Datenschutz-ABC

Aufsichtsbehörde

Die Aufsichtsbehörde ist eine staatliche Einrichtung, deren Hauptaufgabe darin besteht, zu kontrollieren, ob die Vorschriften der Gesetze zum Datenschutz eingehalten werden oder nicht. Bei Verstößen gegen Datenschutzvorschriften kann die Aufsichtsbehörde entsprechende Sanktionen verhängen – die bekannteste Sanktion der Aufsichtsbehörde ist das Bußgeld. Das in Art. 57 DS-GVO geregelte Aufgabenspektrum von Aufsichtsbehörden geht aber weit über diese Kontrollfunktion hinaus und ist so umfangreich, dass man für die Aufzählung fast das ganze ABC benötigt:

a) Anwendung der DS-GVO überwachen und durchsetzen
b) Sensibilisierung & Aufklärung der Öffentlichkeit
c) Beratung von Regierungen & Parlamenten
d) Sensibilisierung von Verantwortlichen
e) Beratung von Betroffenen
f) Beschwerden von Verbraucherverbänden nachgehen
g) Amtshilfe für andere Aufsichtsbehörden leisten
h) Prüfungen
i) Entwicklungen der IT-Landschaft verfolgen
j) Standardvertragsklauseln festlegen
k) Blacklist von Verarbeitungstätigkeiten erstellen
l) Beratung zur Datenschutzfolgenabschätzung (DSFA) bei vorheriger Konsultation
m) Codes of Conduct fördern
n) Zertifizierungen anregen
o) Zertifizierungen überprüfen
p) Kriterien für Akkreditierungen abfassen
q) Akkreditierungen vornehmen
r) Verträge zur Drittstaatenübermittlung genehmigen
s) Binding Corporate Rules (BCR) genehmigen
t) Beiträge für den Europäischen Datenschutzausschuss (EDSA) erstellen
u) Verzeichnisse über Verstöße führen
v) „jede sonstige Aufgabe im Zusammenhang mit dem Schutz personenbezogener Daten“

Sanktionsmöglichkeiten einer Aufsichtsbehörde

Sowie das Aufgabenspektrum über die reine Kontrollfunktion hinausgeht, hat die Aufsichtsbehörde auch bei Datenschutzverstößen weit mehr Handlungsmöglichkeiten als die bekannte Verhängung von Bußgeldern. Die Aufsichtsbehörde kann das betroffene Unternehmen zunächst informell auf sein Fehlverhalten hinweisen. Als Vorstufe zum Bußgeld kann die Aufsichtsbehörde gerichtlich überprüfbare Warnungen für künftiges Verhalten und Verwarnungen bezüglich vergangener Handlungen aussprechen. Außerdem kann die Aufsichtsbehörde Anordnungen erlassen oder Strafanträge stellen.

Rechte einer Aufsichtsbehörde

Um zu gewährleisten, dass die Aufsichtsbehörde ihren Aufgaben nachkommen kann, hat sie umfangreiche Prüfungs-, Besichtigungs- und Zutrittsrechte für Vor-Ort-Kontrollen sowie ein Einsichtsrecht in geschäftliche Unterlagen. Zudem sind Unternehmen nach Art. 31 DS-GVO dazu verpflichtet, auf Anfrage mit der Aufsichtsbehörde bei der Erfüllung ihrer Aufgaben zusammenzuarbeiten.
Aufteilung der Aufsichtsbehörden in Deutschland
In Deutschland gibt es mehr als eine Aufsichtsbehörde, denn neben dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit hat jedes Bundesland mit Ausnahme von Bayern eine eigene Aufsichtsbehörde, die die Einhaltung des Datenschutzes im öffentlichen und im nicht öffentlichen Bereich überwacht. In Bayern gibt es zwei Aufsichtsbehörden, da es jeweils eine eigene Behörde für den öffentlichen und den nicht öffentlichen Bereich gibt.

Lassen Sie sich von einem Datenschutzexperten beraten!

Brauchen Sie Unterstützung bei der Zusammenarbeit mit der für Sie zuständigen Aufsichtsbehörde, hat die Aufsichtsbehörde eine Kontrolle in Ihrem Unternehmen angekündigt, oder noch schlimmer, schon ein Bußgeld verhängt? Wir beraten und unterstützen Sie gerne – kontaktieren Sie unsere Mitarbeiterinnen Frau Heil oder Frau Krämer telefonisch (0911 / 148986-50) oder per E-Mail (office@ascon-datenschutz.de) oder nutzen Sie unser Kontaktformular!

Auftragsverarbeitung

Auftragsverarbeitung bezeichnet eine bestimmte Art der Zusammenarbeit von Unternehmen, bei der personenbezogene Daten verarbeitet werden. Eine Auftragsverarbeitung liegt immer dann vor, wenn ein Unternehmen (der sog. Auftragnehmer) im Auftrag eines anderen Unternehmens (dem Auftraggeber) personenbezogene Daten erhebt, verarbeitet oder nutzt. In Abgrenzung zu anderen Konstellationen der Zusammenarbeit von Unternehmen ist der Auftragnehmer dem Auftraggeber gegenüber streng weisungsgebunden.

Typische Beispiele für Auftragsverarbeiter sind IT-Dienstleister, Hersteller von Software, externe Wartungsfirmen und externe Dienstleister für Aktenvernichtung. Dagegen sind Rechtsanwälte keine Auftragsverarbeiter, da sie ihren Mandanten gegenüber nicht weisungsgebunden sind.

Charakteristika der Auftragsverarbeitung

Der Auftragsverarbeiter (Auftragnehmer) fungiert bei der Auftragsverarbeitung als verlängerter Arm des Verantwortlichen (Auftraggeber) und verarbeitet die Daten ausschließlich auf seine Weisung hin. Dementsprechend muss die Weisung des Auftraggebers detaillierte Angaben zu Art und Umfang der Datenverarbeitung enthalten und hat dokumentiert zu erfolgen. Der Auftragnehmer hat bei der Auftragsverarbeitung keine Entscheidungsbefugnis über den Verarbeitungszweck und kein Nutzungsrecht an den Daten.

Voraussetzungen der Auftragsverarbeitung

Die Auftragsverarbeitung ist nur zulässig, wenn sie auf Grundlage einer Auftragsverarbeitungsvereinbarung (AVV) nach Art. 28 Abs. 3 DS-GVO erfolgt. Wurde keine AVV geschlossen, ist der Auftragsverarbeiter Dritter im Sinne der DS-GVO, dem Daten in der Regel nur nach Zustimmung des Betroffenen zugänglich gemacht werden dürfen. Wichtig ist, dass für die Auftragsverarbeitung nicht nur eine AVV geschlossen wird, sondern dass diese auch alle inhaltlichen Vorgaben nach Art. 28. Abs. 3 DS-GVO erfüllt. Danach muss die für die Auftragsverarbeitung notwendige Vereinbarung z. B. exakt darlegen, was Gegenstand der Auftragsverarbeitung ist, welche Daten und Personen von der Auftragsverarbeitung betroffen sind, mit welchen technisch-organisatorischen Maßnahmen der Auftragsverarbeiter die personenbezogenen Daten schützt und dass der Auftragsverarbeiter umfangreiche Pflichten bei der Auftragsverarbeitung hat.

Verantwortlichkeiten bei der Auftragsverarbeitung

Die Verantwortung für die rechtmäßige Verarbeitung der personenbezogenen Daten liegt bei der Auftragsverarbeitung einzig und allein beim Auftraggeber. Er muss den Auftragnehmer deshalb über die AVV zum Schutz der Daten verpflichten und ihn diesbezüglich auch kontrollieren. Der Auftragnehmer muss den Auftraggeber allerdings darauf hinweisen, wenn er der Meinung ist, eine seiner Weisungen oder eine Verarbeitung verstößt gegen die Vorgaben der DS-GVO. Auch gegenüber Betroffenen ist bei der Auftragsverarbeitung der Auftraggeber grundsätzlich erster Ansprechpartner und verantwortlich dafür, dass die datenschutzrechtlichen Rechte erfüllt werden. Allerdings haften der Auftraggeber und der Auftragnehmer nach Art. 82 DS-GVO gemeinsam, wobei die Haftung des Auftragsverarbeiters eingeschränkt ist. Er kann nur haftbar gemacht werden, wenn er gegen ihm speziell auferlegte Pflichten verstößt.

Lassen Sie sich von einem Datenschutzexperten beraten!

Sind Sie unsicher, welche Ihrer Dienstleister als Auftragsverarbeiter fungieren, oder brauchen Sie Unterstützung bei der Prüfung von Auftragsverarbeitungsvereinbarungen? Sie benötigen für die Auftragsverarbeitung eine AVV und wissen nicht, wie Sie diese erstellen sollen oder welches Muster das richtige ist? Wir beraten und unterstützen Sie gerne – kontaktieren Sie unsere Mitarbeiterinnen Frau Heil oder Frau Krämer telefonisch (0911 / 148986-50) oder per E-Mail (office@ascon-datenschutz.de) oder nutzen Sie unser Kontaktformular!

Auftragsverarbeitungsvereinbarung

Eine Auftragsverarbeitungsvereinbarung (AVV) ist eine vertragliche Regelung über die datenschutzrechtlichen Pflichten zweier Unternehmen. Die Auftragsverarbeitungsvereinbarung ist die nach Art. 28 Abs. 3 DS-GVO zwingend erforderliche vertragliche Grundlage einer Auftragsverarbeitung. Eine Auftragsverarbeitungsvereinbarung muss nicht nur geschlossen werden, wenn der Auftragsverarbeiter personenbezogene Daten verarbeiten soll. Es ist bereits ausreichend, wenn er im Rahmen seines Auftrags Zugriff auf personenbezogene Daten bekommt oder bekommen könnte. Ein Beispiel hierfür ist die Wartung von Computern, wobei der IT-Dienstleister nicht direkt personenbezogene Daten verarbeitet, aber Zugriff auf alle gespeicherten Daten hat.

Inhalt der Auftragsverarbeitungsvereinbarung

Mit der Auftragsverarbeitungsvereinbarung werden die eigenen datenschutzrechtlichen Pflichten an den Vertragspartner weitergereicht, der dann vertragsrechtlich verpflichtet ist, dasselbe Datenschutzniveau zu gewährleisten, das der Auftraggeber nach der DS-GVO sicherstellen muss. Der Abschluss der AVV ist Voraussetzung dafür, dass personenbezogene Daten an den Vertragspartner weitergegeben werden dürfen bzw. der Zugriff ermöglicht werden darf. Der Auftragsverarbeiter wird zum verlängerten Arm des Auftraggebers und zählt datenschutzrechtlich nicht mehr als Dritter.
Der Mindestinhalt einer Auftragsverarbeitungsvereinbarung ergibt sich aus Art. 28 Abs. 3 DS-GVO. Zu den wichtigsten Punkten gehören:

• Gegenstand der Auftragsverarbeitung
• Dauer der Auftragsverarbeitung
• Art und Zweck der Verarbeitung
• Art der personenbezogenen Daten
• Art der betroffenen Personen
• Pflichten und Rechte des Verantwortlichen
• Pflicht zur dokumentierten Anweisung der jeweiligen Datenverarbeitung
• Verpflichtung verarbeitender Mitarbeiter auf Vertraulichkeit
• Sicherstellung von technischen & organisatorischen Maßnahmen
• Hinzuziehung von Subunternehmern
• Unterstützung des für die Verarbeitung Verantwortlichen bei Anfragen und Ansprüchen Betroffener
• Unterstützung des für die Verarbeitung Verantwortlichen bei seinen allgemeinen Pflichten
• Rückgabe oder Löschung personenbezogener Daten nach Abschluss der Auftragsverarbeitung
• Kontrollrechte des für die Verarbeitung Verantwortlichen und Duldungspflichten des Auftragsverarbeiters
• Pflicht des Auftragsverarbeiters, den Verantwortlichen zu informieren, falls eine Weisung gegen Datenschutzrecht verstößt

Zusammenspiel von Hauptvertrag und Auftragsverarbeitungsvereinbarung

Zusätzlich ist es wichtig, eine Regelung zur Vergütung zu treffen, das heißt, darüber, welche dieser Tätigkeiten gesondert vergütet werden und welche Tätigkeiten mit der Vergütung aus dem Hauptvertrag abgegolten sind. Eine Auftragsverarbeitungsvereinbarung ist kein losgelöster Vertrag, sondern eine datenschutzrechtliche Ergänzung zu der Geschäftsbeziehung, die sich z. B. aus einem Dienstleistungsvertrag oder Werkvertrag ergibt. Diesen Vertrag nennt man Hauptvertrag und darauf nimmt die Auftragsverarbeitungsvereinbarung immer Bezug. Um seine Pflichten aus dem Hauptvertrag erfüllen zu können, muss einer der Vertragspartner typische personenbezogene Daten weisungsgebunden verarbeiten. Was er hierbei datenschutzrechtlich zu beachten hat, wird in der ergänzenden Auftragsverarbeitungsvereinbarung geregelt.

Lassen Sie sich von einem Datenschutzexperten unterstützen!

Brauchen Sie Unterstützung bei der Prüfung einer Auftragsverarbeitungsvereinbarung oder sind Sie sich nicht sicher, ob Sie mit allen Dienstleistern, bei denen eine AVV benötigt wird, auch eine geschlossen haben? Wir beraten und unterstützen Sie gerne – kontaktieren Sie unsere Mitarbeiterinnen Frau Heil oder Frau Krämer telefonisch (0911 / 148986-50) oder per E-Mail (office@ascon-datenschutz.de) oder nutzen Sie unser Kontaktformular!

Die DS-GVO hat die Position Betroffener gestärkt und sie mit einer Menge unterschiedlicher Rechte ausgestattet. Eines dieser Rechte ist der Auskunftsanspruch, der betroffene Personen berechtigt zu erfragen, ob und wie ihre personenbezogenen Daten von dem jeweiligen Unternehmen verarbeitet werden. Machen sie dieses Recht gegenüber dem Verantwortlichen geltend, spricht man von einem Auskunftsersuchen.

Form und Umfang des Auskunftsanpruchs

Formale Anforderungen an das Auskunftsersuchen gibt es nicht, jede Form ist zulässig und auch sonst müssen keine Voraussetzungen beachtet werden. Das Fehlen formaler Hürden unterstreicht die besondere Bedeutung, die der Auskunftsanspruch für betroffene Personen hat. Der Auskunftsanspruch soll nämlich sicherstellen, dass betroffene Personen jederzeit leicht Zugang zu den Informationen haben, die für eine transparente Verarbeitung ihrer Daten notwendig sind. Daneben versetzt der Inhalt des Auskunftsanspruchs betroffene Personen erst in die Lage, die Rechtmäßigkeit der Datenverarbeitung zu prüfen und andere Rechte wie etwa das Recht auf Berichtigung, Sperrung oder Löschung geltend zu machen.

Inhaltlich dürfen Betroffene mit dem Auskunftsanspruch erfragen,

• zu welchem Zweck ihre Daten verarbeitet werden.
• welche Kategorien von Daten von der Verarbeitung betroffen sind.
• welche Gruppen von Empfängern ihre Daten erhalten.
• wie lange ihre Daten gespeichert werden.
• aus welcher Quelle die Daten stammen.
• welche weiteren Rechte sie haben.
• ggf. welche Logiken bei automatisierten Entscheidungen angewendet werden.

Zudem muss dem Betroffenen eine Kopie der personenbezogenen Daten, die verarbeitet werden, zur Verfügung gestellt werden.

Ausnahmen vom Auskunftsanspruch

Das Recht auf Auskunft ist sehr weitreichend und der Anspruch besteht nur in wenigen Ausnahmefällen nicht, nämlich wenn Rechte anderer Personen beeinträchtigt werden. An diese Einschränkung werden hohe Anforderungen gestellt, beispielsweise steht einem Auskunftsersuchen ein bestehender Geheimhaltungsgrundsatz nicht zwangsweise entgegen. Vielmehr müssen die Interessen im Einzelfall abgewogen werden. Das LG Baden-Württemberg entschied beispielsweise, dass Betroffene Anspruch auf Auskunft über ihre personenbezogenen Leistungs- und Verhaltensdaten, d. h., insbesondere auf ihre Personalakte, haben, auch wenn darin Informationen zu internen Ermittlungen und Hinweisgebern enthalten sind (Urteil v. 20.12.2018, Az.: 17 Sa 11/18).
Weitere Ausnahmen vom Auskunftsanspruch sind Auskunftsersuchen, bei denen sich die betroffene Person nicht eindeutig identifizieren lässt oder wenn Anträge auf Auskunftserteilung ein exzessives Ausmaß annehmen oder offensichtlich unbegründet sind. Lässt sich die Person, die ihren Auskunftsanspruch geltend gemacht hat, nicht eindeutig identifizieren, handelt es sich nicht nur um einen Fall von „die begehrte Auskunft muss nicht erteilt“ werden, sondern vielmehr liegt sogar ein datenschutzrechtliches Verbot der Auskunftserteilung vor. Es bestünde nämlich das Risiko, dass personenbezogene Daten einer unbefugten Person zugänglich gemacht würden, was einen meldepflichtigen Datenschutzvorfall darstellen würde.

Bearbeitung von Auskunftsersuchen

Wie auch bei den übrigen Betroffenenrechten werden an die Bearbeitung von Auskunftsersuchen strenge Vorgaben gestellt. Generell gilt, dass Unternehmen nur einen Monat Zeit haben, um auf Betroffenenanfragen zu reagieren und die geltend gemachten Betroffenenrechte zu erfüllen. Hierzu gehört auch die Identifikation der jeweiligen Person und die Prüfung, ob das geltend gemachte Recht überhaupt besteht. Zudem muss die Bearbeitung ordnungsgemäß dokumentiert werden, um der Rechenschaftspflicht nachzukommen und etwaige Nachfragen seitens des Betroffenen oder der Aufsichtsbehörde beantworten zu können.

Brauchen Sie Unterstützung bei der datenschutzkonformen Bearbeitung von Auskunftsersuchen oder der Implementierung eines Prozesses zur Bearbeitung und Dokumentation der geltend gemachten Auskunftsansprüche? Wir beraten und unterstützen Sie gerne – kontaktieren Sie unsere Mitarbeiterinnen Frau Heil oder Frau Krämer telefonisch (0911 / 148986-50) oder per E-Mail (office@ascon-datenschutz.de) oder nutzen Sie unser Kontaktformular!

Betroffenenrechte

Die DS-GVO hat die Rechtsposition von betroffenen Personen erheblich gestärkt und ihnen in Bezug auf die Verarbeitung ihrer personenbezogenen Daten eine Reihe von Rechten gegeben. Diese Rechte bezeichnet man als Betroffenenrechte. Betroffenenrechte sind damit unterschiedliche Rechte, die Personen geltend machen können, deren personenbezogene Daten verarbeitet werden.

Die wichtigsten Betroffenenrechte sind:

• Recht auf Auskunft (Art. 15 DS-GVO): Betroffene Personen haben das Recht zu erfragen, ob und wie von ihnen personenbezogene Daten verarbeitet werden.
• Recht auf Berichtigung (Art. 16 DS-GVO): Betroffene Personen dürfen verlangen, dass falsche Daten korrigiert und unvollständige Daten vervollständigt werden.
• Recht auf Löschung (Art. 17 DS-GVO): Betroffene Personen haben ein Recht auf Löschung ihrer Daten, wenn sie die verantwortliche Stelle zur Löschung aufgefordert haben, ein Löschgrund vorliegt und keine Ausnahme von der Löschpflicht besteht.
• Recht auf Datenübertragbarkeit (Art. 20 DS-GVO): Betroffene Personen haben das Recht, die Herausgabe ihrer Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu verlangen. Sie dürfen sowohl verlangen, dass ihnen die Daten selbst übergeben werden als auch die direkte Weitergabe der Daten an eine andere Person (z. B. den neuen Arbeitgeber).
• Widerruf der Einwilligung (Art. 7 DS-GVO): Beruht die Verarbeitung personenbezogener Daten auf der Einwilligung des Betroffenen, darf er die Einwilligung jederzeit ohne Grund zurücknehmen.
• Widerspruch gegen die Verarbeitung (Art. 21 DS-GVO): Werden personenbezogene Daten zur Wahrnehmung öffentlicher Aufgaben oder zur Wahrung eines berechtigten Interesses der verantwortlichen Stelle verarbeitet, darf der Betroffene der Verarbeitung seiner personenbezogenen Daten widersprechen.
• Recht auf Beschwerde bei der Aufsichtsbehörde (Art. 77 DS-GVO): Betroffene Personen dürfen sich bei der Aufsichtsbehörde beschweren, wenn sie der Ansicht sind, dass die Verarbeitung ihrer personenbezogenen Daten gegen die DS-GVO verstößt.

Strenge Vorgaben für die Bearbeitung von Betroffenenanfragen.

Werden Betroffenenrechte geltend gemacht, macht die DS-GVO Unternehmen strenge Vorgaben zur Bearbeitung solcher Anfragen. Generell gilt, dass Unternehmen nur einen Monat Zeit haben, um auf Betroffenenanfragen zu reagieren und die geltend gemachten Betroffenenrechte zu erfüllen. Hierzu gehört auch die Identifikation der jeweiligen Person und die Prüfung, ob das geltend gemachte Recht überhaupt besteht. So gibt es etwa beim Auskunftsanspruch oder dem Löschrecht wichtige Ausnahmen.

Dokumentation der Bearbeitung ist essenziell

Wichtig ist, dass Unternehmen die Bearbeitung der Anfrage sowie die Erfüllung oder Ablehnung der Betroffenenrechte genauestens dokumentieren. Dies ist nicht nur im Hinblick auf die bestehende Rechenschaftspflicht notwendig, sondern auch für etwaige Rückfragen der Aufsichtsbehörde. Sind betroffene Personen nämlich der Ansicht, dass ihre Rechte nicht ordnungsgemäß erfüllt werden, besteht das Risiko einer Beschwerde bei der Aufsichtsbehörde. Haben Unternehmen einen Prozess zur Bearbeitung von Betroffenenanfragen und zur Erfüllung von Betroffenenrechten implementiert und die Bearbeitung jeder Anfrage sauber dokumentiert, haben sie bei solchen Beschwerden nichts zu befürchten.

Lassen Sie sich von einem Datenschutzexperten beraten!

Brauchen Sie Unterstützung bei der datenschutzkonformen Bearbeitung von Betroffenenanfragen, der Erfüllung von Betroffenenrechten oder der Implementierung eines Prozesses zur Bearbeitung und Dokumentation der geltend gemachten Betroffenenrechte? Wir beraten und unterstützen Sie gerne – kontaktieren Sie unsere Mitarbeiterinnen Frau Heil oder Frau Krämer telefonisch (0911 / 148986-50) oder per E-Mail (office@ascon-datenschutz.de) oder nutzen Sie unser Kontaktformular!

Bußgeld Datenschutzverstoß

Zu den Neuerungen, die die DS-GVO für den Datenschutz mit sich gebracht hat, gehören auch die sehr hohen Bußgelder bei Verletzungen der Vorgaben. Verstoßen Verantwortliche gegen ihre datenschutzrechtlichen Pflichten nach der DS-GVO, kann die zuständige Datenschutz-Aufsichtsbehörde ein Bußgeld verhängen. Diese Sanktion an sich gab es zwar bereits unter dem alten BDSG, die Bußgeldobergrenze wurde allerdings um das 66-Fache erhöht. Ein Datenschutzverstoß kann für Verantwortliche demnach eine empfindliche Geldbuße gem. Art. 83 DS-GVO zur Folge haben.

Bemessung der Bußgeldhöhe

Die Aufsichtsbehörden sind angehalten, Bußgelder zu verhängen, die wirksam, verhältnismäßig und abschreckend sind. Die Bemessung der Bußgeldhöhe wird in Art. 83 Abs. 2 DS-GVO geregelt. Demnach ist die Höhe des Bußgeldes im Einzelfall zu bestimmen, wobei unter anderem folgende Faktoren zu berücksichtigen sind:

1. Art, Schwere und Dauer des Verstoßes unter Berücksichtigung des Umfangs der Verarbeitung, der Zahl der Betroffenen und der Schadensauswirkung
2. Vorsätzlichkeit oder Fahrlässigkeit
3. getroffene Maßnahmen zur Minderung des Schadens
4. Grad der Verantwortung unter Berücksichtigung der umgesetzten TOMs
5. etwaige frühere Verstöße
6. Zusammenarbeit mit der Aufsichtsbehörde
7. Kategorien der vom Verstoß betroffenen Daten
8. Einhaltung der Meldepflichten nach dem Verstoß
9. ggf. Einhaltung vorhergehender Anweisungen der Aufsichtsbehörde in Bezug auf denselben Gegenstand
10. Einhaltung von Verhaltensregeln (Art. 40 DS-GVO) und Zertifizierungsverfahren (Art. 42 DS-GVO)
11. weitere mildernde oder erschwerende Umstände wie durch den Verstoß erlangte finanzielle Vorteile

Die aufgelisteten Faktoren sind nicht abschließend. Die Aufsichtsbehörden können im Einzelfall weitere Umstände positiv oder negativ in die Bemessung der Bußgeldhöhe einfließen lassen.

Bußgeldkonzept der DSK

Um die Bemessung der Bußgeldhöhe in Deutschland trotz mehrerer Aufsichtsbehörden einheitlich und transparent zu gestalten, hat die Datenschutzkonferenz (DSK) ein gemeinsames Bußgeldkonzept entwickelt und Ende des Jahres 2019 vorgestellt. Die Bußgeldzumessung erfolgt nach diesem Konzept in insgesamt fünf Schritten:

1. Zuordnung des betroffenen Unternehmens zu einer Größenklasse
   In Abhängigkeit des gesamten weltweit erzielten Vorjahresumsatzes werden die Unternehmen einer von vier Größenklassen (Kleinstunternehmen, kleine Unternehmen, mittlere Unternehmen und Großunternehmen) zugeordnet. Die Gruppen werden anschließend nochmals in drei bis sieben Untergruppen unterteilt.
2. Bestimmung des mittleren Jahresumsatzes der jeweiligen Untergruppe der Größenklasse
   Danach wird der mittlere Jahresumsatz der Untergruppe bestimmt, der das betreffende Unternehmen zugeordnet wurde.
3. Ermittlung des wirtschaftlichen Grundwerts
   Der mittlere Jahresumsatz wird anschließend durch 360 (Tage) dividiert, um einen auf die Vorkommastelle aufgerundeten Tagessatz zu erhalten – den wirtschaftlichen Grundwert.
4. Multiplikation des Grundwerts mittels eines von der Schwere der Tatumstände abhängigen Faktors
   Im nächsten Schritt wird der Datenschutzverstoß anhand der konkreten tatbezogenen Umstände des Einzelfalls einem Schweregrad zugeordnet (leicht, mittel, schwer, sehr schwer). Als Kriterien dienen die mildernden bzw. erschwerenden Faktoren aus Art. 83 Abs. 2 DS-GVO). Bei formellen Verstößen (Art. 83 Abs. 4 DS-GVO) liegt der Multiplikationsfaktor zwischen 1 und 6, bei materiellen Verstößen (Art. 83 Abs. 5, 6 DS-GVO) zwischen 1 und 12.
5. Anpassung anhand täterbezogener und sonstiger noch nicht berücksichtigter Umstände
   Zuletzt wird der errechnete Betrag anhand sonstiger Umstände, die unter Punkt 4 noch nicht berücksichtigt wurden, positiv oder negativ angepasst (z. B. drohende Zahlungsunfähigkeit des Unternehmens).

Bußgeldobergrenze

Die Bußgeldobergrenze ist abhängig von der Art des Datenschutzverstoßes, das heißt, welche Vorgabe der DS-GVO verletzt wurde. Für formelle Verstöße liegt die Bußgeldobergrenze gem. Art. 83 Abs. 4 DS-GVO bei 10 000 000 Euro beziehungsweise 2 % des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres. Bei materiellen Verstößen liegt sie gem. Art 83 Abs. 5 DS-GVO bei 20 000 000 Euro beziehungsweise 4 % des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres. Ausschlaggebend ist jeweils der Betrag, der höher ist.

Befolgen Unternehmen eine Anweisung der Aufsichtsbehörde gem. Art. 58 DS-GVO nicht, kann dies ebenfalls ein Bußgeld von bis zu 20 000 000 Euro beziehungsweise 4 % des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres zur Folge haben.

Bußgeldbewehrte Verstöße

Nicht für jede Verletzung einer Pflicht aus der DS-GVO kann grundsätzlich ein Bußgeld verhängt werden. In Art. 83 Abs. 4, 5, 6 DS-GVO ist genau geregelt, welche Verstöße bußgeldbewehrt sind.

Nach Art. 83 Abs. 4 DS-GVO kann insbesondere bei Verstößen gegen folgende Vorgaben ein Bußgeld verhängt werden:

• Art. 8 DS-GVO (Bedingungen für die Einwilligung eines Kindes in Bezug auf Dienste der Informationsgesellschaft)
• Art. 11 DS-GVO (Verarbeitung, für die eine Identifizierung der betroffenen Person nicht erforderlich ist)
• Art. 25 DS-GVO (Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen)

Außerdem sind nach Art. 83 Abs. 5 DS-GVO insbesondere materielle Verstöße gegen folgende Normen bzw. die Nichtbeachtung folgender Vorschriften bußgeldbewehrt:

• Art. 5 DS-GVO (Grundsätze für die Verarbeitung personenbezogener Daten)
• Art. 6 DS-GVO (Rechtmäßigkeit der Datenverarbeitung)
• Art. 7 DS-GVO (Bedingungen für die Einwilligung)
• Art. 9 DS-GVO (Verarbeitung besonderer Kategorien personenbezogener Daten)
• Art. 12–22 DS-GVO (Rechte der betroffenen Personen)
• Art. 44–49 DS-GVO (Übermittlung personenbezogener Daten an einen Empfänger in einem Drittland oder eine internationale Organisation)
• Pflichten gemäß den Rechtsvorschriften der Mitgliedstaaten, die im Rahmen des Kapitels IX (Vorschriften für besondere Verarbeitungssituationen; u. a. Datenverarbeitung im Beschäftigungskontext) erlassen wurden
• Nichtbefolgung einer Anweisung oder einer vorübergehenden oder endgültigen Beschränkung oder Aussetzung der Datenübermittlung durch die Aufsichtsbehörde gemäß Art. 58 Abs. 2 DS-GVO oder Nichtgewährung des Zugangs unter Verstoß gegen Art. 58 Abs. 1 DS-GVO

Bußgeldverfahren

Bevor ein Bußgeld verhängt wird, führt die Bußgeldstelle der zuständigen Aufsichtsbehörde zunächst umfangreiche Ermittlungen zur Feststellung des vollständigen Sachverhalts durch. Hier werden unter anderem auch der Verantwortliche, zuständige Mitarbeiter und ggf. weitere beteiligte Personen befragt und relevante Prozesse/Dokumentationen im Unternehmen geprüft. Eingeleitet werden können Bußgeldverfahren, wenn der Behörde ein ahndungswürdiger Sachverhalt bekannt wird, beispielsweise infolge von eigenen proaktiven Kontrollen, Beschwerden von betroffenen Personen, Meldung eines Datenschutzverstoßes durch den Verantwortlichen oder auch Mitteilungen in der Presse.

Datenminimierung

Die Datenminimierung gehört zu den zentralen Grundsätzen der DS-GVO. Nach dem Grundsatz der Datenminimierung werden Unternehmen verpflichtet, nur diejenigen personenbezogenen Daten zu verarbeiten, die zur Erreichung des Verarbeitungszwecks notwendig sind. Datenminimierung bedeutet damit, dass Unternehmen jedes einzelne Datum, dass sie erheben und verarbeiten wollen, auf einen bestimmten festgelegten Zweck zurückführen müssen und das Datum zur Erreichung dieses Zwecks unbedingt benötigen. Andernfalls dürfen Unternehmen das personenbezogene Datum nicht verarbeiten. Damit führt der Grundsatz der Datenminimierung dazu, dass Unternehmen so viele Daten wie nötig aber so wenige wie möglich erheben und verarbeiten dürfen.

Prüfung der Datenminimierung im Verzeichnis der Verarbeitungstätigkeiten

Um sicherzustellen, dass der Grundsatz der Datenminimierung eingehalten wird, müssen Unternehmen im Verzeichnis der Verarbeitungstätigkeiten jedes Verfahren erfassen, bei dem personenbezogene Daten in irgendeiner Form verarbeitet werden. Bei jedem Verfahren ist exakt anzugeben, welche Arten von personenbezogenen Daten verarbeitet werden und welcher Zweck mit der Verarbeitung verfolgt wird. Aus der Definition des Zwecks ergibt sich, welche Daten unter Einhaltung des Grundsatzes der Datenminimierung verarbeitet werden dürfen und wie die Prozesse zur Datenverarbeitung zu gestalten sind. Anhand des Verzeichnisses der Verarbeitungstätigkeiten kann damit geprüft werden, ob das Unternehmen seine Daten im Einklang mit dem Postulat der Datenminimierung verarbeitet.

Datenminimierung bei freiwilligen Angaben

Geben betroffene Personen ihre Daten freiwillig preis, ist der Spielraum bedeutend größer und die Daten dürfen verarbeitet werden, solange eine Verbindung zum Zweck der Datenverarbeitung besteht. Aus diesem Grund dürfen Kontaktformulare im Internet nur sehr wenige Pflichtangaben (Name, E-Mail, Nachricht) enthalten aber viele Angaben (Adresse, Telefonnummer) optional abfragen. Der Grundsatz der Datenminimierung ist jedoch nur gewahrt, wenn der User leicht erkennt, welche Angaben er machen muss und welche Angaben er machen kann.

Lassen Sie sich von einem Datenschutzexperten beraten!

Sie sind sich nicht sicher, ob in Ihrem Unternehmen der Grundsatz der Datenminimierung gewahrt ist? Oder benötigen Sie Unterstützung bei der Erstellung und Analyse des Verzeichnisses der Verarbeitungstätigkeiten? Wir beraten und unterstützen Sie gerne – kontaktieren Sie unsere Mitarbeiter Frau Heil oder Frau Krämer telefonisch (0911 / 148986-50) oder per E-Mail (office@ascon-datenschutz.de) oder nutzen Sie unser Kontaktformular! 

Datenschutzbeauftragter

Ein Datenschutzbeauftragter (DSB) ist Fachmann und Berater in allen Fragen des Datenschutzes. Seine Aufgabe ist es, dafür Sorge zu tragen, dass die datenschutzrechtlichen Vorschriften zur Verarbeitung personenbezogener Daten eingehalten werden. Ein Datenschutzbeauftragter informiert, berät und unterstützt die Geschäftsführung bei der Umsetzung des Datenschutzrechts in ihrem Unternehmen.

Wichtig ist dabei, dass der Datenschutzbeauftragte über keinerlei Weisungsbefugnis verfügt, sondern der Geschäftsführung lediglich beratend zur Seite steht, sie über Pflichten und Risiken aufklärt sowie Vorschläge zur Beseitigung von Missständen unterbreitet. Die Verantwortung und Entscheidung, ob Empfehlungen umgesetzt werden oder nicht, liegt allein bei der Geschäftsführung und kann auch nicht delegiert werden. Ausschließlich die Geschäftsführung trifft die Pflicht, die Anforderungen der DS-GVO und anderer Datenschutzvorschriften zu erfüllen. Unterstützt wird sie dabei vom Datenschutzbeauftragten.

Vielfältige Aufgaben des Datenschutzbeauftragten

Um seiner Position gerecht zu werden, muss ein Datenschutzbeauftragter ein breites Spektrum an Aufgaben erfüllen. Er hat

• die Datenschutzsituation im Unternehmen aktiv zu prüfen und zu überwachen.
• die Geschäftsführung über ihre Pflichten aufzuklären.
• notwendige Handlungsbedarfe aufzuzeigen und entsprechende Vorschläge für erforderliche Maßnahmen zu unterbreiten.
• die Geschäftsführung bei ihren datenschutzrechtlichen Aufgaben wie der Erstellung des Verfahrensverzeichnisses, der Prüfung von Auftragsverarbeitungsvereinbarungen (AVV) oder der Durchführung einer Datenschutzfolgenabschätzung beratend zu unterstützen.
• Mitarbeiter datenschutzrechtlich zu schulen und zu sensibilisieren.
• mit der Aufsichtsbehörde zusammenzuarbeiten.
• als direkte Anlaufstelle für betroffene Personen zur Verfügung zu stehen.
• alle erlangten Kenntnisse vertraulich zu behandeln und muss seiner Verschwiegenheitspflicht auch gegenüber Betroffenen nachkommen.

Rechte eines Datenschutzbeauftragten

Damit gewährleistet ist, dass ein Datenschutzbeauftragter diesen Pflichten nachkommen kann, stehen ihm ebenfalls einige Rechte zu. Der Datenschutzbeauftragte ist zwar der Geschäftsführung direkt unterstellt, muss seine Funktion allerdings weisungsfrei erfüllen können, unabhängig davon, ob es sich um einen Mitarbeiter (interner Datenschutzbeauftragter) oder einen externen Dienstleister (externer Datenschutzbeauftragter) handelt. Zudem hat ein Datenschutzbeauftragter gegenüber der Geschäftsführung ein unmittelbares Vortragsrecht, das nicht eingeschränkt werden kann. Um seine Aufgaben erfüllen zu können, muss der Datenschutzbeauftragte verpflichtend frühzeitig in alle Prozesse und Fragen eingebunden werden, bei denen personenbezogene Daten verarbeitet werden, und ihm müssen alle notwendigen Informationen zur Verfügung stehen. Außerdem muss vor allem ein interner Datenschutzbeauftragter auf Verlangen mit Hilfspersonal, Räumen, Einrichtungen und Arbeitsmitteln unterstützt werden. Er ist im Bereich des Datenschutzes regelmäßig weiterzubilden, um sicherzustellen, dass er stets auf dem aktuellen Stand ist und seinen Pflichten ordnungsgemäß nachkommen kann.

Datenschutzbeauftragter – wann muss er bestellt werden?

Die gesetzliche Pflicht, einen Datenschutzbeauftragten zu bestellen, besteht für Unternehmen in drei Fällen. Zum einen ist gemäß Art. 38 Abs. 1 BDSG ein Datenschutzbeauftragter zu bestellen, wenn mehr als zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind, das heißt, Zugriff auf diese haben. Nach Art. 37 Abs. 1 lit. b) DS-GVO ist zudem ein Datenschutzbeauftragter zu bestellen, wenn die Kerntätigkeit des Unternehmens eine umfangreiche regelmäßige und systematische Überwachung erfordert, das heißt, eindeutig jede Form der Verfolgung und Profilerstreckung im Internet (Erwägungsgrund 24 der DS-GVO). Allerdings beschränkt sich der Begriff nicht auf die Überwachung der Online-Umgebung. Laut der Europäischen Kommission können auch andere Tätigkeiten wie der Betrieb von Telekommunikationsnetzen, das Anbieten von Telekommunikationsleistungen, verfolgende E-Mail-Werbung, Treueprogramme, verhaltensbasierte Werbung und Überwachungskameras oder vernetzte Geräte eine regelmäßige und systematische Überwachung darstellen. Zum Dritten ist ein Datenschutzbeauftragter zu bestellen, wenn besondere Kategorien von personenbezogenen Daten gemäß Art. 9 DS-GVO oder personenbezogene Daten über strafrechtliche Verurteilungen und Straftaten gemäß Art. 10 DS-GVO verarbeitet werden.

Lassen Sie sich von einem Datenschutzexperten unterstützen!

Suchen Sie einen externen Datenschutzbeauftragten, braucht Ihr interner Datenschutzbeauftragter Unterstützung bei der Erfüllung seiner Pflichten oder sind Sie unsicher, ob Sie einen Datenschutzbeauftragen brauchen? Wir beraten und unterstützen Sie gerne – kontaktieren Sie unsere Mitarbeiterinnen Frau Heil oder Frau Krämer telefonisch (0911 / 148986-50) oder per E-Mail (office@ascon-datenschutz.de) oder nutzen Sie unser Kontaktformular!

Datenschutzkonferenz

Die Datenschutzkonferenz (DSK) ist ein Gremium, das sich aus den unabhängigen Datenschutzbehörden des Bundes und der Länder zusammensetzt. Die Datenschutzkonferenz wird in ihrer Arbeit durch eine Reihe von Arbeitskreisen unterstützt, die sich jeweils mit einem anderen Themengebiet befassen, beispielsweise mit Videoüberwachung, Technik, Justiz und Beschäftigtendatenschutz. Die Arbeitskreise stehen jeweils unter dem Vorsitz einer der Landesbehörden für Datenschutz.

Aufgaben der Datenschutzkonferenz

Aufgabe der Datenschutzkonferenz ist es zum einen, die Datenschutzgrundrechte zu wahren und sie zu schützen. Zum anderen soll dieses Gremium aus den einzelnen Datenschutzbehörden des Bundes und der Länder erreichen, dass europäisches und nationales Datenschutzrecht einheitlich angewendet wird. Die einzelnen Datenschutzbehörden treten damit als Datenschutzkonferenz gemeinsam für die Fortentwicklung des Datenschutzrechts ein.

Werkzeuge der Datenschutzkonferenz

Zur Erfüllung ihrer Aufgaben verfügt die Datenschutzkonferenz über verschiedene Werkzeuge. Hierzu gehören z. B. Empfehlungen und Stellungnahmen. Sie sind das Ergebnis der halbjährig abgehaltenen Sitzungen und werden unter allen deutschen Datenschutzbehörden abgestimmt sowie in Entschließungen zusammengefasst. Zudem kann die Datenschutzkonferenz Beschlüsse erlassen, die teilweise Bezug auf Gerichtsurteile nehmen. Abgestimmte einheitliche Sichtweisen zu verschiedenen Kernthemen der DS-GVO veröffentlicht die Datenschutzkonferenz in Form von Kurzpapieren und Orientierungshilfen. Weitere Werkzeuge der Datenschutzkonferenz sind Standardisierungen, Pressemitteilungen und Festlegungen.

Der Datenschutzkoordinator ist das Bindeglied zwischen der Geschäftsführung und dem Datenschutzbeauftragten. Er ist für die Datenschutzarbeit im Alltag zuständig und übernimmt bürokratische Aufgaben sowie die Dokumentation aller datenschutzrelevanter Themen. Mit seiner Arbeit unterstützt der Datenschutzkoordinator den Verantwortlichen und den Datenschutzbeauftragten bei der Erfüllung ihrer datenschutzrechtlichen Pflichten und Aufgaben.

Notwendigkeit eines Datenschutzkoordinators

Der Begriff „Datenschutzkoordinator“ ist nicht in Datenschutzgesetzen zu finden. Dennoch ist er besonders in mittelständischen und großen Unternehmen notwendig. Durch die in der DS-GVO neu implementierte Rechenschaftspflicht ist der Datenschutz im Unternehmen mit viel Dokumentation und Bürokratie verbunden. Das Zusammentragen relevanter Informationen, gute Organisation und eine lückenlose Dokumentation sind unerlässlich und kaum von nur einer Person zu bewältigen. Insbesondere einem externen Datenbeauftragten fehlt in der Regel der Zugang zu den Mitarbeitern und die Kenntnis betriebsinterner Strukturen (abgesehen davon, dass der Datenschutzbeauftragte für die Umsetzung des Datenschutzes gar nicht zuständig ist). Die Geschäftsführung selbst wiederum hat in der Regel zu viele andere Themen auf dem Tisch, um sich bis ins letzte Detail um den Datenschutz kümmern zu können. Deshalb ist der Datenschutzkoordinator als interne Schnittstelle bei einem externen Datenschutzbeauftragten unerlässlich und aufgrund des großen Zeit- und Arbeitsaufwands für die Erfüllung der Datenschutzpflichten und für die Datenschutzarbeit auch bei einem internen Datenschutzbeauftragten sinnvoll.

Aufgaben des Datenschutzkoordinators

• Die Aufgaben des Datenschutzkoordinators können bei jedem Unternehmen variieren, je nachdem, wie viel und an welchen Stellen der Verantwortliche und der Datenschutzbeauftragte Unterstützung benötigen. Der Datenschutzkoordinator übernimmt dabei die alltäglichen Datenschutzaufgaben:
• Er stellt die datenschutztechnische interne Schnittstelle im Unternehmen dar.
• Er ist die erste Anlaufstelle für den externen Datenschutzbeauftragten.
• Er übernimmt einen Großteil der Kommunikation.
• Er ist direkter Ansprechpartner für Mitarbeiter bei Unsicherheiten, ob der Datenschutzbeauftragte einzubinden ist.
• Er trägt erforderliche Informationen für den Datenschutzbeauftragten zusammen.
• Er sorgt für die lückenlose Dokumentation datenschutzrechtlicher Themen.
• Er erstellt und pflegt gemeinsam mit der Geschäftsführung und dem Datenschutzbeauftragten das Verzeichnis der Verarbeitungstätigkeiten.
• Er pflegt gemeinsam mit der Geschäftsführung und dem Datenschutzbeauftragten das Datenschutzmanagementsystem.
• Er kümmert sich um die Umsetzung der beschlossenen Maßnahmen.

Drittländer im Sinne der DS-GVO sind kurz gesagt alle Staaten außerhalb der Europäischen Union (EU) beziehungsweise des Europäischen Wirtschaftsraums (EWR). Da in diesen Ländern europäische Verordnungen nicht gelten, werden an die Datenübermittlung hohe Anforderungen gestellt, um die Sicherheit personenbezogener Daten auch außerhalb des Geltungsbereichs der DS-GVO auf einem gleichwertigen Niveau zu gewährleisten.

Begriffsbestimmung

Als Drittland oder auch Drittstaat werden im Allgemeinen Länder bezeichnet, die nicht Vertragspartei eines völkerrechtlichen Vertrags sind. Bezogen auf die Europäische Union gelten dementsprechend alle Staaten als Drittland, die kein Mitglied der EU sind. Drittländer im Sinne der DS-GVO sind deshalb grundsätzlich alle Länder außerhalb der EU, in denen die europäische Verordnung nicht unmittelbar gilt. Da die Anwendung der DS-GVO mit Beschluss des Gemeinsamen EWR-Ausschusses für die EWR-Staaten ebenfalls verbindlich ist, zählen diese Länder nicht mehr als Drittländer im Sinne der DS-GVO.
Typische Beispiele von Drittländern sind die Vereinigten Staaten von Amerika, die Schweiz, Japan oder China. Insbesondere in die USA werden häufig personenbezogene Daten aus der EU übermittelt, da dort viele Internet-Riesen wie Google und Facebook sowie große Anbieter von Cloud-Diensten oder Softwareprodukten ihren Hauptsitz haben.

Datenschutzrechtliche Anforderungen an Datenübermittlungen in Drittländer

Werden personenbezogene Daten aus der EU/dem EWR an ein Drittland im Sinne der DS-GVO übermittelt, stellt das Datenschutzrecht hohe Anforderungen an die Zulässigkeit dieser Übermittlung. Diese sind in den Art. 44 – 50 DS-GVO geregelt. Es soll sichergestellt werden, dass das durch die DS-GVO gewährleistete Schutzniveau für natürliche Personen nicht untergraben wird (Art. 44 S. 2 DS-GVO).

Für die Kontrolle der Zulässigkeit einer Datenübermittlung in ein Drittland ist eine zweistufige Prüfung erforderlich:

1. Stufe: Werden unabhängig von den spezifischen Anforderungen der Art. 45 ff. DS-GVO alle übrigen Anforderungen der DS-GVO an die betreffende Datenverarbeitung eingehalten?
2. Stufe: Werden die spezifischen Anforderungen an die Übermittlung in Drittländer (Art. 45 ff. DS-GVO) beachtet?
Diese Zwei-Stufen-Prüfung ist auch dann erforderlich, wenn personenbezogene Daten aus einem Drittland in ein anderes Drittland weiterübermittelt werden (Art. 44 S. 1 2. HS DS-GVO).

Möglichkeiten für die Datenübermittlung in ein Drittland

Für die Datenübermittlung in Drittländer durch Unternehmen sieht die DS-GVO drei verschiedene Möglichkeiten vor (2. Stufe):

Möglichkeit 1: Feststellung der Angemessenheit des Datenschutzniveaus im Drittland durch die EU-Kommission (Art. 45 DS-GVO)
Die EU-Kommission hat die Möglichkeit, die Angemessenheit des Datenschutzniveaus in einem Drittland zu prüfen und festzustellen (sog. Angemessenheitsbeschluss). Dieser wird erlassen, wenn in dem Drittland beispielsweise auf Grundlage seiner innerstaatlichen Rechtsvorschriften ein Schutzniveau existiert, welches dem in der DS-GVO Gewährten gleichwertig ist. Liegt ein Angemessenheitsbeschluss für das betreffende Drittland vor, ist eine Datenübermittlung zulässig, ohne dass weitere Regelungen/Vereinbarung getroffen werden müssen.

Möglichkeit 2: Vorliegen geeigneter Garantien (Art. 46 DS-GVO)
Liegt kein Angemessenheitsbeschluss vor, ist eine Datenübermittlung außerdem zulässig, wenn geeignete Garantien zur Gewährleistung eines angemessenen Schutzniveaus vorgesehen sind. Hierfür kommen vier Garantien in Betracht:

1. Binding Corporate Rules (BCR) (Art. 46 Abs. 2 lit. b), Art. 47 DS-GVO)
   Insbesondere bei international tätigen Konzernen werden häufig verbindliche interne Datenschutzvorschriften für die Datenübermittlung (auch) in Drittländer angewendet. Das Unternehmen muss für alle Mitglieder der Unternehmensgruppe verbindliche Regelungen für den Umgang personenbezogener Daten festlegen, die ein dem der DS-GVO gleichwertiges Schutzniveau gewährleisten und Betroffenen durchsetzbare Rechte gewähren. Die Datenübermittlung ist zulässig, sobald die zuständige Aufsichtsbehörde die BRC genehmigt hat, die einzelnen Datenübermittlungen müssen dann nicht gesondert genehmigt werden.
2. Standardvertragsklauseln der Kommission oder einer Aufsichtsbehörde (Art. 45 Abs. 2 lit. c), d) DS-GVO)
   Schließen der Übermittelnde und der Empfänger im Drittland einen Vertrag unter Verwendung der Standarddatenschutzklauseln der EU-Kommission, ist der darauf basierende Datentransfer zulässig, ohne dass eine weitere Genehmigung durch die Aufsichtsbehörde erforderlich ist. Das gleiche gilt für eigene Standarddatenschutzklauseln der Aufsichtsbehörden, die von der Kommission förmlich genehmigt wurden. Die bereits bestehenden EU-Standardvertragsklauseln gelten ausdrücklich fort (Art. 46 Abs. 5 S. 2 DS-GVO) und darauf basierende Datenübermittlungen sind genehmigungsfrei, sofern sie in unveränderter Form verwendet werden.
3. Genehmigte Verhaltensregeln und genehmigter Zertifizierungsmechanismus (Art. 43 Abs. 2 lit. e), f) DS-GVO)
   Branchenspezifischen Verhaltensregeln (Art. 40 DS-GVO) oder Zertifizierungen (Art. 42 DS-GVO) können Datenübermittlungen in Drittländer legitimieren, wenn diese rechtsverbindlichen und durchsetzbaren Verpflichtungen des Verantwortlichen oder des Auftragsverarbeiters enthalten. Die Verhaltensregeln bzw. die Zertifizierungsmechanismen müssen von der Aufsichtsbehörde genehmigt worden sein.
4. Einzeln ausgehandelte Vertragsklauseln (Art. 46 Abs. 3 DS-GVO)
   Neben allgemein gültigen vertraglichen Regelungen können auch einzeln ausgehandelte individuelle Vertragsklauseln eine Datenübermittlung in ein Drittland zulässig machen. Die Vertragsklauseln müssen ebenfalls von der Aufsichtsbehörde genehmigt werden.

Unabhängig davon, welche dieser Möglichkeiten angewendet werden soll, muss sichergestellt werden, dass den Betroffenen Ihre Rechte durchsetzen können und ihnen wirksame Rechtsbehelfe zur Verfügung stehen.

Möglichkeit 3: Ausnahmen für bestimmte Fälle (Art. 49 DS-GVO)

Liegt weder ein Angemessenheitsbeschluss noch eine geeignete Garantie vor, kann eine Datenübermittlung in Drittländer außerdem zulässig sein, wenn einer der vom Gesetz explizit genannten und abschließenden Fälle zutrifft. Die DS-GVO sieht folgende, eng auszulegende, Ausnahmetatbestände vor:

Einwilligung (Art. 49 Abs. 1 UAbs. 1 lit. a) DS-GVO)

Eine Datenübermittlung ist zulässig, wenn der Betroffene ausdrücklich in die Weitergabe für den expliziten Fall eingewilligt hat. Die Einwilligung ist nur wirksam, wenn der Betroffene ausdrücklich über mögliche Risiken der Übermittlung, insbesondere auf das im Drittland bestehende Datenschutzniveau und die Durchsetzbarkeit seiner Rechte, hingewiesen und über sein Widerrufsrecht aufgeklärt wurde (Art. 7 Abs. 3 DS-GVO).

Erforderlichkeit zur Vertragserfüllung (Art. 49 Abs. 1 UAbs. 1 lit. b), c) DS-GVO)

Ist genau die betreffende Datenübermittlung zwingend zur Erfüllung eines Vertrags mit der betroffenen Person oder zum Abschluss oder zur Erfüllung eines Vertrages im Interesse der betroffenen Person erforderlich, ist die Datenübermittlung ebenfalls zulässig.

Verfolgung von Rechtsansprüchen (Art. 49 Abs. 1 UAbs. 1 lit. e) DS-GVO)

Ist die Datenübermittlung zur Verfolgung von Rechtsansprüchen oder zur Geltendmachung von Rechtsansprüchen in außergerichtlichen Verfahren erforderlich, ist diese ebenfalls zulässig.

Wahrung zwingender berechtigter Interessen (Art. 49 Abs. 1 UAbs. 2 S. 1) DS-GVO)

In bestimmten Einzelfällen kann eine Datenübermittlung in ein Drittland zulässig sein, wenn

• der Verantwortlichen an der Übermittlung ein zwingendes berechtigtes Interesse hat, dem eine herausgehobene und besondere Bedeutung zukommt,
• die Übermittlung zur Verfolgung dieses Interesses zwingend erforderlich ist,
• die Übermittlung nicht wiederholt erfolgt,
• die Zahl an Betroffenen gering ist und
• keine überwiegenden schutzwürdigen Interessen oder Rechte und Freiheiten der betroffenen Person entgegenstehen.

Zudem muss der Schutz personenbezogener Daten durch geeignete Garantien gewährleistet sein und die Übermittlung darf sich nicht bereits auf einen der oben genannten Erlaubnistatbestände stützen lassen. Darüber hinaus bestehen besondere Informationspflichten gegenüber der Aufsichtsbehörde sowie gegenüber der betroffenen Person (Art. 49 Abs. 1 UAbs. 2 S. 2 und 3).

Die weiteren Erlaubnistatbestände, Schutz lebenswichtiger Interessen (Art. 49 Abs. 1 UAbs. 1 lit. f) DS-GVO) und wichtige Gründe des öffentlichen Interesses (Art. 49 Abs. 1 UAbs. 1 lit. d) DS-GVO), sind im Betriebsalltag für privatwirtschaftliche Unternehmen eher irrelevant.

Einwilligung

Die DS-GVO schreibt vor, dass zunächst einmal jede Verarbeitung personenbezogener Daten unzulässig ist, es sein denn, es liegt eine Rechtsgrundlage nach Art. 6 DS-GVO bzw. Art. 9 DS-GVO vor (sog. Erlaubnisvorbehalt). Einer dieser Erlaubnistatbestände ist die informierte Einwilligung nach Art. 6 Abs. 1 S. 1 lit. a) i. V. m. Art. 7, 8 DS-GVO.

Genaue Prüfung der einschlägigen Rechtsgrundlage erforderlich

Grundsätzlich ist fast jede Datenverarbeitung erlaubt, wenn die von ihr betroffene Person Ihnen eine entsprechende Einwilligung gegeben hat. Mit dem Einverständnis der betroffenen Person ist damit so ziemlich jeder Verarbeitungsvorgang möglich. Das heißt aber nicht, dass für jede Verarbeitung auch eine Einwilligung erforderlich ist. Es muss genau geprüft werden, welche der Rechtsgrundlagen des Art. 6 DS-GVO einschlägig ist. Zum Wesen der Einwilligung gehört ihre Freiwilligkeit. Freiwillig bedeutet, dass die betroffene Person nicht verpflichtet ist, Ihnen ihre Zustimmung zur Datenverarbeitung zu geben, und – falls die Einwilligung erteilt wurde – die Zustimmung jederzeit widerrufen kann. Wird die Einwilligung nicht erteilt oder wird sie widerrufen, ist die Verarbeitung der personenbezogenen Daten nicht (mehr) zulässig. Die Einwilligung kommt daher als Rechtsgrundlage für die Erhebung, Speicherung und Verwendung personenbezogener Daten nur dann in Betracht, wenn Sie im Zweifel auf die Verarbeitungstätigkeit auch verzichten können.

Basiert der Vorgang in der Realität auf einem anderen Erlaubnistatbestand und es wird dennoch eine Einwilligung eingeholt, ist die Verarbeitung ebenfalls unzulässig. Eine falsche Einordnung kann unter Umständen dazu führen, dass gegen den Verantwortlichen ein Bußgeld verhängt wird, wenn er eine detaillierte Prüfung der übrigen Rechtsgrundlagen nicht nachweisen kann. Beispielsweise handelt es sich bei der Behandlung von Patienten oder der Abwicklung von Bestellungen um Handlungen zur Erfüllung des Vertrags, also um eine vertragliche Maßnahme nach Art. 6 Abs. 1 S. 1 lit. b) DS-GVO. Nicht zwingend erforderlich für die Vertragserfüllung ist hingegen die häufig angebotene Sendungsnachverfolgung. Hierbei handelt es sich meist um einen freiwilligen Zusatzservice, sodass für die Weitergabe der E-Mail-Adresse an den Versanddienstleister eine Einwilligung nötig ist.

Anforderungen an eine wirksame Einwilligung

Um eine wirksame Einwilligung einzuholen, müssen die speziellen Anforderungen der Art. 7, 8 DS-GVO sowie die zugehörigen Erwägungsgründe beachtet werden. Folgende Punkte müssen gewährleistet sein:

• Die Einwilligung ist zeitlich vor Beginn der Datenverarbeitung einzuholen.
• Die Einwilligung muss freiwillig erfolgen, das heißt, Betroffenen dürfen durch Verweigerung/Widerruf keine Nachteile entstehen.
• Die Einwilligung muss informiert erfolgen, das heißt, sie muss insbesondere Angaben über die konkrete Verarbeitung, deren Zweck und den Verantwortlichen enthalten sowie die Freiwilligkeit und das Widerrufsrecht herausstellen.
• Die Einwilligung muss klar und verständlich formuliert sein, das heißt, auf komplizierte Formulierungen und Fachsprache sollte verzichtet werden.
• Es muss die Möglichkeit bestehen, die Einwilligung jederzeit zu widerrufen, und der Betroffene muss im Voraus auf sein Widerrufsrecht hingewiesen werden.
• Es muss nachweisbar sein, dass eine Einwilligung unter den genannten Voraussetzungen eingeholt wurde, das heißt, ihr Bestehen muss beweisbar und dokumentiert sein.

Ein Formerfordernis gibt es bei der Einwilligung grundsätzlich nicht, das heißt, die Einwilligung kann schriftlich, elektronisch oder konkludent, also durch eine schlüssige Handlung erfolgen. Einzige Ausnahme ist die Einwilligung von Mitarbeitern, hier schreibt § 26 Abs. 2 S. 3 BDSG die Schriftform oder wahlweise die elektronische Form vor.

Widerrufsrecht der Betroffenen

Unabhängig von der Form der Einwilligung steht dem Betroffenen nach Art. 7 Abs. 3 S. 1 DS-GVO ein Widerrufsrecht zu. Er kann seine Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen, das heißt, die Rechtmäßigkeit der Verarbeitung vor dem Widerruf bleibt unberührt (Art. 7 Abs. 3 S. 2 DS-GVO).
Hat der Betroffene seine Einwilligung widerrufen, dürfen die betreffenden personenbezogenen Daten nicht mehr verarbeitet werden. In der Praxis hat das zur Folge, dass die Umsetzung des Widerrufs auch möglich sein muss, das heißt, die Verarbeitung abgebrochen werden kann. Werden beispielsweise Bilder von Mitarbeitern auf Homepages auf Basis einer Einwilligung veröffentlicht, müssen die Bilder bei Widerruf von der Seite entfernt werden. Bei Flyern gestaltet sich das Ganze allerdings etwas komplizierter, verteiltes Werbematerial kann nicht oder nur mit einem extrem hohen Aufwand wieder eingesammelt werden. In solchen Fällen müssen die Rechte des Betroffenen gegen die Interessen des Unternehmens, also der Aufwand und die Kosten eines neuen Drucks, abgewogen werden. Es herrscht überwiegend die Meinung, dass in solchen Fällen die Flyer nicht eingesammelt werden müssen, sondern erst bei einem neuen Druck das Bild des Betroffenen entfernt werden muss.

Um auf der sicheren Seite zu sein, sollte bei solchen Verarbeitungen, bei der die Umsetzung des Widerrufs kaum möglich ist, ein gesonderter Vertrag mit den Betroffenen geschlossen werden, ggfs. gegen eine Vergütung. Dann kann die Verarbeitung nämlich als vertragliche Maßnahme auf Art. 6 Abs. 1 S. 1 lit. b) DS-GVO gestützt werden.

Lassen Sie sich von einem Datenschutzexperten unterstützen!

Brauchen Sie Unterstützung bei der Gestaltung von Einwilligungen oder sind Sie sich nicht sicher, ob Ihre bereits eingeholten Einwilligungen auch wirksam sind? Wir beraten und unterstützen Sie gerne – kontaktieren Sie unsere Mitarbeiterinnen Frau Heil oder Frau Krämer telefonisch (0911 / 148986-50) oder per E-Mail (office@ascon-datenschutz.de) oder nutzen Sie unser Kontaktformular!

Europäischer Datenschutzausschuss

Der Europäische Datenschutzausschuss (EDSA) ist das Nachfolgegremium der Artikel-29-Datenschutzgruppe. Das Gremium hat eine eigene Rechtspersönlichkeit und kann rechtsverbindliche Entscheidungen treffen. Der Europäische Datenschutzausschuss setzt sich aus den nationalen Datenschutzbehörden und dem Europäischen Datenschutzbeauftragten (EDSB) zusammen. Der Europäische Datenschutzausschuss ist unabhängig und weisungsfrei.

Hauptaufgabe des Europäischen Datenschutzausschusses

Die Hauptaufgabe des Europäischen Datenschutzausschusses besteht darin, die einheitliche Anwendung des Datenschutzrechts in der Europäischen Union sicherzustellen. Hierzu kann der Europäische Datenschutzausschuss allgemeine Richtlinien herausgeben, die mehr Rechtsklarheit schaffen sollen, indem sie einheitliche Auslegungen zur Begrifflichkeit der Datenschutzgesetze vorgeben. Der Europäische Datenschutzausschuss veröffentlicht darüber hinaus auch weitere allgemeine Anleitungen wie Empfehlungen und bewährte Verfahren, die ebenfalls für mehr Rechtsklarheit sorgen sollen.

Weitere Aufgaben des Europäischen Datenschutzausschusses

Der Aufgabenbereich des Europäischen Datenschutzausschusses geht allerdings über die Veröffentlichung von Richtlinien hinaus. Der Europäische Datenschutzausschuss kann nämlich auch durch verbindliche Beschlüsse Rechtsstreitigkeiten beilegen. Zudem fördert der Europäische Datenschutzausschuss die Zusammenarbeit zwischen den nationalen Aufsichtsbehörden und nimmt zu deren Maßnahmen Stellung. In allen Fragen des Datenschutzes inklusive zugehöriger Gesetzesvorschläge berät der Europäische Datenschutzausschuss die Europäische Kommission.

Die DS-GVO hat die Position Betroffener gestärkt und ihnen eine Reihe von verschiedenen Rechten eingeräumt. Eines davon ist der Löschanspruch, der besagt, dass betroffene Personen verlangen dürfen, dass ihre personenbezogenen Daten gelöscht werden. Machen sie dieses Recht gegenüber dem Verantwortlichen geltend, spricht man von einem Löschersuchen.

Form und Voraussetzungen des Löschanspruchs

Formelle Anforderungen an Löschersuchen selbst gibt es nicht. Allerdings muss für das Bestehen eines Löschanspruchs ein Löschgrund vorliegen und es darf keine Ausnahmeregelung greifen. Machen betroffene Personen ihren Löschanspruch geltend, führt dies deshalb nicht automatisch zu einer Löschpflicht. Vielmehr sind Unternehmen verpflichtet, das Bestehen des Löschanspruchs zu prüfen und abhängig vom Ergebnis dieser Prüfung der betroffenen Person zu antworten. Beim aktiv geltend gemachten Löschanspruch müssen Unternehmen deshalb einerseits den Anspruchsteller eindeutig identifizieren und andererseits das Vorliegen eines Löschgrunds prüfen.
Löschgründe gem. Art. 17 Abs. 1 lit. a–f DS-GVO sind:

1. Zweckwegfall
2. Widerruf der Einwilligung und keine andere Rechtsgrundlage
3. Widerspruch nach Art 21 DS-GVO und kein überwiegendes berechtigtes Interesse
4. unrechtmäßige Datenverarbeitung
5. Löschung zur Erfüllung einer rechtlichen Pflicht notwendig
6. Sonderfall: Dienste von Informationsgesellschaften

Liegt einer dieser Gründe vor, müssen Verantwortliche die Daten des Betroffenen fristgerecht löschen, es sein denn, es greift eine der folgenden Ausnahmen des Art. 17 Abs. 3 lit. a–e DS-GVO:

1. Ausübung des Rechts zur freien Meinungsäußerung
2. Daten zur Erfüllung einer gesetzl. Pflicht oder Wahrnehmung einer Aufgabe im öffentlichen Interesse erforderlich
3. Sonderfall: Gesundheitsdaten im öffentlichen Interesse
4. Sonderfall: Archiv- und Forschungszwecke
5. Geltendmachung von Rechten oder Abwehr von Ansprüchen

Die im Arbeitsalltag wohl am häufigsten zutreffende Ausnahme ist die Erfüllung einer gesetzlichen Pflicht. Hierzu zählen nämlich auch gesetzliche Aufbewahrungspflichten (z. B. aus dem Handelsrecht und dem Arbeitsrecht).

Greift eine der genannten Ausnahmen, besteht kein Löschanspruch. Dem Betroffenen gegenüber muss als Antwort auf sein Löschersuchen allerdings mitgeteilt werden, warum zurzeit kein Löschanspruch besteht, und ggf., wann seine Daten gelöscht werden.

Bearbeitung von Löschersuchen

Wie auch bei den übrigen Betroffenenrechten werden an die Bearbeitung von Löschansprüchen strenge Vorgaben gestellt. Generell gilt, dass Unternehmen nur einen Monat Zeit haben, um auf Betroffenenanfragen zu reagieren und die geltend gemachten Betroffenenrechte zu erfüllen. Hierzu gehört auch die Identifikation der jeweiligen Person und die Prüfung, ob das geltend gemachte Recht überhaupt besteht. In diesem Fall heißt das, es muss geprüft werden, ob ein Löschgrund vorliegt und ob eine der Ausnahmen greift. Zudem muss die Bearbeitung ordnungsgemäß dokumentiert werden, um der Rechenschaftspflicht nachzukommen und etwaige Nachfragen seitens des Betroffenen oder der Aufsichtsbehörde beantworten zu können.
Daneben müssen Unternehmen aber auch sicherstellen, dass in ihren Prozessen grundsätzlich Löschfristen definiert und entsprechende Löschprozesse implementiert sind. Die DS-GVO verpflichtet Unternehmen nämlich nicht nur im Rahmen von aktiv geltend gemachten Löschersuchen zur Löschung personenbezogener Daten, sondern sie verbietet ihnen auch grundsätzlich, personenbezogene Daten länger als notwendig zu speichern. Personenbezogene Daten müssen deshalb auch dann gelöscht werden, wenn die betroffene Person dies nicht ausdrücklich verlangt.

Brauchen Sie Unterstützung bei der datenschutzkonformen Bearbeitung von Löschersuchen oder der Implementierung eines Prozesses zur Bearbeitung und Dokumentation der geltend gemachten Löschansprüche? Wir beraten und unterstützen Sie gerne – kontaktieren Sie unsere Mitarbeiterinnen Frau Heil oder Frau Krämer telefonisch (0911 / 148986-50) oder per E-Mail (office@ascon-datenschutz.de) oder nutzen Sie unser Kontaktformular!

Meldepflicht Datenpanne

Kommt es zu einer Datenpanne, das heißt, wird die Sicherheit personenbezogener Daten verletzt, ist der Verantwortliche gesetzlich dazu verpflichtet, diesen Vorfall zu melden. Zum einen besteht die Meldepflicht gegenüber der zuständigen Aufsichtsbehörde (Art. 33 DS-GVO). Zum anderen müssen unter Umständen auch die betroffenen Personen über die Datenpanne informiert werden (Art. 34 DS-GVO).

Meldepflicht ggü. der Aufsichtsbehörde (Art. 33 DS-GVO)

Grundsätzlich gilt, dass jeder Datenschutzvorfall bzw. jede Datenpanne der zuständigen Aufsichtsbehörde gemeldet werden muss. Die Meldepflicht besteht nur in geringen Ausnahmefällen nicht, nämlich wenn vermutlich kein Risiko für die Rechte und Freiheiten der betroffenen Personen besteht. Für die Entscheidung, ob eine Meldung erforderlich ist oder nicht, ist eine ausführliche Risikoanalyse erforderlich. Bei dieser ist die Schwere des Schadens für die Betroffenen und dessen Eintrittswahrscheinlichkeit zu berücksichtigen.

Datenschutzvorfälle müssen der Aufsichtsbehörde unverzüglich oder zumindest innerhalb von 72 Stunden nach Bekanntwerden des Vorfalls gemeldet werden (Art. 33 Abs. 1 DS-GVO). Erfolgt die Meldung nach Ablauf der Frist, muss der Verantwortliche die Verzögerung begründen. Wichtig für den Fristbeginn ist außerdem, dass der Verantwortliche nicht zwingend tatsächlich von der Datenpanne wissen muss. Es ist ausreichend, wenn er davon hätte wissen müssen. Aus diesem Grund ist es wichtig, dass Mitarbeiter regelmäßig sensibilisiert werden und ein interner Melde- und Bearbeitungsprozess für potenzielle Datenschutzverletzungen besteht.

Inhalte der Meldung an die Aufsichtsbehörde

Nach Art. 33 Abs. 3 DS-GVO muss die Meldung mindestens vier zentrale Informationen enthalten:

1. Beschreibung der Art des Datenschutzvorfalls mit Angabe der Kategorien und Anzahl an betroffenen Personen und Datensätzen
2. Kontaktdaten des Datenschutzbeauftragten oder eines anderen Ansprechpartners
3. Beschreibung der vermuteten Folgen des Datenschutzvorfalls
4. Beschreibung von Maßnahmen oder Vorschlägen, die den Datenschutzvorfall beheben und gegebenenfalls die nachteiligen Auswirkungen abmildern

Stehen dem Verantwortlichen bei der Erstmeldung noch nicht alle diese Informationen zur Verfügung, besteht die Möglichkeit, die Meldung in mehreren Schritten vorzunehmen (Art. 33 Abs. 4 DS-GVO).

Damit die Aufsichtsbehörde die Einhaltung der Bestimmungen des Datenschutzes überprüfen kann, muss der Verantwortliche Datenschutzvorfälle inklusive aller ergriffenen Maßnahmen ausführlich dokumentieren (Art. 33 Abs. 5).

Informationspflicht gegenüber Betroffenen (Art. 34 DS-GVO)

Besteht voraussichtlich ein hohes Risiko für die Rechte und Freiheiten von betroffenen Personen, müssen diese ebenfalls über die Datenpanne informiert werden. Die Frist für die Benachrichtigung ist kürzer als die zur Meldung bei der Aufsichtsbehörde, denn die 72 Stunden werden hier nicht gewährt. Müssen Betroffene über eine Datenpanne informiert werden, hat dies unverzüglich nach Bekanntwerden des Vorfalls zu erfolgen (Art. 34 Abs. 1 DS-GVO).

Von der Informationspflicht gibt es nach Art. 34 Abs. 3 DS-GVO drei Ausnahmen:

1. Der Verantwortliche hat geeignete technische und organisatorische Maßnahmen zum Schutz der betreffenden personenbezogenen Daten getroffen, um diese vor unbefugtem Zugriff zu schützen (z. B. durch Verschlüsselung).
2. Durch Maßnahmen im Anschluss an die Datenpanne wurde sichergestellt, dass das hohe Risiko für die Betroffenen vermutlich nicht mehr besteht.
3. Die Benachrichtigung ist mit einem unverhältnismäßig hohen Aufwand verbunden. In diesem Fall muss die Information der Betroffenen allerdings auf andere Weise gewährleistet sein, beispielsweise durch öffentliche Bekanntmachung.

Wird die Informationspflicht nicht erfüllt, kann die Aufsichtsbehörde vom Verantwortlichen unter Umständen verlangen, die Betroffenen zu benachrichtigen.

Inhalte der Benachrichtigung an Betroffene

Die Benachrichtigung an betroffene Personen muss nach Art. 34 Abs. 2 DS-GVO mindestens drei Informationen enthalten. Das heißt, bis auf die Art des Datenvorfalls hat sie die gleichen Inhalte wie die Meldung an die Aufsichtsbehörde:

1. Kontaktdaten des Datenschutzbeauftragten oder eines anderen Ansprechpartners
2. Beschreibung der vermuteten Folgen des Datenschutzvorfalls
3. Beschreibung von Maßnahmen oder Vorschlägen, die den Datenschutzvorfall beheben und gegebenenfalls die nachteiligen Auswirkungen abmildern

Bei der Benachrichtigung ist zu beachten, dass sie klar und einfach zu verstehen sein muss. Das heißt, die Information muss für jede betroffene Person verständlich sein und darf keine komplizierten Darstellungen oder (juristische) Fachsprache enthalten.

Folgen bei ausbleibender Meldung: Risiko eines Bußgeldes

Die Meldung eines Datenschutzvorfalls bzw. der Vorfall an sich muss nicht zwingend ein Bußgeld seitens der Aufsichtsbehörde zur Folge haben. Werden Datenverstöße nicht gemeldet, steigt hingegen die Wahrscheinlichkeit, dass die Aufsichtsbehörde gegen den Verantwortlichen ein Bußgeld verhängt. Bei der Höhe des Bußgeldes wird ebenfalls berücksichtigt, dass die Datenpanne zu spät oder gar nicht gemeldet wurde.

Kommt es zu einer Datenpanne, das Unternehmen meldet diese unverzüglich und bemüht sich bzw. schafft es, die Auswirkungen einzudämmen, wirkt sich dies positiv auf die Höhe des Bußgeldes aus. Je nach Art des Verstoßes, dem Risiko für Betroffene und dem Erfolg der eingeleiteten Maßnahmen des Verantwortlichen fällt das Bußgeld unter Umständen geringer aus.

Lassen Sie sich von einem Datenschutzexperten beraten!

Brauchen Sie Unterstützung bei der Entscheidung, ob eine Meldung nach Art. 33 oder 34 DS-GVO nötig ist, oder bei der Meldung einer Datenpanne? Wir beraten und unterstützen Sie gerne – kontaktieren Sie unsere Mitarbeiter Frau Heil oder Frau Krämer telefonisch (0911 / 148986-50) oder per Mail (office@ascon-datenschutz.de) oder nutzen Sie unser Kontaktformular!

Pseudonymisierung

Ein Grundsatz der DS-GVO ist die Datenminimierung. Danach sollen personenbezogene Daten nur in der Menge und in dem Rahmen verarbeitet werden, wie es unbedingt notwendig ist. Eine Maßnahme zur Umsetzung dieses Grundsatzes ist die Pseudonymisierung. Unter Pseudonymisierung versteht man die Veränderung von personenbezogenen Daten in einer Weise, die die Identifizierung der betroffenen Person nur mithilfe weiterer Informationen möglich macht (Art. 4 Nr. 5 DS-GVO). Die weiteren Informationen sind der „Schlüssel“, durch den die Daten eindeutig einer Person zugeordnet werden können. Die Daten und der „Schlüssel“ müssen getrennt aufbewahrt und jeweils durch technische und organisatorische Maßnahmen geschützt werden.

Folgen der Pseudonymisierung

Im Gegensatz zur Anonymisierung verlieren pseudonymisierte Daten nicht das Merkmal „personenbezogen“, da die betroffene Person auch nach der Pseudonymisierung identifizierbar bleibt. Daher stellt der Erwägungsgrund 26 der DS-GVO explizit klar, dass pseudonymisierte Daten unter den Anwendungsbereich der DS-GVO fallen.
Allerdings stellt die Pseudonymisierung nicht nur eine Methode zur Datenminimierung dar. In Art. 32 Abs. 1 lit. a) DS-GVO wird die Pseudonymisierung konkret als Maßnahme genannt, um die Sicherheit personenbezogener Daten zu erhöhen. Zudem wird in Erwägungsgrund 28 der DS-GVO verdeutlicht, dass die Anwendung der Pseudonymisierung Risiken minimieren und dazu beitragen kann, die Grundsätze des Datenschutzes zu erfüllen.

Beispiele für die Pseudonymisierung

Ein typisches Beispiel für die Pseudonymisierung ist das Ersetzen von Namen durch Kunden- oder Auftragsnummern beispielsweise im produzierenden Gewerbe. Die Mitarbeiter in der Produktion oder der Packerei bearbeiten die Aufträge anhand von Kunden- oder Auftragsnummern, können diese aber der natürlichen Person (dem Kunden) nicht zuordnen. Eine Identifikation ist nur für die Abteilung möglich, die über eine Liste die Kunden-/Auftragsnummern den jeweiligen Kunden zuordnen kann.
Es können nicht nur Namen durch Kennzahlen ersetzt werden, es ist auch möglich, andere Identifikationsmerkmale durch Kennzeichnungen zu pseudonymisieren. Wichtig ist nur, dass eine Identifikation der betroffenen Person im Anschluss ausgeschlossen oder wesentlich erschwert ist. Die Daten bleiben dabei – in Abgrenzung zur Verschlüsselung – lesbar und der Vorgang kann mithilfe eines „Schlüssels“ rückgängig gemacht werden.

Richtigkeitsgebot

Das Richtigkeitsgebot gehört zu den wichtigsten Grundsätzen der DS-GVO. Nach dem Grundsatz der Richtigkeit sind Unternehmen dafür verantwortlich, dass Daten korrekt erhoben und weitergegeben werden. Sollten dennoch Fehler enthalten sein, sind sie dazu verpflichtet, die entsprechenden Daten zu korrigieren.

Aspekte des Richtigkeitsgebots

Das Richtigkeitsgebot lässt sich in drei Aspekte gliedern: Datenwahrheit, Datenaktualität und Datenvollständigkeit.
Der Aspekt der Datenwahrheit beinhaltet, dass personenbezogene Daten sachlich richtig sein müssen. Das heißt, die Informationen über den Betroffenen müssen korrekt sein und Verhältnisse wirklichkeitsgetreu darstellen.
Zudem müssen die Daten auf dem aktuellen Stand sein (Datenaktualität) – zum Zeitpunkt der Beurteilung veraltete Daten sind nicht korrekt. Daten, die ihre rechtliche Bedeutung verloren haben, gelten ebenfalls als nicht aktuell und damit als unrichtig.
Zuletzt hat der Verantwortliche dafür Sorge zu tragen, dass die Daten vollständig sind (Datenvollständigkeit). Kann der Verarbeitungszweck nicht erreicht werden oder kann es zu Missverständnissen kommen, weil der Datensatz nicht vollständig ist, gelten die Daten auch als unrichtig.

Bedeutung des Richtigkeitsgebots

Eine falsche Datenerhebung kann für den Betroffenen verschiedenste Folgen haben. Am prägnantesten sind die wirtschaftlichen Auswirkungen, wenn unrichtige Informationen bei Auskunfteien wie der Schufa hinterlegt werden. So kann es beispielsweise passieren, dass aufgrund eines kleinen Rechtschreibfehlers zu ein und derselben Person zwei Datensätze entstehen und nicht mehr alle Daten der betroffenen Person zugeordnet werden, weil das System nicht erkennt, dass zum Beispiel Stefan und Stephan dieselbe Person ist.
Das Gleiche gilt, wenn die betroffene Person heiratet und einen neuen Nachnamen annimmt. Werden die Daten bei der Auskunftei nicht aktualisiert, kann der Betroffene nicht mehr zugeordnet werden und es können wiederum zwei Datensätze zu einer Person entstehen.
Zudem kann es negative Folgen für den Betroffenen haben, wenn die gespeicherten Daten nicht vollständig sind. Werden beispielsweise geleistete Mietzahlungen beim Vermieter nicht erfasst und als ausstehend gemeldet, ist in der Schufa-Auskunft eine schlechte Bonität dokumentiert.
Sind Datensätze inkorrekt, nicht aktuell oder unvollständig, kann das dazu führen, dass die betroffene Person ihre Rechte aus der DS-GVO nicht mehr effektiv wahrnehmen kann, beispielsweise weil ihr nicht alle Daten zugeordnet werden können. Deshalb hat der Gesetzgeber Unternehmen über den Grundsatz der Richtigkeit auferlegt sicherzustellen, dass sich bei personenbezogenen Daten keine Fehler einschleichen, und falls doch, dass diese entsprechend korrigiert werden.

Technisch-Organisatorische Maßnahmen (TOMs)

Die DS-GVO verpflichtet Verantwortliche und Auftragsverarbeiter, personenbezogene Daten ausreichend zu schützen, insbesondere im Hinblick auf die Vertraulichkeit, die Integrität sowie die Verfügbarkeit und die Belastbarkeit der Systeme. Sie müssen unter Berücksichtigung festgelegter Faktoren Vorkehrungen treffen, um ein angemessenes Schutzniveau sicherzustellen. Der Schutz personenbezogener Daten kann durch technische Maßnahmen (z. B. Vergabe von Benutzerrechten, Verschlüsselung von Notebooks/Tablets) sowie durch organisatorische Maßnahmen (z. B. Empfang/Rezeption, Mitarbeiterschulung und Verpflichtung zur Vertraulichkeit) gewährleistet werden.

Gewährleistung eines angemessenen Schutzniveaus

Die Technisch-Organisatorischen Maßnahmen (TOMs) sind die Summe aller Vorkehrungen, die Unternehmen getroffen haben, um personenbezogene Daten zu schützen. Sie sollen sicherstellen, dass das Risiko für Betroffene, das mit der Verarbeitung ihrer personenbezogenen Daten einhergeht, möglichst gering ist (risikobasierter Ansatz). Bei der Beurteilung, ob die TOMs ein ausreichendes Schutzniveau bieten und den Anforderungen der DS-GVO genügen, müssen gem. Art. 32 Abs. 1 1. Hs. DS-GVO verschiedene Faktoren berücksichtigt werden:

• Stand der Technik
• Implementierungskosten
• Art, Umfang, Umstände und Zwecke der Verarbeitung
• Eintrittswahrscheinlichkeit eines Risikos (Schadens) für Betroffene
• Schwere des Risikos für die Rechte und Freiheiten Betroffener

Die DS-GVO gibt keinen konkreten Maßnahmenkatalog vor, vielmehr müssen Verantwortliche anhand einer Risikobeurteilung abschätzen, welche Maßnahmen notwendig und geeignet sind. Das Risiko für betroffene Personen muss möglichst weit eingedämmt werden, ohne dass damit ein unvertretbar hoher Aufwand verbunden ist (Verhältnismäßigkeit). Das heißt auch, wenn eine Maßnahme zwar nicht dem aktuellen Stand der Technik entspricht, aber das Risiko am besten minimiert, ist sie dennoch geeignet.

Schwere des Risikos

Bei der Beurteilung, welche TOMs für ein ausreichendes Schutzniveau erforderlich sind, muss gem. Art. 32 Abs. 2 DS-GVO insbesondere berücksichtigt werden, welches Risiko für betroffene Personen durch die Verarbeitung besteht. Verantwortliche müssen abschätzen, welche Gefahren bestehen, wenn personenbezogene Daten bei der Übermittlung, Speicherung oder anderweitigen Verarbeitung

• vernichtet werden oder verloren gehen (Verfügbarkeit),
• verändert werden (Integrität)
• unbeabsichtigt, unrechtmäßig oder unbefugt offengelegt oder Unbefugten zugänglich gemacht werden (Vertraulichkeit).

Je höher das Risiko für die Rechte und Freiheiten des Betroffenen in einem der drei Bereiche ist, desto höher ist der Schutzbedarf.

Beispiele für technische und organisatorische Maßnahmen

Die DS-GVO nennt in Art. 32 Abs. 1 2. Hs. einige Beispiele für Maßnahmen, die Teil der TOMs sein sollten bzw. könnten. Hierzu zählen:

1. Pseudonymisierung und Verschlüsselung personenbezogener Daten
   z. B.: Verwendung von Kundennummern statt des vollständigen Namens, Erforderlichkeit der Eingabe eines Schlüssels zum Starten mobiler Datenträger
2. Sicherstellung der Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste
   z. B.: Lagern sensibler Unterlagen in einem separat abschließbaren Schrank, Firewall, Berechtigungskonzept, personenbezogene Zugriffsrechte, Back-up-Konzept, unterbrechungsfreie Stromversorgung (USV)
3. rasche Wiederherstellbarkeit
   z. B.: regelmäßige und dokumentierte Datenwiederherstellungen
4. Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der TOMs
   z. B.: regelmäßiges Audit der TOMs durch den Datenschutzbeauftragten oder externe Dienstleister

Diese Vorgaben dienen als Grundlage für die Beurteilung, ob ausreichende Schutzmaßnahmen getroffen wurden, sind aber nicht abschließend. Wichtig ist, dass das Risiko für Betroffene durch die TOMs möglichst minimiert wird und die Wirksamkeit und Geeignetheit der Maßnahmen regelmäßig überprüft wird.

Lassen Sie sich von einem Datenschutzexperten beraten!

Brauchen Sie Unterstützung bei der Risikobeurteilung oder der Umsetzung spezieller Maßnahmen? Wünschen Sie ein Audit durch einen neutralen, externen Datenschutzexperten? Wir beraten und unterstützen Sie gerne – kontaktieren Sie unsere Mitarbeiterinnen Frau Heil oder Frau Krämer telefonisch (0911 / 148986-50) oder per E-Mail (office@ascon-datenschutz.de) oder nutzen Sie unser Kontaktformular!

Verantwortlicher

Verantwortlicher im Sinne des Datenschutzes ist diejenige natürliche oder juristische Person oder andere Stelle, die über die Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheidet (Art. 4 Nr. 7 DS-GVO). Die betreffende Stelle trägt einzig und allein die Verantwortung für die Einhaltung und Umsetzung der datenschutzrechtlichen Vorschriften. In der Regel ist das jeweilige Unternehmen, das juristisch durch seine Geschäftsführung vertreten wird, die verantwortliche Stelle im Sinne der DS-GVO.
Die Verantwortung für die Verarbeitung personenbezogener Daten kann nicht delegiert werden. Deshalb ist es unerlässlich, dass sich die Geschäftsführung als faktisch Verantwortlicher mit dem Thema Datenschutz auseinandersetzt und über alle notwendigen Kenntnisse verfügt, um Entscheidungen mit der nötigen Sorgfalt treffen zu können.

Aufgaben des Verantwortlichen

Es gibt etliche datenschutzrechtliche Aufgaben, die im Alltag an andere Personen wie den Datenschutzkoordinator oder an untergeordnete Führungskräfte delegiert werden können. Die Grundsatzentscheidungen, datenschutzrechtliche Leit- und Richtlinien sowie Prozesse zur Einhaltung der datenschutzrechtlichen Vorgaben müssen aber von den Geschäftsführern persönlich getroffen, mitgetragen und implementiert werden. Nur so wird der Verantwortliche seiner gesetzlichen Verantwortung gerecht und sorgt dafür, dass auch die Mitarbeiter das Thema Datenschutz ernst nehmen und entsprechende Anforderungen akzeptieren und erfüllen. Folgende Aufgaben bzw. Fragen müssen in der Regel von der Geschäftsführung bearbeitet oder beantwortet werden:

• Bestellung des Datenschutzbeauftragen und Abschluss des Dienstleistungsvertrags
• Ziele, Dauer und Umfang des Datenschutzprojekts
• Abschluss und Inhalt einer EDV-Nutzungsvereinbarung
• Erstellung oder Prüfung des Datenschutzkonzepts
• Vorgabe von datenschutzrechtlichen Leit- und Richtlinien
• Implementieren eines Datenschutzmanagements
• Umstellung von betrieblichen Prozessen zur Berücksichtigung des Datenschutzes
• Entscheidung über die Umsetzung empfohlener Maßnahmen
• Einzelfallentscheidungen bei unterschiedlichen Möglichkeiten mit verschieden hohem Risiko
• Meldung eines Datenschutzvorfalls und Information der betroffenen Personen

Haftung des Verantwortlichen

Selbst wenn der Verantwortliche einzelne Aufgaben delegiert, steht er datenschutzrechtlich dennoch in der Verantwortung und kann sich nicht darauf berufen, sich nicht selbst darum gekümmert zu haben.
Im Datenschutzbereich können bei Pflichtverletzungen sowohl Geschäftsführer als auch Vorstände persönlich schadensersatzpflichtig sein, sollten sie ihrer Sorgfaltspflicht nicht nachkommen. Dies betrifft nicht nur Gesellschafter einer Personengesellschaft, auch die Geschäftsführung einer Kapitalgesellschaft trägt ein persönliches Haftungsrisiko. Schadensersatzforderungen und Bußgelder richten sich zwar stets direkt an die Gesellschaft, diese kann den Geschäftsführer aber in Regress nehmen.
Nach Ansicht der europäischen Gesetzgeber ist die Einhaltung der datenschutzrechtlichen Vorgaben eine der zentralen Aufgaben der Geschäftsleitung, sodass der strenge Sorgfaltsmaßstab der Generalklausel des § 43 GmbHG bzw. des § 93 Abs. 2 AktG gilt.

Verfahrensverzeichnis

Der Begriff „Verfahrensverzeichnis“ stammt aus dem alten Bundesdatenschutzgesetz (BDSG) und wird in der neuen EU-Verordnung – der DS-GVO – als „Verzeichnis der Verarbeitungstätigkeiten“ bezeichnet. Der Begriff Verfahrensverzeichnis wird auch heute noch vielfach genutzt, weil „Verfahrensverzeichnis“ nicht ganz so sperrig klingt wie „Verzeichnis der Verarbeitungstätigkeiten“ und Namensänderungen nicht nur im Gesetzestext viel Zeit in Anspruch nehmen, sondern der alte und bisher gebräuchliche Name auch deutlich länger in den Köpfen der Anwender verankert ist.

Verfahrensverzeichnis ist nicht gleich Verzeichnis der Verarbeitungstätigkeiten

Auch wenn der Begriff Verfahrensverzeichnis heute oft als Synonym verwendet wird, bestehen zwischen dem Verzeichnis der Verarbeitungstätigkeiten nach der DS-GVO und dem alten Verfahrensverzeichnis nach dem BDSG inhaltliche Unterschiede. Wichtig zu wissen ist deshalb, dass mit dem Begriff Verfahrensverzeichnis heute zwar das Verzeichnis der Verarbeitungstätigkeiten gemeint ist, ein vorhandenes Verfahrensverzeichnis im Unternehmen aus den Jahren vor der DS-GVO aber nicht den heute gültigen gesetzlichen Mindestanforderungen genügt. Genauere Informationen zum Inhalt des Verfahrensverzeichnisses sind beim Verzeichnis der Verarbeitungstätigkeiten zu finden.

Lassen Sie sich von einem Datenschutzexperten beraten!

Brauchen Sie Unterstützung bei der Prüfung und Anpassung Ihres Verfahrensverzeichnisses oder bei der Erstellung des Verzeichnisses der Verarbeitungstätigkeiten? Sind Sie unsicher, ob Ihr bereits erstelltes Verzeichnis wirklich alle Anforderungen der DS-GVO erfüllt? Wir beraten und unterstützen Sie gerne – kontaktieren Sie unsere Mitarbeiterinnen Frau Heil oder Frau Krämer telefonisch (0911 / 148986-50) oder per E-Mail (office@ascon-datenschutz.de) oder nutzen Sie unser Kontaktformular!

Verzeichnis der Verarbeitungstätigkeiten

Das Verzeichnis der Verarbeitungstätigkeiten ist eine gesetzlich vorgeschriebene Übersicht über alle Prozesse im Unternehmen, bei denen personenbezogene Daten verarbeitet werden. Die gesetzlich vorgeschriebene Übersicht gibt es nicht erst seit Gültigkeit der DS-GVO, sondern sie war bereits nach dem Bundesdatenschutzgesetz (BDSG) zu führen. Damals hieß die Übersicht aber nicht Verzeichnis der Verarbeitungstätigkeiten, sondern Verfahrensverzeichnis, und war inhaltlich nicht so umfangreich wie das jetzige Verzeichnis der Verarbeitungstätigkeiten.

Verzeichnis der Verarbeitungstätigkeiten – mehr als eine gesetzliche Pflicht

Die Erstellung dieses Verzeichnisses ist nicht nur nach Art. 30 DS-GVO gesetzlich verpflichtend, sondern es handelt sich beim Verzeichnis der Verarbeitungstätigkeiten auch um das zentrale Dokument der Datenschutzdokumentation im Unternehmen. Das Verzeichnis der Verarbeitungstätigkeiten dient dem Nachweis der Zulässigkeit der Verarbeitung personenbezogener Daten und der Einhaltung der gesetzlichen Bestimmungen. Nur wenn Unternehmen wissen, an welchen Stellen sie welche personenbezogene Daten zu welchem Zweck und auf welcher Rechtsgrundlage verarbeiten, können sie gewährleisten, dass alle Vorgaben der DS-GVO eingehalten werden.

Verzeichnis der Verarbeitungstätigkeiten – was muss angegeben werden?

Das Verzeichnis der Verarbeitungstätigkeiten ist damit eine schriftliche Dokumentation jedes einzelnen Verfahrens im Unternehmen, bei dem personenbezogene Daten in irgendeiner Art verarbeitet werden. Es ist exakt darzulegen, was genau mit welchen Daten passiert, das heißt beispielsweise, welche personenbezogenen Daten und welche Personen betroffen sind, wer Zugriff auf diese Daten hat und zu welchem Zweck sie verarbeitet werden. Zudem muss angegeben werden, mit welcher Frist gespeicherte und aufbewahrte Daten gelöscht beziehungsweise vernichtet werden und mit welchen technischen und organisatorischen Maßnahmen die Daten geschützt werden.

Aufgrund dieser gebündelten Menge an unterschiedlichsten Informationen zählt die Erstellung des Verzeichnisses der Verarbeitungstätigkeiten zu den aufwendigsten Aufgaben bei der Umsetzung der DS-GVO. Das Verzeichnis der Verarbeitungstätigkeiten kann nicht allein von einer Person erstellt und gepflegt werden, da einerseits Detailwissen über die exakten Abläufe innerhalb der Verfahren und andererseits datenschutzspezifisches Wissen über die Konsequenzen des Wie der jeweiligen Verarbeitung sowie zur Beurteilung der Risiken und notwendigen Schutzmaßnahmen erforderlich ist.

Regelmäßige Aktualisierung notwendig

Wichtig ist, dass das Verzeichnis der Verarbeitungstätigkeiten nach der erstmaligen Erstellung regelmäßig angepasst und aktualisiert wird. Prozesse in Unternehmen ändern sich immer wieder oder es kommen neue hinzu, weshalb das Verzeichnis der Verarbeitungstätigkeiten dementsprechend zu aktualisieren und auf den neuesten Stand zu bringen ist. Die gesetzliche Pflicht besteht nicht nur in der Erstellung, sondern auch in der Fortführung des Verzeichnisses.
Entspricht das Verzeichnis der Verarbeitungstätigkeiten den gesetzlichen Anforderungen des Art. 30 DS-GVO nicht, hat ein Unternehmen gar kein Verzeichnis erstellt. Stellt das Unternehmen der Aufsichtsbehörde das Verzeichnis nicht vollständig bereit, kann dies die Verhängung eines Bußgeldes durch die zuständige Aufsichtsbehörde zur Folge haben.

Lassen Sie sich von einem Datenschutzexperten beraten!

Brauchen Sie Unterstützung bei der Erstellung des Verzeichnisses der Verarbeitungstätigkeiten oder sind Sie sich nicht sicher, ob Ihr bereits erstelltes Verzeichnis wirklich alle Anforderungen der DS-GVO erfüllt? Wir beraten und unterstützen Sie gerne – kontaktieren Sie unsere Mitarbeiterinnen Frau Heil oder Frau Krämer telefonisch (0911 / 148986-50) oder per E-Mail (office@ascon-datenschutz.de) oder nutzen Sie unser Kontaktformular!