Überzeugungen, wenn z.B. Kirchensteuer entrichtet wird. Wenn Mitarbeiter arbeitsunfähig erkranken, werden z.B. auch die Krankheitstage erfasst.

 

Form des Verzeichnisses

Jeder Verantwortliche und gegebenenfalls sein Vertreter führen ein Verzeichnis aller Verarbeitungstätigkeiten, die ihrer Zuständigkeit unterliegen. Das Verzeichnis der Verarbeitungstätigkeiten muss

  • schriftlich oder elektronisch geführt werden
  • und immer aktuell sein

Achten Sie darauf, dass Änderungen ersichtlich sind. Alte Eintragungen sollten demnach nicht überschrieben werden. Mindestens für den Zeitraum von einem Jahr sollten sämtliche Änderungen belegt werden können.

Die Angaben in dem Verzeichnis müssen aussagekräftig sein; die Anforderungen steigen mit zunehmender Unternehmensgröße.

 

Inhalt des Verzeichnisses

  • Name und die Kontaktdaten des Verantwortlichen und gegebenenfalls des gemeinsam mit ihm Verantwortlichen, des Vertreters des Verantwortlichen sowie eines etwaigen Datenschutzbeauftragten;
  • Zwecke der Verarbeitung;
  • Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten;
  • Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, einschließlich Empfänger in Drittländern oder internationalen Organisationen;
  • ggf. Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation, einschließlich der Angabe des betreffenden Drittlands oder der betreffenden internationalen Organisation, sowie bei den in Artikel 49 Absatz 1 Unterabsatz 2 genannten Datenübermittlungen die Dokumentierung geeigneter Garantien;
  • wenn möglich, die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien;
  • wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Artikel 32 Absatz 1.

    (vgl. Art. 30 Abs. 1 DSGVO)

Darf jeder Einblick in das Verzeichnis nehmen?

Nein! Es handelt sich um kein öffentliches Verzeichnis, sodass insbesondere betroffenen Personen kein Einblick gewährt werden muss. Das Verzeichnis muss jedoch der Aufsichtsbehörde auf Anfrage zur Verfügung gestellt werden.

(vgl. Art. 30 Abs. 4 DSGVO).

 

Erweitertes Verzeichnis

Es empfiehlt sich grundsätzlich, ein erweitertes Verzeichnis der Verarbeitungstätigkeiten anzulegen; dies insbesondere im Hinblick darauf, gegenüber der Aufsichtsbehörde darlegen zu können, dass die Verarbeitung der personenbezogenen Daten zulässig ist.

Ein erweitertes Verzeichnis enthält zusätzlich die konkreten Verarbeitungstätigkeiten im Sinne von Art. 4 Nr. 2 DSGVO (erheben, erfassen, speichern, abfragen, offenlegen … personenbezogener Daten) und aufgrund welcher Rechtsgrundlage dies erfolgt (z.B. Einwilligung, Arbeitsvertrag, Betriebsvereinbarung, Art. 6 DSGVO).

 

Grundsätze für die Verarbeitung personenbezogener Daten


Grundsätzliches Verbot mit Erlaubnisvorbehalt

Die zentrale Norm ist Art. 6 DSGVO. Personenbezogene Daten dürfen nicht verarbeitet werden, wenn nicht eine ausdrückliche Einwilligung der betroffenen Person vorliegt oder eine Rechtsgrundlage dies erlaubt.

 

Einwilligung

Einwilligung ist jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist.(vgl. Art. 4 Nr. 11 DSGVO)

Die einzelnen Tatbestandsmerkmale:

  • Freiwilligkeit
    Es darf kein Zwang oder Druck ausgeübt werden. Problematisch erscheint dies, wenn eine Zwangslage gegeben ist oder Abhängigkeiten bestehen, z.B. im Arbeitsverhältnis.
  • Beschränkung auf einen bestimmten Fall
    Die Einwilligung zur Verarbeitung personenbezogener Daten kann nicht für alle zukünftig relevanten Zwecke abgegeben werden.
  • Klare und verständliche Information
    Notwendig ist eine umfassende Aufklärung darüber, für welchen konkreten Zweck die personenbezogenen Daten verarbeitet werden sollen.
  • Information über jederzeitigen Widerruf
    Die betroffene Person muss darüber informiert werden, dass die Einwilligung zur Verarbeitung personenbezogener Daten jederzeit widerrufen werden kann, ohne dass hierfür ein Grund angegeben werden muss.
  • Eindeutig bestätigende Handlung
    Schriftform, aber auch Ankreuzen einer Auswahlmöglichkeit im Internet, wobei nur dann von einer wirksamen Einwilligung auszugehen ist, wenn es sich um ein sogenanntes opt-in Verfahren handelt. Ist das Kästchen bereits zuvor ausgefüllt (opt-out) ist nicht von einer wirksamen Einwilligung auszugehen.

    Merke

    Die Einwilligung bietet die größte Sicherheit im Hinblick darauf, dass der Datenschutz beachtet wird.

 

Vertragserfüllung und vorvertragliche Maßnahmen

Die Verarbeitung personenbezogener Daten ist zulässig, soweit dies für die Erfüllung eines Vertrags oder zur Durchführung vorvertraglicher Maßnahmen erforderlich ist, die auf Anfrage der betroffenen Person erfolgen.

 

Vorsicht

Erst wenn der Abschluss eines Vertrages unmittelbar bevorsteht, dürfen Bonitätsauskünfte bei Auskunfteien erfragt oder die Vorlage einer Bonitätsauskunft durch potentielle Vertragspartner verlangt werden.

 

Wahrung berechtigter Interessen des Verantwortlichen

Art. 6 Abs. 1f DSGVO erlaubt die Verarbeitung personenbezogener Daten auch dann, wenn dies der Wahrung berechtigter Interessen des Verantwortlichen oder eines Dritten dient, soweit nicht die Interessen der betroffenen Person überwiegen.

Wenn ein Anbieter von Waren oder Dienstleistungen die Daten von Kunden auswertet, dürfte dies hiervon umfasst sein. Auch ein Mitarbeiter, der beispielsweise im Außendienst vorrangig tätig ist, muss damit rechnen, dass sein Name sowie beruflichen Kontaktdaten im Internet veröffentlicht werden. Es ist jedoch Vorsicht geboten, da sich um einen unbestimmten Rechtsbegriff handelt, in der viel Interpretationsspielraum zulässt. Dies wird sicherlich zukünftig durch die Tätigkeit der Aufsichtsbehörden sowie gerichtliche Entscheidungen Konkretisierungen erfahren.

 

Zweck der Verarbeitung

Der Zweck der Verarbeitung personenbezogener Daten muss vorher feststehen und darf nur für diesen Zweck erfolgen. Dies gilt unabhängig davon, ob eine Einwilligung des Betroffenen vorliegt, ein Vertrag geschlossen wurde oder nach Abwägung ein überwiegendes berechtigtes Interesse des Verantwortlichen anzunehmen ist.

Bei einem klassischen Kaufvertrag, dürfen die personenbezogenen Daten des Käufers nur für den Zweck des Verkaufs verwendet werden.

 

Was ist mit Werbung?

Zweckbindung wäre auch dann noch gegeben, wenn daran Maßnahmen oder Aktionen anknüpfen, die sich auf den Verkauf beziehen bzw. die Nutzung des Produkts. Bei Kauf von Möbeln, wäre auch Werbung für Pflegeprodukte im Nachgang erlaubt. Wenn ein Haustier tierärztlich untersuchen wird, darf der Tierarzt an Impf- oder sonstige Vorsorgetermine erinnern. Dies gilt jedenfalls so lange, bis der Kunde von seinem Widerspruchsrecht Gebrauch macht.

 

Vorsicht!

Jede Werbe E-Mail oder ein Newsletter müssen ein vollständiges Impressum aufweisen!
Keine Kaltaquise – auch nicht im B2B Bereich.
Eine Einwilligung kann auch erlöschen (ohne Zutun des Kunden). Zeitliche Grenze: 4 Jahre. Wird während dieser Zeit, nachdem zuvor eine Einwilligung erteilt wurde, keine einzige Werbe E-Mail oder ein Newsletter versandt, ist die Einwilligung verwirkt.

 

Aktualität der Daten

Personenbezogene Daten müssen sachlich richtig und erforderlichenfalls auf den neuesten Stand gebracht werden; es sind alle angemessenen Maßnahmen zu treffen, damit personenbezogene Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung unrichtig sind, unverzüglich gelöscht oder berichtigt werden.

(vgl. Art. 5 Abs. 1 Buchst. d DSGVO).

Dies betrifft insbesondere Namensänderungen und Umfirmierung kennen. Das Unternehmen muss sicherstellen, dass die Änderung auch an allen relevanten Stellen (Datenbanken) berücksichtigt wird.

 

Erforderlichkeit

Personenbezogene Daten müssen in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist.

(vgl. Art. 5 Abs. 1 Buchst. e DSGVO).

Die IT-Fachfirma dürfte beispielsweise Nachfragen und erfassen, wie viele Mitarbeiter des Kunden Zugriff auf ein Netzwerk haben sollen und welche Arbeiten im Einzelnen verrichtet werden, um ein entsprechend leistungsfähiges Computersystem anbieten zu können. Unzulässig wäre hingegen die Speicherung weiterer Informationen, die mit dem Angebot nichts zu tun haben, wie beispielsweise wo der Geschäftsführer seinen nächsten Urlaub verbringt oder ob dieser Haustiere hat. Dies dürfte insbesondere Mitarbeiter der jeweiligen Marketingabteilungen vor größerer Herausforderungen stellen, die auf ihr eigenes Gehirn vertrauen müssten.

Wichtig ist zu beachten, dass personenbezogene Daten, die für die Erreichung des Zwecks nicht länger erforderlich sind und für die es keine Aufbewahrungsvorschriften gibt, entweder zu löschen oder so zu verändern sind, dass kein Personenbezug mehr hergestellt werden kann.

 

Pflicht gegenüber der Aufsichtsbehörde

Die Einhaltung dieser Vorgaben muss jede Firma gegenüber der Aufsichtsbehörde nachweisen können. Die Aufsichtsbehörde kann die Vorlage schriftlicher Dokumentationen verlangen, die belegen, welche personenbezogenen Daten von Vertragspartnern oder Mitarbeitern verarbeitet werden, aufgrund welcher Rechtsgrundlage dies erfolgt, für welchen Zweck die Daten verwendet werden und wie lange die Speicherung erfolgt oder erfolgt ist.

Darüber hinaus ist insbesondere Art. 29 DSGVO zu beachten. Dort heißt es wie folgt:Der Auftragsverarbeiter und jede dem Verantwortlichen oder dem Auftragsverarbeiter unterstellte Person, die Zugang zu personenbezogenen Daten hat, dürfen diese Daten ausschließlich auf Weisung des Verantwortlichen verarbeiten, es sei denn, dass sie nach dem Unionsrecht oder dem Recht der Mitgliedstaaten zur Verarbeitung verpflichtet sind.

 

Tipp

Jeder Mitarbeiter sollte schriftlich verpflichtet werden, dass die ihm anvertrauten personenbezogenen Daten ausschließlich auf Weisung (des Verantwortlichen = Firmeninhabers, Chefs, etc.) verarbeitet werden dürfen und hierbei die Vorgaben der DSGVO einzuhalten sind.

 

Was müssen Webshop Betreiber zusätzlich beachten?

Nach Art. 6 Abs. 1 Nr. 2 DSGVO dürfte ein Kundenkonto angelegt werden, wenn dies zur Erfüllung des Vertrages notwendig wäre. In diesem Fall ist eine Einwilligung nicht erforderlich. In rechtlicher Hinsicht wird man sagen können, dass ein Kundenkonto zwar bequem, aber zur Vertragserfüllung nicht erforderlich ist. Ein Kundenkonto darf daher in der Regel nur angelegt werden, wenn der Besteller zuvor eingewilligt hat. Nun besteht das Problem, dass eine Einwilligung nur freiwillig (vgl. Art. 7 Abs. 4 DSGVO) wirksam erteilt werden kann. Freiwilligkeit liegt aber nicht mehr vor, wenn ein Pflicht besteht ein Kundenkonto zu eröffnen. Fazit: Ab dem 25.05.2018 muss die Möglichkeit eingeräumt werden, Bestellungen auch als Gast aufgeben zu können.

 

Auftragsverarbeitung


Wer ist Auftragsverarbeiter?

Auftragsverarbeiter ist eine natürliche oder juristische Person (AG, GmbH, KG, GmbH & Co KG etc.), Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.

(Art. 4 Nr. 8 DSGVO).

Auftragsverarbeitung liegt zumeist dann vor, wenn Prozesse aus der Firma ausgegliedert oder Einblicke in die selbst verwalteten Daten gewährt werden. Klassische Beispiele hierfür sind die Inanspruchnahme eines Callcenters, ein IT-Wartungsvertrag, externe Buchhaltung, Werbeaktionen, die von Dritten durchgeführt werden, der Einsatz von Google Analytics bei der eigenen Website, das Mieten eines eigenen Servers, wo gegebenenfalls personenbezogene Daten gespeichert werden.

 

Abgrenzung

Auftragsverarbeitung liegt allerdings nur dann vor, wenn allein das Unternehmen über Zwecke und Mittel der Verarbeitung entscheidet. Der Auftragsverarbeiter muss weisungsabhängig den ihm erteilten Auftrag erfüllen. Die Abgrenzung ist mitunter schwierig.

Keine Auftragsbearbeitung liegt vor bei der Inanspruchnahme eines Steuerberaters oder einer Unternehmensberatung, Übergabe von Forderungen an ein Inkassounternehmen mit Abtretung der Forderungen, externer Personalverwaltung etc. Die Abgrenzung ist deswegen wichtig, weil bei „echter Auftragsverarbeitung“ das Unternehmen personenbezogene Daten der Kunden oder Mitarbeiter weitergeben darf, ohne dass hierfür eine ausdrückliche Einwilligung oder eine gesetzliche Grundlage vorliegen muss.

 

Vorsicht!

Wer im Sinne von echter Auftragsbearbeitung auf externe Firmen zurückgreift, muss prüfen, ob diese datenschutzrechtliche Vorschriften befolgen. Die Haftung erstreckt sich auch auf die Nichteinhaltung datenschutzrechtlicher Vorschriften durch den Auftragsverarbeiter.

 

Vertragliche Gestaltung

Grundsätzlich muss ein Vertrag zwischen der Firma und dem Auftragsverarbeiter (möglichst schriftlich!) geschlossen werden. Neben einer konkreten Beschreibung was Inhalt der Auftragsvearbeitung ist, sollte darin auch das Weisungsrecht des Verantwortlichen fixiert werden. Ebenso sollte der Auftragsverarbeiter verpflichtet werden, sämtliche ihm übergebenen personenbezogenen Daten vertraulich zu behandeln und Sorge dafür zu tragen, dass die Sicherheit der Verarbeitung gewährleistet wird und datenschutzrechtliche Vorschriften zwingend eingehalten werden. Nicht vergessen werden darf, dass der Vertrag auch eine Regelung enthält, was mit den übergebenen personenbezogenen Daten nach Beendigung der Auftragsverarbeiter passiert (werden diese zurückgegeben oder gelöscht und falls Sie gelöscht werden, wie werden sie gelöscht etc.)

In diesem Zusammenhang muss auch darauf geachtet werden, dass sich der Verantwortliche umfassende Kontrollrechte einräumen lässt. Konkret müssen ohne Vorankündigung Kontrollen vor Ort möglich sein; dies kann gegebenenfalls auch ein Zutrittsrecht zu privaten Wohnraum umfassen.

 

Datenschutz Folgenabschätzung


Hat eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien (Fingerabdrücke, Iris Scanner etc.), aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge, ist eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten durchzuführen.

(vgl. Art. 35 DSGVO)

 

Eine Datenschutz-Folgenabschätzung ist insbesondere in folgenden Fällen erforderlich

  • systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen, die sich auf automatisierte Verarbeitung einschließlich Profiling gründet und die ihrerseits als Grundlage für Entscheidungen dient, die Rechtswirkung gegenüber natürlichen Personen entfalten oder diese in ähnlich erheblicher Weise beeinträchtigen (z.B. Prüfung der Kreditwürdigkeit, Bonitätsprüfung);
  • umfangreiche Verarbeitung besonderer Kategorien von personenbezogenen Daten gemäß Art. 9 DSGVO oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Art. 10 DSGVO oder
  • systematische umfangreiche Überwachung öffentlich zugänglicher Bereiche;

 

Erwägungsgrund 75 zur DSGVO

Die Risiken für die Rechte und Freiheiten natürlicher Personen können aus einer Verarbeitung personenbezogener Daten hervorgehen, die zu einem physischen, materiellen oder immateriellen Schaden führen könnte, insbesondere wenn die Verarbeitung zu einer

  • Diskriminierung;
  • einem Identitätsdiebstahl oder -betrug;
  • einem finanziellen Verlust;
  • einer Rufschädigung;
  • einem Verlust der Vertraulichkeit von dem Berufsgeheimnis unterliegenden personenbezogenen Daten;
  • der unbefugten Aufhebung der Pseudonymisierung oder anderen erheblichen wirtschaftlichen oder gesellschaftlichen Nachteilen führen kann;
  • wenn die betroffenen Personen um ihre Rechte und Freiheiten gebracht oder daran gehindert werden, die sie betreffenden personenbezogenen Daten zu kontrollieren;
  • wenn besondere Datenkategorien nach Art. 9 DSGVO verarbeitet werden;
  • wenn persönliche Aspekte bewertet werden, insbesondere wenn Aspekte, die die Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persönliche Vorlieben oder Interessen, die Zuverlässigkeit oder das Verhalten, den Aufenthaltsort oder Ortswechsel betreffen, analysiert oder prognostiziert werden, um persönliche Profile zu erstellen oder zu nutzen;
  • wenn personenbezogene Daten schutzbedürftiger natürlicher Personen, insbesondere Daten von Kindern, verarbeitet werden;
  • oder wenn die Verarbeitung eine große Menge personenbezogener Daten und eine große Anzahl von betroffenen Personen betrifft.

 

Wann muss eine Datenschutz-Folgeabschätzung durchgeführt werden?

Die Frage lässt sich nicht pauschal beantworten, sondern ist grundsätzlich einzelfallabhängig.

Neben den in Art. 35 Abs. 3 DSGVO aufgelisteten, besonderen Fällen, sind folgende Kriterien heranzuziehen:

  • umfangreiche Verarbeitungsvorgänge
  • die Dauer der Verarbeitung und geographische Ausdehnung
  • Zusammenführen oder Abgleich von Datensätzen, die durch unterschiedliche Prozesse gewonnen werden
  • Daten schutzbedürftiger Personen wie Kinder, ältere Menschen, Patienten oder Mitarbeiter
  • Verwendung neuer Technologien (Internet der Dinge, Fingerabdruckscanner, Gesichtserkennung, Iris Scanner)
  • Datentransfer außerhalb der EU

 

IT Sicherheit


Wichige Aspekte

  • Rechteverwaltung für Mitarbeiter, Werkstudenten, Praktikanten – ausgeschiedene Mitarbeiter bedenken (vgl. auch Art. 32 Abs. 4 DSGVO);
  • Updates, Upgrades und Patches regelmäßig einspielen;
  • regelmäßige Backups durchführen;
  • Festplattenspiegelung;
  • Einsatz einer Anti-Viren Software;
  • Passwortsicherungen -> ein gutes Passwort besteht aus mindestens 8 Zeichen mit einem Mix aus Groß- und Kleinbuchstaben, Zahlen sowie Sonderzeichen;
  • Sofern die eigene Website auf ein CMS (Content – Management – System zurückgreift) muss die Software aktuell gehalten werden. Es werden regelmäßig Sicherheitslücken (die in ungeahnter Zahl auftreten) geschlossen. CMS Systeme werden von sehr vielen Firmen genutzt.
  • Wenn ein Kontaktformular bereitgestellt wird, muss dieses sicher sein, andernfalls ist dies ein Einfallstor für Hacker oder sog. script kiddies. Ein unterschätzte Gefahr! Denn möglicherweise kann Zugriff auf die komplette Datenbank (z.B. MySQL) erlangt werden.
  • Verschlüsselung
    • Website -> SSL Zertifikat (nur über HTTPS erreichbar – erzwungenes HTTPS);
    • E-Mail Server -> STARTTLS / Perfect Forward Secrecy nutzen (Verschlüsselung der E-Mails zwischen den Servern)
    • Festplatten / sonstige Speichermedien verschlüsseln;
    • Verschlüsselung für mobile Geräte (Smartphone, Tablet, Notebook) -> entweder auf unmittelbare Lösungen der jeweiligen Hersteller zurückgreifen oder z.B. auf Veracrypt (empfohlen vom Bundesamt für Sicherheit in der Informationstechnologie)
  • Vorschaufunktion bei E-Mail Clients ggf. deaktivieren;
  • auf keine Links in E-Mails klicken;
  • Absender überprüfen (nicht den Namen, sondern die E-Mail Adresse, von der aus versandt wurde!);
  • Zwei Wege Authentifizierung;
  • aber auch banale Dinge wie die richtige Adressierung (AN: / CC: / BCC), ein Vertraulichkeitshinweis in der E-Mail selbst, dass ein unbefugter Dritter diese umgehend löschen soll, führt nicht zur Enthaftung;
  • u.U. auch ZIP Komprimierung mit Verschlüsselung + Passwort nutzen, alternativ kann man das S/MIME Format oder PGP nutzen;
  • WLAN Router mit aktueller Verschlüsselung nutzen (WPA2 AES mit CCMP oder TKIP), das voreingestellte Passwort ändern;
  • Zugriff von außen auf das Firmennetzwerk mittels VPN Tunnel;
  • Hardware nicht einfach unkontrolliert entsorgen (Daten können ggf. wieder hergestellt werden)

 

Ihre Website – Aushängeschild und Gefahrenquelle zugleich


Auf folgende Punkte sollten Sie achten:

  • Ist ein SSL Zertifikat vorhanden?
  • Ist nur die SSL Variante Ihrer Website aufrufbar (forced SSL)?
  • Entspricht die Verschlüsselung dem aktuellen Stand der Technik?
  • Haben Sie sog. “mixed-content”?
  • Erfolgt auf Server-Ebene eine Absicherung gegen mögliche Hacker Angriffe?
  • Wird ein Kontaktformular bereit gestellt? Dann müssen Sie darauf achten:
    • Der Inhalt der übertragenen Daten muss überprüft werden.
    • Es muss überprüft werden, ob noch weitere/zusätzliche Daten übertragen werden können.
    • Es muss verhindert werden, dass Daten ungefiltert in die Datenbank geschrieben werden können.
    • Es sollte ein Captcha eingesetzt werden.
  • Haben Sie eine gültige Datenschutzerklärung, insb. ab Inkrafttreten der DSGVO?
  • Werden in der Datenschutzerklärung Betroffene über sämtliche Rechte aufgeklärt?
  • Vorsicht: Je nachdem welche Software eingesetzt wird, kann die Datenschutzerklärung einen erheblichen Umfang haben. Folgende Fragen spielen hierbei eine Rolle:
    • Setzen Sie Tracking Tools (Google Analytics, Metamo, eTracker) ein?
    • Wird Google Maps genutzt?
    • Werden Google Web Fonts verwendet?
    • Werden Social Media Buttons (Facebook, YouTube, Twitter etc.) genutzt?
    • Kommen Cookies zum Einsatz?
    • Wird ein Newsletter Eintrag zur Verfügung gestellt?
    • Wann und in welchem Umfang werden IP Adressen gespeichert?
    • Wann werden die IP Adressen wieder gelöscht?
    • Werden weitere Scripte (z.B. doctena) von Drittanbietern eingebunden?
  • Eine fehlende oder unzureichende Datenschutzerklärung kann überdies dazu führen, dass Sie abgemahnt werden, was mit zusätzlichen, erheblichen Kosten verbunden ist!
  • Haben Sie ein vollständiges Impressum?
  • Sind die Datenschutzerklärung und das Impressum leicht zugänglich?

 

Datenschutzbeauftragter


Wann muss (zwingend) ein Datenschutzbeauftragter bestellt werden?

Ergänzend zu Artikel 37 Absatz 1 Buchstabe b und c der Verordnung (EU) 2016/679 benennen der Verantwortliche und der Auftragsverarbeiter eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten, soweit sie in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen. Nehmen der Verantwortliche oder der Auftragsverarbeiter Verarbeitungen vor, die einer Datenschutz-Folgenabschätzung nach Artikel 35 der Verordnung (EU) 2016/679 unterliegen, oder verarbeiten sie personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung, haben sie unabhängig von der Anzahl der mit der Verarbeitung beschäftigten Personen eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten zu benennen.

(vgl. Art. 37 Abs. 1 DSGVO i.V.m. § 38 BDSG neue Fassung)

Der Verantwortliche und der Auftragsverarbeiter benennen auf jeden Fall einen Datenschutzbeauftragten, wenn die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der umfangreichen Verarbeitung besonderer Kategorien von Daten gemäß Artikel 9 oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 besteht.

(vgl. § 37 Abs. 1 Buchst. c DSGVO)

Ein Datenschutzbeauftragter muss in jedem Fall benannt werden, wenn in dem Unternehmen mindestens 20 Personen (ob diese ein Entgelt beziehen ist unerheblich) damit beschäftigt sind, personenbezogene Daten automatisiert zu verarbeiten.

 

Merke

Es gilt die Kopf-Regel. Es geht allein um die Anzahl der Personen, die mit der Datenverarbeitung befasst sind. Es spielt keine Rolle,  ob es sich um Vollzeit- oder Teilzeitkräfte, Minijobber, freie Mitarbeiter, Studenten, Buchhalter etc. handelt.

Unabhängig von der Anzahl der Mitarbeiter muss ein Datenschutzbeauftragter benannt werden, soweit wenn personenbezogene Daten der folgenden Kategorien verarbeitet werden:

  • rassische und ethnische Herkunft,
  • politische Meinungen,
  • religiöse oder weltanschauliche Überzeugungen
  • Gewerkschaftszugehörigkeit hervorgehen
  • genetischen Daten
  • biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person,
  • Gesundheitsdaten
  • Daten zum Sexualleben oder der sexuellen Orientierung

und

es sich bei der Verarbeitung um eine Kerntätigkeit (= der Zweck könnte sonst nicht erreicht werden) des Unternehmens handelt.

Eine Kerntätigkeit liegt beispielsweise bei einem Optiker vor, in der Gesundheitsdaten benötigt, um Brillen oder Kontaktlinsen passgenau anzufertigen oder in Auftrag zu geben. Dies dürfte nahezu alle Unternehmen erfassen, die im medizinischen Bereich tätig sind und ohne Gesundheitsdaten Verträge mit Kunden nicht erfüllen können. Damit wird auch deutlich, dass eine Kerntätigkeit nicht anzunehmen ist, wenn ein Arbeitgeber zwecks Abführung der Kirchensteuer zwangsläufig Daten verarbeitet, die auf religiösen Überzeugungen schließen lassen.

Ein Datenschutzbeauftragter muss unabhängig von der Anzahl der Mitarbeiter und der Erhebung vorstehender Datenkategorien auch in jedem Falle bestellt werden, wenn die Kerntätigkeit des Unternehmens darauf gerichtet ist, Personen in umfangreicher Weise regelmäßig und systematisch zu überwachen.

Ungeachtet dessen kann nach Art. 37 Abs. 4 S. 1 HS 1 DSGVO auch freiwillig ein Datenschutzbeauftragter benannt werden.

 

Aufgaben des Datenschutzbeauftragten

  • Unterrichtung und Beratung des Verantwortlichen oder des Auftragsverarbeiters und der Beschäftigten, die Verarbeitungen durchführen, hinsichtlich ihrer Pflichten nach der DSGVO sowie nach sonstigen Datenschutzvorschriften der Union bzw. der Mitgliedstaaten (BDSG);
  • Überwachung der Einhaltung der DSGVO, anderer Datenschutzvorschriften der Union bzw. der Mitgliedstaaten sowie der Strategien des Verantwortlichen oder des Auftragsverarbeiters für den Schutz personenbezogener Daten einschließlich der Zuweisung von Zuständigkeiten, der Sensibilisierung und Schulung der an den Verarbeitungsvorgängen beteiligten Mitarbeiter und der diesbezüglichen Überprüfungen;
  • Beratung im Zusammenhang mit der Datenschutz-Folgenabschätzung und Überwachung ihrer Durchführung gemäß Artikel 35;
  • Zusammenarbeit mit der Aufsichtsbehörde;
  • Tätigkeit als Anlaufstelle für die Aufsichtsbehörde in mit der Verarbeitung zusammenhängenden Fragen, einschließlich der vorherigen Konsultation gemäß Artikel 36, und gegebenenfalls Beratung zu allen sonstigen Fragen.
  • Beratung betroffener Personen nach Art. 38 Abs. 4 DSGVO

 

Veröffentlichung der Kontaktdaten des Datenschutzbeauftragten und Mitteilung an die Aufsichtsbehörde

Nach Art. 37 Abs. 7 DSGVO hat der Verantwortliche oder Auftragsverarbeiter die Kontaktdaten des Datenschutzbeauftragten zu veröffentlichen und diese der Aufsichtsbehörde mitzuteilen. Die Veröffentlichung sollte im Internet über die eigene Website geschehen. Ausreichend ist, dass die E-Mail Adresse angegeben wird; der Name oder die Anschrift des Datenschutzbeauftragten müssen nicht veröffentlicht werden. Im Rahmen des Rechtemanagements muss sichergestellt sein, dass E-Mails an den Datenschutzbeauftragten auch nur von diesem oder seinem Vertreter gelesen werden können.

 

Vorteile eines externen Datenschutzbeauftragten

In Art. 37 Abs. 6 DSGVO ist geregelt, dass entweder ein eigener Mitarbeiter des Unternehmens die Funktion des Datenschutzbeauftragten erfüllen kann oder ein externer Datenschutzbeauftragter auf Grundlage eines Dienstleistungsvertrages diese Funktion wahrnimmt.

Der Datenschutzbeauftragte wird auf der Grundlage seiner beruflichen Qualifikation und insbesondere des Fachwissens benannt, das er auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis besitzt, sowie auf der Grundlage seiner Fähigkeit zur Erfüllung der in Artikel 39 genannten Aufgaben.

Die berufliche Qualifikation und das Fachwissen ist also Voraussetzung für die wirksame Bestellung eines Datenschutzbeauftragten. Es kann mithin nicht jedermann die Aufgaben eines Datenschutzbeauftragten übernehmen.

Darüber hinaus muss darauf geachtet werden, dass es nicht zu einem Interessenkonflikt kommt. Wirksam kann daher auch nicht der IT-Leiter oder entsprechende EDV-Verantwortliche benannt werden. Auch der Personalleiter oder Vertriebsleiter scheiden aufgrund von Interessenkollision aus. Ebenso kann die gesamte Geschäftsführung nicht als Datenschutzbeauftragter bestellt werden. Fraglich ist auch, ob ein Betriebsratsmitglied die Aufgaben eines Datenschutzbeauftragten wahrnehmen kann.

 

Die Vorteile eines externen Datenschutzbeauftragten im Detail

  • Fachwissen, Datenschutzrecht ist ein originär juristisches Gebiet
  • keine Interessenkollision
  • Mitarbeiter als Datenschutzbeauftragter genießt Kündigungsschutz; selbst nach Abberufung gilt nachwirkender Kündigungsschutz für 1 Jahr – externer Datenschutzbeauftragter ist auf Grundlage eines Vertrages tätig, der auch wieder gekündigt werden kann
  • Mitarbeiter ist nicht weisungsgebunden, hat freie Zeiteinteilung – externer Datenschutzbeauftragter hat festen Zeitrahmen
  • Kosten für Fortbildung und Weiterbildung, darüber hinaus nicht transparente Kosten für Mitarbeiter – entfällt bei externen Datenschutzbeauftragten
  • Kalkulierbare Kosten für externen Datenschutzbeauftragten – weniger als ein 450 Euro job

 

Rechte der betroffenen (geschützten) Personen


Transparente Information

Das Unternehmen (den Verantwortlichen) trifft die Verpflichtung, wenn personenbezogene Daten verarbeitet werden sollen, den Betroffenen in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache darüber zu informieren, was zu welchem Zweck mit diesen gemacht wird.

(Art. 12 Abs. 1 DSGVO)

Werden personenbezogene Daten bei der betroffenen Person erhoben, so hat der Verantwortliche der betroffenen Person zum Zeitpunkt der Erhebung dieser Daten Folgendes mitzuteilen:

  • den Namen und die Kontaktdaten des Verantwortlichen sowie gegebenenfalls seines Vertreters;
  • gegebenenfalls die Kontaktdaten des Datenschutzbeauftragten;
  • die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen, sowie die Rechtsgrundlage für die Verarbeitung;
  • wenn die Verarbeitung auf Artikel 6 Absatz 1 Buchstabe f beruht (d.h. auf einer Interessenabwägung, die zugunsten der Firma ausfällt), die berechtigten Interessen, die von dem Verantwortlichen oder einem Dritten verfolgt werden;
  • wenn Daten weitergegeben werden sollen, gegebenenfalls die Empfänger oder Kategorien von Empfängern der personenbezogenen Daten und
  • gegebenenfalls die Absicht des Verantwortlichen, die personenbezogenen Daten an ein Drittland oder eine internationale Organisation zu übermitteln (z.B. Website Analysetools)

(vgl. Art. 13 Abs. 1 DSGVO)

Zusätzlich müssen der betroffenen Person zum Zeitpunkt der Erhebung dieser Daten folgende weitere Informationen zur Verfügung gestellt werden, die notwendig sind, um eine faire und transparente Verarbeitung zu gewährleisten:

  • die Dauer, für die die personenbezogenen Daten gespeichert werden oder die Kriterien für die Festlegung dieser Dauer;
  • das Bestehen eines Rechts auf Auskunft seitens des Verantwortlichen über die betreffenden personenbezogenen Daten;
  • sowie auf Berichtigung oder Löschung oder auf Einschränkung der Verarbeitung
    oder eines Widerspruchsrechts gegen die Verarbeitung;
  • sowie des Rechts auf Datenübertragbarkeit;
  • das Bestehen eines Rechts, die Einwilligung jederzeit (ohne Angabe von Gründen) zu widerrufen,
  • das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde;
  • ob die Bereitstellung der personenbezogenen Daten gesetzlich oder vertraglich vorgeschrieben oder für einen Vertragsabschluss erforderlich ist, ob die betroffene Person verpflichtet ist, die personenbezogenen Daten bereitzustellen, und welche mögliche Folgen die Nichtbereitstellung hätte und

    (vgl. Art. 13 Abs. 2 DSGVO)

 

Auskunftsrecht

Das Auskunftsrecht ist in Art. 15 DSGVO geregelt.

Die betroffene Person hat das Recht, von der Firma eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden; ist dies der Fall, so hat sie ein Recht auf Auskunft über diese personenbezogenen Daten und auf folgende Informationen:

  • Zweck der Verarbeitung;

  • Kategorien personenbezogener Daten;

  • Empfänger der Daten;

  • geplante Dauer der Speicherung;

  • Hinweis auf Betroffenenrechte (Berichtigung, Löschung, Einschränkung oder eines Widerspruchsrechts gegen die Verarbeitung;

  • Hinweis auf Beschwerderecht bei der Aufsichtsbehörde;

  • wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben werden, alle verfügbaren Informationen über die Herkunft der Daten;

  • das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling


Die Auskunft muss kostenlos erteilt werden; die Firma hat auch das Porto zu übernehmen. Werden Kopien verlangt, kann hierfür jedoch ein angemessenes Entgelt genommen werden.

 

Vorsicht

Neben einem konkreten Antrag, dass eine Auskunft begehrt wird, muss sich die Firma insbesondere über die Identität des Antragstellers gewiss sein. Andernfalls besteht die Gefahr, dass Auskünfte unbefugten Dritten erteilt werden. Es besteht somit nicht nur das Recht, sondern mitunter auch die Verpflichtung des Verantwortlichen, weitere Angaben bzw. Nachweise über die Identität anzufordern, bevor eine Auskunft erteilt wird.

Auch wenn keine Daten gespeichert wurden, muss der Antragsteller darüber informiert werden.

 

Berichtigung, Löschung und Einschränkung der Verarbeitung

Die Firma muss (eigentlich eine Selbstverständlichkeit) falsche Daten korrigieren.

Ein Anspruch auf Löschung besteht, wenn für die Erfüllung des Zwecks die (weitere) Speicherung der personenbezogenen Daten nicht mehr notwendig ist, der Betroffene seine Einwilligung widerrufen hat und es auch keine andere Rechtsgrundlage für die Speicherung der Daten gibt. Wurden Daten von Anfang an unrechtmäßig erhoben und verarbeitet, sind Sie selbstverständlich auch zu löschen.

Wird von der Firma bestritten, dass die Daten unrichtig sind, hat der Betroffene gleichwohl einen Anspruch auf Einschränkung der Verarbeitung. Die Daten dürfen dann zwar gespeichert, aber nicht mehr in sonstiger Art und Weise (z.B. durch Übermittlung an einen externen Dienstleister oder für Werbezwecke) verarbeitet werden.

 

Recht auf Datenübertragbarkeit

Die betroffene Person hat das Recht, die der Firma mitgeteilten personenbezogenen Daten, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten, und sie kann verlangen, dass diese Daten an eine andere Firma weitergegeben werden.

(vgl. Art. 20 DSGVO)

Dies gilt allerdings nur für die dem Verantwortlichen (der Firma) bereitgestellten personenbezogenen Daten und nicht für Analysen, Erkenntnisse oder sonstige Rückschlüsse. Unter das Recht auf Datenübertragbarkeit fällt daher nicht, zu welcher Tageszeit ein Kunde beispielsweise vorzugsweise etwas bestellt, wie das Zahlungsverhalten ist oder welche Artikel häufig zusammen gekauft werden.

 

Widerspruch gegen die Verarbeitung

Das Widerspruchsrecht ist in Art. 21 DSGVO normiert. Beruht die Verarbeitung personenbezogener Daten auf einer Interessenabwägung, die zugunsten des Verantwortlichen aus seiner Sicht ausfällt, kann die betroffene Person der Verarbeitung widersprechen; erforderlich ist jedoch, dass hierfür nachvollziehbare Gründe angegeben werden. Soweit der Verantwortliche dann, unter Berücksichtigung der neu vorgetragenen Gründe, gleichwohl zwingende schutzwürdige eigene Interessen hat (und diese gegebenenfalls auch nachweisen kann) darf er die Verarbeitung fortsetzen.

Werden personenbezogene Daten verarbeitet, um Direktwerbung zu betreiben, so hat die betroffene Person das Recht, jederzeit Widerspruch gegen die Verarbeitung sie betreffender personenbezogener Daten zum Zwecke derartiger Werbung einzulegen; dies gilt auch für das Profiling, soweit es mit solcher Direktwerbung in Verbindung steht.

 

Automatisierte Entscheidungen nur im Einzelfall

Die betroffene Person hat das Recht, nicht einer ausschließlich auf einer automatisierten Verarbeitung – einschließlich Profiling – beruhenden Entscheidung unterworfen zu werden, die ihr gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt.

(vgl. Art. 22 DSGVO)

Dies bedeutet konkret, dass es nicht ausschließlich einem Softwareprogramm (auch künstlicher Intelligenz) überlassen werden darf, wie mit personenbezogenen Daten umgegangen wird und welche Entscheidungen getroffen werden. Dies gilt nur dann nicht, wenn die betroffene Person ausdrücklich einwilligt, dies für den Abschluss oder die Erfüllung des Vertrages erforderlich ist oder eine Rechtsvorschrift dies zulässt.

Problematisch wäre beispielsweise bei großen Konzernen der Einsatz künstlicher Intelligenz bei der Personalauswahl. Für die meisten mittelständischen oder kleinen Unternehmen spielt dies jedoch derzeit (noch) eine untergeordnete Rolle.

 

Geeignete Maßnahmen zur Erfüllung der Betroffenenrechte

Die Firma hat nach Art. 12 DSGVO geeignete Maßnahmen zu treffen, um die Rechte der Betroffenen erfüllen zu können. Diese müssen unverzüglich, spätestens jedoch innerhalb eines Monats erfüllt werden. Um eine vollständige Auskunft zeitnah erteilen zu können, ist es daher ratsam, ein vollständiges und aktuelles Verzeichnis der Verarbeitungstätigkeiten zu haben.

Kommt die Firma den Betroffenenrechten nicht fristgerecht nach, Kann sich der Betroffene bei der Aufsichtsbehörde beschweren. Diese wird dann Sanktionen aussprechen, wobei es nicht maßgeblich darauf ankommt, aus welchem Grunde die Firma den Rechten der betroffenen Person nicht nachgekommen ist.

 

Öffnungsklauseln und das BDSG (neu)


Für den nicht-öffentlichen Bereich bestehen nur wenige Gestaltungsmöglichkeiten für den nationalen Gesetzgeber.

Hierbei sind insbesondere folgende Vorschriften wichtig:

  • Verarbeitung besonders schutzwürdiger Daten(§22 BDSG-neu)
  • zur Zweckänderung (§§ 23, 24 BDSG-neu),
  • zur Verarbeitung von Beschäftigtendaten (§ 26 BDSG-neu),
  • zur Einschränkung der Betroffenenrechte (§§ 32 bis 37 BDSG-neu)
  • zur Bestellung betrieblicher Datenschutzbeauftragter (§ 38 BDSG-neu)

 

Verletzung des Schutzes personenbezogener Daten


Definition

Die „Verletzung des Schutzes personenbezogener Daten“ ist eine Verletzung der Sicherheit, die zur Vernichtung, zum Verlust oder zur Veränderung, ob unbeabsichtigt oder unrechtmäßig, oder zur unbefugten Offenlegung bzw. zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden.

Es ist unerheblich, um welche Art von personenbezogenen Daten es sich hierbei handelt. Diese müssen nicht einer besonderen Kategorie im Sinne von Art. 9 DSGVO unterfallen. Ein Verschulden ist ebenfalls nicht erforderlich, d. h. ob die Verletzung der Sicherheit absichtlich oder unbeabsichtigt erfolgt ist, spielt keine Rolle. Es kommt allein auf die Verletzung des Schutzes personenbezogener Daten an, ob ein Schaden für die betroffenen Personen daraus entsteht oder entstehen könnte, ist ebenfalls ohne Belang.

 

Meldung von Verletzungen an die Aufsichtsbehörde

Im Falle einer Verletzung des Schutzes personenbezogener Daten hat der Verantwortliche unverzüglich und möglichst binnen 72 Stunden, nachdem ihm die Verletzung bekannt wurde, diese der zuständigen Aufsichtsbehörde zu melden, es sei denn, dass die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt.

Die Ausnahme, dass die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt, dürfte nur in sehr seltenen Fällen vorliegen.

Die Meldepflicht beginnt erst dann, wenn dem Verantwortlichen die Verletzung der personenbezogenen Daten bekannt ist. Dies bedeutet im Umkehrschluss jedoch nicht, dass die Meldepflicht entfällt, wenn sich der Verantwortliche für die personenbezogenen Daten nicht interessiert und nach dem Motto der bekannten drei Affen (nichts sehen, nichts hören, nichts sagen) agiert. Es sind vielmehr in der Firma geeignete Vorkehrungen zu treffen, dass die Verletzung des Schutzes personenbezogener Daten schnell erkannt wird. Die Meldepflicht tritt daher unabhängig ein.

Die Meldung an die Aufsichtsbehörde muss unverzüglich erfolgen, wobei „unverzüglich“ im Sinne einer gängigen juristischen Definition bedeutet, dass dies ohne schuldhaftes Zögern zu erfolgen hat. Der Verantwortliche kann sich nicht darauf berufen, dass er zunächst den Sachverhalt vollständig aufklären will. Sobald erste Informationen vorliegen, sind diese an die Aufsichtsbehörde zu melden. In Art. 33 Abs. 4 DSGVO ist geregelt, dass Informationen auch nach und nach (schrittweise) bereitgestellt werden können.

Nach Art. 33 Abs. 5 DSGVO besteht eine Dokumentationspflicht. Verletzungen des Schutzes personenbezogener Daten einschließlich aller im Zusammenhang mit der Verletzung des Schutzes personenbezogener Daten stehenden Fakten, deren Auswirkungen und die ergriffenen Abhilfemaßnahmen sind zu dokumentieren.

Wird die Frist von 72 Stunden überschritten, ist der Meldung an die Aufsichtsbehörde eine Begründung für die Verzögerung beizufügen.

 

Benachrichtigung der betroffenen Personen

Hat die Verletzung des Schutzes personenbezogener Daten voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen zur Folge, muss der Verantwortliche die betroffene Person unverzüglich von der Verletzung benachrichtigen.

Wann ein „hohes Risiko „im Sinne dieser Vorschrift vorliegt, kann nicht allgemein beantwortet werden, sondern hängt maßgeblich von dem Einzelfall ab. Da sich ferner um einen unbestimmten Rechtsbegriff handelt, muss dieser ausgelegt werden. Gegebenenfalls sollte diesbezüglich eine Abstimmung mit der Aufsichtsbehörde erfolgen.

Wenn betroffene Personen über die Verletzung personenbezogener Daten informiert werden müssen, ist dies immer mit einem hohen Risiko verbunden. Es besteht die Gefahr, dass man Kunden verliert, diese verärgert sind oder der Vorfall publik gemacht wird. Ganz abgesehen von sozialen Medien, Bewertungsportalen oder Einträgen bei Google Business. Auch könnten möglicherweise Schadensersatzansprüche von den betroffenen Personen geltend gemacht werden.

Sinnvoll erscheint daher Zeit und Energie darin zu investieren, dass vorbeugende Maßnahmen ergriffen werden. Denn die Benachrichtigung der betroffenen Personen ist nicht erforderlich, wenn geeignete technische und organisatorische Sicherheitsvorkehrungen im Hinblick auf die personenbezogenen Daten getroffen wurden, insbesondere die Daten verschlüsselt wurden (Art. 34 Abs. 3a DSGVO). Bei Smartphones und Tablets sollte zumindest ein sicheres Passwort genutzt werden, zudem empfiehlt es sich den Speicher des Gerätes und Speicherkarten zu verschlüsseln. Bei Laptops und Desktop-PCs sollte die Festplatte verschlüsselt werden. Auch externe Speichermedien, wie USB-Stick oder Festplatten müssen hierbei bedacht werden. Gleiches gilt für die Verschlüsselung der E-Mail Kommunikation.

Wenn betroffene Personen informiert werden müssen, hat dies in klarer und einfacher Sprache zu erfolgen. Die Information muss folgende Angaben enthalten:

  • eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten, soweit möglich mit Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen, der betroffenen Kategorien und der ungefähren Zahl der betroffenen personenbezogenen Datensätze;
  • Name und Kontakt des Datenschutzbeauftragten oder einer sonstigen Stelle für weitere Informationen
  • eine Beschreibung der wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten;
  • eine Beschreibung der von dem Verantwortlichen ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten und gegebenenfalls Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen.

 

Mögliche Fragen der Aufsichtsbehörde


Wenn ein Unternehmen Maßnahmen erst ergreift, wenn sich ein Betroffener beschwert oder es zu einer Datenpanne kommt (reaktive Maßnahme) ist dies nicht ausreichend. Auf folgende Fragen der Aufsichtsbehörde sollten Sie sich vorbereiten:

 

  1. Existiert im Unternehmen eine Datenschutzrichtlinie?
  2. Sind die Datenschutzziele im Unternehmen herausgearbeitet worden und jedem Mitarbeiter bekannt?
  3. Sind Verantwortlichkeiten geregelt und verteilt?
  4. Existiert ein Bewusstsein über Datenschutzrisiken?
  5. Welche Konflikte bestehen im Hinblick auf verschiedene Abteilungen des Unternehmens (z.B. Buchhaltung und Marketingabteilung)?
  6. Welche finanziellen Rückstellungen sind für Datenschutzmaßnahmen gebildet worden?
  7. Wurde ein Datenschutzbeauftragter wirksam bestellt, falls nein, aus welchen Gründen ist dies nicht erfolgt?
  8. Wie wird sichergestellt, dass die Geschäftsführung über Datenschutz Vorfälle unverzüglich informiert wird?
  9. Bei Firmen mit mehreren Niederlassungen: Existiert ein einheitliches Datenschutzkonzept?
  10. Wie wird sichergestellt, dass datenschutzrechtliche Vorschriften eingehalten werden? Welche Kontrollen werden durchgeführt?
  11. Wie wird überprüft, ob der Datenschutzbeauftragte seine Aufgabe richtig erfüllt?
  12. Werden Berichte des Datenschutzbeauftragten zeitnah umgesetzt?
  13. Wer überprüft, ob Verstöße gegen die Vorschriften der DSGVO auch behoben werden?
  14. Gibt es für jede einzelne Verarbeitungstätigkeiten im Unternehmen Angaben? (Grundlage sollte das Verzeichnis der Verarbeitungstätigkeiten nach Art. 30 DSGVO sein)
  15. Sind Aufgaben an externe Firmen übertragen worden (Auftragsverarbeiter)? Existiert eine Übersicht sämtlicher Auftragsverarbeiter? Sind mit den jeweiligen Auftragsverarbeitern eher die notwendigen (möglichst schriftlichen) Vereinbarungen mit dem Mindestinhalt nach Art. 28 Abs. 3 DSGVO abgeschlossen worden?
  16. Sind die Datenschutzerklärungen bezüglich der betroffenen Personen bei Datenerhebungen an Art. 13 und 14 DSGVO angepasst worden?
  17. Sind die Einwilligungserklärungen für Werbung an Kunden oder Interessenten an die Anforderungen von Art. 7 und Art. 13 DSGVO angepasst worden? Ist insbesondere der Hinweis, auf den jederzeitigen Widerruf der Einwilligung erfolgt?
  18. Wie wird sichergestellt, dass Änderungen von datenschutzrechtlichen Regelungen auch das Unternehmen erreichen?
  19. Wir haben Sie sich darauf vorbereitet, dass die Rechte der Betroffenen bezüglich Auskunft, Berichtigung, Löschungen, Einschränkung, Datenübertragbarkeit, Widerspruch und automatisierte Entscheidungen nachgekommen wird? Existiert ein internes Verfahren zur Bearbeitung der Anträge? Sind Muster Antwortschreiben entworfen worden? Wie werden die Antwortzeiten überwacht?
  20. Wie wird das Risiko analysiert, das mit einer Datenpanne einhergeht?
  21. Sind Trainingsübungen vorgesehen, um Datenschutzverletzungen zu simulieren?

 

Rechtliche Folgen bei Verstößen


Befugnisse der Aufsichtsbehörde

Die Befugnisse der Aufsichtsbehörde sind in § 58 DSGVO normiert.

Die Aufsichtsbehörde kann den Verantwortlichen oder Auftragsverarbeiter anweisen, alle Informationen bereitzustellen, die für die Erfüllung ihrer Aufgaben erforderlich sind. Es können Untersuchungen in Form von Datenschutzüberprüfungen durchgeführt werden.

Ferner kann die Behörde Zugang zu sämtlichen personenbezogenen Daten und Informationen sowie zu den Geschäftsräumen, einschließlich aller Computer und sonstigen mobilen Geräte und / oder Speichermedien verlangen.

Die Aufsichtsbehörde verfügt über Abhilfebefugnisse, die es ihr gestatten, den Verantwortlichen oder Auftragsverarbeiter zu verwarnen oder anzuweisen, Anträge betroffener Personen auf Ausübung ihr zustehender Rechte zu entsprechen, Verarbeitungsvorgänge in Einklang mit der DSGVO zu bringen, bei Datenschutzverletzungen die Betroffenen zu benachrichtigen, ggf. die Verarbeitung vorübergehend oder endgültig zu beschränken oder ein Verbot zu verhängen, Zertifizierungen zu widerrufen oder Übermittlungen von Daten in ein Drittland auszusetzen.Ferner kann ergänzend oder zusätzlich zu den vorstehenden Befugnissen eine Geldbuße verhängt werden.

 

Geldbußen

Jede Aufsichtsbehörde muss sicherstellen, dass die Verhängung von Geldbußen für Verstöße gegen die DSGVO in jedem Einzelfall

  • wirksam,
  • verhältnismäßig
  • und abschreckend

ist.

 

10 Millionen oder 2% des weltweiten Jahrensumsatzes (höherer Wert ist maßgebend)

Bei Verstößen gegen die Pflichten der Verantwortlichen und der Auftragsverarbeiter gemäß den Artikeln 8, 11, 25-39, 42 und 43 werden Geldbußen von bis zu 10 Millionen Euro oder im Fall eines Unternehmens von bis zu 2 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt, je nachdem, welcher der Beträge höher ist

 

Darunter fallen insbesondere

Bestellung eines Datenschutzbeauftragten (Achtung: dieser muss fachlich geeignet sein, zudem keine Interessenkollision), Auswahl (nur) geeigneter Auftragsverarbeiter, Meldungen (an die Aufsichtsbehörde) und Benachrichtigung betroffener Personen bei Verletzung des Schutzes personenbezogener Daten, Verzeichnis von Verarbeitungstätigkeiten, Datenschutz Folgenabschätzung.

 

20 Millionen oder 4% des weltweiten Jahrensumsatzes (höherer Wert ist maßgebend)

Bei Verstößen gegen die folgenden Bestimmungen werden Geldbußen von bis zu 20 Millionen Euro oder im Fall eines Unternehmens von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt, je nachdem, welcher der Beträge höher ist:

  • die Grundsätze für die Verarbeitung, einschließlich der Bedingungen für die Einwilligung, gemäß den Artikeln 5 – 7 und 9.
    Konkret:
    Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz, Zweckbindung, Datenminimierung, Richtigkeit, Speicherbegrenzung (nur so lange wie nötig), Integrität und Vertraulichkeit -> die Einhaltung dieser Grundsätze muss der Verantwortliche nachweisen = Rechenschaftspflicht

    Bedingungen für die Einwilligung und Verarbeitung besonderer Kategorien personenbezogener Daten (grundsätzliches Verbot mit Ausnahmetatbeständen)
  • bei Nichtbefolgung einer Anweisung der Aufsichtsbehörde
  • Anspruch auf Schadensersatz

    Jede Person, der wegen eines Verstoßes gegen diese Verordnung ein

    • materieller
    • oder immaterieller

Schaden entstanden ist, hat Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter.

 

Vorsicht!

Es gilt der Grundsatz der gesamtschuldnerischen Haftung, wenn mehr als ein Verantwortlicher oder mehr als ein Auftragsverarbeiter bzw. sowohl ein Verantwortlicher als auch ein Auftragsverarbeiter an derselben Verarbeitung beteiligt und sie für einen durch die Verarbeitung verursachten Schaden verantwortlich sind. Jeder haftet sodann für den gesamten Schaden.

Ein materieller Schaden (Vermögensschaden) liegt dann vor, wenn der entstandene Nachteil in Geld bewertet werden kann (vgl. BGH NJW 87, 50, 89, 766).

Immateriell ist ein Schaden wenn kein Vermögensschaden vorliegt. In diesen Fällen besteht ggf. ein Anspruch auf Schmerzensgeld bei Rufschädigung oder schwerer Verletzung des allg. Persönlichkeitsrechts. Je nach Intensität und Ausmaß kann es sich dabei um erhebliche Summen handeln.