Überspringen zu Hauptinhalt

DSGVO – Die wichtigsten Keyfacts zur Datenschutz-Grundverordnung

Die Datenschutz-Grundverordnung (DSGVO) stellt Unternehmen vor erhebliche Herausforderungen. Sie ist am 25. Mai 2018 in allen Staaten der Europäischen Union (EU) in Kraft getreten. Nationale Regelungen, wie etwa das Bundesdatenschutzgesetz (BDSG) oder das Telemediengesetz (TMG), sind grundsätzlich nicht mehr anwendbar – außer dort, wo die DSGVO über Öff-nungsklauseln weiterhin vereinzelt nationale Regelungen zulässt. Aus diesem Grund gibt es weiterhin ein BDSG, dass ebenfalls zu beachten ist.In jedem Falle gilt: Verstöße gegen den Datenschutz sind kein Kavaliersdelikt mehr, denn die Bußgelder wurden drastisch erhöht. Der vorliegende Leitfaden gibt einen Überblick über die wichtigsten Fragen und Antworten, mit denen sich Unternehmen zum neuen Datenschutzrecht beschäftigen müssen.

Hilft es, wenn wir unsere Server ins Ausland verlegen?

Nein, leider hilft das gar nicht! Die Regelungen der DSGVO gelten

  • für Unternehmen mit Niederlassungen in der EU, auch wenn die Datenverarbeitung außerhalb der EU stattfindet;
  • für Unternehmen mit Niederlassungen außerhalb der EU, wenn die Datenverarbeitung im Zusammenhang steht mit
    • dem (auch kostenlosen) Anbieten von Waren oder Dienstleistungen oder
    • der Beobachtung des Verhaltens von Bürgern innerhalb der EU.

Damit steht fest: Die DSGVO gilt für alle in einem Mitgliedsstaat der EU niedergelassenen Unternehmen oder Auftragsverarbeiter und zwar unabhängig davon, ob die Datenverarbeitung innerhalb oder außerhalb der EU stattfindet. Die EU-Regelungen gelten daher auch dann, wenn Unternehmen die Datenverarbeitung in Drittstaaten außerhalb der EU auslagern und zum Beispiel Server in den USA anmieten oder dort Auftragsverarbeiter mit der Datenverarbeitung beauftragen. Die DSGVO greift deshalb zum Beispiel auch bei Cloud-Anwendungen mit Servern außerhalb der EU.

Außerdem findet die DSGVO Anwendung auf Unternehmen, die keine Niederlassung in der EU haben, aber trotzdem personenbezogene Daten von EU-Bürgern verarbeiten. Die Regelung gilt daher für Onlineshops aus Drittländern, die auf EU-Bürger ausgerichtet sind genauso wie für Anbieter, die das Verhalten von EU-Bürgern durch Tracking oder Profiling beobachten. Damit müssen auch Unternehmen außerhalb Europas die DSGVO beachten (z. B. Facebook, Alibaba usw.).

Was sind personenbezogene Daten nach der DSGVO?

Die DSGVO gilt nur, wenn es um die Verarbeitung von personenbezogenen Daten geht. Das sind alle Informationen, die sich auf eine identifizierte oder identifizierbare Person beziehen. Dazu gehören nicht nur Name, Adresse oder E-Mail-Adresse einer Person, sondern explizit auch Online-Kennungen wie die IP-Adresse, Cookie-Kennungen, die Informationen zum Gerät oder zu Software-Anwendungen der Person. „Identifizierbar“ ist eine Person auch dann, wenn ihre Daten zwar pseudonomisiert wurden, aber mit weiteren Informationen auf dem Server zusammengeführt und so zur Profilbildung genutzt werden können.

Auch die Daten von Geschäftskontakten in einem anderen Unternehmen sind personenbezogene Daten und fallen in den Anwendungsbereich der DSGVO, denn auch hier werden Namen gespeichert. Ausgenommen sind nur reine Firmendaten von Unternehmen an sich.

Die DSGVO gilt auch nicht für die Verarbeitung personenbezogener Daten durch natürliche Personen bei ausschließlich persönlichen oder familiären Tätigkeiten. Damit fallen z. B. private Posts nicht unter die DSGVO. Betroffene, die sich ungewollt auf Facebook wiederfinden, können sich daher nicht etwa bei den Datenschutzbehörden beschweren und wegen Verletzung “ihres” Datenschutzrecht die Löschung des Posts verlangen.

DSGVO Datenschutzgrundverodnung

Unter welchen Voraussetzungen ist die Datenverarbeitung erlaubt?

Grundsätzlich ist die Datenverarbeitung verboten, es sei denn, es greift ein „Erlaubnistatbestand“: Das ist der Fall, wenn das Gesetz sagt, Sie dürfen Daten verarbeiten.

Das sind die Erlaubnistatbestände nach der DSGVO:

Die rechtmäßige Datenverarbeitung setzt voraus, dass einer der nachfolgenden Erlaubnistatbestände erfüllt ist:

  1. Es liegt die Einwilligung der betroffenen Person vor;
  2. Es gibt ein berechtigtes Interesse an der Datenverarbeitung und schutzwürdige Interessen des Betroffenen (insbesondere von Kindern) stehen dem nicht entgegen;
  3. Die Datenverarbeitung ist erforderlich
    • zur Erfüllung eines Vertrags;
    • für vorvertragliche Maßnahmen auf eine Anfrage hin;
    • zur Erfüllung einer rechtlichen Verpflichtung des Verantwortlichen;
    • zum Schutz lebenswichtiger Interessen der betroffenen Person oder einer anderen natürlichen Person;
    • im öffentlichen Interesse oder in Ausübung öffentlicher Gewalt.

Von den Erlaubnistatbeständen sind vor allem die Werbeeinwilligung, das berechtigte Interesse, die Vertragserfüllung bei Kunden und die vorvertraglichen Maßnahmen nach einer Interessentenanfrage praxisrelevant.

So können die Erlaubnistatbestände nach der DSGVO in der Praxis ineinandergreifen

Beispiel:

Ein Interessent meldet sich über das Kontaktformular der Webseite und lässt sich ein Angebot zuschicken

  • Art. 6 Abs. 1 b DSGVO (Erforderlichkeit zur Durchführung vorvertraglicher Maßnahmen auf eine Anfrage hin)

Nach einigen Tagen erteilt der Interessent einen Auftrag und ist jetzt Kunde. der Auftrag wird abgewickelt und dem Kunden eine Rechnung geschickt

Parallel dazu abonniert der Kunde noch den Newsletter auf der Webseite des Unternehmens.

Nachdem der Kunde die Rechnung bezahlt hat, bleiben seine Daten im System gespeichert.

  • Art. 6 Abs. 1 c DSGVO (Erforderlichkeit zur Erfüllung einer rechtlichen verpflichtung; hier: steuerrechtliche und/oder handelsrechtliche Archvierungspflichten, 6 bzw. 10 Jahre).

Nach einiger Zeit will der ehemalige Kunde, dass seine Daten gelöscht werden.

  • Art. 6 Abs. 1 c DSGVO (Archivierungspflichten bestehen fort, auf die Einwilligung des Betroffenen kommt es hier nicht an; allerdings müssen die zu Werbezwecken gespeicherten Daten zum Newsletter-abonnement gelöscht werden, Art. 6 Abs. 1 a DSGVO (Einwilligung) ist weggefallen.

Was muss bei der Einwilligung nach DSGVO beachtet werden?

Einwilligungen können schriftlich, elektronisch oder mündlicherteilt werden. Der “Verantwortliche”, also das Unternehmen, muss die Einwilligung nachweisen können. Die Einwilligungserklärung ist daher zu protokollieren:

  • bei digitalen Einwilligungen sollten Sie dazu das Double-Opt-In-Verfahren nutzen, bei dem Sie zunächst eine E-Mail mit einem Bestätigungslink versenden und den Betroffenen erst dann in den Verteiler aufnehmen, wenn der Link geklickt wurde. Nur so können Sie nachweisen, dass der Inhaber der E-Mail-Adresse auch eingewilligt hat.
  • bei“face-to-face”-Einwilligungen, z. B. nach Kunden- oder Messegesprächen kann die Einwilligung auch auf Papier (z. B. in einem Gesprächsprotokoll) dokumentiert werden.

Außerdem muss der Betroffene auf sein Widerrufsrechthingewiesen werden und ist darüber zu informieren, wer der Verantwortliche ist und für welche Zwecke die Daten verarbeitet werden.

Muster Newsletteranmeldung:
Ich willige hiermit ein, über neueste Produkte und Angebote per E-Mail Newsletter der MUSTER GmbH informiert zu werden. Der Widerruf dieser Einwilligung ist jederzeit möglich, z.B. per E-Mail an info@muster-shop.de. Durch den Widerruf wird die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt.

Benötigen Sie Checkboxen?

Die Einwilligung kann nach den Erwägungsgründen zur DSGVO durch Anklicken eines Kästchens beim Besuch einer Internetseite, durch die Auswahl technischer Einstellungen oder durch eine andere Erklärung oder Verhaltensweise geschehen, mit der die betroffene Person allerdings eindeutig ihr Einverständnis mit der beabsichtigten Verarbeitung ihrer personenbezogenen Daten signalisiert. Stillschweigen, bereits angekreuzte Kästchen oder Untätigkeit der betroffenen Person können daher keine Einwilligung darstellen. Dabei ist eine Checkbox zum Ankreuzen nur dann erforderlich, wenn zum Beispiel eine Werbeeinwilligung für den Newsletter-bezug in einem anderen Formular, etwa einer Bestellung, integriert wird. Dann muss dokumentiert werden, dass der Betroffene die Newslettereinwilligung tatsächlich erteilen wollte und diese nicht in der Bestellung “untergegangen” ist.

Für Einwilligungen von Jugendlichen gilt:

Jugendliche sind ab einem Alter von 16 Jahren selbst zur Einwilligung berechtigt, bei Kindern ist die Einwilligung der Eltern einzuholen.

Was erfordert das berechtigte Interesse?

Aufgrund der neu geschaffenen „Online-Marketing-Klausel“ in Art. 6 Abs. 1 f DSGVO kann Werbung auch ohne Einwilligung des Betroffenen aufgrund eines „berechtigten Interesses“ des Werbetreibenden zulässig sein. Voraussetzung ist aber eine Abwägung: Das berechtigte Interesse darf nicht offensichtlich hinter dem Interesse des Betroffenen zurückstehen.

Dass es sich bei den Werbeinteressen der Onlinebranche um „berechtigte Interessen“ im Sinne der DSGVO handeln kann, ergibt sich aus dem Erwägungsgrund 47. Dieser stellt ausdrücklich klar, dass die Durchführung von Direktmarketing als berechtigtes Interesse betrachtet werden kann. Gerade im Online-Marketing wird man also abwarten müssen, welche Werbemaßnahmen schließlich als „berechtigtes Interesse“ anzusehen sein werden und welche nicht.

Das berechtigte Interesse können Sie als Unternehmen jedoch nur für sich beanspruchen, wenn der konkrete Zweck der Datenerhebung und -verarbeitung klar im Einzelfall defininiert ist. Die Datenerhebung muss also z. B. für den konkreten Marketing-Zweck notwendig sein. Hinzu kommt, dass – wie schon erwähnt – die berechtigten Interessen des Unternehmers mit den Interessen des Betroffenen abzuwägen sind. Dabei darf das Interesse des Betroffenen am Schutz seiner personenbezogenen Daten nicht gegenüber den Interessen des Unternehmens überwiegen. Hier spielt auch eine Rolle, inwieweit der Betroffene mit der Datenerhebung und –verarbeitung zu den konkreten Werbezwecken rechnen muss.

Wann ist die Datenverarbeitung zur Vertragserfüllung erlaubt?

Die Datenverarbeitung zur Erfüllung vertraglicher Pflichten bleibt wie bisher erlaubt. Alle personenbezogenen Daten dürfen daher weiter ohne Erlaubnis des Betroffenen erhoben und verarbeitet werden, wenn das zur

  • Begründung,
  • Durchführung,
  • Beendigung

der vertraglichen Beziehungen erforderlich ist. Standardbeispiel in diesem Bereich ist die Bestellung im Online-Shop. Die Kundendaten, die zur Abwicklung der Bestellung erforderlich sind (Name, Adresse, Bankverbindung, E-Mail-Adresse usw.) dürfen zu diesem Zweck gespeichert werden. Nicht erforderlich zur Zweckerreichung ist allerdings die dauerhafte Speicherung in einem Kundenkonto oder die Verwendung der E-Mail-Adresse für die Versendung von Mailings oder Newslettern. Dafür wäre eine Einwilligung erforderlich.

Was gilt für die Bearbeitung von eingehenden Anfragen?

Was für die Datenverarbeitung zur Vertragserfüllung gilt, gilt auch für die Bearbeitung von eingehenden Anfragen: Fordert ein Interessent z. B. am Messestand oder elektronisch per E-Mail oder über das Kontaktformular auf der Webseite die Übersendung eines Angebots oder sonstiger Informationen an, dürfen seine Daten nur für diesen Zweck verwendet und gespeichert werden. Es wäre unzulässig, weitergehend Werbe-E-Mails zu versenden oder den Interessenten gar in den Verteiler für die Lead-Generierung aufzunehmen, ohne dass dafür zuvor die Einwilligung eingeholt wurde.

Was erlaubt die Datenverarbeitung zur Erfüllung rechtlicher Verpflichtungen?

Es gibt gesetzliche Gründe, die zur Datenverarbeitung berechtigen, ohne dass extra eine Einwilligung des Betroffenen eingeholt werden muss:

Archivierungspflicht nach § 147 Abs. 1 Abgabenordnung (AO):

  • 10 Jahre u.a. Bücher, Handelsbücher, Inventare, Jahresabschlüsse, Lageberichte, Eröffnungsbilanz, Buchungsbelege, sonstige Unterlagen, soweit sie für die Besteuerung von Bedeutung sind.
  • 6 Jahre alle anderen aufbewahrungspflichtigen Geschäftsunterlagen, z. B. empfangene Handels- und Geschäftsbriefe, Wiedergaben der abgesandten Handels- und Geschäftsbriefe.
  • Frist beginnt mit Ablauf des Kalenderjahres, in dem die letzten Eintra-gungen, Änderungen oder Handlungen in den jeweiligen Unterlagen vorgenommen wurden bzw. Handelsbriefe empfangen oder abgesandt worden sind.

Archivierungspflicht nach §§ 238 Abs. 2, 257 Handelsgesetz-buch (HGB):

  • 10 Jahre u.a. Handelsbücher, Inventare, Eröffnungsbilanzen, Jahresabschlüsse, Einzelabschlüsse, Lageberichte, Konzernabschlüsse, Konzernlageberichte, Buchungsbelege.
  • 6 Jahre empfangene Handelsbriefe, Wiedergaben der abgesandten Handelsbriefe.
  • mit dem Schluss des Kalenderjahrs, in dem die letzte Eintragung in das Handelsbuch gemacht, das Inventar aufgestellt, die Eröffnungsbilanz oder der Jahresabschluss festgestellt, der Konzernabschluss aufgestellt, der Handelsbrief empfangen oder abgesandt worden oder der Buchungsbeleg entstanden ist.

DSGVO Datenschutz-Grundverordnung

Welche Datenschutzprinzipien müssen wir einhalten?

Unabhängig davon, dass eine Datenverarbeitung immer nur zulässig ist, wenn entweder eine Einwilligung oder ein gesetzlicher Erlaubnistatbestand greift (vgl. Seite 10), müssen zusätzlich immer auch die Datenschutzprinzipien der DSGVO eingehalten werden. Fehlt es daran, kann eine Datenverarbeitung rechtswidrig sein und zu Bußgeldern führen.

Das bedeutet praktisch: Liegt z. B. zwar eine Einwilligung des Betroffenen vor, werden aber – gemessen am Zeck – unnötig viele Daten abgefragt, kann die Datenverarbeitung insgesamt wegen Verstoßes gegen das Prinzip der Datensparsamkeit rechtswidrig sein und ein Bußgeld nach sich ziehen. Gleiches gilt, wenn die Daten zu einem bestimmten Zweck abgefragt wurden und später zu einem neuen, anderen Zweck verwendet werden, ohne erneut zuvor die Einwilligung einzuholen. Dann liegt ein Verstoß gegen den Zweckbindungsgrundsatz vor.

Das sind die Datenschutzprinzipien im Überblick:

    • Rechtmäßigkeit: Es muss eine Rechtsgrundlage für die Verarbeitung existieren (vgl. Erlaubnistatbestände);
    • Treu und Glauben: Die Verarbeitung muss redlich und anständig sein (unbestimmter Rechtsbegriff);
    • Transparenz: Die Datenverarbeitung muss für die betroffene Person nachvollziehbar sein (vgl. Informationspflichten, Datenschutzinformation);
    • Zweckbindungsgrundsatz: Die Datenverarbeitung darf nur zu vorher festgelegten, eindeutigen und legitimen Zwecken erfolgen; Big-Data-Anwendungen, bei denen größere Daten-mengen angelegt werden, ohne zuvor transparent den Zweck festzulegen und die Daten auch nur innerhalb dieses Rahmens zu nutzen, sind daher kritisch zu bewerten;
    • Datensparsamkeit: Die Datenverarbeitung muss auf das zweckgebundene, notwendige Maß beschränkt sein;
    • Sachliche Richtigkeit: Die Daten müssen sachlich richtig und auf dem neuestem Stand sein;
    • Begrenzte Speicherung: Die Daten sind frühestmöglich zu löschen, sobald die zweckgebundene Erforderlichkeit der Speicherung wegfällt;
    • Integrität und Vertraulichkeit: Unzulässigkeit der unbefugten oder unrechtmäßigen Verarbeitung und Schutz vor Verlust und Schädigung.

Was gehört in die Datenschutzinformation?

Nach Art. 13, 14 DSGVO muss das Unternehmen als Verantwortlicher den Betroffenen “zum Zeitpunkt” der Datenerhebung über verschiedene Punkt informieren. Hier eine Liste der Angaben, die – zumeist innerhalb der Datenschutzinformation, aber ggf. auch in den Allgemeinen Geschäftsbedingungen, Nutzungsbedingungen und sonstigen Rechtstexten – gemacht werden müssen:

      • Namen und die Kontaktdaten der verantwortlichen Stelle und des ggf. nicht in der EU niedergelassenen Vertreters oder Auftragsverarbeiters;
      • ggf. Kontaktdaten des Datenschutzbeauftragten;
      • Zweck und Rechtsgrundlage der Datenverarbeitung; sollen z. B. „berechtigte Interessen“ die Rechtsgrundlage sein, ist darzulegen, worin sie bestehen;
      • ggf. die Empfänger oder Kategorien von Empfängern der personenbezogenen Daten: Sollen Daten an Dritte weitergegeben werden, sind die Empfänger anzugeben. Stehen diese nicht fest, können Angaben zur Kategorie der Empfänger gemacht werden (z.B. „Weitergabe an Werbepartner“; „Weitergabe an Versandunternehmen“; „Weitergabe an andere Unternehmen im selben Konzern“);
      • ggf. Informationen zum Datentransfer in Drittstaaten einschließlich der Rechtsgrundlage und ggf. Veröffentlichung der Standardvertragsklauseln oder Binding Corporate Rules (BCR) mit Quellenangabe;
      • Angaben zur Speicherdauer personenbezogener Daten bzw. Kriterien, nach denen sich die Speicherdauer bestimmt;
      • Information über das Bestehen des Auskunfts-, Berichtigungs-, Löschungs-, Einschränkungs-, Widerspruchs- oder Widerrufsrecht sowie das Recht auf Übertragbarkeit der Daten und das Recht auf Beschwerde bei einer Aufsichtsbehörde;
      • ggf. Hinweis und Information zum Profiling oder eine andere Art von automatisierter Einzelfallentscheidung;
      • ggf. Angaben zur Herkunft der Daten: Werden die Daten nicht bei dem Betroffenen erhoben, sind die die Quellen anzugeben, aus denen die Daten stammen. Handelt es sich um öffentlich zugängliche Quellen, ist dies ebenfalls anzugeben.Hinweis, ob der Betroffene gesetzlich oder vertraglich zur Bereitstellung personenbezogener Daten verpflichtet oder ob die Bereitstellung der personenbezogenen Daten für einen Vertragsschluss erforderlich ist, einschließlich der Belehrung über die möglichen Folgen einer verweigerten Bereitstellung.

Wir empfehlen, die Datenschutzinformation in jedem Falle individuell zu erstellen. In der Rechtsprechung besteht die Auffassung, das Verstöße in diesem Bereich gleichzeitig einen Wettbewerbsverstoß darstellen können. Bei der Formulierung der Datenschutzinformation ist daher größte Sorgfalt angebracht.

Was sind die sonstigen Pflichten für Unternehmen?

Über die neuen Informationspflichten hinaus obliegen den datenverarbeitenden Unternehmen noch weitere Pflichten, deren Nichtbeachtung hohe Bußgelder nach sich ziehen kann.

Hier ein Überblick:

      • Dokumentationspflicht mit Datenschutz-Folgeabschätzung;
      • Umsetzung von technischen und organisatorischen Maßnahmen zur Gewährleistung des Datenschutzes:
        • „Datenschutz by Design“: Sicherstellung des Datenschutzes durch technische Maßnahmen. Dazu sind interne Maßnahmen und Strategien im Unternehmen festzulegen und nachzuweisen;
        • „Datenschutz by Default“: Einhaltung der Anforderung zu datenschutzfreundlichen Voreinstellungen;
      • Meldepflichten bei Datenpannen gegenüber der Aufsichtsbehörde (binnen 72 Stunden) und gegenüber den betroffenen Personen (unverzüglich);
      • Monatsfrist: Machen Betroffene ihre Rechte auf Auskunft, Berichtigung, Löschung usw. geltend, muss der Verantwortliche „unverzüglich“ tätig werden und hat längstens eine Reaktionszeit von einem Monat.

Beispiele für technischen Maßnahmen zur Gewährleistung der Datensicherheit sind u.a. die Trennung der Daten nach Verarbeitungszweck, die Verarbeitung nur der erforderlichen Daten, der Zugriffsschutz, die Anonymisierung und Pseudonymisierung der Daten, die verschlüsselte Kommunikation und die Nutzung von Zertifizierungen.

Benötigen wir ein Verarbeitungsverzeichnis?

Ja, die DSGVO verlangt ein “Verzeichnis von Verarbeitungstätigkeiten“, für das der Verantwortliche, also die Unternehmensführung zuständig ist. Das Verzeichnis muss das Unternehmen jederzeit vorlegen können.

Eine Einschränkung besteht für Unternehmen mit weniger als 250 Mitarbeitern, die nur in folgenden Fällen kein Verzeichnis führen müssen:

      • die von ihnen vorgenommene Verarbeitung birgt kein Risiko für die Rechte und Freiheiten der betroffenen Personen,
      • oder die Verarbeitung von Daten erfolgt nur gelegentlich;
      • oder es werden keine sensitiven Daten verarbeitet (z. B. Gesundheitsdaten, Daten aus Strafregistern …).

Was muss ins Verarbeitungsverzeichnis?

Die wichtigsten Punkte sind u.a.

      • der Zweck der Datenverarbeitung;
      • die Beschreibung der Kategorien der betroffenen Personen und der personenbezogenen Daten;
      • die Angabe der Kategorien von Empfängern, ggü. denen die Daten offengelegt wurden und noch werden (auch im Ausland);
      • die Fristen für die Löschung der Daten;
      • ggf. Datenübermittlungen in Drittstaaten;
      • die Beschreibung der technischen und organisatorischen Maßnahmen, die die Datensicherheit gewährleisten.

Von den Ausnahmen ist diejenige, dass das Unternehmen nur gelegentlich Daten verarbeitet, die praxisrelevanteste. Allerdings greift sie in den seltensten Fällen, denn auch in einem Ein-Mann-Unternehmen werden jeden Tag E-Mails versendet usw., so dass auch hier von einer gelegentlichen Datenverarbeitung keine Rede sein kann. Auch kleine Unternehmen müssen daher im Normalfall ein Verarbeitungsverzeichnis führen.

Wann müssen wir eine DSGVO-Risiko-Folgenabschätzung vornehmen?

Die bisherige Vorab-Kontrolle nach dem alten BDSG ist entfallen. Nach der DSGVO ist aber eine vorherige Folgenabschätzung vorzunehmen, wenn die Datenverarbeitung voraussichtlich ein hohes Risiko für die Betroffenen haben wird. Eine Risiko-Folgenabschätzung ist zum Beispiel vorzunehmen bei systematischen Bewertungen der Persönlichkeit einschließlich Profilings als Grundlage für Entscheidungen mit Rechtswirkung oder bei der Verarbeitung besonders sensitiver Daten wie z. B. Gesundheitsdaten. Mehrere Aufichtsbehördenhaben zwischenzeitlich sog. Positivlisten veröffentlicht, wann eine Datenschutzfolgeabschätzung durchzuführen ist. Diese sind zwar nicht abschließend, können aber bei der Abwägung helfen.

Diese Punkte gehören u.a. in eine Folgenabschätzung:

      • Ablauf und Zweck der Verarbeitungsverfahren;
      • Notwendigkeit und Verhältnismäßigkeit der einzelnen Verarbeitungsverfahren;
      • Risiken für die Betroffenen;
      • Technische und organisatorische Maßnahmen zur Gewährleistung der Datensicherheit.

Neu sind Konsultationspflichten bei der Folgenabschätzung:

      • Ggf. muss der Standpunkt der Betroffenen zu der beabsichtigten Verarbeitung eingeholt werden;
      • Gibt es einen Datenschutzbeauftragten, ist dessen Rat bei Durchführung der Datenschutz-Folgenabschätzung ein-zuholen;
      • Ergibt die Abschätzung ein hohes Risiko für die Betroffenen, ohne dass Maßnahmen zur Eindämmung des Risikos getroffen sind, ist vor der Verarbeitung die Aufsichtsbehörde zu konsultieren.

Legen Sie ein Team und die Zuständigkeiten fest. Nach der DSGVO muss die fachverantwortliche Stelle im Unternehmen ggf. den Rat des Datenschutzbeauftragten einholen. Aber auch hier gilt trotzdem: Die Haftung bleibt beim Verantwortlichen.

Was sind die Rechte der Betroffenen nach DSGVO?

Auch die Rechte der Betroffenen haben zusätzliche Pflichten auf der Seite des Datenverarbeiters zur Folge. Hier die Wichtigsten in der Übersicht:

      • Auskunftsrecht: Die betroffene Person hat ein Recht auf Bestätigung darüber, ob sie betreffende personenbezogene Daten verarbeitet werden und, soweit das der Fall ist, ein Recht auf Auskunft über die Umstände der Datenverarbeitung;
      • Löschungsrecht: Es bleibt dabei, dass Daten auch auf Anforderung des Betroffenen zu löschen sind, wenn kein gesetzlicher Grund für die weitere Verarbeitung gegeben ist. Neu ist das „Recht auf Vergessenwerden“: Wurden Daten öffentlich gemacht, muss der zur Löschung verpflichtete Verantwortliche unter Berücksichtigung der „verfügbaren Technologie und der Implementierungskosten angemessene Maßnahmen, auch technischer Art“ treffen, um die für die Datenverarbeitung anderen Verantwortlichen, die die Daten verarbeiten, über das Löschungsverlangen zu informieren. Es ist derzeit noch unklar, in welchem Umfang und wie der Verantwortliche dieser Verpflichtung nachkommen kann und muss;
      • Berichtigungsrecht;
      • Recht auf Datenübertragbarkeit: Der Betroffene kann verlangen, seine personenbezogenen Daten in einem nutzbaren Format (z. B. zum Beispiel XML) zu erhalten oder dass diese an einen anderen Verantwortlichen weiter zu geben sind. Beispiel: Übertragung der Daten von einem sozialen Netzwerk in ein anderes;
      • Widerspruchsrecht;
      • Recht auf Einschränkung der Verarbeitung.

Sie müssen auf entsprechende “Anträge” der Betroffenen schnell reagieren!

Eingehende Anträge von Betroffenen auf Löschung, Berichtigung, Auskunft usw. müssen von Ihnen als rechtlich relevant erkannt und ein Verfahren für deren Bearbeitung eingerichtet werden. Dazu kann auch ein Onlineformular eingerichtet werden. Wichtig ist: Die Ersuchen der Betroffenen müssen in der vorgesehenen Zeit erledigt werden können, denn die beantragten Informationen müssen unverzüglich, in jedem Fall aber innerhalb eines Monats zur Verfügung gestellt werden.

Diese Frist kann zwar um weitere zwei Monate verlängert werden, wenn dies unter Berücksichtigung der Komplexität und der Anzahl von Anträgen erforderlich ist. Dann müssen die Betroffenen aber über die Fristverlängerung und die Gründe für die Verzögerung unterrichtet werden.

Werden Sie auf Antrag eines Betroffenen hin nicht tätig, sind Sie außerdem verpflichtet, die betroffene Person ohne Verzögerung, spätestens aber innerhalb eines Monats über die Gründe hierfür und über die Möglichkeit, bei einer Aufsichtsbehörde Beschwerde oder einen gerichtlichen Rechtsbehelf einzulegen, zu unterrichten.

Was ist eine Auftragsverarbeitung im Sinne der DSGVO?

Erfolgt eine Datenverarbeitung im Auftrag eines Verantwortlichen, liegt eine Auftragsverarbeitung vor (vgl. Art. 28 f DSGVO). Während früher nach altem BDSG nur der Verantwortliche als „Herr der Daten“ datenschutzrechtlich verpflichtet war, hat jetzt der Auftragnehmer als Auftragsverarbeiter eigene Pflichten und kann bei Verstößen gleichfalls mit einem Bußgeld belegt werden. Auch sieht die DSGVO vor, dass Auftraggeber und Auftragsverarbeiter Dritten gegenüber als Gesamtschuldner haften.

Die Auftragsverarbeitung muss schriftlich per Vertrag geregelt werden und Altverträge sind wegen der neuen Pflichten für Auftragsverarbeiter anzupassen.

Beispiele

      • Lohnbuchhaltung in der Cloud;
      • Nutzen einer CRM-Anwendung in der Cloud;
      • Versendung von Newslettern und Mailings über einen Cloud-Anbieter;
      • Nutzen eines externen Call-Centers für den Kundenservice;
      • Nutzen eines Anrufdienstes für eingehende Anrufe;
      • Durchführung von Gewinnspielen über eine externe Agentur;
      • Managed Hosting von Webseiten, Onlineshops.

Das sind die Pflichten des Auftragsverarbeiters

Während der Auftragnehmer bislang vollkommen auf Weisung des Auftraggebers handelte und der Auftraggeber selbst voll verantwortlich blieb, wird mit der DSGVO auch der Auftragsverarbeiter in die Pflicht genommen und haftet bei Pflichtverstößen. Diese Pflichten bestehen u. a. eim Auftragsverarbeiter:

      • Umfangreichere Dokumentationspflichten als bisher; Führen von Verarbeitungsverzeichnissen;
      • Umsetzung technischer und organisatorischer Maßnahmenzur Gewährleistung der Datensicherheit;
      • Zusammenarbeit mit der Aufsichtsbehörde;
      • Meldepflichten bei Datenpannen;
      • Datentransfer in Drittländer nur im Rahmen aller Anforderungen der DSGVO;
      • Verpflichtung aller Mitarbeiter zur Verschwiegenheit.

Was muss bei der Auswahl des Auftragsverarbeiters beachtet werden?

Unternehmen dürfen nur mit Auftragsverarbeitern zusammenarbeiten, die über geeignete technische und organisatorische Maßnahmen (TOM) die Gewähr dafür bieten, dass die Datenverarbeitung immer unter Einhaltung der Gesetze erfolgt und der Schutz der Betroffenenrechte gewährleistet ist. Da der Auftraggeber kaum über die Sachkunde verfügt, die TOM des Auftragsverarbeiters daraufhin zu beurteilen, sieht die DSGVO Selbstregulierungs- und Zertifizierungsverfahren vor, denen sich die Auftragsverarbeiter unterwerfen können und die als Indiz für rechtskonformes Handeln gewertet werden:

      • Selbstregulierungsverfahren: Verbände und Vereinigungen können spezielle Verhaltenskodizes für ihre Mitglieder und Branchen erarbeiten, die von der zuständigen Aufsichtsbehörde „abgesegnet“ und dann genutzt werden dürfen.
      • Zertifizierungsverfahren: Über akkreditierte Zertifizierungsstellen werden Zertifikate mit einer Gültigkeitsdauer von jeweils drei Jahren vergeben.

Zuverlässige Anbieter von Services sind daher insbesondere daran zu erkennen, dass sie sich speziellen Verhaltenskodizes unterworfen haben oder über datenschutzrechtliche Zertifikate verfügen. Damit dokumentieren sie die Einhaltung der datenschutzrechtlichen Kriterien und dürfen als Auftragsverarbeiter ausgewählt werden.

Wie kann der Auftragsverarbeiter beauftragt werden?

Nach der DSGVO ist ein schriftlicher Auftragsverarbeitungsvertrag zu schließen. Dabei ist es ausreichend, die gegenseitigen Rechte und Pflichten der Auftragsverarbeitung in dem Auftrag „mitzuregeln“. Es reicht die elektronische Form, d.h. der Vertrag kann auch online per Mausklick geschlossen werden.

Was müssen wir beim Datentransfer in Nicht-EU-Staaten beachten?

Nach der DSGVO dürfen Daten nur dann in ein Drittland außerhalb der EU bzw. des Europäischen Wirtschaftsraumes (EWR) transferiert werden, wenn eine dieser Voraussetzungen erfüllt ist:

      • die EU-Kommission hat ein angemessenes Schutzniveau für den Drittstaat festgestellt, wie etwa für Andorra, Argentinien, Kanada, Färöer-Inseln, Guernsey, Israel, Isle of Man, Japan, Jersey, Neuseeland, Schweiz, Uruguay.
      • Datentransfer aufgrund von Standardvertragsklauseln, die die EU-Kommission genehmigt hat;
      • Datentransfer innerhalb eines Konzerns oder einer Unternehmensgruppe erfolgt aufgrund von „Binding Corporate Rules“, die die zuständigen Aufsichtsbehörden genehmigt haben;
      • Datentransfer an ein Unternehmen, das sich europäischen Verhaltensregeln unterworfen hat oder über eine Zertifizierung verfügt;
      • Einzelgenehmigung durch die zuständige Aufsichtsbehörde;
      • Einwilligung des Betroffenen;
      • Ausnahmetatbestände nach Art. 49 Abs. 1 Satz 1 b – g DSGVO (z. B. zur Vertragserfüllung);
      • überschaubarer Umfang des Datentransfers und zwingende berechtigte Interessen des Verantwortlichen

Sonderproblem Datentransfer in die USA und das Privacy Shield

Die Nutzung von Cloud-Diensten in den USA ist aktuell datenschutzrechtlich äußerst problematisch. Bereits seit der „Safe-Harbour“-Entscheidung des Europäischen Gerichtshofs (EuGH) vom 6. Oktober 2015 in der Rechtssache C 362/14 ist es nicht mehr möglich, sich als US-Anbieter von Cloud-Diensten freiwillig nach den sog. Safe Habour-Principels zu zertifizieren. Der Nachfolger des Safe-Harbour-Abkommens war das sog. EU-US Privacy Shield. Danach konnten sich US-Unternehmen seit dem 01.08.2016 gemäß den Privacy-Shield-Grundsätzen gegenüber dem US-Handelsministerium zu den vereinbarten Datenschutzgrundsätzen verpflichten. Die neuen Anpassungen des Privacy-Shield sollte für ein angemessenes Datenschutzniveau sorgen. Allerdings hat der EuGH auch dieses Abkommen für ungültig erklärt (Urteil vom 16.07.2020, Rechtssache C-311-/18 Facebook Ireland und Schrems). Aktuell sind Datenübermittlungen auf Grundlage des Privacy-Shields daher nicht mehr zulässig. Den Stand zu dieser Problematik erfahren Sie in unserem ausführlichen Bogbeitrag zum Thema.

Was kommt bei Verstößen nach der DSGVO auf Unternehmen zu?

Jegliche Art von Verstößen gegen die neuen Regelungen kann sehr teuer werden. Je nach Verstoß können zukünftig Bußgelder bis zu 10 Mio. EUR oder 20 Mio. EUR oder in Höhe von 2 % bzw. 4 % des gesamten, weltweit erzielten Jahresumsatzes des Unternehmens verhängt werden – je nachdem, welcher Betrag höher ist.

Bemessungsgrundlage ist der Umsatz des Gesamtkonzerns. So soll verhindert werden, dass für bestimmte Aufgabenbereiche kleinere Gesellschaften mit geringeren Umsätzen ausgegründet werden, um etwaige Bußgelder gering zu halten.

Bildnachweise:
Header: © somartin – stock. adobe. com
© sdecoret – stock. adobe. com

An den Anfang scrollen