Die aktuelle EU-Datenschutzgrundverordnung (EU-DSGVO) seit Mai 2018
Mythos: "...am 25. Mai 2018 trat die neue EU-DSGVO in Kraft.": Falsch, denn das war bereits am 17. Mai 2016: Veröffentlichung im Amtsblatt der EU am 27. April + Art. 99 (1). Die Zeit zwischen dem 27. April bzw. nach in Kraft treten am 17. Mai 2016 und 25. Mai 2018 WAR die Karenzeit. D.h. Rechtswirksame Gültigkeit ("gilt") ist ab dem 25. Mai 2018. Sowohl für Unternehmen als auch für Privatpersonen bringt sie viele Änderungen, Vor- und Nachteile im Vergleich zur bisherigen Rechtslage mit sich. Seit 25. Mai 2018 gilt auch in Deutschland die Datenschutzgrundverordnung (DSGVO) der Europäischen Union (EU). Durch das neue EU-Recht werden unmittelbar das bisherige Bundesdatenschutzgesetz (BDSG) und die EU-Datenschutzrichtlinie (Richtlinie 95/46/EG), auf der das BDSG basiert, abgelöst. Zeitgleich tritt ein dazu gehöriges deutsches Ergänzungsgesetz (Datenschutz-Anpassungs- und -Umsetzungsgesetz – DSAnpUG) in Kraft, das die DSGVO zum Teil modifiziert und konkretisiert. Die DSGVO wird künftig noch durch die noch in Abstimmung befindliche EU-ePrivacy-Verordnung, sowie welche die Internet- und Telemediendienste betrifft, ergänzt. Ziel der 99 Artikel ist zunächst ein weitestgehend einheitliches Datenschutzrecht innerhalb der EU. Darin sollen vor allem die Rechte und Kontrollmöglichkeiten derjenigen gestärkt werden, deren personenbezogene Daten verarbeitet werden (die sog. "Betroffenen"). Wesentliche Elemente des bisherigen BDSG werden zwar erhalten bleiben. So gleichen die in Art. 5 DSGVO festgelegten Grundsätze der Datenverarbeitung, an denen sich die Verordnung orientiert, im Kern denen des BDSG: Rechtmäßigkeit, Zweckbindung, Datenminimierung (Datensparsamkeit), Richtigkeit, Zeitliche Beschränkung (Speicherbegrenzung), Integrität und Vertraulichkeit sowie eine Rechenschaftspflicht der Verantwortlichen für die Einhaltung dieser Grundsätze. Dennoch wird es zukünftig einige Änderungen geben, die es zu beachten gilt – sowohl für Unternehmen als auch für Privatpersonen. Gerade für Unternehmen ist es wichtig, sich bereits jetzt in der Übergangsphase um die Umsetzung der neuen Regelungen zu kümmern und neue datenschutzrechtliche Prozesse zu etablieren. Sonst drohen im Extremfall saftige Bußgelder für die verspätete Einführung um Umsetzung der neuen Vorgaben.
1. Allgemeines
1.1 Neu ist was genau?
Die neue Verordnung geregelt konkret vor allem die Rechtsgrundlagen der Datenverarbeitung, die Rechte der Betroffenen und die Pflichten der Verantwortlichen. Die Rechte der Nutzer werden durch neue Transparenz- und Informationspflichten der datenverarbeitenden Unternehmen gestärkt. Betroffene sollen leichter Zugang zu ihren Daten und der Information über deren Nutzung haben. Außerdem wird das bislang nur gerichtlich konstruierte „Recht auf Vergessenwerden“, also der Anspruch auf Löschung personenbezogener Daten, nun in Gesetzesform gegossen. Neben bereits bekannten Pflichten stellt die DSGVO auch weitergehende Anforderungen an den Datenschutz in Unternehmen. Neu ist beispielsweise die Pflicht, elektronische Geräte und Anwendungen datenschutzfreundlich voreinzustellen. Ebenfalls neu eingeführt wird die Pflicht zur Datenschutz-Folgenabschätzung bei besonderen Risiken für die erhobenen Daten, etwa durch neue Technologien. Außerdem gilt die DSGVO auch für Unternehmen, die ihren Sitz außerhalb der EU haben, wenn sich ihre Angebote sich aber an EU-Bürger wenden. Dies hat weitreichende Konsequenzen etwa für Unternehmen wie Facebook und Google mit Sitz in den USA. Der Bußgeldrahmen bei Verstößen wird erheblich erhöht und kann bis zu 4 Prozent des weltweiten Jahresumsatzes eines Unternehmens betragen.
Wann dürfen Daten verarbeitet werden?
Die Datenverarbeitung (DV) ist auch nach der DSGVO weiterhin nur zulässig, wenn es die Verordnung oder ein anderes Gesetz ausdrücklich erlaubt (Verbot mit Erlaubnisvorbehalt). So ist es derzeit auch im BDSG geregelt – hier wird sich also nichts Wesentliches ändern. Die praktisch relevantesten Erlaubnistatbestände nach Art. 6 DSGVO sind:
es liegt eine Einwilligung des Betroffenen vor. Art. 7 und Art. 8 DSGVO definieren die Anforderungen, die an diese Einwilligung zu stellen sind. So soll etwa das Mindestalter bei 16 Jahren liegen – es sei denn, die einzelnen Staaten senken die Altersgrenze auf maximal 13 Jahren ab.
die Verarbeitung ist für die Erfüllung eines Vertrags oder zur Durchführung vorvertraglicher Maßnahmen erforderlich.
die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich.
die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, wenn keine schutzwürdigen Interessen des Betroffenen überwiegen. Zwar hat man als Betroffener hiergegen ein Widerspruchsrecht, auf das er auch hingewiesen werden muss – doch es ist unklar, aus welchen Gründen ein solcher Widerspruch Erfolg haben könnte. Daher dürfte dieses Recht ins Leere laufen.
In Abs. 4 ist aber auch eine Regelung enthalten, nach der Daten später auch zu Zwecken verarbeitet werden dürfen, die nicht dem ursprünglichen Zweck der Erhebung entsprechen. Dies ist aber nur dann zulässig, wenn die Verarbeitung mit dem ursprünglichen Erhebungszweck kompatibel ist. Hierzu zählt ausdrücklich die Nutzung zu statistischen Zwecken. Allerdings müssen die Betroffenen darüber informiert werden.
1.2 Welche Daten dürfen nicht verarbeitet werden?
Ähnlich der bisherigen Regelung im BDSG sieht nun auch Art. 9 DSGVO besondere Kategorien von Daten vor, die grundsätzlich nicht verarbeitet werden dürfen. Dies sind Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie die Verarbeitung von genetischen Daten, Gesundheitsdaten und Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person hervorgehen. Die Kategorien sind weiter als die im BDSG, insbesondere fallen auch biometrische Daten (Fingerprint, Stimmerkennung etc.) nun darunter. Die Verarbeitung dieser Daten ist allerdings dann erlaubt, wenn ein Ausnahmetatbestand einschlägig ist. Im Wesentlichen ist das der Fall, wenn die betroffene Person eingewilligt hat oder die Verarbeitung zur Geltendmachung und Abwehr von Rechten und Ansprüchen erforderlich ist. Dieser Erlaubnistatbestand ist – anders als bisher im BDSG – aufgrund der europäischen Richtlinie nicht mehr auf die gerichtliche Geltendmachung oder Abwehr beschränkt.
2. Rechte der Betroffenen
2.1 Informationspflichten
Art. 13 und 14 DSGVO sehen für Unternehmen umfangreiche Informationspflichten vor, wenn Daten beim Betroffenen oder bei Dritten (wie etwa der Schufa) erhoben werden. Diese erweiterten Pflichten sollen den Datenschutz im Vergleich zu den aktuell geltenden Regelungen des BDSG stärken.
Im Wesentlichen müssen folgende Informationen mitgeteilt werden:
ggf. Kontaktdaten des Datenschutzbeauftragten (DSB),
Zwecke und Rechtsgrundlage der Datenverarbeitung,
Darstellung der berechtigten Interessen (sofern die Verarbeitung auf Tatbestand der Interessenabwägung gem. Art. 6 Abs. 1 f) BDSG beruht),
ggf. Empfänger oder Kategorien von Empfängern der Daten,
ggf. Informationen zur Datenübermittlung in Drittländer,
Dauer der Datenspeicherung,
Belehrung über Betroffenenrechte (Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Widerspruchsrecht, Datenportabilität und Beschwerderecht zur Aufsichtsbehörde),
Grundlage der Bereitstellung der Daten auf gesetzlicher oder vertraglicher Basis und Folgen der Nichtbereitstellung,
Bestehen einer automatisierten Einzelfallentscheidung einschließlich Profiling (z.B. das Erstellen eines umfassenden Nutzerprofils oder die Bildung von sog. Scorewerten durch Verknüpfen, Speichern, Auswerten und Zusammenlegen von verschiedenen Daten zu einer Person.)
Bei der Erhebung der Daten beim Betroffenen müssen die Unternehmen nach Art. 13 DSGVO sofort bei Erhebung der Daten, z. B. bei der Bestellung eines Newsletters, entsprechend informieren. Dies sollte nach Art. 12 Abs. DSGVO schriftlich, aber auch in anderer Form (elektronisch, unter Umständen auch mündlich) geschehen. Dabei ist auf eine präzise, transparente, verständliche und leicht zugängliche Form sowie eine klare und einfache Sprache zu achten. Bei der Erhebung der Daten bei Dritten kann die Information nach Art. 14 DSGVO auch später erfolgen.
Von den Informationspflichten gelten allerdings einige Ausnahmen. So hat der Betroffene etwa keinen Informationsanspruch, wenn er bereits über diese Informationen verfügt. Der Anspruch ist auch dann ausgeschlossen, wenn die Informationserteilung einen unverhältnismäßig hohen Aufwand erfordert oder gar unmöglich ist. In diesem Fall ist allerdings eine öffentliche Bekanntmachung dieser Information, z.B. auf einer Webseite, erforderlich. Auch gilt diese Ausnahme nur, im Fall der Datenerhebung bei Dritten, nicht jedoch wenn die Daten beim Betroffenen erhoben werden.
Wurden den Betroffenen diese Daten einmal mitgeteilt, haben sie nach Art. 19 DSGVO einen weiteren Informationsanspruch, wenn diese Daten wieder berichtigt, gelöscht oder deren Verarbeitung eingeschränkt wurden.
2.2 Auskunftsrecht
Die Betroffenen haben gem. Art. 15 DSGVO ein umfassendes Auskunftsrecht, das mit dem bisherigen § 34 BDSG vergleichbar ist. Neu ist allerdings, dass der Betroffene auch die Auskunft und die Übermittlung der Daten in elektronischer (gängiger) Form und auch eine Kopie der Daten verlangen kann.
Wenn das Unternehmen die personenbezogenen Daten verarbeitet, kann die betroffene Person über diese etwa Informationen verlangen wie: Woher stammen die Daten und an wen werden sie übermittelt? Zu welchen Zwecken werden die Daten verarbeitet? Wird daraus etwa ein Profiling erstellt? Und wie lange werden sie gespeichert?
Unklar ist, ob nur der Betroffene selbst oder etwa ein Vertreter (z.B. ein Rechtsanwalt) diese Auskunft verlangen darf. Die meisten Juristen gehen davon aus, dass es ein höchstpersönlicher Anspruch ist, den man nur selbst geltend machen kann oder der zumindest eine spezielle auf den Auskunftsanspruch gerichtete Vollmacht des Betroffenen erfordert.
2.3 Recht auf Datenübertragbarkeit
Der Betroffene wir durch das neu etablierte Recht auf Datenübertragbarkeit (Datenportabilität) gem. Art. 20 DSGVO befugt, ihre Daten „mitzunehmen“. Das bedeutet, dass er ein Unternehmen anweisen kann, gewisse Daten von einer automatisierten Anwendung (etwa einem sozialen Netzwerk) auf eine andere Anwendung zu übertragen. Dieses Recht soll es Betroffenen erleichtern, von den Anbieter zu wechseln, ohne Daten zu verlieren. Diese müssen dann in einem strukturierten, maschinenlesbaren Format übermittelt werden. Die Datenportabilität betrifft aber nur solche Daten, die der Nutzer selbst zur Verfügung gestellt hat und nicht etwa sonstige erhobene personenbezogene Daten.
2.4 Recht auf Löschung („Recht auf Vergessenwerden“)
Art. 17 DSGVO gibt Betroffenen erstmal qua Gesetz ein „Recht auf Vergessenwerden“, also ein Recht auf Löschung der eigenen Daten, wenn:
die Speicherung der Daten nicht mehr notwendig ist
der Betroffene seine Einwilligung zur Datenverarbeitung widerrufen hat
die Daten unrechtmäßig verarbeitet wurden
eine Rechtspflicht zum Löschen nach EU- oder nationalem Recht besteht
Das Recht auf Vergessenwerden findet allerdings keine Anwendung, wenn:
die freie Meinungsäußerung bzw. die Informationsfreiheit überwiegen
die Datenspeicherung der Erfüllung einer rechtlichen Verpflichtung dient
das öffentliche Interesse im Bereich der öffentlichen Gesundheit überwiegt
Archivzwecke, wissenschaftliche und historische Forschungszwecke dem entgegenstehen
die Speicherung zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich ist
Bislang hatte es zu diesem Punkt lediglich Gerichtsentscheidungen gegeben und die Umsetzung der Löschpflicht war in großen Teilen unklar. Die neue Norm sieht hierzu eine detaillierte Prozedur vor. Ergänzend dazu sieht Art. 16 ein „Recht auf Berichtigung“ vor. Danach können Betroffene verlangen, dass unrichtige personenbezogene Daten berichtigt und unvollständige vervollständigt werden. Schließlich sieht Art. 18 noch ein Recht vor, dass Daten nur aus eingeschränkten Gründen verarbeitet werden dürfen. Dies kommt etwa dann zur Anwendung, wenn der Betroffene die Richtigkeit der Daten bestritten hat oder wenn die Verarbeitung unrechtmäßig ist.
2.5 Widerspruch bei automatisierten Einzelfallentscheidungen
Nach Art. 22 DSGVO sollen Betroffene nur noch das Recht haben, einer automatisierten Einzelfallentscheidung zu widersprechen. Die Regelung unterscheidet sich damit erheblich von dem bisherigen § 6a BDSG. Die deutsche Norm hatte solche Entscheidungen bis auf enge Ausnahmen generell verboten, unabhängig von einem Widerspruch des Betroffenen.
Zu automatisierten Einzelfallentscheidungen zählen alle rechtlich relevanten oder sonst erheblich einschränkenden Entscheidungen, die nicht von einem Mensch getroffen wurden. Das können z.B. die automatische Ablehnung eines Online-Kreditantrags, ein Online-Einstellungsverfahren oder andere Maßnahmen sein, bei denen persönlichen Aspekte lediglich elektronisch ausgewertet werden. Dazu zählt vor allem auch das Profiling (z. B. für die Werbung), bei dem Daten zur Analyse oder Prognose für Persönlichkeitsmerkmale verwendet werden wie etwa die Arbeitsleistung, die wirtschaftliche Lage, die Gesundheit, persönlichen Vorlieben oder Interessen, die Zuverlässigkeit oder das Verhalten.
Weiterhin verboten bleiben solche Entscheidungen aber bei den bereits beschriebenen besonders sensiblen Daten (Art. 22 Abs. 4, Art. 9 DSGVO).
Das Widerspruchsrecht gilt nach Abs. 2 ausnahmsweise nicht, wenn eine automatisierte Entscheidung z. B. für den Abschluss oder die Erfüllung eines Vertrages mit dem Betroffenen oder mit ausdrücklicher Einwilligung des Betroffenen erfolgt. Außerdem enthält das deutsche Umsetzungsgesetzentwurf in § 37 weitere Ausnahmen vor – u. a. wenn dem Begehren des Betroffenen uneingeschränkt stattgegeben wird sowie und für Krankenversicherer im Rahmen der Leistungsprüfung. Dem Betroffenen ist in diesen Fällen aber die Möglichkeit zu eröffnen, die automatisierte Entscheidung überprüfen zu lassen.
3. Vorgaben für Unternehmen
Technischer und organisatorischer Datenschutz
Verantwortliche müssen geeignete technische und organisatorische Maßnahmen (TOM) treffen, um Datenschutz und Datensicherheit zu gewährleisten (Art. 24, 25 DSGVO). Welche Maßnahmen konkret erforderlich sind, hängt u.a. vom Stand der Technik sowie der Eintrittswahrscheinlichkeit und Schwere der Risiken für die persönlichen Rechte und Freiheiten ab. Daten sollen danach z.B. so wenige Daten wie möglich erhoben werden; diese sollen so schnell wie möglich pseudonymisiert werden. Außerdem müssen technische Geräte und IT-Anwendungen zukünftig so voreingestellt werden, dass nur solche Daten erhoben werden, die für den Zweck der Verarbeitung notwendig sind. Die DSGVO und das neue DSAnpUG-EU beschreiben im Einzelnen die erforderlichen Kontrollmaßnahmen (Art. 32 DSGVO und §§ 64 ff. und 71 bis 74 DSAnpUG-EU).
3.1 Gemeinsame Datenverarbeitung
Nach Art. 26 DSGVO ist es zukünftig auch zulässig, dass mehrere verantwortliche Stellen die erlaubte Datenverarbeitung gemeinsam durchführen können. Erforderlich ist hierzu eine transparente Vereinbarung, die die jeweiligen Zwecke und Verantwortlichkeiten sowie die Handhabung hinsichtlich der Betroffenenrechte festlegt. Betroffene können ihre Rechte aber weiterhin gegenüber jedem einzelnen Verantwortlichen geltend machen.
3.2 Auftragsdatenverarbeitung
Die Auftragsdatenverarbeitung ist auch in Art. 28 und 29 DSGVO zukünftig erlaubt. Darunter versteht man die Erhebung, Verarbeitung oder Nutzung von personenbezogenen Daten durch einen Auftragsverarbeiter gemäß den Weisungen des für die Verarbeitung Verantwortlichen auf Grundlage eines schriftlichen Vertrags. Darunter fallen z.B. Unternehmen, die ihre Daten bei einem externen Rechenzentrum speichern oder die eine externe Stelle mit der Erstellung etwa von Rechnungen beauftragen.
Die neuen Regelungen ähneln den Vorgaben des § 11 BDSG, enthalten aber weiter gehende Pflichten für beide Seiten. Die Auftragsverarbeitung ist nur zulässig, wenn der Auftragsverarbeiter hinreichende Garantien für eine ordnungsgemäße Datenverarbeitung bietet. Art. 28 DSGVO enthält eine umfangreiche Aufzählung von Regelungsinhalten sowie Rechte und Pflichten, die in dem Vertrag zwingend vereinbart werden müssen. Vieles ist ähnlich geregelt wie in § 11 BDSG. Neu ist allerdings, dass auch der Auftragsverarbeiter ein „Verzeichnis der Verarbeitungstätigkeiten“ führen muss (s.u.).
Datenverarbeitung und auch Auftragsverarbeitung ist in Drittstaaten – wie bisher – nur zulässig, wenn dort ein angemessenes Datenschutzniveau gewährleistet ist. Die bisherige deutsche Restriktion, dass in Drittstaaten – auch bei angemessenem Datenschutzniveau – keine Daten der besonderen Art (z. B. Gesundheitsdaten) verarbeitet werden dürfen, entfällt nach der DSGVO.
3.3 Verzeichnis der Verarbeitungstätigkeiten
In Art. 30 DSGVO ist vorgeschrieben, dass der Verantwortliche bzw. der Auftragsverarbeiter ein „Verzeichnis der Verarbeitungstätigkeiten“ führen müssen. Ähnlich dem bisherigen Verfahrensverzeichnis nach § 4g Abs. 2 in Verbindung mit § 4e BDSG handelt es sich dabei um eine Dokumentation und Übersicht aller Verfahren, bei denen personenbezogene Daten verarbeitet werden. Unter bestimmten Voraussetzungen können Unternehmen mit weniger als 250 Beschäftigten nach Art. 30 Abs. 5 DSGVO von dieser Pflicht ausgenommen sein. Die neue Verordnung sieht im Vergleich zur bisherigen Rechtslage zusätzliche Angaben vor, wie z. B. Name und Kontaktdaten des ggf. bestellten Datenschutzbeauftragten, Löschfristen und die TOM. Unternehmen müssen dieses Verzeichnis außerdem auf Anfrage der Aufsichtsbehörde zur Verfügung stellen. Allerdings fällt die noch im BDSG geregelte Pflicht weg, das Verzeichnis jedermann auf Anforderung zur Verfügung zu stellen.
3.4 Datenschutzfolgenabschätzung
Gänzlich neu für Unternehmen ist die in Art. 35 DSGVO geregelte Datenschutzfolgenabschätzung. Sie ist nach Abs. 1 immer dann durchzuführen, wenn ein Datenverarbeitungsverfahren voraussichtlich ein hohes Risiko für die Rechte und Freiheiten der Betroffenen birgt. Dies ist insbesondere der Fall bei der Verwendung neuer Technologien oder sonst aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung.
Die Folgeschutzabschätzung erfolgt in 3 Stufen:1. In der 1. Stufe ist zu prüfen, ob ein hohes Risiko für die Rechte und Freiheiten der Betroffenen besteht. Abs. 3 als nennt als Hauptanwendungsgebiete Technologien, die automatisiert, systematisch und umfassend Daten erfassen, verarbeiten und bewerten.
2. Wenn ein solches Risiko besteht, ist in einer 2. Stufe eine Bewertung dahingehend vorzunehmen, ob die geplanten Abhilfemaßnahmen und Sicherheitsvorkehren ausreichen, um den Schutz der Daten zu gewährleisten. Außerdem muss der Nachweis erbracht werden, dass die DSGVO eingehalten und den Interessen der Betroffenen Rechnung getragen wird.
3. Kommt die Bewertung zu dem Ergebnis, dass trotz möglicher Maßnahmen ein hohes Risiko besteht, muss in einer 3. Stufe die Aufsichtsbehörde konsultiert werden (Art. 36 DSGVO). Diese kann dann innerhalb von 8 Wochen Empfehlungen aussprechen. (Diese Frist kann je nach Komplexität von der Aufsichtsbehörde verlängert werden.) Zuständige Behörde ist in Deutschland der Bundesbeauftragte nach § 69 Abs. 1 DSAnpUG-EU. Ist in dem Unternehmen ein Datenschutzbeauftragter bestellt, muss er in die Datenschutz-Folgenabschätzung eingebunden werden. Die Datenschutzfolgenabschätzung ist schriftlich zu dokumentieren. Es kann u. U. zweckmäßig sein, dies mit dem Verzeichnis der Verarbeitungstätigkeiten (s.o.) zu verknüpfen.
3.5 Melde- und Informationspflichten bei Datenpannen
Für die bisher in § 42a BDSG vorgeschrieben Melde- und Informationspflichten bei Datenpannen/Incidents gelten zukünftig die Vorgaben des Art. 33 DSGVO. Danach müssen grds. alle Verletzungen des Schutzes personenbezogener Daten gemeldet werden, es sei denn, das Risiko für persönliche Rechte und Freiheiten ist unwahrscheinlich.
Unternehmen müssen solche Incidents der Aufsichtsbehörde binnen 72 Stunden nach Bekanntwerden der Verletzung erfolgen und folgende Informationen übermitteln:
Beschreibung des Incidents, Angabe der Kategorie der betroffenen Daten, Anzahl der Betroffenen und betroffenen Datensätze,
Name und Kontaktdaten des Datenschutzbeauftragten oder eines anderen informierten Ansprechpartners,
Beschreibung der Folgen der Datenschutzverletzung,
Beschreibung der ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung oder Abmilderung der Verletzung.
In Deutschland ist der Bundesbeauftragte für Datenschutz die zuständige Aufsichtsbehörde (§ 65 DSAnpUG-EU).
Außerdem müssen die von einer Verletzung Betroffenen grds. selbst benachrichtigt werden (Art. 34 DSGVO und § 66 DSAnpUG-EU). Die Benachrichtigungspflicht entfällt aber, wenn:
der Verantwortliche Vorkehrungen getroffen hat, die Daten Unbefugten unzugänglich zumachen, etwa durch Verschlüsselung,
der Verantwortliche nachträglich Maßnahmen ergriffen hat, durch die das hohe Risiko für die Rechte und Freiheiten der Betroffenen aller Wahrscheinlichkeit nach nicht mehr bestehen,
sie einen unverhältnismäßig hohen Aufwand erfordern würde – dann muss allerdings eine öffentliche Bekanntmachung oder eine ähnliche Maßnahme erfolgen.
3.6 Datenschutzbeauftragter
Nach Art. 37 DSGVO müssen Unternehmen immer dann einen betrieblichen Datenschutzbeauftragten benennen, wenn ihre Kerntätigkeit bzw. die ihres Auftragsverarbeiters:
aus Verarbeitungsvorgängen besteht, die nach Art, Umfang und/oder Zweck eine systematische Überwachung erfordern
die Verarbeitung besonders sensibler Daten nach Art. 9 und 10 DSGVO betrifft
Das § 38 DSAnpUG-EU erweitert die Gründe für die Benennung eines Datenschutzbeauftragten. Sie ist danach auch dann erforderlich, wenn der Verantwortliche oder Auftragsverarbeiter:
in der Regel mindestens 10 Personen ständig mit der Datenverarbeitung beschäftigt
Verarbeitungen vornimmt, die der Datenschutzfolgenabschätzung unterliegen (dies ist insbesondere relevant bei Gesundheitsdaten)
personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung verarbeitet
Der Datenschutzbeauftragte muss entsprechend beruflich und fachlich qualifiziert sein. Er kann Mitarbeiter des datenverarbeitenden Unternehmens sein, es können aber auch ein externer eingesetzt werden. Hat ein Konzern mehrere Gesellschaften, können diese auch einen gemeinsamen Beauftragten benennen (Konzerndatenschutzbeauftragter).
Ohne wichtigen Grund gem. § 626 BGB darf er weder abberufen noch gekündigt werden (§ 38 in Verbindung mit § 6 Abs. 4 DSAnpUG-EU).
Nach Art. 38 DSGVO ist der Datenschutzbeauftragte frühzeitig einzubinden, fachlich weisungsfrei und berichtet unmittelbar der höchsten Managementebene.
Seine Aufgaben umfassen nach Art. 39 DSGVO die:
Unterrichtung und Beratung des Verantwortlichen bzw. Auftragsverarbeiters sowie deren Beschäftigten,
Überwachung der Einhaltung der rechtlichen Regelungen sowie der Strategien des Verantwortlichen bzw. Auftragsverarbeiters einschließlich der Zuweisung von Zuständigkeiten und die Sensibilisierung und Schulung der relevanten Mitarbeiter
Beratung – auf Anfrage – im Zusammenhang mit der Datenschutz-Folgenabschätzung und Überwachung gem. Art. 35 DSGVO
Zusammenarbeit mit der Aufsichtsbehörde
Tätigkeit als Anlaufstelle der Aufsichtsbehörde
Der externe Datenschutzbeauftragte kann im Unternehmen auch zusätzlich andere Aufgaben wahrnehmen, sofern sichergestellt ist, dass daraus kein Interessenkonflikte entwickelt. Die sind Tätigkeiten, welche nicht im direkten
Zusammenhang mit der Verarbeitung personenbezogener Daten stehen.
Abschließend...
... von der Theorie zur Praxis: künftige Gerichtsentscheidungen werden die grundlegene Richtung von schwammigen Passagen wie ein "angemessenes Schutzniveau" (Art. 45) in der DSGVO zementieren.
Es ist noch lange nicht alles in Stein gemeiselt: Ist die Angst vor dem Schreckgespenst DSGVO abgeklungen ist, wird sich zeigen wie gewillt die Unternehmen wirklich sind, die Verordnung aus Brüssel zu praktizieren.
Letztes Update/Stand: Juni 2018