Kategorie: EU-Datenschutzgrundverordnung
24. August 2017
Die Datenschutz-Grundverordnung (DSGVO) bringt an vielen Stellen beachtenswerte Änderungen mit sich. Dazu gehört auch die Frage, was im Bereich des Marketings und im Umgang mit personenbezogenen Daten zum Zwecke der Werbung zu beachten ist. Zu dieser Thematik ist auf den Seiten der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) zuletzt ein Kurzpapier der “Datenschutzkonferenz” mit diesbezüglichen Einschätzungen veröffentlich worden. Dreh- und Angelpunkt der neuen Rechtslage in Sachen Werbung ist die Tatsache, dass mit der DSGVO jegliche Detailregelungen dieses Bereichs entfallen. In Form des
§ 28 Abs. 3 BDSG hat es bislang noch spezifische Vorgaben für den Umgang mit Daten zum Zweck der werblichen Ansprache gegeben.
Die sicherste Grundlage einer Datenverarbeitung für Werbemaßnahmen ist und bleibt die Einwilligung der betroffenen Person. Wo eine solche aber nicht eingeholt werden kann oder dies aus praktischen Gründen nicht sinnvoll ist, wird künftig auf einen allgemeinen Erlaubnistatbestand der DSGVO zurückgegriffen werden müssen. Daher wird die Zulässigkeit der Werbung an einer Interessenabwägung nach Art. 6 Abs. 1 f) DSGVO zu messen sein. Demnach gilt es für die Frage der Zulässigkeit der Maßnahme die Interessen des Werbetreibenden und der betroffenen Personen im Einzelfall zu gewichten.
Der Erwägungsgrund 47 zur DSGVO trägt für diese Abwägung auf, die “vernünftigen Erwartungen der betroffenen Person zu berücksichtigen, die auf ihrer Beziehung zu dem Verantwortlichen (Werbetreibenden) beruhen”.
Aus Sicht werbetreibender Unternehmen müssen im Zuge entsprechender Vorhaben die Informationspflichten aus den Artikeln 13 u. 14 DSGVO berücksichtigt werden. Der Verantwortliche muss transparent und umfassend über die vorgesehene Werbemaßnahme informieren.
Durch die neue Rechenschaftspflicht der DSGVO (Art. 5 Abs. 2) kommen die Werbetreibenden in die Situation, die Rechtmäßigkeit von Datenverarbeitungen künftig beweisen können zu müssen. Daher wird es sich nicht umgehen lassen, getroffene Interessenabwägungen gründlich zu dokumentieren und auf Anfrage der Aufsichtsbehörde vorlegen zu können. Diese Aufgabe wird regelmäßig durch die Datenschutzbeauftragten der Unternehmen ausgefüllt werden.
8. August 2017
Auch aus datenschutzrechtlicher Sicht ist bereits viel diskutiert worden, welche Folgen der Ausstieg des Vereinigten Königreichs aus der EU haben wird. Die britische Regierung hat nun aber verlauten lassen, trotz oder gerade wegen der Austrittsverhandlungen eine Anpassung des UK-Datenschutzrechts an die neuen EU-Maßstäbe der Datenschutz-Grundverordnung vornehmen zu wollen. Hierzu wurde die Pressemitteilung “Government to strengthen UK data protection law” veröffentlicht.
Die EU-Datenschutz-Grundverordnung gilt ab dem 25.05.2018 unmittelbar und zwingend in jedem EU-Mitgliedsstaat, lässt durch sogenannte Öffnungsklauseln aber zum Teil Spielraum für national individuelle Gestaltung. Als erster Mitgliedsstaat hat Deutschland hiervon Gebrauch gemacht und ein neues Bundesdatenschutzgesetz konzipiert, das die bestehenden Spielräume für sich nutzt. Dieses Vorgehen plant nun auch die britische Regierung und will die Regelungen der Datenschutz-Grundverordnung in die Zeit nach der Durchführung des Brexit “retten”. Durch ein an die EU-Verordnung angepasstes Datenschutzrecht soll der ungehinderte Datenfluss zwischen Großbritannien und den kontinentaleuropäischen Staaten über den Brexit hinaus sichergestellt werden. Dass man durch ein neues Gesetz die Datenschutz-Grundverordnung in britisches Recht überführe, sei ein wichtiger Baustein für eine erfolgreiche Durchführung des Brexits, so die Pressemeldung.
Für die Zulässigkeit der Datenübermittlung an Stellen außerhalb der EU (sogenanntes “Drittland”) verlangt die Datenschutz-Grundverordnung in Art. 45 ein “angemessenes Schutzniveau” in der betreffenden Region, welches von der Europäischen Kommission festgestellt werden kann. Hintergrund der geplanten Auferlegung der EU-Datenschutzregeln durch die britische Regierung dürfte daher sein, den Weg für einen entsprechenden Angemessenheitsbeschluss frühzeitig zu ebnen.
28. Juli 2017
Der heutige Beitrag stellt den Abschluss der Themenreihe zur DSGVO dar.
Die DSGVO als Hybrid zwischen Richtlinie und Verordnung stellt sich der Herausforderung, ein harmonisiertes und effektives europäisches Datenschutzniveau auf den Weg zu bringen und den digitalen Rahmenbedingungen des 21. Jahrhunderts gerecht zu werden.
Wie in den letzten Wochen vorgestellt bringt die DSGVO einige Neuerungen und Änderungen mit sich, die den nationalen Gesetzgeber vor einen Anpassungsprozess stellen. Beispielsweise wird den Rechten der Betroffenen eine größere Wichtigkeit gegenüber den vorher geltenden Richtlinien eingeräumt.
In Deutschland musste das Bundesdatenschutzgesetz (BDSG) an die DSGVO angepasst werden. Es kam zu einer Novellierung des BDSG, welche aufgrund des Zeitdrucks, wegen der anstehenden Bundestagswahl, schnell durchgeführt werden musste. Kürzlich wurde das umgangssprachlich BDSG-neu genannte Gesetz verabschiedet. Wir berichteten bereits ausführlich über den Gesetzgebungsprozess und die Kritik, die auf die Verabschiedung folgte. Das BDSG ist aber nicht das einzige Gesetz das angepasst werden muss, es wird noch mit Anpassungen von beispielsweise dem Telemediengesetz (TMG) und dem Telekommunikationsgesetz (TKG) gerechnet. Bis in der europäischen Datenschutzrechtlandschaft Ruhe einkehrt wird es noch einige Jahre dauern, zumal auch Rechtsprechung das neue Datenschutzrecht prägen wird.
Die DSGVO enthält einige Öffnungsklauseln, die der nationale Gesetzgeber ausfüllen kann und unter Umständen muss. Öffnungsklauseln eröffnen den nationalen Gesetzgebern zwar einen Handlungsspielraum allerdings ist der Gesetzgeber nicht komplett frei. Grundlage für die Öffnungsklauseln ist, dass das EU-Recht nach der Rechtsprechung des EuGH Vorrang vor den jeweiligen nationalen Gesetzen hat. Das bedeutet, dass die nationalen Gesetze so angepasst werden müssen, dass sie der DSGVO nicht widersprechen. Ein Widerspruch würde gegen die Verpflichtung aus dem europäischen Primärrecht zur loyalen Zusammenarbeit des Art. 4 Abs. 2 des Vertrags über die Europäische Union (EUV) verstoßen. Allen voran ist Art. 88 DSGVO zu nennen, der dem nationalen Gesetzgeber die Möglichkeit eröffnet die Datenverarbeitung im Beschäftigungskontext zu regeln. Der Beschäftigtendatenschutz kann, mangels Gesetzgebungskompetenz, nicht von der EU geregelt werden.
Ziel der DSGVO war unter anderem eine Vollharmonisierung des Datenschutzrechts in Europa, ob dieses Ziel wirklich erreicht werden kann, ist zweifelhaft. Durch die oben angesprochenen Öffnungsklauseln haben die nationalen Gesetzgeber einen großen Entscheidungsspielraum, der einer Harmonisierung zu wider läuft und wieder zu einer, zumindest teilweisen, Zerstreuung des datenschutzrechtlichen Niveaus führen wird. Demnach wird wohl eine der gewünschten Errungenschaften der DSGVO nicht erfüllt werden können.
Neben der DSGVO wird am 25.Mai 2028 auch die neue ePrivacy-Verordnung, die momentan noch nicht verabschiedet ist, in Kraft treten. Zurzeit liegt bereits ein Entwurf der neuen Verordnung vor. Zweck der ePrivacy-Verordnung ist die Anpassung der elektronischen Kommunikation an das Schutzniveau der DSGVO. Damit einhergehen soll dass das Vertrauen der Bürger in den digitalen Binnenmarkt gestärkt wird. Die ePrivacy-Verordnung flankiert die DSGVO und ersetzt die bis dahin geltende E-Privacy-Richtlinie und die Cookie-Richtlinie. Sobald es Neuigkeiten im Gesetzgebungsprozess der ePrivacy-Verordnung gibt, werden wir selbstverständlich darüber berichten.
Die DSGVO wird am 25. Mai 2018 in Kraft treten. Der deutsche Gesetzgeber hat seine Aufgabe mit der Novellierung des BDSG getan, jetzt müssen noch die Unternehmen in Deutschland ihre Hausaufgaben bis zum Stichtag erledigen.
Wie sich die DSGVO und die Rechtsprechung zu der Verordnung entwickeln wird und ob dem Tempo der Digitalisierung und Weiterentwicklung tatsächlich standgehalten werden kann bleibt allerdings noch abzuwarten.
27. Juli 2017
Eine repräsentative Studie des Digitalverbandes Bitkom hat ergeben, dass mehr als die Hälfte (53%) der deutschen Unternehmen in den letzten beiden Jahren in irgendeiner Form Opfer von Wirtschaftsspionage, Datenverlust oder -Diebstahl geworden ist. Entsprechend real sei die Gefahr für Unternehmen aller Branchen und Größen. Häufigstes Vorkommnis sei der Diebstahl von IT- oder Telekommunikationsgeräten. Unklar ist dabei, ob die Täter, die häufig “aus den eigenen Reihen” stammen, dabei auf die Smartphones und Laptops selbst oder auf die hierauf gespeicherten Daten abzielen. Immer häufiger (mind. jedes 5. Unternehmen im Betrachtungszeitraum) sei auch das sog. Social Engineering zu verzeichnen, bei dem Mitarbeiter durch Vortäuschung falscher Tatsachen und Identitäten zur Preisgabe sensibler Informationen verleitet werden sollen.
Bemerkenswert ist, dass Unternehmen entsprechende Vorfälle aus Angst vor Imageschäden vergleichsweise selten (lediglich 31%) an Polizei oder andere Stellen melden. Aus datenschutzrechtlicher Sicht ist zu beachten, dass bei dem Verlust personenbezogener Daten nach geltendem und auch nach künftigem Recht eine Meldepflicht bestehen kann, deren Nichtbeachtung bußgeldbewährt ist. Mit der Anwendung der Datenschutz-Grundverordnung ab dem 25.05.2018 stellt sich in diesem Bereich eine drastische Erhöhung ein: Die – aus welchen Gründen auch immer – unterlassene Meldung eines Datenverlusts an die Aufsichtsbehörde kann dann mit einem Bußgeld von bis zu 10 Mio. Euro oder 2% des weltweiten Konzern-Jahresumsatzes (Art. 83 Abs. 4 DSGVO) belegt werden. Diese potentiell immense zusätzliche Belastung kann durch den verordnungskonformen Umgang mit entsprechenden Situationen durch den Datenschutzbeauftragten verhindert werden.
Die Bitkom-Studie verdeutlicht die Notwendigkeit präventiver Maßnahmen wie z.B. die flächendeckende Verschlüsselung von Datenträgern, Installation aktueller Virenscanner-Software sowie regelmäßige Anfertigung von Backups. Neben der “technischen Sicherheit” sind auch organisatorische Maßnahmen, z.B. die regelmäßige Sensibilisierung der Mitarbeiter, äußerst ratsam. Zwar kann auch hierdurch keine 100-prozentige Sicherheit gewährleistet werden. Dem verhältnismäßig geringen Aufwand stehe allerdings eine signifikante Verbesserung gegenüber der Risikolage ohne entsprechende Maßnahmen gegenüber.
20. Juli 2017
Aufsichtsbehörde, Art. 51 ff. DSGVO
Art. 51 DSGVO enthält die Vorgabe für die Mitgliedstaaten, unabhängige Aufsichtsbehörden einzurichten. Aufgabe dieser Behörden soll einerseits der Schutz der Grundrechte und Grundfreiheiten sein, andererseits aber auch die Erleichterung des freien Verkehrs von personenbezogenen Daten innerhalb der Union. Diese doppelte Aufgabe wird als vorrangiges Ziel der Aufsichtsbehörde verstanden und soll bei Entscheidungen einen gerechten Ausgleich zwischen die Interessen der Verantwortlichen und der Betroffenen bringen.
Darüber hinaus schreibt Art. 51 Abs. 2 DSGVO die kohärente Anwendung der Vorschriften der DSGVO durch die Aufsichtsbehörden vor. Hierzu sollen die Aufsichtsbehörden sowohl untereinander als auch mit der Kommission eng zusammenarbeiten, eine nähere Ausgestaltung dieser Zusammenarbeit findet sich in Kapitel VII der DSGVO. Insbesondere soll die Zuständigkeit genauer geregelt werden, um zukünftig ein forum shopping zu verhindern.
Die Zuständigkeit der Aufsichtsbehörden beschränkt sich grundsätzlich gem. Art. 55 Abs. 1 DSGVO auf das Hoheitsgebiet des eigenen Mitgliedsstaates.
Die Art. 55 und 56 DSGVO regeln Fälle der grenzüberschreitenden Datenverarbeitung, in denen die Zuständigkeit bei einer federführenden Aufsichtsbehörde liegen soll. Daneben wird den übrigen Behörden ein Mitspracherecht und ein eigener Entscheidungsspielraum für die Fälle eingeräumt, in denen die federführende Behörde keine vorrangige Zuständigkeit hat.
Für den Fall, dass von einem Sachverhalt mehrere Aufsichtsbehörden nach Art. 4 Nr. 22 DSGVO betroffen sind, bestimmt Art. 56 eine federführende Behörde. Diese ist dann nach dem in Art. 60 DSGVO beschriebenen Verfahren für die Zusammenarbeit mit den anderen Aufsichtsbehörden zuständig. Nach Art. 56 Abs. 1 DSGVO bestimmt sich die federführende Behörde danach, wo sich der Hauptsitz des Unternehmens des Datenverarbeiters oder seine einzige Niederlassung befindet.
One-Stop-Shop, Art. 56 Abs. 6 DSGVO
Die Regelung des Art. 56 Abs. 6 DSGVO bewirkt, dass sich der Verantwortliche oder Auftragsverarbeiter in Fällen der grenzüberschreitenden Datenverarbeitung ausschließlich an die für ihn zuständige federführende Aufsichtsbehörde wenden kann. Dieses Prinzip des One-Stop-Shop soll dazu dienen, dass in Zukunft auch bei grenzüberschreitenden Sachverhalten, die Kommunikation und Abstimmung der Vorgehensweisen durch die Einbeziehung nur einer Aufsichtsbehörde erleichtert werden.
Bestellung eines DSB, Art. 35 ff. DSGVO
Art. 37 DSGVO schreibt die Bestellung eines Datenschutzbeauftragten (DSB) in den in Absatz 1 aufgelisteten Fällen vor. Damit muss ab 2018 jedes Unternehmen, das aus datenschutzrechtlicher Sicht einer Kontrolle bedarf einen DSB benennen.
Deutschland hat bereits die in der DSRL vorgesehene Öffnungsklausel genutzt und in § 4f BDSG die Bestellung des DSB geregelt, sodass hier voraussichtlich keine Änderungen zu erwarten sind.
Nach Art. 37 Abs. 1 lit. b) und lit. c) DSGVO muss ein DSB bestellt werden, wenn die Kerntätigkeit in der Durchführung von Verarbeitungsvorgängen besteht, welche einer Überwachung bedürfen oder wenn die Kerntätigkeit in der Verarbeitung besonderer Kategorien von Daten gem. Art. 9 oder Art. 10 besteht.
Unter dem Begriff der Kerntätigkeit ist jede Tätigkeit zu verstehen, die essentiell für die Erreichung der Ziele des Unternehmens sind.
Der Pflichtenkreis des DSB wird durch Art. 39 DSGVO erweitert. Während der DSB bisher nur auf die Einhaltung des BDSG „hinwirken“ sollte, sieht die DSGVO künftig eine Überwachungspflicht hinsichtlich der Einhaltung des gesamten anwendbaren Datenschutzrechts sowie der Einhaltung der Datenschutzstrategien vor. Es bleibt dabei, dass der DSB keine Weisungs- oder Entscheidungsbefugnis hinsichtlich der Datenverarbeitung hat, solange er den ihm zugewiesenen Aufgaben ordnungsgemäß nachkommt.
Des Weiteren ergibt sich aus Art. 38 Abs. 4 DSGVO die Pflicht des DSB, gegenüber betroffenen Personen Anfragen, Hinweisen und Beschwerden nachzugehen und die betroffenen Personen dahingehend zu beraten. Art. 39 DSGVO bringt auch den risikobasierten Ansatz der DSGVO zum Ausdruck: je sensibler die Art der verarbeiteten Daten und je größer der Umfang, desto sorgfältiger und umfangreicher muss der DSB arbeiten.
Die DSGVO lässt die Haftungsfragen des DSB weitgehend unbeantwortet. Jedenfalls sind gem. Art. 83 Abs. 4 und Abs. 5 DSGVO keine Geldbußen gegenüber DSB vorgesehen. Eine Regelung bzgl. einer zivilrechtlichen sowie straf- und ordnungswidrigkeitenrechtliche Haftung des DSB sieht die DSGVO nicht vor. Insgesamt bleibt abzuwarten, wie die Gerichte und Aufsichtsbehörden die Regelungen auslegen. Der DSB sollte solange die Erfüllung seiner Aufgaben und Pflichten ausführlich dokumentieren, um nachweisen zu können, dass er das seinerseits Erforderliche hinsichtlich der Einhaltung des Datenschutzes im Unternehmen getan hat.
Sanktionen, Art. 83 DSGVO
Bei Verstößen von Verantwortlichen oder Auftragsverarbeitern gegen die DSGVO, haben die Aufsichtsbehörden nach Art. 58 Abs. 1 und Abs. 2 DSGVO die Möglichkeit, Sanktionen zu verhängen. Vorrangiges Ziel der Verhängung von Bußgeldern soll die Abschreckung von Unternehmen sein. Diese soll unter der Berücksichtigung der Umstände des Einzelfalls wirksam und verhältnismäßig sein.
Art. 83 Abs. 2 DSGVO stellt der Aufsichtsbehörde Ermessenskriterien bei der Verhängung von Geldbußen zur Verfügung, die sich insbesondere an der Art, Schwere und dem Umfang des Verstoßes orientieren. Daneben ist unter anderem zu berücksichtigen, ob der Verstoß fahrlässig oder vorsätzlich begangen wurde und welche Maßnahmen zur Schadensminimierung ergriffen wurden.
In der nächsten Woche folgt noch der Abschlussbeitrag der Themenreihe DSGVO.
14. Juli 2017
Der Konzeption von Art. 25 DSGVO liegt der Gedanke zugrunde, dass durch datenschutzfreundliche Technikgestaltung („Privacy by Design“) und durch datenschutzfreundliche Voreinstellungen („Privacy by Default“) dem Datenschutz schon zu einem möglichst frühen Zeitpunkt Rechnung getragen werden soll. Die unrechtmäßige Verarbeitung oder ein Missbrauch von Daten soll damit möglichst schon präventiv verhindert werden. In Art. 25 Abs. 1 DSGVO werden dabei Grundsätze für das Privacy by Design und in Art. 25 Abs. 2 DSGVO die entsprechenden Grundsätze für das Privacy by Default normiert. In erster Linie richtet sich die Norm an die Verantwortlichen i.S.d. Art. 4 Nr. 7 DSGVO und nicht unmittelbar an die Hersteller von Produkten, Diensten und Anwendungen. Mittelbar soll sich aus Art. 25 Abs. 1 DSGVO jedoch auch für Hersteller und Entwickler eine datenschutzrechtliche Vorfeldwirkung ergeben und diese dazu ermutigt werden, datenschutzfreundliche Produkte, Systeme und Dienste anzubieten.
Privacy by Design (Art. 25 Abs. 1 DSGVO)
Privacy by Design wird dabei von der Erkenntnis geleitet, dass sich im digitalen Zeitalter die rechtlichen Vorgaben des Datenschutzrechts dann am besten umsetzen und wahren lassen, wenn sie bereits in den neuen technischen Entwicklungen berücksichtigt und in sie integriert werden. Die Befolgung des Datenschutzes soll zur festen Komponente bei der Entwicklung neuer Technologien und Systeme werden. Im Idealfall führt datenschutzfreundliche Technikgestaltung präventiv dazu, dass datenschutzrechtliche Verstöße verhindert und das Vertrauen der Nutzer in die Technologien und Systeme gestärkt wird. Um einen solchen Datenschutz durch Technik umzusetzen, verpflichtet Art. 25 Abs. 1 DSGVO den Verantwortlichen i.S.d. Art. 7 Nr. 7 DSGVO dazu, geeignete technische und organisatorische Maßnahmen umzusetzen. Bei dieser Umsetzung bietet Art. 25 Abs. 1 DSGVO dem Verantwortlichen sodann eine Abwägungsmöglichkeit. Umstände wie der Stand der Technik, die Implementierungskosten und die Risiken für die Rechte und Freiheiten natürlicher Personen können mit in die Abwägung einbezogen werden. Als eine beispielhafte Maßnahme für Privacy by Design nennt Art. 25 Abs. 1 DSGVO die Pseudonymisierung. Auch wenn Anonymisierung und Maßnahmen zur Datenminimierung nicht ausdrücklich in Art. 25 Abs. 1 DSGVO genannt sind, sind sie als beispielhafte Maßnahmen für Privacy by Design anzuführen.
Privacy by Default (Art. 25 Abs. 2 DSGVO)
Hinter dem Schlagwort Privacy by Default verbirgt sich eine besondere Form des Datenschutzes durch Technik. Durch vom Verantwortlichen vorzunehmende technische Voreinstellungen soll sichergestellt werden, dass grundsätzlich nur die personenbezogenen Daten erhoben und verarbeitet werden, die für den konkreten Zweck auch tatsächlich erforderlich sind. Die technischen Voreinstellungen sollen also an dem Grundsatz der Datenminimierung ausgerichtet werden. Zum einen soll dadurch das ausufernde Datensammeln eingeschränkt werden. Zum anderen soll dadurch aber auch ein Schutz derjenigen Nutzer bewirkt werden, die die Auswirkungen von Verarbeitungsvorgängen mittels moderner Technologie nicht voll erfassen und deswegen auch nur seltener selbst datenschutzfreundliche Voreinstellungen vornehmen. Umsetzungsbeispiele für Privacy by Default können beispielsweise darin bestehen, dass Online-Browser besuchten Webservern automatisch mitteilen, dass die Nutzer nicht getrackt werden möchten oder das in technischen Verarbeitungsprozessen Daten möglichst schnell pseudonymisiert werden. Eine unzulässige Entmündigung der Nutzer ist in datenschutzfreundlichen Voreinstellungen nicht zu sehen. Nutzer, die auf den Schutz ihrer personenbezogenen Daten etwa keinen Wert legen, können die Voreinstellungen jederzeit nach ihren Vorstellungen ändern.
Das Thema der nächsten Woche ist der 3. Teil des Bereichs Datenschutz im Unternehmen
12. Juli 2017
Lagert ein Unternehmen personenbezogene Daten von Kunden, Mitarbeitern oder anderen denkbaren Betroffenen-Gruppen in “die Cloud” aus, handelt es sich dabei um einen klassischen Fall der Auftragsdatenverarbeitung (unter der Datenschutz-Grundverordnung “Auftragsverarbeitung”). Wie in den vielen weiteren Bereichen des Datenschutzrechts treten durch die neue EU-Verordnung auch beim Daten-Outsourcing zum 25.05.2018 Änderungen in Kraft. Grund genug, zwei dieser Änderungen im Hinblick auf ihre praktischen Auswirkungen einmal genauer zu beleuchten.
Eine der Neuerungen verbirgt sich in Art. 30 Abs. 2 DSGVO: Anders als bislang muss künftig auch der Auftragsverarbeiter ein Verfahrensverzeichnis führen. Diese Aufgabe zur Schaffung von Verarbeitungstransparenz lag bislang allein bei der verantwortlichen Stelle (Auftraggeber im Rahmen der ADV). Dadurch stehen Cloud-Anbieter künftig vielfach in der Pflicht, für jede ihrer Geschäftsbeziehungen ein Verfahrensverzeichnis anzulegen. Zwar verlangt die Verordnung im Hinblick auf die darzulegenden Informationen inhaltlich nichts “Unmögliches” (eigene Bezeichnung, Name der verantwortlichen Stelle, ggf. bestellter Datenschutzbeauftragter etc.), je nach Größe des Cloud-Anbieters kann es sich aber um eine ganze Bandbreite von dokumentationspflichtigen Verfahren handeln. Diese sind zusätzlich im Zeitverlauf aktuell zu halten. In jedem Fall sollten sich Cloud-Provider (aber auch andere Vielfach-Auftragsverarbeiter) bereits jetzt um einen standardisierten Prozess bemühen, der ihnen die Abfrage der Verzeichnisinhalte erleichtert.
Für die Erbringung von Cloud-Services arbeiten Provider häufig zusammen, z.B. um eine noch bessere Rechenleistung oder größeren Speicherplatz anbieten zu können. Datenschutzrechtlich handelt es sich hierbei um eine “Unterbeauftragung”. Interessant ist in diesem Zusammenhang das neue Widerspruchsrecht des verantwortlichen Auftraggebers, das ihm aus Art. 28 Abs. 2 der Datenschutz-Grundverordnung zukommt. Sollte ein Auftraggeber (=Daten-outsourcendes Unternehmen) der Kooperation mit einem bestimmten Cloud-Unterauftragnehmer widersprechen, muss sein ADV-Vertragspartner hierauf verzichten. Die Möglichkeit zur praktischen Umsetzung von Widersprüchen ist an dieser Stelle jedoch höchst fraglich: Schließlich ist die Rücksichtnahme auf individuelle Kundenwünsche im Falle einer Public Cloud (offener Nutzerkreis, keine Lokalisierung der verarbeiteten Daten) technisch nur äußerst schwer zu realisieren.
7. Juli 2017
Der heutige Beitrag der “Themenreihe DSGVO” befasst sich in einem ersten Teil mit den datenschutzrechtlichen Anforderungen die die Datenschutzgrundverordnung an die Unternehmen stellt.
Zweck des Datenschutzes ist es, das Grundrecht auf informationelle Selbstbestimmung der Bürger zu gewährleisten. Damit begrenzt der Datenschutz die wirtschaftliche Betätigung im Bereich der Datenverarbeitung auf das erforderliche Maß und so auf einen gesellschaftlich verträglichen Umfang. Gerade im Unternehmen gibt es eine Vielzahl verschiedener Schnittstellen, an denen es zu einer Verarbeitung von personenbezogenen Daten kommt. Exemplarisch zu nennen sind hier insbesondere die Verarbeitung personenbezogener Daten von Mitarbeitern und Kunden. Auch hinsichtlich dieser Daten hat die DSGVO verschiedene Regelungen aufgestellt, die zu beachten sind und die Rechte der Betroffenen in einem ausreichenden Maße schützen sollen. Die Einhaltung dieser Anforderungen ist nicht zuletzt auf Grund der empfindlichen Bußgelder, die bei Verstoß gegen die DSGVO vorgesehen sind, essentiell.
Im Folgenden wird auf verschiedene Regelungen der DSGVO eingegangen, die zum Teil bereits heute, nach der aktuell gültigen Rechtsordnung, insbesondere des BDSG, bestehen und von den Unternehmen zu beachten sind.
I. Auftragsdatenverarbeitung, Art. 28 ff.
Gerade im Unternehmen trifft man häufig auf die Konstellation der sog. Auftragdatenverarbeitung. Diese ist bereits heute im § 11 BDSG geregelt und betrifft solche Verarbeitungen personenbezogener Daten, die nicht von der verantwortlichen Stelle selber, sondern von einem Auftragsdatenverarbeiter vorgenommen werden. In einem Unternehmen kommt es zu einer Auftragsdatenverarbeitung vor allem dann, wenn die Verarbeitungstätigkeit an einen externen Diensleister outgesourced wird, der Auftraggeber der Datenverarbeitung, also das outsourcende Unternehmen aber weiterhin über die Verarbeitung der Daten, per Weisungsrecht, entscheidet. Klassische Fälle des Outsourcings finden sich in der Verarbeitungstätigkeit von externen Dienstleistern, die die Gehalts- und Lohnabrechnungen für Unternehmen übernehmen oder Hostingmöglichkeiten anbieten, die die personenbezogenen Daten, die im Unternhemen verarbeitet werden in eigenen Rechenzentren speichern.
Die rechtlichen Aspekte regelt bisher allen voran der § 11 BDSG. Auch die DSGVO enthält mit Art. 28 DSGVO eine Vorschrift zur Auftragsdatenverarbeitung. Beide Regelungen ähneln sich inhaltlich, sodass die Auswirkungen des Inkrafttretens der DSGVO hinsichtlich der Regelungen zur Auftragsdatenverarbeitung eher gering ausfallen. Vor allem trifft dies im Vergleich zu anderen Regelungen, die durch DSGVO gänzlich neu hinzukommen, zu.
Mit der Übermittlung von Daten geht das Risiko für den Betroffenen einher, dass seine Rechte nicht ausreichend geschützt sind. Art. 28 DSGVO knüpft die Zulässigkeit einer Auftragsdatenverarbeitung daher an strenge Voraussetzungen. Eine zentrale Anforderung ist die klare Zuteilung von Verantwortlichkeiten. Gleichzeitig soll eine Auftragsdatenverarbeitung aufgrund ihrer wirtschaftlichen Vorteile nicht gänzlich unmöglich gemacht werden. Art. 28 DSGVO zielt daher darauf ab, die Interessen von Datenverarbeitern und den von der Verarbeitung Betroffenen im Wege der praktischen Konkordanz in einen gerechten Ausgleich zu bringen.
1. Anforderungen an die Auftragsdatenverarbeitung
Nach § 11 BDSG ist für eine rechtskonforme Auftragsdatenverarbeitung ein schriftlicher Vertrag erforderlich. Am Erfordernis einer vertraglichen Regelungen der Auftragsdatenverarbeitung ändert sich auch mit Inkrafttreten des Art. 28 DSGVO nichts, allerdings muss diese nicht mehr ausschließlich schriftlich vorliegen sondern kann auch in einem elektronischen Format abgeschlossen werden. Auch die Anforderungen, die ein Auftragsdatenverarbeitungsvertrag inhaltlich nach der DSGVO erfüllen muss, orientieren sich zum Größteil an denen des bisherigen § 11 BDSG. Nach Art. 28 Abs. 3 DSGVO sind zu regeln:
- Gegenstand und Dauer der Verarbeitung
- Art und Zweck der Verarbeitung
- Art der personenbezogenen Daten & Kategorien von betroffenen Personen
- Umfang der zur Verarbeitung befugten Personen zur Vertraulichkeit
- Sicherstellung von technischen & organisatorischen Maßnahmen
- Hinzuziehung von Subunternehmern
- Unterstützung des für die Verarbeitung Verantwortlichen bei der Meldepflicht bei Datenschutzverletzungen
- Rückgabe oder Löschung personenbezogener Daten nach Abschluss der Auftragsdatenverarbeitung
- Kontrollrechte des für die Verarbeitung Verantwortlichen und Duldungpflichten des Auftragsverarbeiters
- Pflicht des Auftragsverarbeiters, den Verantwortlichen zu informieren, falls eine Weisung gegen Datenschutzrecht verstößt
2. Wer ist für die Datenverarbeitung verantwortlich? Wer haftet?
Wie bisher wird auch künftig der Auftraggeber bzw. der für die Verarbeitung Verantwortliche und nicht der Auftragsdatenverarbeiter sein. Er ist sowohl der erste Ansprechpartner für die Betroffenen, als auch für die rechtskonforme Ausgestaltung der Auftragsdatenverarbeitung veranwortlich. Die Auftragsdatenverarbeitung im Sinne des Art. 28 DSGVO ist dabei, von der gesetzlich in Art. 26 DSGVO geregelten Konstellation, der sog. “Joint Control” zu unterscheiden. Bei der Joint Control regeln zwei oder mehrere Verantwortliche die Zwecke und Mittel der Verarbeitung personenbezogener Daten gleichberechtigt und transparent. In einem solchen Fall kann der Betroffene seine Rechte gegen jeden Verantwortlichen geltend machen.
Die Frage nach der Haftung im Schadensfall wird hingegen neu geregelt. Wo nach der bisherigen Regelung im BDSG ausschließlich der Auftraggeber dem Betroffenen gegenüber haftet, sieht die DSGVO schärfere Haftungsregeln, insbesondere für Auftragsverarbeiter vor. So haften nach der DSGVO grundsätzlich der für die Verarbeitung Verantwortliche sowie der Auftragsverarbeitet gemeinsam. Dabei beschränkt sich die Haftung des Auftragsverarbeiters allerdings auf Verstöße gegen die speziell ihm auferlegeten Pflichten. Beiden Parteien steht zudem die Möglichkeit der Exkulpation zur Verfügung. Damit können sie einer Haftung entgehen, wenn sie nachweisen können, dass sie für den Umstand, durch den der Schaden eingetreten ist, nicht verantwortlich sind.
3. Pflichten des Auftraggebers/Pflichten des Auftragnehmers
Da die DSGVO die rechtliche Ausgestaltung der Pflichten des Auftraggebers die derzeitigen Regelungsgrundsätze des BDSG nahezu vollständig übernommen hat, gibt es hierzu keine Neuerungen, die beachtet werden müssen.
Dies gilt jedoch nicht für die Pflichten des Auftragnehmers. Nach Art. 30 Abs. 2 DSGVO müssen ab Mai 2018 auch Auftragsverarbeiter ein Verzeichnis über die Verarbeitungstätigkeiten führen, die sie für den Verantwortlichen durchführen. Bislang musste ein solches Verzeichnis nur von Auftraggebern geführt werden.
4. Mögliche Sanktionen
Erfüllt eine Auftragsdatenverarbeitung nicht die gesetzlichen Anforderungen drohen dem Auftraggeber und den Auftragsverarbeitern nach Art. 83 DSGVO Geldbußen in Höhe von bis zu 10 Millionen Euro oder 2 % des gesamten weltweit erzielten Jahresumsatzes, je nachdem welcher Betrag höher ist.
II. Meldung von Datenpannen in der DSGVO, Art. 33, 34 DSGVO
Ein Unternehmen verstößt gegen den Datenschutz, wenn es zu sog. Datenpannen (engl. Data Breaches) kommt. Darunter sind Verstöße zu verstehen, bei denen Unberechtigten personenbezogene Daten bekannt werden. Dabei ist es irrelevant, ob die Kenntnis vermutlich oder erwiesenermaßen vorliegt und aus welchem Grund es zu der Datenpanne gekommen ist. So kann sie aus einem Hackerangriff, dem Diebstahl eines Smartphones oder der unbefugten Weitergabe durch Mitarbeiter resultieren.
Unter der Datenschutzgrundverordnung, die ab Mai 2018 Geltung haben wird und von den Unternehmen beachtet werden muss, wird das Vorgehen im Falle einer Datenpannen in zwei Vorschriften geregelt. Dabei regelt Art. 33 DSGVO die Informationspflicht gegenüber den Datenschutzaufsichtsbehörden während Art. 34 DSGVO die Anzeigepflicht gegenüber dem Betroffenen betrifft.
1. Meldepflicht an die Aufsichtsbehörde, Art. 33 DSGVO
Nach dem Wortlaut des Art. 33 DSGVO ist die Aufsichtsbehörde immer dann zu informieren, wenn es zu einer Verletzung des Schutzes personenbezogener Daten kommt. Wie oben dargelegt, liegt eine solche Verletzung nach Art. 4 Nr. 12 DSGVO auch stets bei Datenpannen vor.
Im Vergleich zum aktuell noch geltenden § 42a BDSG, der die Meldepflicht bei Datenpannen bisher regelt, gilt die Pflicht zur Meldung nicht nur bei Datenpannen hinsichtlich bestimmter “sensibler” personenbezogener Daten, wie etwa Gesundheits- oder Bankdaten, sondern bei jeglicher Verletzung personenbezogener Daten. Einzige Einschränkung ist, dass eine Meldung an die Aufsichtsbehörde nicht erfolgen muss, wenn “die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt.” Es ist also eine Risikoabwägung durchzuführen. Welche Erwägungen bei der Risikoabwägungen miteinzubeziehen sind, nennt der Erwägungsgrund 75 DSGVO.
Führt die Risikoabwägung zu dem Ergebnis, dass eine Meldepflicht besteht, so ist die Aufsichtsbehörde unverzüglich zu informieren. Als Richtwert für die Unverüglichkeit der Meldung bestimmt Art. 33 DSGVO eine 72 Stunden-Frist nach Bekanntwerden der Datenpanne.
Nach Art. 33 Abs. 5 DSGVO muss der Verantwortliche bezüglich der sog. Data Breach Notification Dokumentationspflichten erfüllen und alle Verletzungen des Schutzes personenbezogener Daten, einschließlich aller damit im Zusammenhang stehenden Fakten, deren Auswirkungen und ergriffene Abhilfemaßnahmen dokumentieren.
2. Meldepflicht an die Betroffenen, Art. 34 DSGVO
Gelangt man an Hand der Risikoabwägung zu dem Ergebnis, dass durch die Datenpanne voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen besteht, sind gemäß Art. 34 DSGVO auch die Betroffenen zu informieren.
Art. 34 Abs. 3 DSGVO nennt allerdings Ausnahmen, bei denen die Meldepflicht an die Betroffenen entfällt. Dies ist dann der Fall, wenn
- geeignete technische und organisatorische Sicherheitsvorkehrungen getroffen wurden, durch die die betroffenen Daten für Unbefugte nicht zugänglich sind (z.B. Verschlüsselung),
- durch nachfolgende Maßnahmen sichergestellt wurde, dass das hohe Risiko für die Rechte und Freiheiten der betroffenen Personen aller Wahrscheinlichkeit nach nicht mehr besteht,
- die direkte Information der Betroffenen mit einem unverhältnismäßigen Aufwand verbunden wäre. In diesem Fall ist jedoch eine öffentliche Bekanntmachung gefordert.
3. Inhalt der Meldung
Sowohl Art. 33 als auch Art. 34 DSGVO nennt die formalen Anforderungen, die eine Meldung an die Aufsichtsbehörde bzw. an die Betroffenen, erfüllen muss. Inhalte, die die Meldung an die Aufsichtsbehörde und die Betroffenen gleichermaßen enthalten sollen, sind folgende:
- der Name und die Kontaktdaten des Datenschutzbeauftragten oder einer sonstigen Anlaufstelle für weitere Informationen;
- eine Beschreibung der wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten
- eine Beschreibung der von dem Verantwortlichen ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzubng des Schutzes personenbezogener Daten und gegebenfalls Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen.
Die Meldung an die Aufsichtsbehörde muss zusätzlich
- eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten, soweit möglich mit Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen, der betroffenen Kategorien und der ungefähren Zahl der betroffenen personenbezogenen Datensätze
enthalten.
4. Sanktionen
Kommt ein Unternehmen seiner Meldepflicht nicht nach, so stellt auch dies einen Verstoß gegen den Datenschutz dar und Aufsichtsbehörden können den Verantwortlichen mit einem Bußgeld von bis zu 10 Millionen Euro oder 2 % des weltweit erzielten Jahresumsatzes sanktionieren.
III. Datenschutzfolgenabschätzung, Art. 35 DSGVO
Ein gänzlich neues Instrument der Datenschutzgrundverordnung wird ab Mai 2018 die sog. Datenschutzfolgenabschätzung sein. Diese ist in Art. 35 DSGVO normiert und ist grundsätzlich nicht anderes als die im nationalen Datenschutzrecht schon bekannte und praktizierte Vorabkontrolle im Sinne des § 4d Abs. 5 BDSG. Sie dient daher der Bewertung von Risiken und deren möglichen Folgen für die persönlichen Rechte und Freiheiten der Betroffenen. Im Vergleich zur Vorabkontrolle ist der Umfang einer solchen Folgenabschätzung aber deutlich größer.
Die Datenschutzfolgenabschätzung ist nach Art. 35 Abs. 1 DSGVO immer dann vorzunehmen, wenn Datenverarbeitungen ein hohes Risiko für die Freiheitsrechte bergen. Dies ist insbesondere der Fall beim Einsatz neuer Technologien und der Verarbeitung großer Datenmengen. Darüber hinaus nennt Art. 35 Abs. 3 DSGVO Regelbeispiele, bei denen eine Pflicht zur Durchführung besteht:
- systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen, die sich auf automatisierte Verarbeitung einschließlich Profiling gründet und die ihrerseits als Grundlage für Entscheidungen dient, die Rechtswirkung gegenüber natürlichen Personen entfalten oder diese in ähnlicher Weise erheblich beeinträchtigen;
- umfangreiche Verarbeitung besonderer Kategorien von personenbezogenen Daten gemäß Art. 9 Abs. 1 oder von Daten über strafrechtliche Verurteilungen und Straftaten gemäß Art. 10 DSGVO;
- systematische weiträumige Überwachung öffentlich zugänglicher Bereiche.
Aufgrund des offenen Tatbestandes des Absatzes 1 ist im weiteren Verlauf noch eine Konkretisierung durch die Aufsichtsbehörde nötig, die Klarheit bezüglich der Frage schafft, wann der Tatbestand genau erfüllt ist und eine Folgenabschätzung zu erfolgen hat.
1. Anforderungen an die Datenschutzfolgenabschätzung, Art. 35 Abs. 7 DSGVO
Der Inhalt einer solchen Datenschutzfolgenabschätzung ist in Art. 35 Abs. 7 DSGVO näher umschrieben. Die Folgenabschätzung muss daher folgendes enthalten:
- eine systematische Beschreibung der geplanten Verarbeitungsvorgänge und der Zwecke der Verarbeitung, gegebenenfalls einschließlich der von dem für die Verarbeitung Verantwortlichen verfolgten berechtigten Interessen.
- Eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf den zweck.
- Eine Bewertung der Risiken der Rechte und Freiheiten der betroffenen Personen.
- Die zur Bewältigung geplanten Abhilfemaßnahmen, einschließlich Garantien, Sicherheitsvorkehrungen und Verfahren, durch die der Schutz personenbezogener Daten sichergestellt und der Nachweis dafür erbracht werden soll, dass die Bestimmungen dieser Verordnung eingehalten werden, wobei den Rechten und berechtigten Interessen der betroffenen Personen und sonstiger Betroffener Rechnun getragen werden soll.
Ist ein Datenschutzbeauftragter für das Unternehmen tätig, so ist gemäß Art. 35 Abs. 2 DSGVO stets sein Rat einzuholen.
2. Ausnahmen von der Pflicht zur Datenschutzfolgenabschätzung, Art. 35 Abs. 10 DSGVO
Ausnahmen von der Pflicht zur Folgenabschätzung bestehen gemäß Art. 35 Abs. 10 DSGVO, wenn die Verarbeitung auf der Grundlage einer europäischen oder nationalen Rechtsvorschrift beruht. Hier liegt es im Ermessen der einzelnen Mitgliedsstaaten, ob sie eine Folgenabschätzung im Einzelfall als erforderlich ansehen.
3. Folgen einer Datenschutzfolgenabschätzung
Ergibt sich bei der Datenschutzfolgenabschätzung, dass die Datenverarbeitung mit einem besonders hohen Risiko einhergeht, das nicht durch vertretbare Mittel eingedämmt werden kann, ist nach Art. 36 DSGVO und des Erwägungsgrundes 94 eine vorherige Konsultation der Aufsichtsbehörde notwendig.
Die Aufsichtsbehörde kann dem Unternehmen innerhalb einer Frist von 8 Wochen konkrete Empfehlungen geben, in welchen Bereichen Nachbesserungen vorzunehmen sind.
Das Thema der nächsten Woche ist der 2. Teil des Bereichs Datenschutzes im Unternehmen
5. Juli 2017
Wenn ein Umzug ins Haus steht, kann man über das Internetportal umziehen.de, das von der Deutsche Post Adress GmbH & Co. KG betrieben wird, viele Unternehmen und Institutionen über seine neue Anschrift informieren. Dadurch kann etwa sichergestellt werden, dass auch nach einem Umzug die Zustellbarkeit von Briefen und sonstigen Postsendungen sichergestellt ist.
Vor kurzem hat es bei der Deutsche Post Adress GmbH & Co. KG nun wohl ein Datenleck gegeben. Personen mit entsprechenden Computerfähigkeiten soll es unkompliziert möglich gewesen sein, die von den Nutzern des Portals umziehen.de hinterlegten Daten einzusehen. Konkret sollen Daten zu Namen, Alter und neuer Adresse, Umzugsdatum und E-Mail-Adresse offengelegen haben. Auslöser für diese Panne soll nach Angaben der Post ein Update für das Portal umziehen.de gewesen sein. Kurz nach Bekanntwerden der Sicherheitslücke sei man aber in der Lage gewesen diese zu schließen. Im Anschluss habe man die zuständige Datenschutzaufsichtsbehörde in Nordrhein-Westfalen über den Vorfall informiert und vorsorglich eine Informationsmail an die Nutzer des Portals umziehen.de geschickt.
Diese Datenpanne veranschaulicht, dass es für Unternehmen wichtig ist, bestehende Prozesse für den Umgang mit Datenpannen (Data Breach Management) zu implementieren. Das Bundesdatenschutzgesetz (BDSG) regelt in § 42a gewisse Informationspflichten gegenüber der zuständigen Datenschutzaufsichtsbehörde und den von einer Datenpanne betroffenen Personen. Ein Verstoß gegen diese Verpflichtung stellt nach § 43 Abs. 2 Nr. 7 BDSG eine Ordnungswidrigkeit dar, die mit bis zu 300.000 EUR Geldbuße geahndet werden kann und in den in § 44 Abs. 1 BDSG aufgeführten Fällen sogar eine Straftat darstellt. Die Bedeutung eines funktionierenden Data Breach Managements erhöht sich noch einmal vor dem Hintergrund der ab Mai 2018 geltenden Datenschutzgrundverordnung (DSGVO), da diese strengere Maßstäbe als das BDSG stellt und auch höhere Bußgelder vorsieht.
Über die Regelungen der DSGVO zum Umgang mit Datenpannen informieren wir Sie unter anderem auch in unserem nächsten Blogbeitrag der Themenreihe DSGVO.
30. Juni 2017
In der letzten Woche wurden das Transparenzgebot, die Informationspflicht des Verantwortlichen, das Auskunftsrecht des Betroffenen und das Recht auf Berichtigung behandelt. Hier kommen Sie zum Teil 1, falls Sie diesen vorweg lesen möchten.
Im Folgenden sollen das Recht auf Löschung, das Recht auf Einschränkung der Bearbeitung, die Mitteilungspflicht des Verantwortlichen und das Recht auf Datenübertragung im Überblick erläutert werden.
5. Recht auf Löschung, Art. 17 DSGVO
Das „Recht auf Vergessenwerden“ hat seit der Entscheidung des EuGH vom 13. Mai 2014 (EuGH C‑131/12) an Bedeutung gewonnen. Diesem Umstand trägt die Kodifizierung des Rechts auf Löschung aus Art. 17 DSGVO Rechnung, dessen zweiter Absatz das „Recht auf Vergessenwerden“ gesetzlich festschreibt. In dem Urteil des EuGH klagte der Spanier Costeja González gegen Google auf Löschung von ihn betreffenden Suchmaschinenergebnissen, die einen bereits abgeschlossenen in der Vergangenheit liegenden Sachverhalt anzeigten, wenn nach seinem Namen gesucht wurde. Google hatte sich damals geweigert die Suchergebnisse zu löschen. Der EuGH entschied zugunsten des Klägers. Er begründete die Entscheidung damit, dass die Suchergebnisse in Anbetracht der Grundrechte aus den Art. 7 und 8 der Charta zu löschen sind, wenn das Interesse der betroffenen Person an der Löschung, dem Interesse der breiten Öffentlichkeit am Zugang zu der Information oder auch dem wirtschaftlichen Interesse des Suchmaschinenbetreibers überwiegt.
Nach Inkrafttreten des DSGVO wird der Betroffene unter den Voraussetzungen des Art. 17 Abs. 1 DSGVO die Löschung seiner personenbezogenen Daten verlangen können.
Voraussetzungen der Löschung
Gemäß Art. 17 Abs. 1 DSGVO sind unter folgenden Voraussetzungen personenbezogene Daten unverzüglich zu löschen:
- Die personenbezogenen Daten sind für den Zweck, für den sie erhoben wurden, nicht mehr nötig.
- der Betroffene widerruft seine Einwilligung und es fehlt an einer anderweitigen Rechtgrundlage.
- Der Betroffene legt Widerspruch ein und es liegen keine vorrangigen berechtigten Gründe für die Verarbeitung vor.
- Die personenbezogenen Daten wurden unrechtmäßig verarbeitet.
- Die Löschung der personenbezogenen Daten ist erforderlich zur Erfüllung einer rechtlichen Verpflichtung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten.
- Die personenbezogenen Daten eines Kindes wurden in Bezug auf angebotene Dienste der Informationsgesellschaft erhoben. Art. 8 DSGVO ist dabei zu beachten
Wie bereits oben erwähnt, findet das „Recht auf Vergessenwerden“ seine Normierung in Art. 17 Abs. 2 DSGVO. Demnach hat der Verantwortliche, der die personenbezogenen Daten öffentlich gemacht hat und gemäß Absatz 1 zu deren Löschung verpflichtet ist, unter Berücksichtigung der verfügbaren Technologie und der Implementierungskosten, angemessene Maßnahmen, auch technischer Art, zu treffen, um für die Datenverarbeitung Verantwortliche, die die personenbezogenen Daten verarbeiten, darüber zu informieren, dass ein Betroffener von ihnen die Löschung aller Links zu den ihn betreffenden personenbezogenen Daten oder von Kopien oder Replikationen dieser personenbezogenen Daten verlangt hat.
Art. 17 Abs. 3 DSGVO bildet einen Ausschlusstatbestand für die Abs. 1 und 2 und nennt entsprechende Fälle, die, liegen sie vor, einer Löschung der Daten entgegenstehen.
6. Recht auf Einschränkung der Verarbeitung, Art. 18 DSGVO
Das Recht auf Einschränkung der Verarbeitung stellt für den Betroffenen ein effizientes und im Verhältnis zu einer unverzüglichen Löschung der personenbezogenen Daten aus Sicht des Verantwortlichen für die Datenverarbeitung milderes Mittel dar. Ist z.B. die Rechtslage bezüglich eines Löschungsanspruchs noch nicht endgültig geklärt, kann der Betroffene durch die Einschränkung der Verarbeitung die Verarbeitung unterbinden, ohne zu sehr in die unter Umständen berechtigten Interessen des Verantwortlichen einzugreifen.
Die Voraussetzungen für eine Einschränkung der Verarbeitung finden sich in Art. 18 Abs. 1 DSGVO. Der Betroffene kann vom Verantwortlichen die Einschränkung der Verarbeitung seiner personenbezogenen Daten verlangen, wenn
- der Betroffene die Richtigkeit der personenbezogenen Daten bestreitet,
- die Verarbeitung unrechtmäßig ist und der Betroffene die Löschung der personenbezogenen Daten ablehnt, jedoch stattdessen die Einschränkung der Nutzung der personenbezogenen Daten verlangt
- der Verantwortliche die personenbezogenen Daten für die Zwecke der Verarbeitung nicht länger benötigt, der Betroffene die Daten jedoch für die Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen benötigt oder
- der Betroffene Widerspruch gegen die Verarbeitung gemäß Art. 21 Abs. 1 DSGVO eingelegt hat, solange noch nicht feststeht, ob die berechtigten Gründe des Verantwortlichen gegenüber denen der betroffenen Person überwiegen.
Die Rechtsfolgen sind in Abs. 2 DSGVO geregelt. Ist die Verarbeitung personenbezogener Daten gem. Absatz 1 eingeschränkt, so dürfen diese Daten grundsätzlich – abgesehen von ihrer Speicherung – nicht mehr verarbeitet werden. Ausnahmen gelten für folgende Fälle:
- der Betroffene willigt ein
- die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen
- die Verarbeitung erfolgt zum Schutz der Rechte einer anderen natürlichen oder juristischen Person
- aus Gründen eines wichtigen öffentlichen Interesses der Union oder eines Mitgliedstaats
Hat ein Betroffener dem Verantwortlichen gegenüber eine Einschränkung der Verarbeitung gem. Art. 18 Abs. 1 DSGVO erwirkt, so hat der Verantwortliche den Betroffenen zu unterrichten, bevor die Einschränkung aufgehoben wird (Vgl. Art. 18 Abs. 3 DSGVO).
7. Mitteilungspflicht, Art. 19 DSGVO
Liegen die Voraussetzungen von Art. 16 (Recht auf Berichtigung), 17 Abs. 1 (Recht auf Löschung) und Artikel 18 (Recht auf Einschränkung) DSGVO vor und hat der Verantwortliche die personenbezogenen Daten berichtigt, gelöscht oder die Datenverarbeitung dieser eingeschränkt, so hat er denjenigen Empfängern, denen er die personenbezogenen Daten offengelegt hat darüber zu informieren. Die Mitteilungspflicht ist jedoch ausgeschlossen, wenn sie sich für den Verantwortlichen als unmöglich darstellt oder mit einem unverhältnismäßigen Aufwand verbunden ist. Der Betroffene kann vom Verantwortlichen verlangen, dass er über die Empfänger unterrichtet wird.
8. Recht auf Datenübertragbarkeit, Art. 20 DSGVO
Das Recht auf Datenübertragung aus Art. 20 DSGVO soll dem Betroffenen ermöglichen seine Daten von einem Verantwortlichen zu einem anderen Verantwortlichen übertragen zu können. Dafür soll derjenige Verantwortliche, von dem der Betroffene die ihn betreffenden personenbezogene Daten herausverlangt, diese in einem strukturierten, gängigen und maschinenlesbaren Format zur Verfügung zu stellen. Die so erhaltenen Daten darf der Betroffene, ohne Behinderung durch den herausgebenden Verantwortlichen an einen anderen Verantwortlichen übermitteln (Vgl. Art. 20 Abs. 1 DSGVO). Die Article 29 Working Party hat in ihrem Leitfaden zum Recht auf Datenübertragbarkeit (“Guidelines on the right to data portability”) beschrieben, wie eine solche Behinderung aussehen könnte. Diese könnte rechtlicher, technischer oder finanzieller Natur sein. Als Beispiele nannte sie unter anderem Gebühren für die Übermittlung der Daten, eine übermäßige Verspätung oder auch das zur Verfügung stellen der Daten in einem für andere nicht kompatiblen Formats.
Voraussetzung für das Recht auf Datenübertragbarkeit ist, dass die ursprüngliche Verarbeitung auf Grundlage einer Einwilligung oder eines Vertrags erfolgte und mithilfe automatisierter Verfahren erfolgte (Vgl. Art. 20 Abs. 1 lit. a und lit. b GDPR).
Liegen die Voraussetzungen vor, hat der Betroffene die Möglichkeit, in Ausübung seines Rechts aus Art. 20 Abs. 1 DSGVO, auch die direkte Übermittlung seiner personenbezogenen Daten von einem Verantwortlichen zu einem anderen Verantwortliche zu erwirken, soweit dies technisch machbar ist.
Das Thema der nächsten Woche ist der Datenschutz im Unternehmen
Pages: 1 2 ... 28 29 30 31 32 33 34 35 
