Mehrfach ausgezeichnet.

Focus Markenrecht
en

Die Datenschutz-Grundverordnung

Überprüfung. Beratung. Umsetzung.

Ihr Ansprechpartner

Die Datenschutz-Grundverordnung (DSGVO) ist da!

Sie werden vermutlich davon gehört haben: Die Datenschutz-Grundverordnung (DSGVO) gilt nun. Zwar trat die DSGVO bereits am 25.05.2016 in Kraft, allerdings findet die DSGVO erst seit dem 25.05.2018 Anwendung. Sprich: Die Datenschutz-Grundverordnung gilt ab dem 25.05.2018.

Bereits jetzt spielt der Datenschutz eine große Rolle. Denken Sie nur an die Daten, welche Sie bei Bestellungen, beim E-Mail-Marketing oder beim schlichten Tracking Ihrer Webseitenbesucher verarbeiten. Die DSGVO hält allerdings ein paar Änderungen parat, welche es zu beachten gilt.

Was ist die Datenschutz-Grundverordnung?

Aber was genau ist die Datenschutz-Grundverordnung? Wie der Name schon verrät, handelt es sich um eine Verordnung der Europäischen Union, welche die Datenschutzrichtlinie aus dem Jahr 1995 ersetzen wird. An dieser Stelle wollen wir kurz den Unterschied zwischen einer Verordnung und einer Richtlinie erläutern. Im Gegensatz zu einer Richtlinie entfaltet eine Verordnung unmittelbare Wirkung in den Mitgliedsstaaten der Europäischen Union. Eine Richtlinie bedarf, bevor sie Wirkung entfaltet, der Umsetzung in das jeweilige nationale Recht. So wurde die Datenschutzrichtlinie durch das Gesetz zur Änderung des Bundesdatenschutzgesetzes und anderer Gesetze vom 28.05.2001 umgesetzt.

Die DSGVO stellt Regeln zur Verarbeitung personenbezogener Daten auf. Da personenbezogene Daten in erster Linie von Unternehmen verarbeitet werden, richtet sich die DSGVO an eben diese (hierzu an späterer Stelle mehr). Die DSGVO wird das Datenschutzniveau in der Europäischen Union weitestgehend vereinheitlichen, denn aktuell herrschen in den Mitgliedsstaaten noch erhebliche Unterschiede. Zwar beinhaltet die DSGVO sog. „Öffnungsklauseln“, welche den einzelnen Mitgliedsstaaten die Möglichkeit eröffnet, eigene Regelungen zu treffen, doch werden diese lediglich zu geringen Abweichungen führen. Dies ist vor allem für Unternehmen von Vorteil, welche über Deutschland hinaus in der EU Geschäfte tätigen. Diese können künftig auf ein einheitliches Datenschutzrecht vertrauen.

Die Zielsetzung der DSGVO

Um die in der DSGVO getroffenen Regelungen besser zu verstehen, lohnt sich ein Blick auf die Zielsetzungen der Datenschutz-Grundverordnung. So soll die Datenschutz-Grundverordnung gem. Art. 1 Abs. 2 DSGVO die Grundrechte und Grundfreiheiten natürlicher Personen, insbesondere deren Recht auf Schutz personenbezogener Daten, schützen. Auf der anderen Seite soll der freie Verkehr personenbezogener Daten nach Art. 1 Abs. 3 DSGVO weder eingeschränkt noch verboten werden…

Diese Zielsetzungen sollen durch die in Art. 5 DSGVO normierten Grundsätze erreicht werden. Zu diesen Grundsätzen zählen:

  • Rechtmäßigkeit
  • Verarbeitung nach Treu und Glauben
  • Transparenz
  • Zweckbindung
  • Datenminimierung
  • Richtigkeit
  • Speicherbegrenzung
  • Integrität & Vertraulichkeit
  • Rechenschaftspflicht

Für wen gilt die DSGVO?

Doch für wen gilt die Datenschutz-Grundverordnung überhaupt? Zur Beantwortung dieser Frage ist Art. 2 DSGVO heranzuziehen:

„Diese Verordnung gilt für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nicht automatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen.“

Wie sich aus dieser Norm ergibt, kommt dem Begriff „personenbezogene Daten“ erhebliche Bedeutung zu. Erst wenn Sie „personenbezogene Daten“ verarbeiten, werden Sie von der DSGVO erfasst. Nach Art. 4 Nr. 1 DSGVO sind personenbezogene Daten Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen.

Die technische Form der personenbezogenen Daten ist irrelevant, so können auch Fotos, Video- oder Tonaufnahmen personenbezogene Daten enthalten.

Bei der Beurteilung, ob ein personenbezogenes Datum vorliegt, ist vor allem der Aspekt der Identifizierbarkeit von besonderer Bedeutung. Kann ein Datum mithilfe von Zusatzwissen einer Person zugeordnet werden, ist die Person identifizierbar und es liegt ein personenbezogenes Datum vor. Ob dieses Zusatzwissen erst mit einem gewissen Aufwand erlangt werden kann, ist nicht von Bedeutung, solange das Zusatzwissen zugänglich und erreichbar ist. Somit kann jegliche Information ein personenbezogenes Datum sein.

Beispiel: Die IP-Adresse ist für einen Provider grundsätzlich ein personenbezogenes Datum, denn dieser kann die IP-Adresse ohne Weiteres einem Nutzer zuordnen. Für einen Dritten ist die IP-Adresse zunächst kein personenbezogenes Datum, wenn dieser keinen Zugriff auf das Zusatzwissen des Providers hat. Kann die IP-Adresse aber durch frei zugängliche Angaben – beispielsweise im Internet – einer Person zugeordnet werden, so liegt für den Dritten ein personenbezogenes Datum vor. Eine IP-Adresse ist daher auch dann ein personenbezogenes Datum, wenn sie aufgrund von Verknüpfungen mit anderen Daten (Cookies, Nutzerverhalten etc.) zu einer Identifizierung der betroffenen Person führt.

Insbesondere folgende Daten sind personenbezogen:

  • Name
  • Geburtsdatum
  • Adresse
  • E-Mail-Adresse
  • Kundendaten (Kundennummer usw.)
  • Vertragsbeziehungen
  • Freundschaften (bspw. in sozialen Netzwerke)
  • Konsum- und Kommunikationsverhalten
  • Wahrscheinlichkeitsaussagen
  • Arbeitszeiten
  • Kontodaten
  • IP-Adressen
  • Cookies

Im Klartext bedeutet dies: Alle Unternehmen mit Sitz in der Europäischen Union werden von der Datenschutz-Grundverordnung umfasst. Darüber hinaus gilt die DSGVO auch für Unternehmen, welche keine Niederlassung in der EU haben, sofern sie personenbezogene Daten von Personen, die sich in der EU befinden, verarbeiten (vgl. Art. 3 DSGVO). Weiterhin ist zu beachten, dass es ganz gleich ist, ob die personenbezogenen Daten der EU-Bürger innerhalb oder außerhalb der Europäischen Union verarbeitet werden.

Die Änderungen im Einzelnen

Nachdem wir nun geklärt haben, wer von der DSGVO betroffen ist, wollen wir einen Blick darauf werfen, was Sie bspw. als Händler alles zu beachten haben.

1. Verarbeitungsverbot mit Erlaubnisvorbehalt

Nach der Datenschutz-Grundverordnung ist die Verarbeitung personenbezogener Daten grundsätzlich verboten. Allerdings sieht Art. 6 DSGVO einige Ausnahmen vor. Von Bedeutung sind vor allem:

  • die Erfüllung eines Vertrages (Art. 6 Abs. 1 lit. b) DSGVO)
  • die vorvertraglichen Maßnahmen (Art. 6 Abs. 1 lit. b) DSGVO)
  • die berechtigten Interessen (Art. 6 Abs. 1 lit. f) DSGVO)
  • die Einwilligung der Nutzer (Art. 6 Abs. 1 lit. a) DSGVO)

a. Erfüllung eines Vertrags

Welche Datenverarbeitung für die Erfüllung eines Vertrags notwendig ist, bestimmt sich nach der Natur des betreffenden Vertrags und den sich daraus ergebenden Pflichten. So ist es zum Beispiel unproblematisch zulässig, die Postadresse des Kunden eines Onlinehändlers zur Zustellung der Ware an den Paketdienst weiterzureichen.

Die Weitergabe von Daten an ein Unternehmen zur Bonitätsprüfung ist hingegen ohne separate Einwilligung nicht zulässig, da zwar für den Unternehmer zweckmäßig, aber für die Durchführung des Vertrags nicht zwingend notwendig.

b. Vorvertragliche Maßnahmen

Unter vorvertraglichen Maßnahmen versteht man bspw. die Erstellung von Angeboten für

  • Werkverträge
  • Werklieferungsverträge
  • Dienstverträge
  • Reiseverträge

Kommt der Vertrag nicht zustande, müssen Sie die Daten löschen.

c. Die berechtigten Interessen

Um besser zu verstehen, was unter den berechtigten Interessen verstanden wird, lohnt sich ein Blick in die Verordnung. So lautet Art. 6 Abs. 1 lit. f) DSGVO:

„Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist: (…)

die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.“

Der Knackpunkt dieser Norm ist der Begriff „überwiegen“. Es reicht also nicht aus, dass Sie berechtigte Interessen an der Verarbeitung haben. Die berechtigten Interessen müssen vielmehr den Interessen oder Grundrechten der Betroffenen überwiegen.

Zu den von der Datenverarbeitung betroffenen Grundrechten gehört vor allem das allgemeine Persönlichkeitsrecht, welches unter anderem die Privatsphäre des Betroffenen schützt. Hierzu gehört auch das sog. Recht auf informationelle Selbstbestimmung, welches dem Individuum das Recht zuteil werden lässt, zu entscheiden, ob und wie die eigenen personenbezogenen Daten verwendet werden.

Ob im Einzelfall ihre Interessen berechtigt sind und den Grundrechten der Betroffenen überwiegen, können wir Ihnen nicht pauschal beantworten. Doch möchten wir Ihnen Eckpunkte zur Orientierung mit auf den Weg geben.

Je eher eine Datenverarbeitungstätigkeit als üblich, alltäglich oder bekannt gilt, desto eher wird sie rechtmäßig sein. Hierzu können Web- bzw. Reichweitenanalysen mittels Google Analytics oder Piwik gezählt werden. Sie sollten im Rahmen der berechtigten Interessen immer mit dem Opt-Out-Prinzip arbeiten. Achten Sie aber darauf, dass durch das Opt-Out die komplette Datenverarbeitung verhindert werden kann. Des Weiteren empfehlen wir Ihnen, Ihre Nutzer verständlich und umfassend zu informieren, sodass eine freie Entscheidung via Opt-Out möglich ist.

Achten Sie darauf, dass Sie die Daten schnellstmöglich pseudonymisieren. Für den Fall, dass Sie die Datenverarbeitungstätigkeiten an einen Dritten ausgelagert haben (Auftragsdatenverarbeitung, an späterer Stelle mehr), sollten Sie sich vertraglich absichern.

Insbesondere dann, wenn sich Ihre Webseite an Minderjährige richtet, müssen Sie besonders zurückhaltend mit der Datenverarbeitung sein. Die Schutzinteressen der Minderjährigen sind besonders hoch zu werten, da diese im Vergleich zu Erwachsenen schlechter einschätzen können, welche Folgen die Nutzung ihrer Daten haben kann.

d. Die Einwilligung

Eine weitere Ausnahme zum grundsätzlichen Verbot stellt die nachweisliche Einwilligung dar. Daher sind zum Beispiel Cookie-Banner, wie „Sollten Sie weiterhin diese Webseite besuchen, gehen wir davon aus, dass Sie mit dem Setzen von Cookies einverstanden sind.“, nicht mehr ausreichend. Die Einwilligung muss ausdrücklich erfolgen. Daher empfehlen wir Ihnen das Opt-In-Prinzip zu nutzen. Vorangekreuzte Kästchen reichen daher nicht aus.

Die Einwilligungen müssen Sie darüber hinaus immer zweckgebunden einholen. Hierbei müssen Sie angeben, für welche Zwecke die Daten verarbeitet werden. Bitte achten Sie darauf, dass Sie gegebenenfalls nachweisen müssen, dass Sie die Einwilligungen eingeholt haben. Auch an dieser Stelle gilt die Dokumentationspflicht.

Des Weiteren müssen Sie den Nutzern eine Widerrufsmöglichkeit bieten, welche genauso einfach gestaltet sein muss, wie die Erteilung der Einwilligung. Eine weitere Neuerung ist, dass die Datenschutz-Grundverordnung in Art. 8 Abs. 1 DSGVO ein Mindestalter für Einwilligungen vorschreibt. Erst wenn der Minderjährige das sechzehnte Lebensalter erreicht hat, kann er eine wirksame Einwilligung erteilen. Einwilligungen von Minderjährigen unter dreizehn Jahren sind erst wirksam, wenn die Eltern ihr Einverständnis erklärt haben. Ob Minderjährige zwischen dreizehn und sechzehn Jahren eine wirksame Einwilligung erteilen können, lässt die DSGVO offen und überlässt diese Entscheidung den nationalen Gesetzgebern.

Einziger Wermutstropfen: Alte Einwilligungen bestehen fort, sofern sie den bisherigen Anforderungen des Bundesdatenschutzgesetzes (BDSG) und des Telemediengesetzes (TMG) genügen. An dieser Stelle möchten wir Sie nochmals aufmerksam machen, dass Sie die Einholung der Einwilligungen via Opt-In-Prinzip nachweisen können müssen.

e. Wichtige Neuerung: Das Kopplungsverbot

Die Einwilligung muss freiwillig erfolgen. Deshalb beinhaltet die DSGVO das so genannte Kopplungsverbot. Dieses ist in Art. 7 Abs. 4 DSGVO normiert:

„Bei der Beurteilung, ob die Einwilligung freiwillig erteilt wurde, muss dem Umstand in größtmöglichem Umfang Rechnung getragen werden, ob unter anderem die Erfüllung eines Vertrags, einschließlich der Erbringung einer Dienstleistung, von der Einwilligung zu einer Verarbeitung von personenbezogenen Daten abhängig ist, die für die Erfüllung des Vertrags nicht erforderlich sind.“

Es handelt sich dabei um eine missglückte Formulierung, deren Sinngehalt sich nicht beim ersten Lesen offenbart. Das Kopplungsverbot betrifft einen Fall wie den Folgenden:

Sie möchten die E-Mail-Adresse des Kunden nicht nur zur Kommunikation hinsichtlich der Bestellung nutzen. Sie möchten sie vielmehr einem anderen Unternehmen für dessen Werbezwecke weitergeben. Sie weisen den Kunden hierauf hin und lassen sich dessen Einverständnis erteilen.

Ob in diesem Fall das Kopplungsverbot eingreift, lässt sich allein anhand des Art. 7 Abs. 4 DSGVO nicht eindeutig beantworten. Gegen eine Freiwilligkeit der Einwilligung spricht der Umstand, dass Sie die Einwilligung in den Bestellprozess haben einfließen lassen. Der Vertragsschluss ist von der Einwilligung in die Verarbeitung der personenbezogenen Daten abhängig gemacht worden. Für die Freiwilligkeit der Einwilligung spricht wiederum, dass Sie den Kunden auf die Folgen seines Einverständnisses aufmerksam gemacht haben.

Zieht man den Erwägungsgrund 43 Satz 2 DSGVO zu Rate, kommt man zu einem anderen Ergebnis:

„Die Einwilligung gilt nicht als freiwillig erteilt, […]| wenn die Erfüllung eines Vertrags, einschließlich der Erbringung einer Dienstleistung, von der Einwilligung abhängig ist, obwohl diese Einwilligung für die Erfüllung nicht erforderlich ist.“

Die Einwilligung ist in unserem kleinen Fall nicht für die Abwicklung des Kaufvertrags erforderlich. Nach dem Erwägungsgrund gilt die Einwilligung als nicht freiwillig erteilt und ist damit unwirksam. Hier offenbart sich eine Diskrepanz zwischen der Vorschrift und ihrem Erwägungsgrund, die zu einer Rechtsunsicherheit in der Praxis führen wird. Während Aufsichtsbehörden und Verbraucherschützer eine strenge Auslegung des Kopplungsverbots vornehmen werden, werden Berater von Unternehmen auf die Möglichkeiten aufmerksam machen, die Art. 7 Abs. 4 DSGVO losgelöst von seinem Erwägungsgrund eröffnet.

Das Kopplungsverbot ist besonders relevant für das Geschäftsmodell „Service gegen Daten“. Hierunter fallen unter anderem:

  • „Kostenfreie“ Gewinnspiele im Internet: Solche Gewinnspiele finanzieren sich in aller Regel über Werbung, in die der Teilnehmer vorher einwilligt. Die Verarbeitung personenbezogener Daten zu Werbezwecken ist allerdings für die Durchführung des Gewinnspiels nicht von Nöten.
  • „Kostenloser“ E-Mail-Account: Dieser E-Mail-Account finanziert sich häufig durch die Zusendung von Newslettern, die dem Bewerben bestimmter Produkte dienen. Auch in diesem Beispiel ist die Verarbeitung von personenbezogenen Daten zu Werbezwecken für die Bereitstellung des E-Mail-Accounts nicht notwendig.

Das Geschäftsmodell „Service gegen Daten“ könnte künftig unzulässig sein. Sie müssten Ihr Geschäftsmodell entsprechend anpassen, um sicher zu gehen. Es sind drei verschiedene gangbare Lösungswege denkbar (Beispielsfall „Kostenloser E-Mail-Account”):

  • Entkoppeln: Trennen Sie den Abschluss des Dienstvertrags von der Einwilligung in die Verarbeitung personenbezogener Daten zum Zwecke von Werbung. Sie laufen bei dieser Lösung allerdings Gefahr, dass die Nutzer nach Abschluss des Dienstvertrags nicht mehr in die Verarbeitung der personenbezogenen Daten einwilligen: Ihre Refinanzierung durch Werbung ist gefährdet.
  • Integrieren: Sie können die Verarbeitung der personenbezogenen Daten zum integralen Bestandteil Ihres Vertrags machen. Ihre Leistung ist demnach das Bereitstellen des E-Mail-Accounts, die Gegenleistung des Kunden hingegen ist das Bereitstellen der personenbezogenen Daten zum Zwecke der Werbung. Dies müssen Sie dann aber auch deutlich nach außen kommunizieren. Die pauschale Darstellung, der E-Mail-Account sei kostenlos, verbietet sich dann.
  • Eine Alternative schaffen: Die für Sie sicherste Lösung ist, eine Alternative anzubieten. Zusätzlich zu dem Angebot „E-Mail-Account gegen Daten“ können Sie optional die Bereitstellung des E-Mail-Accounts gegen Bezahlung mit Geld anbieten. Bei der Bezahlvariante dürfen Sie die personenbezogenen Daten natürlich nicht zu weiteren Werbezwecken nutzen.

2. Technischer Datenschutz

Zunächst müssen Sie im Auge haben, dass nach Art. 24 DSGVO der Datenschutz durch technische und organisatorische Maßnahmen sichergestellt werden muss. An dieser Stelle wollen wir darauf hinweisen, dass die getroffenen Maßnahmen gegebenenfalls überprüft werden. Sie müssen also den Nachweis erbringen können, dass die Datenverarbeitung der DSGVO entspricht. Sie trifft also, wie eingangs erwähnt, eine Rechenschaftspflicht.

Gänzlich neu an der DSGVO sind die Grundsätze des „privacy by design“ und des „privacy by default“ gem. Art. 25 DSGVO. Zu deutsch: Datenschutz durch Technik und datenschutzfreundliche Voreinstellungen. Die Grundsätze betreffen die eben genannten technischen Maßnahmen. Welche konkreten technischen Maßnahmen Sie zu treffen haben, lässt die DSGVO offen. Denkbar sind allerdings solche Maßnahmen, welche die Verarbeitung von personenbezogenen Daten minimieren und welche die personenbezogenen Daten schnellstmöglich pseudonymisieren. Denkbar wäre auch, dass Sie den betroffenen Personen die Möglichkeit geben, die Verarbeitung der personenbezogenen Daten zu überwachen.

Sollten Sie neue Techniken zur Verarbeitung der Daten einführen wollen, müssen Sie eine Datenschutz-Folgenabschätzung vornehmen. Sollte die Abschätzung zu dem Ergebnis gelangen, dass ein hohes Risiko besteht, dass das Datenschutzniveau nicht eingehalten werden kann, ist die Aufsichtsbehörde zu kontaktieren.

3. Dokumentationspflichten

Die DSGVO verlangt weitreichende Dokumentationen Ihrer Datenverarbeitungstätigkeiten. So soll sichergestellt werden, dass Sie sich tatsächlich an die Grundsätze der DSGVO halten. Im Zweifel müssen Sie anhand der Dokumentationen den Nachweis erbringen, dass Sie die datenschutzrechtlichen Vorgaben eingehalten haben (Rechenschaftspflicht).

Die speziellen Anforderungen an die Dokumentation finden Sie in Art. 30 DSGVO, welcher die Pflicht zur Führung eines Verzeichnisses Ihrer Datenverarbeitungstätigkeiten normiert. Die DSGVO fordert die folgenden Angaben von Ihnen:

  • den Namen und die Kontaktdaten des Verantwortlichen und gegebenenfalls des gemeinsam mit ihm Verantwortlichen, des Vertreters des Verantwortlichen sowie eines etwaigen Datenschutzbeauftragten;
  • die Zwecke der Verarbeitung;
  • eine Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten;
  • die Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, einschließlich Empfänger in Drittländern oder internationalen Organisationen;
  • gegebenenfalls Übermittlungen von personenbezogenen Daten an ein Drittland  oder an eine internationale Organisation, einschließlich der Angabe des betreffenden Drittlands oder der betreffenden internationalen Organisation, sowie bei den in Artikel 49 Absatz 1 Unterabsatz 2 genannten Datenübermittlungen die Dokumentierung geeigneter Garantien;
  • wenn möglich, die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien;
  • wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Artikel 32 Absatz 1.

4. Die Auftragsdatenverarbeitung

Nicht gänzlich neu ist die Auftragsdatenverarbeitung. Diese ist bisher in § 11 BDSG alt geregelt. Mit der Datenschutz-Grundverordnung werden allerdings europaweit die selben Anforderungen Geltung erlangen.

Aber wer ist überhaupt Auftragsdatenverarbeiter (ADV)? Art. 4 Nr. 8 DSGVO hält hierfür eine Definition parat:

„Auftragsverarbeiter“ [ist] eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.“

Konkreter ausgedrückt: ADV sind bspw. externe Kundencenter, externe Marketing-Agenturen, externe Rechenzentren oder externe Newsletter-Anbieter.

Verantwortlich für die Einhaltung der datenschutzrechtlichen Bestimmungen ist zunächst einmal der Auftraggeber. Er ist Ansprechpartner für die Betroffenen. Neu an der Datenschutz-Grundverordnung ist, dass der Auftragnehmer mitverantwortlich ist.

So muss auch der ADV nach Art. 30 Abs. 2 DSGVO ein Verzeichnis zu allen Kategorien von im Auftrag eines Verantwortlichen durchgeführten Tätigkeiten der Verarbeitung führen. Er muss nach Art. 31 DSGVO unter Umständen mit der Aufsichtsbehörde zusammenarbeiten und gem. Art. 32 technische und organisatorische Maßnahmen der Datensicherheit treffen.

Des Weiteren ist zu beachten, dass Art. 28 Abs. 3 DSGVO bestimmte Anforderungen für den Vertrag zwischen dem Auftraggeber und dem Auftragnehmer vorsieht. Sie sollten daher Ihre bestehenden Verträge oder Vertragsvorlagen überprüfen.

Der Vertrag mit Ihrem ADV muss insbesondere vorsehen, dass dieser

  • die personenbezogenen Daten nur auf dokumentierte Weisung von Ihnen verarbeitet;
  • gewährleistet, dass sich die zur Verarbeitung der personenbezogenen Daten befugten Personen zur Vertraulichkeit verpflichtet haben oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen;
  • den technischen Datenschutz gewährleistet;
  • für die Inanspruchnahme der Dienste eines weiteren ADV eine vorherige gesonderte oder allgemeine schriftliche Genehmigung von Ihnen einholt und dieselben Anforderungen an den Vertrag mit dem weiteren ADV einhält, die er für den Vertrag mit Ihnen einhalten muss;
  • angesichts der Art der Verarbeitung Sie nach Möglichkeit mit geeigneten technischen und organisatorischen Maßnahmen dabei unterstützt, Ihrer Pflicht zur Beantwortung von Anträgen auf Wahrnehmung der Rechte der betroffenen Person nachzukommen;
  • unter Berücksichtigung der Art der Verarbeitung und der ihm zur Verfügung stehenden Informationen Sie bei der Einhaltung der in den Artikeln 32 bis 36 DSGVO genannten Pflichten unterstützt;
  • nach Abschluss der Erbringung der Verarbeitungsleistungen alle personenbezogenen Daten entsprechend Ihrer Wahl entweder löscht oder zurückgibt, sofern nicht nach dem Unionsrecht oder dem Recht der Mitgliedstaaten eine Verpflichtung zur Speicherung der personenbezogenen Daten besteht;
  • Ihnen alle erforderlichen Informationen zum Nachweis der Einhaltung der in diesem Artikel niedergelegten Pflichten zur Verfügung stellt und Überprüfungen – einschließlich Inspektionen –, die von Ihnen oder einem anderen von Ihnen beauftragten Prüfer durchgeführt werden, ermöglicht und dazu beiträgt.

Neu ist auch, dass nun der ADV für Schadensersatzforderungen haftbar gemacht werden kann (hierzu an späterer Stelle mehr).

5. Der Datenschutzbeauftragte

Unter gewissen Voraussetzungen müssen Sie einen Datenschutzbeauftragten bestellen. Die Voraussetzungen finden Sie in Art. 37 Abs. 1 DSGVO. Ein Datenschutzbeauftragter ist auf jeden Fall zu stellen, wenn

  • die Art, der Umfang und/oder die Zwecke der Datenverarbeitung (insbes. Scoring oder Profiling Maßnahmen) eine umfangreiche regelmäßige und systematische Überwachung erforderlich machen
  • Ihre Kerntätigkeit in der Verarbeitung besonderer Kategorien von Daten (rassische & ethische Herkunft, politische Meinungen, religiöse & weltanschauliche Überzeugungen, Gewerkschaftszugehörigkeit, genetische & biometrische bzw. Gesundheitsdaten) liegt.

Der Datenschutzbeauftragte muss nicht gezwungenermaßen ein betriebsinterner Mitarbeiter sein. Sie können auch einen externen Datenschutzbeauftragten bestellen. Die Kontaktdaten des Datenschutzbeauftragten sind zu veröffentlichen und der Aufsichtsbehörde mitzuteilen.

Unternehmensgruppen dürfen einen gemeinsamen Datenschutzbeauftragten stellen, solange dieser jede Niederlassung leicht erreichen kann. Art. 37 Abs. 5 DSGVO sieht vor, dass der Datenschutzbeauftragte

  • eine berufliche Qualifikation,
  • Fachwissen, auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis, sowie
  • Fähigkeiten zur Erfüllung seiner Aufgaben

vorweisen kann. Die Aufgaben des Datenschutzbeauftragten sind in Art. 39 Abs. 1 DSGVO normiert:

  • Unterrichtung und Beratung des Verantwortlichen oder des Auftragsverarbeiters und der Beschäftigten, die Verarbeitungen durchführen, hinsichtlich ihrer Pflichten nach dieser Verordnung sowie nach sonstigen Datenschutzvorschriften der Union bzw. der Mitgliedstaaten;
  • Überwachung der Einhaltung dieser Verordnung, anderer Datenschutzvorschriften der Union bzw. der Mitgliedstaaten sowie der Strategien des Verantwortlichen oder des Auftragsverarbeiters für den Schutz personenbezogener Daten einschließlich der Zuweisung von Zuständigkeiten, der Sensibilisierung und Schulung der an den Verarbeitungsvorgängen beteiligten Mitarbeiter und der diesbezüglichen Überprüfungen;
  • Beratung – auf Anfrage – im Zusammenhang mit der Datenschutz-Folgenabschätzung und Überwachung ihrer Durchführung gemäß Art. 35 DSGVO;
  • Zusammenarbeit mit der Aufsichtsbehörde;
  • Tätigkeit als Anlaufstelle für die Aufsichtsbehörde in mit der Verarbeitung zusammenhängenden Fragen, einschließlich der vorherigen Konsultation gemäß Art. 36 DSGVO, und gegebenenfalls Beratung zu allen sonstigen Fragen.

Der Datenschutzbeauftragte genießt Weisungsfreiheit und darf aufgrund seiner Tätigkeiten weder benachteiligt noch abberufen werden.

6. Die Informationspflichten / Die Datenschutzerklärung

Nicht vollkommen neu sind die Informationspflichten der datenverarbeitenden Unternehmen. Bereits jetzt müssen Sie nach § 4 Abs. 3 BDSG alt sowie nach § 33 BDSG alt die betroffenen Nutzer informieren. Die Datenschutz-Grundverordnung geht mit ihren Informationspflichten aber über das bisherige Maß hinaus.

Werden die Daten direkt beim Betroffenen erhoben, richten sich die Informationspflichten nach § 13 DSGVO. Nach § 13 Abs. 1 DSGVO müssen folgende Angaben zum Zeitpunkt der Erhebung gemacht werden:

  • den Namen und die Kontaktdaten des Verantwortlichen sowie gegebenenfalls seines Vertreters;
  • gegebenenfalls die Kontaktdaten des Datenschutzbeauftragten;
  • die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen, sowie die Rechtsgrundlage für die Verarbeitung;
  • wenn die Verarbeitung auf Art. 6 Abs. 1 lit. f) DSGVO beruht, die berechtigten Interessen, die von dem Verantwortlichen oder einem Dritten verfolgt werden;
  • gegebenenfalls die Empfänger oder Kategorien von Empfängern der personenbezogenen Daten und
  • gegebenenfalls die Absicht des Verantwortlichen, die personenbezogenen Daten an ein Drittland oder eine internationale Organisation zu übermitteln, sowie das Vorhandensein oder das Fehlen eines Angemessenheitsbeschlusses der Kommission oder im Falle von Übermittlungen gemäß Art. 46 DSGVO oder Art. 47 DSGVO oder Art. 49 Abs. 1 UAbs. 2 DSGVO einen Verweis auf die geeigneten oder angemessenen Garantien und die Möglichkeit, wie eine Kopie von ihnen zu erhalten ist, oder wo sie verfügbar sind.

Weiterhin will die Datenschutz-Grundverordnung eine faire und transparente Datenverarbeitung gewährleisten, sodass nach § 13 Abs. 2 DSGVO zusätzlich die folgenden Informationen zum Zeitpunkt der Erhebung zu gewähren sind:

  • die Dauer, für die die personenbezogenen Daten gespeichert werden oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer;
  • das Bestehen eines Rechts auf Auskunft seitens des Verantwortlichen über die betreffenden personenbezogenen Daten sowie auf Berichtigung oder Löschung oder auf Einschränkung der Verarbeitung oder eines Widerspruchsrechts gegen die Verarbeitung sowie des Rechts auf Datenübertragbarkeit;
  • wenn die Verarbeitung auf Art. 6 Abs. 1 lit. a) DSGVO oder Art. 9 Abs. 2 lit. a) DSGVO beruht, das Bestehen eines Rechts, die Einwilligung jederzeit zu widerrufen, ohne dass die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung berührt wird;
  • das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde;
  • ob die Bereitstellung der personenbezogenen Daten gesetzlich oder vertraglich vorgeschrieben oder für einen Vertragsabschluss erforderlich ist, ob die betroffene Person verpflichtet ist, die personenbezogenen Daten bereitzustellen, und welche mögliche Folgen die Nichtbereitstellung hätte und
  • das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Art. 22 Abs. 1, 4 DSGVO und – zumindest in diesen Fällen – aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person.

Unter der Formulierung „zum Zeitpunkt der Erhebung“ ist der Beginn der Nutzung zu verstehen. Werden Daten bei dem „Betreten“ einer Webseite erhoben, so müssen Sie dem Betroffenen zeitgleich die Möglichkeit geben, von der Datenschutzerklärung Kenntnis zu nehmen.

Werden die Daten nicht direkt bei der betroffenen Person erhoben, so richten sich die Informationspflichten nach § 14 DSGVO, welche den Informationspflichten nach § 13 DSGVO gleichen. Die Informationen nach § 14 DSGVO müssen spätestens einen Monat nach Erlangung der Daten bereitgestellt werden. Sollten die Daten zur Kommunikation mit der betroffenen Person verwendet werden, so muss der Betroffene zum Zeitpunkt der ersten Mitteilung informiert werden.

Auch hinsichtlich der Form der Datenschutzerklärung gibt es einige Aspekte zu beachten:

  • Die Sprache muss klar und einfach Vermeiden Sie technische oder juristische Fachausdrücke.
  • Die Datenschutzerklärung muss präzise (inhaltliche Richtigkeit & Vollständigkeit), transparent und verständlich (Sortierung in Abschnitten mit Überschriften versehen) sein.
  • Die Datenschutzerklärung muss leicht zugänglich Sie muss mit allen gängigen Softwareprogrammen aufrufbar sein. Die Informationen dürfen nicht versteckt werden und müssen für die betroffene Person sofort erkennbar sein.
  • Die Datenschutzerklärung soll in schriftlicher Form Sie kann aber auch die elektronische Form aufweisen.

Ein Verstoß gegen die Informationspflichten kann mit einem Bußgeld geahndet werden, hierzu jedoch an späterer Stelle mehr.

7. Das Recht auf Vergessenwerden

Vielleicht kennen Sie bereits das Recht auf Vergessenwerden. Der EuGH hatte im Jahr 2014 entschieden, dass Personen unter gewissen Voraussetzungen von Suchmaschinen verlangen können, dass bestimmte Suchergebnisse nicht mehr angezeigt werden (EuGH, Urteil v. 13.05.2015, Az. C-131/12).

Dieses Recht auf Vergessenwerden oder anders ausgedrückt: Dieses Recht auf Löschung ist nunmehr in Art. 17 DSGVO kodifiziert. Der erste Absatz der Norm beinhaltet die Voraussetzungen unter welchen ein Anspruch auf Löschung besteht. Wenn eine der folgenden Voraussetzungen erfüllt ist, müssen Sie die Daten unverzüglich, d.h. ohne schuldhaftes Zögern, löschen:

  • Die personenbezogenen Daten sind für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig.
  • Die betroffene Person widerruft ihre Einwilligung, auf die sich die Verarbeitung gemäß Artikel 6 Abs. 1 lit. a) DSGVO oder Art. 9 Abs. 2 lit. a) DSGVO stützte, und es fehlt an einer anderweitigen Rechtsgrundlage für die Verarbeitung.
  • Die betroffene Person legt gemäß Art. 21 Abs. 1 DSGVO Widerspruch gegen die Verarbeitung ein und es liegen keine vorrangigen berechtigten Gründe für die Verarbeitung vor, oder die betroffene Person legt gemäß Art. 21 Abs. 2 DSGVO Widerspruch gegen die Verarbeitung ein.
  • Die personenbezogenen Daten wurden unrechtmäßig verarbeitet.
  • Die Löschung der personenbezogenen Daten ist zur Erfüllung einer rechtlichen Verpflichtung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten erforderlich, dem der Verantwortliche unterliegt.
  • Die personenbezogenen Daten wurden in Bezug auf angebotene Dienste der Informationsgesellschaft gemäß Art. 8 Abs. 1 DSGVO erhoben.

Löschen heißt auch löschen, sodass es bspw. nicht genügt, wenn Sie den Datenträger einfach wegwerfen oder lediglich organisatorische Maßnahmen ergreifen. Wurden die Daten bereits veröffentlicht, müssen Sie die Dritten, die durch Sie in den Besitz der Daten gelangt sind, informieren, dass ein Löschungsverlangen vorliegt.

Es gibt aber auch Ausnahmen zu dem Recht auf Löschung. Diese finden sich in Art. 17 Abs. 3 DSGVO wieder. Ist die Verarbeitung erforderlich

  • zur Ausübung des Rechts auf freie Meinungsäußerung und Information;
  • zur Erfüllung einer rechtlichen Verpflichtung, die die Verarbeitung nach dem Recht der Union oder der Mitgliedstaaten, dem der Verantwortliche unterliegt, erfordert, oder zur Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde;
  • aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit gemäß Art. 9 Abs. 2 lit. h), i) DSGVO sowie Art. 9 Abs. 3 DSGVO;
  • für im öffentlichen Interesse liegende Archivzwecke, wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke gemäß Art. 89 Abs. 1 DSGVO, soweit das in Absatz 1 genannte Recht voraussichtlich die Verwirklichung der Ziele dieser Verarbeitung unmöglich macht oder ernsthaft beeinträchtigt, oder
  • zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen

so müssen Sie die Daten nicht löschen.

8. Das Recht auf Datenportabilität

Eine weitere Neuerung ist das in Art. 20 DSGVO normierte Recht auf Datenportabilität. Nutzer können also ihre Daten von Ihrem Unternehmen bei einem Wechsel zu einem anderen Unternehmen mitnehmen. Denkbar wäre eine Ausübung dieses Rechts, wenn der Nutzer in ein anderes soziales Netzwerk wechselt oder aber der Arbeitgeber gewechselt wird. Sie müssen dann die Daten in einem „strukturierten, gängigen und maschinenlesbaren Format“ dem Nutzer übermitteln.

9. Der Datentransfer in ein Drittland

Auch hinsichtlich der grenzüberschreitenden Datenübermittlung in ein Drittland gibt es einige Punkte zu beachten. Relevant ist dies vor allem, wenn Sie bestimmte Unternehmensprozesse in ein Drittland verlagern. Denken Sie bspw. an

  • die Lohnbuchhaltung
  • die Wartung Ihrer IT-Systeme
  • die Nutzung von Cloudlösungen (Dropbox etc.)

Drittländer im Sinne der DSGVO sind solche Länder, die weder der Europäischen Union, noch dem Europäischen Wirtschaftsraum (Island, Norwegen, Liechtenstein) angehören. Drittländer sind bspw. Russland, China oder die USA.

Ein Datentransfer in ein Drittland ist erst zulässig, wenn die Europäische Kommission festgestellt hat, dass das Drittland ein angemessenes Schutzniveau bietet. Bisher hat die Europäische Kommission lediglich den folgenden Drittländern ein angemessenes Schutzniveau attestiert:

  • Andorra
  • Argentinien
  • Kanada
  • Schweiz
  • Färöer Inseln
  • Isle of Man
  • Jersey
  • Neuseeland
  • Uruguay
  • Guernsey

Die USA hingegen gewährleisten grundsätzlich kein der EU angemessenes Datenschutzniveau. Dennoch ist es möglich, Daten rechtskonform in die USA zu übermitteln. Zwischen der EU und den USA wurde das Abkommen „EU-US Privacy Shield“ geschlossen. Amerikanische Unternehmen müssen sich in eine entsprechende Liste eintragen lassen und sich zertifizieren lassen. Wenn Sie Daten an ein amerikanisches Unternehmen übermitteln wollen, müssen Sie darauf achten, dass das Unternehmen zertifiziert ist und das Zertifikat noch nicht abgelaufen ist.

Darüber hinaus handelt es sich bei dem Datenempfänger zumeist um einen Auftragsdatenvearbeiter, sodass Sie die entsprechenden vertraglichen Anforderungen einhalten müssen. Weiterhin müssen Sie sicherstellen, dass Sie die Datentransfers ordnungsgemäß dokumentieren. Des Weiteren müssen Sie in Ihrer Datenschutzerklärung über Ihre Absicht aufklären, dass die personenbezogenen Daten an ein Drittland übermittelt werden sollen.

10. Die Meldepflicht bei Datenpannen (Data Breach Notification)

Bereits jetzt bestehen Meldepflichten bei Datenpannen, welche durch die Datenschutz-Grundverordnung allerdings nochmals verschärft wurden. Bisher mussten sog. Risikodaten, wie bpsw. Kontodaten, von der Datenpanne betroffen sein und zusätzlich mussten schwerwiegende Beeinträchtigungen für die Rechte und Interessen der Betroffenen drohen.

Die DSGVO kennt den Begriff der Risikodaten nicht mehr. Damit muss nunmehr jedwede Verletzung des Schutzes der personenbezogenen Daten gemeldet werden. Unter einer Datenpanne versteht man eine Verletzung der Sicherheit, die

  • zur Vernichtung
  • zum Verlust
  • zur Veränderung
  • zur unbefugten Offenlegung
  • oder unbefugten Zugang

von personenbezogenen Daten führt. Der Hintergrund der Datenpanne spielt keine Rolle. Es werden

  • unbeabsichtigte (nicht ordnungsgemäße Entsorgen von Unterlagen oder Liegenlassen von Datenträgern) und
  • beabsichtigte (Weitergabe an Unbefugte, Hacking oder Pishing)

Handlungen als Datenpanne eingeordnet.

Von der Meldepflicht bei einer Datenpanne wird lediglich eine Ausnahme gemacht und zwar dann, wenn die Verletzung voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt. Die Meldung ist bei der zuständigen Aufsichtsbehörde zu machen und hat binnen einer Frist von 72 Stunden zu erfolgen.

Für die Meldung schreibt die DSGVO in Art. 33 Abs. 3 bestimmte Mindestangaben vor:

  • eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten, soweit möglich mit Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen, der betroffenen Kategorien und der ungefähren Zahl der betroffenen personenbezogenen Datensätze;
  • den Namen und die Kontaktdaten des Datenschutzbeauftragten oder einer sonstigen Anlaufstelle für weitere Informationen;
  • eine Beschreibung der wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten;
  • eine Beschreibung der von dem Verantwortlichen ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten und gegebenenfalls Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen.

Aber auch der Betroffene muss unter Umständen informiert werden. Dies ist dann der Fall, wenn die Verletzung des Schutzes personenbezogener Daten voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen zur Folge hat. Die Benachrichtigung des Betroffenen hat unverzüglich, also ohne schuldhaftes Zögern zu erfolgen.

Auch im Bereich der Datenpannen bestehen Dokumentationspflichten. Zum einem ist die Verletzung an sich zu dokumentieren. Darüber hinaus aber auch jegliche Fakten die mit der Verletzung im Zusammenhang stehen, die Auswirkungen der Verletzung sowie die ergriffenen Abhilfemaßnahmen.

11. Das One-Stop-Shop-Prinzip

Eine zu begrüßende Neuerung der Datenschutz-Grundverordnung ist das sog. One-Stop-Shop-Prinzip, welches bei der grenzüberschreitenden Datenverarbeitung zum Tragen kommt. Bisher mussten Sie sich bei der grenzüberschreitenden Datenverarbeitung mit verschiedenen Datenschutzbehörden auseinandersetzen. Vor allem die teilweise unterschiedlichen Rechtsauffassungen der Behörden stellten die Unternehmen vor Probleme.

Damit ist ab dem 25.05.2018 Schluss: Nach Art. 56 Abs. 6 DSGVO ist die federführende Aufsichtsbehörde der einzige Ansprechpartner der Verantwortlichen oder der Auftragsverarbeiter für Fragen der von diesem Verantwortlichen oder diesem Auftragsverarbeiter durchgeführten grenzüberschreitenden Verarbeitung (One-Stop-Shop-Prinzip).

Voraussetzung für die Anwendbarkeit des Art. 56 DSGVO ist eine grenzüberschreitende Datenverarbeitung. Diese wird wiederum in Art. 4 Nr. 23 DSGVO definiert. Hiernach liegt eine grenzüberschreitende Verarbeitung vor, wenn entweder

  • eine Verarbeitung personenbezogener Daten, die im Rahmen der Tätigkeiten von Niederlassungen eines Verantwortlichen oder eines Auftragsverarbeiters in der Union in mehr als einem Mitgliedstaat erfolgt, wenn der Verantwortliche oder Auftragsverarbeiter in mehr als einem Mitgliedstaat niedergelassen ist, oder
  • eine Verarbeitung personenbezogener Daten, die im Rahmen der Tätigkeiten einer einzelnen Niederlassung eines Verantwortlichen oder eines Auftragsverarbeiters in der Union erfolgt, die jedoch erhebliche Auswirkungen auf betroffene Personen in mehr als einem Mitgliedstaat hat oder haben kann.

Die federführende Aufsichtsbehörde ist nach Art. 56 Abs. 1 DSGVO die Aufsichtsbehörde der Hauptniederlassung. Doch was ist die Hauptniederlassung? Hierauf gibt Art. 4 Nr. 16 DSGVO eine Antwort:

„Hauptniederlassung“

a ) im Falle eines Verantwortlichen mit Niederlassungen in mehr als einem Mitgliedstaat den Ort seiner Hauptverwaltung in der Union, es sei denn, die Entscheidungen hinsichtlich der Zwecke und Mittel der Verarbeitung personenbezogener Daten werden in einer anderen Niederlassung des Verantwortlichen in der Union getroffen und diese Niederlassung ist befugt, diese Entscheidungen umsetzen zu lassen; in diesem Fall gilt die Niederlassung, die derartige Entscheidungen trifft, als Hauptniederlassung;

b) im Falle eines Auftragsverarbeiters mit Niederlassungen in mehr als einem Mitgliedstaat den Ort seiner Hauptverwaltung in der Union oder, sofern der Auftragsverarbeiter keine Hauptverwaltung in der Union hat, die Niederlassung des Auftragsverarbeiters in der Union, in der die Verarbeitungstätigkeiten im Rahmen der Tätigkeiten einer Niederlassung eines Auftragsverarbeiters hauptsächlich stattfinden, soweit der Auftragsverarbeiter spezifischen Pflichten aus dieser Verordnung unterliegt;

Zur Bestimmung der Hauptniederlassung kommt es demnach darauf an, wo die datenschutzrechtlichen Entscheidungen getroffen werden. In der Praxis kann die Bestimmung der Hauptniederlassung allerdings durchaus problematisch werden, wenn nicht klar ist wo die datenschutzrechtlichen Entscheidungen getroffen werden. Es bleibt daher abzuwarten, wie das gut gemeinte One-Stop-Shop-Prinzip in der Praxis funktioniert.

12. Pflichten für Arbeitgeber / Arbeitnehmerdatenschutz

Der Arbeitnehmerdatenschutz (Beschäftigtendatenschutz) findet sich nicht in der Datenschutz-Grundverordnung als eigenständige Regelung wieder. Allerdings wurde mit Art. 88 DSGVO eine sog. Öffnungsklausel in die Datenschutz-Grundverordnung aufgenommen, welche es den Mitgliedsstaaten ermöglicht, eigene Regelungen zu entwerfen.

Hiervon hat der deutsche Gesetzgeber bereits Gebrauch gemacht. Als Teil des Datenschutz-Anpassungs- und Umsetzungsgesetz EU (DSAnpUG-EU) tritt am 25.05.2018, zeitgleich mit der Datenschutz-Grundverordnung, die Neufassung des Bundesdatenschutzgesetz (BDSG neu) in Kraft.

Nach § 26 Abs. 1 S. 1 BDSG neu dürfen personenbezogene Daten von Beschäftigten für Zwecke des Beschäftigungsverhältnisses verarbeitet werden, wenn dies für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses oder nach Begründung des Beschäftigungsverhältnisses für dessen Durchführung oder Beendigung oder zur Ausübung oder Erfüllung der sich aus einem Gesetz oder einem Tarifvertrag, einer Betriebs- oder Dienstvereinbarung (Kollektivvereinbarung) ergebenden Rechte und Pflichten der Interessenvertretung der Beschäftigten erforderlich ist.

Natürlich darf sich der Arbeitgeber für die Verarbeitung der personenbezogenen Daten eine Einwilligung des Betroffenen einholen. Häufig ist allerdings die Freiwilligkeit der Einwilligung ein Problem. Schließlich besteht zwischen Arbeitgeber und Arbeitnehmer ein Abhängigkeitsverhältnis. Diesem Umstand will Art. 26 Abs. 2 BDSG neu Rechnung tragen. Zur Beurteilung der Freiwilligkeit sollen die Abhängigkeit sowie die Umstände, unter denen die Einwilligung erteilt worden ist, berücksichtigt werden.

Die Einwilligung bedarf allerdings der Schriftform, sodass eine Unterschrift des Betroffenen von Nöten ist. Des Weiteren müssen Sie den Arbeitnehmer über den Zweck der Datenverarbeitung und sein Widerrufsrecht aufklären. Zusätzlich sollten Sie dies dokumentieren.

Darüber hinaus umfasst der Arbeitnehmerbegriff nach § 26 Abs. 8 BDSG neu nunmehr auch Leiharbeiter und Freiwillige im Rahmen des Jugendfreiwilligendienstes oder des Bundesfreiwilligendienstes. Auch wenn der deutsche Gesetzgeber eine eigenständige Regelung erlassen hat, sind die Grundsätze der Datenschutz-Grundverordnung einzuhalten. Dies ergibt sich aus § 26 Abs. 5 BDSG neu:

„Der Verantwortliche muss geeignete Maßnahmen ergreifen, um sicherzustellen, dass insbesondere die in Artikel 5 der Verordnung (EU) 2016/679 dargelegten Grundsätze für die Verarbeitung personenbezogener Daten eingehalten werden.“

13. Die Haftung bei Verstößen

Sollten Sie in irgendeiner Weise gegen die Datenschutz-Grundverordnung verstoßen, so drohen empfindliche Sanktionen. Neben Bußgeldern, welche von den jeweiligen Aufsichtsbehörden verhängt werden, wird es sogar möglich sein, selbst für immaterielle Schäden Schadensersatz zu verlangen.

Doch damit nicht genug: Datenschutz- und Verbraucherverbände können Sie bei Verstößen auf Unterlassung in Anspruch nehmen. Hierfür müssen die Verbände nicht mal von einer betroffenen Person beauftragt werden. An dieser Stelle soll nicht unerwähnt bleiben, dass auch strafrechtliche Konsequenzen drohen. Die entsprechenden Strafgesetze sind aber von den einzelnen Mitgliedsstaaten zu erlassen.

a. Bußgelder

Vor allem die Höhe der Bußgelder wird sich ab dem 25.05.2018 ändern. Nach § 43 Abs. 3 BDSG alt ist ein Bußgeld im Einzelfall bis zu 300.000 € möglich. Sollten Sie bspw. gegen die Bedingungen für eine Einwilligung in die Datenverarbeitung verstoßen, so kann nach Art. 83 Abs. 5 lit. a) DSGVO ein Bußgeld von bis zu 20.000.000 € oder im Fall eines Unternehmens von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt werden, je nachdem, welcher der Beträge höher ist.

Bei der Verhängung der Bußgelder haben die Aufsichtsbehörden darauf zu achten, dass die Bemessung der Höhe im Einzelfall wirksam, verhältnismäßig und abschreckend ist (vgl. Art. 83 Abs. 1 DSGVO). Die Datenschutz-Grundverordnung gibt darüber hinaus bestimmte Bemessungskriterien vor, welche in Art. 83 Abs. 2 DSGVO normiert sind. Hierzu zählen:

  • Art, Schwere und Dauer des Verstoßes unter Berücksichtigung der Art, des Umfangs oder des Zwecks der betreffenden Verarbeitung sowie der Zahl der von der Verarbeitung betroffenen Personen und des Ausmaßes des von ihnen erlittenen Schadens;
  • Vorsätzlichkeit oder Fahrlässigkeit des Verstoßes;
  • jegliche von dem Verantwortlichen oder dem Auftragsverarbeiter getroffenen Maßnahmen zur Minderung des den betroffenen Personen entstandenen Schadens;
  • Grad der Verantwortung des Verantwortlichen oder des Auftragsverarbeiters unter Berücksichtigung der von ihnen gemäß den Art. 25, 32 DSGVO getroffenen technischen und organisatorischen Maßnahmen;
  • etwaige einschlägige frühere Verstöße des Verantwortlichen oder des Auftragsverarbeiters;
  • Umfang der Zusammenarbeit mit der Aufsichtsbehörde, um dem Verstoß abzuhelfen und seine möglichen nachteiligen Auswirkungen zu mindern;
  • Kategorien personenbezogener Daten, die von dem Verstoß betroffen sind;
  • Art und Weise, wie der Verstoß der Aufsichtsbehörde bekannt wurde, insbesondere ob und gegebenenfalls in welchem Umfang der Verantwortliche oder der Auftragsverarbeiter den Verstoß mitgeteilt hat;
  • Einhaltung der nach Art. 58 Abs. 2 DSGVO früher gegen den für den betreffenden Verantwortlichen oder Auftragsverarbeiter in Bezug auf denselben Gegenstand angeordneten Maßnahmen, wenn solche Maßnahmen angeordnet wurden;
  • Einhaltung von genehmigten Verhaltensregeln nach Art. 40 DSGVO oder genehmigten Zertifizierungsverfahren nach Art. 42 DSGVO und
  • jegliche anderen erschwerenden oder mildernden Umstände im jeweiligen Fall, wie unmittelbar oder mittelbar durch den Verstoß erlangte finanzielle Vorteile oder vermiedene Verluste.

Neben den Bußgeldern kann die Aufsichtsbehörde nach Art. 58 Abs. 2 DSGVO Maßnahmen treffen. Hierzu gehören unter anderem Verwarnungen, Anweisungen, aber auch das Verhängen eines Verbots zur Verarbeitung personenbezogener Daten.

b. Schadensersatz

Nicht allein im Bereich der Bußgelder erfährt der Datenschutz eine schärfere Haftung, auch die Regelungen hinsichtlich des Schadensersatzes wurden ausgeweitet. Bislang konnten nach § 7 BDSG alt lediglich Vermögensschaden ersetzt verlangt werden. Die Datenschutz-Grundverordnung sieht nun in Art. 82 Abs. 1 auch Schadensersatz für immaterielle Schäden vor.

Bei solchen immateriellen Schäden handelt es sich um Eingriffe in das allgemeine Persönlichkeitsrecht des Betroffenen. Gemeint ist hier insbesondere das Recht auf informationelle Selbstbestimmung. Wird in irgendeiner Art und Weise gegen die Datenschutz-Grundverordnung verstoßen, bspw. weil der Betroffene im Rahmen der Einwilligung nicht ordentlich informiert wurde, so kann dies eine Schadensersatzpflicht begründen.

Bisher urteilte die deutsche Rechtsprechung äußerst restriktiv im Bezug auf Schadensersatz für Nichtvermögensschäden. Lediglich in wenigen Fällen wurde hierfür Schadensersatz gewährt, so bspw. im Fall Kachelmann oder im Fall Kohl. Da die deutschen Gerichte daran gebunden sind, das Europäische Recht möglichst effektiv umzusetzen, wird allein die Zukunft zeigen, ob die deutsche Gerichtsbarkeit weiterhin restriktiv urteilen wird.

Ein weiterer Aspekt, den Sie zu beachten haben: Ein Datenschutzverstoß kommt selten allein. Zumeist wird der Fehler, welcher den Schadensersatz begründet, im System liegen. Dies hat zur Folge, dass Sie sich nicht nur einer Schadensersatzklage ausgesetzt sehen werden.

Sollte es zu einem Klageverfahren kommen, hat zunächst der Kläger zu beweisen, dass ein Verstoß gegen die Datenschutz-Grundverordnung vorliegt. Diesen Beweis wird der Kläger ohne allzu große Mühe erbringen können, schließlich unterliegen Sie umfassenden Informationspflichten.

Sie wiederum müssen den Beweis erbringen, dass Sie sich an die Vorgaben der Datenschutz-Grundverordnung gehalten haben, was sich in der Praxis durchaus schwierig gestalten dürfte. Aus diesem Grunde sollten Sie Ihren Dokumentationspflichten unbedingt nachkommen. Ohne eine entsprechende Dokumentation wird Ihnen der Beweis so gut wie nicht möglich sein.

Die Haftung wird aber nicht allein im Hinblick auf Nichtvermögensschäden verschärft, auch wird der Auftragsdatenverarbeiter stärker in die Pflicht genommen. Zwar haftet er grundsätzlich mit dem Unternehmer zusammen gegenüber dem Betroffenen, allerdings beschränkt sich die Haftung des Auftragsdatenverarbeiters auf die Verpflichtungen seiner konkreten Tätigkeiten.

Inwiefern der Datenschutzbeauftragte haftbar gemacht werden kann, ist noch nicht ganz klar. Feststeht jedoch: Der Datenschutzbeauftragte ist für die Überwachung der Einhaltung der Datenschutz-Grundverordnung zuständig bzw. verantwortlich. So wird er auch eher haftbar gemacht werden können. In welchem Umfang die Haftung erfolgt, müssen allerdings zunächst die Aufsichtsbehörden und die Gerichte entscheiden.

Fazit

Mit der Datenschutz-Grundverordnung kommen viele Neuerungen auf Sie zu. Einige Unternehmen sind bereits seit einiger Zeit mit der Umsetzung der neuen Vorgaben beschäftigt. Vor allem im Hinblick auf die umfassenden Sanktionsmöglichkeiten bei Datenschutzverstößen sollten Sie bereits jetzt damit beginnen, die Dokumenationspflichten umzusetzen. Nur so können Sie sich effektiv gegen etwaige Bußgelder oder Schadensersatzforderungen zur Wehr setzen.

Des Weiteren sollten Sie im Blick behalten, dass voraussichtlich im Jahr 2019 zusätzlich die ePrivacy-Verordnung auf Sie zukommen wird. Die ePrivacy-Verordnung wird die Datenschutz-Grundverordnung konkretisieren, insbesondere hinsichtlich dem Einsatz von Cookies zum Zwecke des Trackings.

Unsere Empfehlung: Lassen Sie es nicht darauf ankommen und kümmern Sie sich frühzeitig um die Umsetzung der neuen datenschutzrechtlichen Vorgaben.

Praxishandbuch Anspruchsdurchsetzung im Wettbewerbsrecht

2., vollständig überarbeitete und aktualisierte Auflage

Chronologisch aufgebaut, differenzierte Gliederung, zahlreiche Querverweise und, ganz neu: Umfangreiche Praxishinweise zu jeder Prozesssituation.

Mehr erfahren

Praxishandbuch Anspruchsdurchsetzung im Wettbewerbsrecht