Fragen zur Datenschutz-Grundverordnung
Hier haben wir die Antworten auf häufige Fragen zur Datenschutz-Grundverordnung und den durch sie bedingten Änderungen zusammengestellt:
Die VERORDNUNG (EU) 2016/679 DES EUROPÄISCHEN PARLAMENTS UND DES RATES vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG ("Datenschutz-Grundverordnung") ist am 25. Mai 2016 in Kraft getreten und wird ab dem 25. Mai 2018 in den Mitgliedstaaten unmittelbar gelten. Sie löst die Datenschutzrichtlinie 95/46/EG ab.
Als Verordnung der Europäischen Union im Sinne des Art. 288 Abs. 2 AEUV hat sie im Gegensatz zur Datenschutzrichtlinie 95/46/EG allgemeine Geltung; sie ist in allen ihren Teilen verbindlich und gilt unmittelbar in jedem Mitgliedstaat.
Bei der Datenschutz-Grundverordnung handelt sich um die neue Grundlage des Datenschutzes in der EU, die nationale Regelungen zu großen Teilen ersetzt. Sie schafft einen einheitlichen datenschutzrechtlichen Rahmen für Europa.
Weitere Informationen:
Ziel der Datenschutz-Grundverordnung ist die Harmonisierung der Vorschriften zum Schutz der Grundrechte und Grundfreiheiten natürlicher Personen bei der Datenverarbeitung sowie die Gewährleistung des freien Verkehrs personenbezogener Daten zwischen den Mitgliedstaaten. Es soll ein gemeinsamer Standard in der gesamten Europäischen Union geschaffen werden.
Dies war im Wesentlichen bereits Ziel der Datenschutzrichtlinie. Allerdings bestehen derzeit noch – trotz der bereits langjährigen Geltung der Datenschutzrichtlinie – erhebliche Unterschiede im Datenschutzrecht der verschiedenen Mitgliedstaaten; das Schutzniveau variiert erheblich. Denn Umsetzung und Anwendung der Datenschutzrichtlinie erfolgten in den einzelnen Mitgliedstaaten nicht homogen.
Durch das Instrument einer unmittelbar geltenden Verordnung soll das Datenschutzrecht nunmehr innerhalb Europas stärker vereinheitlicht werden.
Die Datenschutz-Grundverordnung wurde am 27. April 2016 verabschiedet. Am 25. Mai 2016 ist sie in Kraft getreten. Unmittelbare Geltung wird sie ab dem 25. Mai 2018 entfalten.
Grundsätzlich gilt die Datenschutz-Grundverordnung für öffentliche sowie nicht-öffentliche Stellen.
Ausgenommen vom Anwendungsbereich der Datenschutz-Grundverordnung ist zum einen - wie bislang - die Datenverarbeitung durch natürliche Personen zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten. Ferner ist die Anwendung ausgeschlossen, soweit es sich um Datenverarbeitungen im Rahmen einer Tätigkeit handelt, die nicht in den Anwendungsbereich des Unionsrechts fällt oder um Datenverarbeitungen durch die Mitgliedstaaten im Rahmen der Gemeinsamen Außen- und Sicherheitspolitik auf Unionsebene.
Zudem wird der Anwendungsbereich der RICHTLINIE (EU) 2016/680 DES EUROPÄISCHEN PARLAMENTS UND DES RATES vom 27. April 2016 ("Richtlinie für Polizei und Justiz") von dem Anwendungsbereich der Datenschutz-Grundverordnung ausgenommen, weshalb die Datenschutz-Grundverordnung auf die Datenverarbeitung durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung, einschließlich des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit keine Anwendung findet.
Der räumliche Anwendungsbereich des Europäischen Datenschutzrechts wird durch die Datenschutz-Grundverordnung erheblich erweitert. Aufgrund des Marktortprinzips findet die Datenschutz-Grundverordnung nicht lediglich auf in der Europäischen Union niedergelassene Unternehmen Anwendung - unabhängig davon, wo die Datenverarbeitung stattfindet -, sondern auch auf außereuropäische Unternehmen, die auf dem europäischen Markt tätig sind. Voraussetzung ist insoweit lediglich, dass eine Verarbeitung personenbezogener Daten von in der Union befindlichen betroffenen Personen stattfindet im Zusammenhang mit dem Anbieten von Waren oder Dienstleistungen auf einem Markt in der Europäischen Union oder dass die Datenverarbeitung der Beobachtung des Verhaltens von Personen in der Europäischen Union dient. Dies wird auch bei einer Reihe von Anbietern sozialer Medien mit Sitz in den USA der Fall sein.
Die Datenschutz-Grundverordnung (DS-GVO) führt nicht zu einem völlig neuen Datenschutzrecht, sondern erhält viele bewährte Prinzipien.
- Wie bisher wird für die Verarbeitung personenbezogener Daten eine Rechtsgrundlage erforderlich sein.
- Personenbezogene Daten müssen weiterhin für eindeutig festgelegte Zwecke erhoben werden und dürfen nur soweit verarbeitet werden, wie dies mit diesen Zwecken vereinbar und für sie erforderlich ist.
- Die betroffenen Personen haben ein Reihe von Rechten, mit denen sie Einfluss auf die Verarbeitung ihrer personenbezogenen Daten nehmen können, z.B. Auskunft, Berichtigung, Löschung).
- Die Verarbeitung personenbezogener Daten im Auftrag ist auch nach der DS-GVO möglich.
- Das Datenschutzrecht der EU wird zukünftig nicht lediglich für in der EU niedergelassene Unternehmen gelten, sondern auch für außereuropäische Unternehmen, die auf dem europäischen Markt tätig sind (Marktortprinzip).
- Unternehmen sind zu umfangreicheren Information der Betroffenen und größerer Transparenz verpflichtet als bisher.
- Die Verpflichtungen zu technischem und organisatorischem Datenschutz werden fortentwickelt.
- Die Datenschutz-Grundverordnung fördert die Selbstregulierung der Verantwortlichen und hält hierzu mit Regeln für Codes of Conduct, Binding Corporate Rules und Zertifizierungsverfahren mehrere Instrumente bereit.
- Verantwortliche werden in Zukunft in vielen Bereichen verpflichtet sein, Datenschutz-Folgenabschätzungen durchzuführen.
- Die Aufsichtsbehörden bekommen eine große Anzahl neuer Aufgaben zugewiesen und können viel höhere Bußgelder verhängen als bisher.
- Für jedes Unternehmen wird eine Datenschutzbehörde federführend zuständig sein (One stop shop). Jede Bürgerin oder jeder Bürger wird sich mit Eingaben an seine Datenschutzbehörde wenden, die dann das Verfahren wenn nötig europäisch fortführt.
- Die europaweite Zusammenarbeit der Aufsichtsbehörden in grenzüberschreitenden Fällen wurde detailliert geregelt (Kohärenzverfahren).
- Grundzüge
- Kurzpapier Nr. 7 "Marktortprinzip" der Datenschutzkonferenz
- BfDI-Broschüre zur Datenschutz-Grundverordnung
Ab dem 25. Mai 2018 werden die Betroffenen, die Verantwortlichen und die Aufsichtsbehörden mit einem neuen Regime an datenschutzrechtlichen Vorschriften auf europäischer, Bundes- und Länderebene konfrontiert.
Damit stellt sich die Frage, wie sich diese Ebenen zueinander verhalten und welches Recht im Fall einer Kollision Vorrang genießt. Mit dem Wirksamwerden der Datenschutz-Grundverordnung und der Umsetzung der Richtlinie über Polizei und Justiz im Mai 2018 bildet das Unionsrecht den Ausgangspunkt und die wesentliche Grundlage für den Datenschutz. Das Bundesdatenschutzgesetz und die Fachgesetze auf Bundesebene regeln weitere Einzelheiten. Auf Landesebene kommen das Landesdatenschutzgesetz und das einschlägige Fachrecht zur Anwendung.
Im Falle inhaltlicher Konflikte des Rechts – d.h. wenn eine Regelung im Einzelfall eine bestimmte Rechtsfolge anordnet, die der Rechtsfolge einer anderen Bestimmung widerspricht – bedarf es der Kollisionsregeln. Für das Unionsrecht greift die allgemeine Kollisionsregel des Anwendungsvorrangs. Danach ist in einem konkreten Konfliktfall eine bestimmte innerstaatliche Rechtsvorschrift unanwendbar, wenn und soweit sie mit einer vorrangigen Vorschrift des Unionsrechts kollidiert. Die konkrete Auswirkung des Anwendungsvorrangs hängt von der jeweiligen Situation des Falles ab.
- unbeabsichtigte/unrechtmäßige Vernichtung und Veränderung,
- unbeabsichtigter/unrechtmäßiger Verlust,
- unbefugte Offenlegung,
- unbefugter Zugang zu personenbezogenen Daten.
- Pseudonymisierung und Verschlüsselung personenbezogener Daten,
- die Fähigkeit, Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste sicherzustellen,
- die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen nach einem Zwischenfall rasch wiederherzustellen.
Für die Risikoanalyse sowie die Datenschutzfolgeabschätzung sollte auf das von der Konferenz der unabhängigen Datenschutzbehörden entwickelte Standard-Datenschutzmodell zurückgegriffen werden.
Da die Datenschutz-Grundverordnung als Verordnung im Sinne des Art. 288 Abs. 2 AEUV unmittelbar in den einzelnen Mitgliedstaaten gilt, ist entgegenstehendes und auch gleichlautendes nationales Recht grundsätzlich aufzuheben.
Weitere Informationen:
- Anwendungsvorrang
- BfDI-Broschüre zur Datenschutz-Grundverordnung
Die Verantwortlichen müssen ihre Verarbeitungsvorgänge, Verarbeitungssysteme und ihre organisatorischen Strukturen bis zum 25. Mai 2018 an die Datenschutz-Grundverordnung anpassen. Dies umfasst eine ganze Reihe von Aufgaben, u.a.:
- Die Anpassung der eigenen Verarbeitungsvorgänge an die Rechtsgrundlagen der DS-GVO (insb. Art. 6 DS-GVO).
- Die Anpassung datenschutzrechtlicher Einwilligungen (Art. 7 und 8 DS-GVO)
- Die Umsetzung der Pflichten zur Information und Auskunft an die betroffenen Personen (Art. 12 ff. DS-GVO).
- Die Anpassung von Aufträgen im Sinne der Auftragsverarbeitung (Art. 28 DS-GVO).
- Die Umsetzung eines Datenschutz-Managements (Art. 24 DS-GVO).
- Die Umsetzung des technischen Datenschutzes (Art. 25 DS-GVO) und der Datensicherheit (Art. 32 DS-GVO)
- Die Einrichtung eines Verfahrensverzeichnisses (Art. 30 DS-GVO).
- Die Durchführung von Datenschutz-Folgenabschätzungen (Art. 35 DS-GVO) und vorherigen Konsultationen (Art. 36 DS-GVO).
- Die Benennung eines Datenschutzbeauftragten (Art. 37 ff. DS-GVO).
- Die Schulung der eigenen Mitarbeiter im Hinblick auf die neue Rechtslage.
- Kurzpapier Nr. 8 "Maßnahmenplan" der Datenschutzkonferenz
- Fragebogen des LDA Bayern zur Vorbereitung auf die Datenschutz-Grundverordnung
- BfDI-Broschüre zur Datenschutz-Grundverordnung
Durch das Internetangebot des Landesbeauftragten für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz können sich die Bürgerinnen und Bürger, Unternehmen und Verwaltungen über die Neuerungen und die Inhalte der Datenschutz-Grundverordnung informieren. Das Angebot wird fortlaufend aktualisiert.
- Themenbeiträge zur Datenschutzgrundverordnung
- Interview mit dem LfDI Prof. Dr. Kugelmann zur Datenschutz-Grundverordnung
- Video mit dem LfDI zur Datenschutz-Grundverordnung
Weitere Informationen:
- Unterrichtung und Beratung des Verantwortlichen und der Beschäftigten, die Verarbeitungen durchführen, hinsichtlich ihrer Datenschutz-Pflichten (lit. a);
- Überwachung der Einhaltung der Datenschutzvorschriften sowie der Strategien des Verantwortlichen für den Schutz personenbezogener Daten einschließlich der Zuweisung von Zuständigkeiten, der Sensibilisierung und Schulung der an den Verarbeitungsvorgängen beteiligten Mitarbeiter und der diesbezüglichen Überprüfungen (lit. b);
- Beratung im Zusammenhang mit der Datenschutz-Folgenabschätzung nach Art. 35 Datenschutz-Grundverordnung und Überwachung ihrer Durchführung (lit. c);
- Zusammenarbeit mit der Aufsichtsbehörde (lit. d) und Tätigkeit als Anlaufstelle für die Aufsichtsbehörde (lit. e).
Weitere Informationen:
Benennt ein Verantwortlicher oder Auftragsverarbeiter trotz bestehender Benennungspflicht keinen Datenschutzbeauftragten, so kann von der zuständigen Aufsichtsbehörde eine Geldbuße verhängt werden (Art. 83 Abs. 4 lit. a Datenschutz-Grundverordnung).
Weitere Informationen:
- Kurzpapier 2 Aufsichtsbefugnisse/Sanktionen
- BfDI-Broschüre zur Datenschutz-Grundverordnung
Das bisher von den Verantwortlichenden zu führende Verfahrensverzeichnis wird abgelöst und modifiziert. Gegenstand des Verzeichnisses sind nunmehr sämtliche automatisierte Verarbeitungen und auch nichtautomatisierte Verarbeitungen, sofern sie in einem Dateisystem gespeichert sind. Das Verzeichnis bildet dabei die Summe der durch den Verantwortlichen durchgeführten Verarbeitungen.
Das Verzeichnis ist zukünftig intern zu führen und dient damit zum einen der Einhaltung der nach der Datenschutz-Grundverordnung den Verantwortlichen auferlegten Dokumentationspflichten und seiner internen Organisation als auch auch – auf Anfrage – der Kontrolle der Datenschutzaufsichtsbehörden.
Der Inhalt des Arbeitsverzeichnisses des Verantwortlichen richtet sich nach Art. 30 Abs. 1 DS-GVO. Danach sind in dem Verzeichnis die Kontaktdaten des Verantwortlichen aufzunehmen und wesentliche Angaben zu der Verarbeitung zu dokumentieren, wie z.B. der Zweck der Verarbeitung, die Kategorien der personenbezogenen Daten, die verarbeitet werden und die Kategorien der davon betroffenen Personen. Außerdem sind die Empfänger aufzuführen, die Aufbewahrungs- bzw. Löschfristen und die technisch-organisatorischen Maßnahmen die der Verantwortliche ergreift.
Die wesentliche Neuerung in Bezug auf das Verzeichnis von Verarbeitungstätigkeiten ist, dass die Pflicht zum Führen eines solchen Verzeichnisses auch die Auftragsverarbeiter trifft. Das Verzeichnis ist weniger umfangreich als das des Verantwortlichen. So muss es neben den Kontaktdaten des Auftragsverarbeiters und jedes Auftraggebers, für den er tätig ist, lediglich Angaben zu den Kategorien von Verarbeitungen, etwaigen Übermittlungen in Drittländer und eine Beschreibung der technisch-organisatorischen enthalten.
Neben einem Kurzpapier hat die DSK außerdem Hinweise zum Führen des Verzeichnisses erstellt, insbesondere Beispiele für die jeweiligen Kategorien und Inhalte. Diese werden zeitnah veröffentlicht. Des Weiteren werden in Kürze Muster zur Verfügung gestellt, sowohl für das Verzeichnis des Verantwortlichen als auch für das Verzeichnis des Auftragsverarbeiters.
Die Sicherheit der Verarbeitung ist in Art. 5 Abs. 1 lit. f DS-GVO als Grundsatz der Integrität und Vertraulichkeit verankert und wird in Art. 32 DS-GVO konkretisiert.
Verantwortliche und Auftragsverarbeiter müssen geeignete technische und organisatorische Maßnahmen treffen, um einen adäquaten Schutz gegen Risiken für die Rechte und Freiheiten natürlicher Personen zu schaffen.
Solche Risiken bestehen insbesondere durch die Möglichkeit unbefugten Zugriffs auf personenbezogene Daten und Verarbeitungssysteme durch externe und interne Angreifer.
Sicherheit der Verarbeitung meint also IT-Sicherheit im Hinblick auf das Schutzgut der personenbezogenen Daten. Art. 5 Abs.1 lit. f und Art. 32 Abs. 1 DS-GVO enthalten daher als Anforderungen u.a. auch klassische IT-Sicherheitsziele wie Vertraulichkeit, Integrität und Verfügbarkeit, aber auch konkrete Maßnahmen wie Pseudonymisierung und Verschlüsselung.
Die Sicherheit der Verarbeitung ist eine Gestaltungsaufgabe für die Verantwortlichen, die die technischen und organisatorischen Maßnahmen bis zum 25. Mai 2018 umzusetzen und in der Folge regelmäßig zu überprüfen haben. Verstöße gegen die Pflicht zur Sicherung der Verarbeitung können nach der DS-GVO zu empfindlichen Geldbußen führen.
Weitere Informationen:
Die Datenschutz-Folgenabschätzung ist ein Instrument, das die Datenschutz-Grundverordnung den Verantwortlichen an die Hand gibt, um Datenverarbeitungen, die voraussichtlich zu einem hohen Risiko für die Rechte und Freiheiten der betroffenen Personen führen, zu identifizieren und entsprechende Maßnahmen zu unternehmen, um dieses Risiko einzudämmen.
Dazu müssen die Verantwortlichen zunächst im Rahmen einer Schwellwertanalyse die Risiken, die von der beabsichtigten Datenverarbeitung ausgehen, abschätzen. Das Ergebnis dieser Risikoabschätzung ist zu dokumentieren. Ergibt die Abschätzung, dass ein voraussichtlich hohes Risiko vorliegt, muss eine Datenschutz-Folgenabschätzung vorgenommen werden. Das Vorliegen eines solchen Risiko ist nach der Datenschutz-Grundverordnung in bestimmten in Art. 35 Abs. 3 DS-GVO aufgezählten Fällen indiziert, z.B. bei der systematischen und umfangreichen Überwachung öffentlich zugänglicher Bereiche. Dann ist eine Datenschutz-Folgenabschätzung zwingend durchzuführen.
Die Aufsichtsbehörden erarbeiten derzeit eine Liste von Datenverarbeitungsvorgängen, die zwingend eine Datenschutz-Folgenabschätzung erfordern.
Der Mindestinhalt der Folgenabschätzung wird durch Art. 35 Abs. 7 DS-GVO festgelegt: Nach der systematischen Beschreibung der geplanten Verarbeitungsvorgänge, der Zwecke der Verarbeitung und der Erfassung der berechtigten Interessen des Verantwortlichen dazu, werden die Notwendigkeit und die Verhältnismäßigkeit der Datenverarbeitung in Bezug auf den jeweiligen Zweck bewertet. Des Weiteren werden die Risiken für die Rechte und Freiheiten der betroffenen Personen untersucht. Aufbauend auf dieser Analyse müssen geeignete Abhilfemaßnahmen, insbesondere Garantien, Sicherheitsvorkehrungen und Verfahren getroffen und dokumentiert werden, mit denen die identifizierten Risiken für die Rechte der betroffenen Personen eingedämmt werden können. Der Datenschutzbeauftragte – sofern einer benannt wurde – soll von dem Verantwortlichen einbezogen werden.
Können aus vertretbaren Gründen keine geeigneten Gegenmaßnahmen getroffen werden, ist nach Art. 36 DS-GVO die zuständige Aufsichtsbehörde zu konsultieren, deren Aufgabe es nach der Datenschutz-Grundverordnung unter anderem ist, die Datenschutz-Folgenabschätzung zu überwachen. Eine Verletzung dieser Konsultationspflicht könnte mit empfindlichen Geldbußen geahndet werden.
Dem Verantwortlichen wird ein Spielraum dahingehend gewährt, welche Methode er für die Datenschutz-Folgenabschätzung nutzt. Eine Orientierung bietet das Kurzpapier Nr. 5 der DSK, in dem ein möglicher Prozess zur Durchführung der Datenschutz-Folgenabschätzung dargestellt wird.
Außerdem hat die Art. 29-Gruppe Leitlinien zur Datenschutz-Folgenabschätzung (WP 248 Privacy Impact Assessment - PIA) erstellt, die das neue Instrument und seine Anwendung weiter konkretisieren und erläutern.
Auch der LfDI gibt neben seiner Themenseite zur Datenschutz-Folgenabschätzung wertvolle Hinweise.
"privacy by design", oder auf Deutsch auch "Datenschutz durch Technikgestaltung" bedeutet, dass der Datenschutz sozusagen in die Datenverarbeitungssysteme eingebaut werden soll. Privacy by Design beruht auf dem Gedanken, dass Datenschutzverstöße, die technisch nicht möglich sind, auch nicht passieren. Das Konzept ist nicht völlig neu, hat aber in Art. 25 DS-GVO nun eine prominente und sanktionsbewehrte Regelung erfahren.
Gemäß Art. 25 Abs. 1 DS-GVO haben die Verantwortlichen sowohl zum Zeitpunkt der Festlegung der Verarbeitungsmittel als auch zum Zeitpunkt der Verarbeitung durch technische und organisatorische Maßnahmen sicherzustellen, dass die Anforderungen der Verordnung eingehalten werden. Dies kann z.B. durch den Einkauf datenschutzgerechter Software oder durch die eigene Entwicklung solcher Produkte umgesetzt werden. Auch die datenschutzgerechte Einbettung solcher Systeme in organisatorische Abläufe des Verantwortlichen sind Teil dieser Pflicht.
Art. 25 Abs. 2 DS-GVO enthält außerdem die Pflicht zu datenschutzfreundlichen Voreinstellungen (privacy by default). Dies bedeutet, dass Voreinstellungen von Verarbeitungssystemen die Verarbeitung personenbezogener Daten auf das für den Zweck absolut erforderliche Maß begrenzen müssen. Wollen betroffene Personen, etwa in sozialen Netzwerken, eine weitergehende Verarbeitung ihrer personenbezogenen Daten erlauben wollen, müssen sie diese Voreinstellungen bewusst ändern.
Die Verarbeitung personenbezogener Daten im Auftrag wird es auch unter der DS-GVO geben. Sie heißt dort "Auftragsverarbeitung" und ist in Art. 28 DS-GVO geregelt. Das neue BDSG enthält keine diesbezüglichen Regelungen mehr, für die Landesdatenschutzgesetze ist dies ebenso zu erwarten. Ab dem 25. Mai 2018 wird damit für alle öffentlichen und nichtöffentlichen Verantwortlichen Art. 28 DS-GVO anwendbar sein.
Die Auftragsverarbeitung wird nicht grundlegend umgestaltet. Die Auftragnehmer müssen sorgfältig ausgewählt werden und dürfen personenbezogene Daten nur im Rahmen der Anweisungen des Auftraggebers verarbeiten. Insgesamt kann festgestellt werden, dass sich die DS-GVO klar zum Modell der Auftragsverarbeitung bekennt und dieses sogar fortentwickelt.
Es ergeben sich aber im Detail einige Änderungen, insbesondere:
- Die zwingenden Inhalte des Auftrags wurden in Art. 28 Abs. 3 DS-GVO detailliert geregelt und enthalten zahlreiche kleinere Unterschiede zur bisherigen Rechtslage. Daher ist es notwendig, bestehende Aufträge bis zum 25. Mai 2018 anzupassen.
- Die Auftragserteilung kann gemäß Art. 28 Abs. 9 DS-GVO in Zukunft auch in einem elektronischen Format erfolgen. Das strenge Schriftformerfordernis (handschriftliche Unterschrift) gilt damit nicht mehr. Ausreichend für das elektronische Format ist jedes elektronische Dokument, das dauerhaft wiedergegeben werden kann (vergleichbar mit der Textform in § 126b BGB).
- Gemäß Art. 32 Abs. 2 DS-GVO haben die Auftragsverarbeiter in Zukunft ein eigenes Verzeichnis von Verarbeitungstätigkeiten zu führen.
- Art. 82 DS-GVO enthält einen eigenen Schadensersatzanspruch betroffener Personen gegenüber den Auftragsverarbeitern. Die Auftragsverarbeiter haften dann, wenn sie gegen ihre speziellen Pflichten aus der DS-GVO oder gegen die Anweisungen des Auftraggebers verstoßen.
- Verstoßen Auftragsverarbeiter gegen die Anweisungen des Auftraggebers und bestimmen selbst die Zwecke der Verarbeitung, gelten sie insofern außerdem gemäß Art. 28 Abs. 10 DS-GVO selbst als Verantwortliche, mit allen Konsequenzen.
Für eine Übermittlung an Auftragnehmer außerhalb der EU gelten zusätzlich die Anforderungen aus den Art. 44 ff. DS-GVO über die Übermittlung personenbezogener Daten in Drittländer.
Gelangen Verstöße gegen die Vorgaben der Datenschutz-Grundverordnung durch Meldungen des Verantwortlichen, durch Beschwerden von betroffenen Personen oder durch eigene Untersuchungen zur Kenntnis der Datenschutzaufsichtsbehörden, werden diese mit im Vergleich zu der vorherigen Rechtslage stärkeren Befugnissen ausgestattet, um einen datenschutzkonformen Zustand herstellen zu können und den Verstößen abzuhelfen.
Neben Untersuchungsbefugnissen, mit denen zunächst der Sachverhalt ermittelt und die Datenverarbeitungen untersucht werden können (Art. 58 Abs. 1 DS-GVO), stehen den Aufsichtsbehörden insbesondere Anweisungs- und Anordnungsbefugnisse gegenüber den Verantwortlichen oder den Auftragsverarbeitern zu (Art. 58 Abs. 2 DS-GVO). Im Rahmen dieser können die Datenschutzaufsichtsbehörden z.B. Verwarnungen aussprechen (Art. 58 Abs. 2 lit. b DS-GVO), die verordnungsgemäße Datenverarbeitung anweisen (Art. 58 Abs. 2 lit. d DS-GVO) und sogar ein Verarbeitungsverbot verhängen (Art. 58 Abs. 2 lit. f DS-GVO) sowie die Berichtigung oder Löschung von Daten anordnen (Art. 58 Abs. 2 lit. g DS-GVO).
Neben diesen Anordnungen können Verstöße gegen die Datenschutz-Grundverordnung auch die Verhängung von Geldbußen nach sich ziehen. Diese können sowohl anstelle als auch neben den möglichen Anordnungen der Datenschutzaufsichtsbehörden verhängt werden. Die Datenschutz-Grundverordnung sieht einen deutlich erhöhten Rahmen für Geldbußen vor. So können Geldbußen von bis zu 10.000.000 € bzw. bei Unternehmen bis zu 2 % des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres verhängt werden. Bei besonders schwerwiegenden Verstößen sind sogar Geldbußen von bis zu 20.000.000 € möglich.
Prämisse bei der Zumessung von Geldbußen ist, dass die Geldbußen wirksam, verhältnismäßig und abschreckend sein müssen. Dazu werden durch Art. 83 Abs. 2 S. 2 DS-GVO Kriterien aufgestellt, die bei der Entscheidung über die Verhängung von Geldbußen berücksichtigt werden sollen. Die Zumessung ist eine Einzelfallentscheidung, in der unter anderem auch die Art und Weise, wie ein Verstoß der Aufsichtsbehörde bekannt wurde und die Tatsache, ob und wie die Verantwortlichen mit den Aufsichtsbehörden zusammengearbeitet haben, um Verstößen abzuhelfen und ihre möglichen nachteiligen Auswirkungen zu mindern, von den Aufsichtsbehörden berücksichtigt werden.
Weitere Hinweise und Orientierung bietet das Kurzpapier Nr. 2 "Aufsichtsbefugnisse/Sanktionen" den Verantwortlichen.
Auf der europäischen Ebene der Aufsichtsbehörden hat die Art. 29-Gruppe Leitlinien entwickelt, deren Ziel es ist, auf eine konsistente Aufsichtspraxis der Aufsichtsbehörden hinzuwirken.
Das Recht auf Vergessenwerden ist Bestandteil des Rechts auf Löschung, das den betroffenen Personen nach Art. 17 DS-GVO zustehen kann. Maßgeblich den Begriff geprägt hat eine Entscheidung des EuGH zu Google Spain (Urteil vom 13.5.2014 - Az.: C – 131/12). Diese betrifft die Verantwortlichkeit des Betreibers von Suchmaschinen für die Verarbeitung von personenbezogenen Daten im Rahmen dieser. Die Datenschutz-Grundverordnung verwendet den Begriff synonym, auch wenn der Gehalt des Rechts nicht gleich ist.
Die bisher mit der Löschung verbundenen Pflichten werden durch das in Art. 17 Abs. 2 DS-GVO verbürgte Recht auf Vergessenwerden unter Geltung der Datenschutz-Grundverordnung erweitert, dies trägt dem Umstand Rechnung, dass der verstärkte Schutz der Rechte und Freiheiten der betroffenen Personen ein maßgebliches Ziel der Europäischen Datenschutzreform ist.
Es umfasst die digitale Ausprägung des Löschanspruchs, der sich auch auf die Tilgung der Spuren personenbezogener Daten bezieht, die durch Veröffentlichungen z.B. im Internet einer breiten Öffentlichkeit offenbart wurden.
Ist der Verantwortliche zur Löschung dieser personenbezogenen Daten verpflichtet, so muss er unter Berücksichtigung der verfügbaren Technologien und der Implementierungskosten durch angemessene Maßnahmen dafür Sorge tragen, die Verantwortlichen bzw. Empfänger, die die veröffentlichten Daten verarbeiten, zu informieren und ihnen mitzuteilen, dass die betroffene Person die Löschung aller Links zu diesen Daten sowie der Replikationen und Kopien verlangt hat.
Sowohl hinsichtlich der Löschung (Abs. 1) aber auch hinsichtlich des Rechts auf Vergessenwerden bestehen Ausnahmetatbestände, die die Verantwortlichen von den Pflichten aus Art. 17 Abs. 1 und Abs. 2 DS-GVO befreien können. Dazu zählt z.B., dass die Verarbeitung der veröffentlichten personenbezogenen Daten zur Ausübung des Rechts auf freie Meinungsäußerung und Information erforderlich ist. Diese Ausnahmen reichen jedoch nur soweit, wie die Daten zu diesen Zwecken benötigt werden. Sobald die Verarbeitung der Daten zu diesen Zwecken nicht mehr erforderlich ist, sind auch diese Daten dann zu löschen und die damit zusammenhängenden Mitteilungspflichten nach Art. 17 Abs. 2 DS-GVO durch den Verantwortlichen zu erbringen.
Bei einem Verstoß gegen Art. 17 DS-GVO kann gem. Art. 83 Abs. 5 lit. b DS-GVO eine Geldbuße verhängt werden.
In dem Kurzpapier Nr. 11 wird das Recht auf Löschung und auch das Recht auf Vergessenwerden weiter beleuchtet und erläutert.
Das Recht auf Datenübertragbarkeit in Art. 20 DS-GVO ist eine echte Neuerung. Betroffene Personen haben das Recht, von einem Verantwortlichen, die Daten, die sie ihm bereitgestellt haben, in einem gängigen Format herausgegeben zu bekommen, so dass sie mit ihnen zu einem anderen Verantwortlichen "umziehen" können. So können betroffene Personen z.B. von einem sozialen Netzwerk verlangen, ihre Profildaten so zu bekommen, dass sie zu einem anderen sozialen Netzwerk umziehen können, ohne dort ihr Profil wieder von "Null" aufbauen zu müssen.
Das Recht auf Datenübertragbarkeit kann mittelbar den Datenschutz befördern, indem es "Lock-in-Effekte" abschwächen und es den Nutzern erleichtern soll, in ein datenschutzfreundlicheres Netzwerk zu wechseln.
Das Recht auf Datenübertragbarkeit beinhaltet nicht automatisch die Löschung beim ersten Verantwortlichen. Diese muss gemäß Art. 17 DS-GVO zusätzlich verlangt werden.
Weitere Informationen:
Bürgerinnen und Bürger können sich bei der jeweiligen Aufsichtsbehörde ihrer Wahl beschweren, wenn sie der Auffassung sind, dass die Verarbeitung der sie betreffenden personenbezogenen Daten gegen die Datenschutz-Grundverordnung verstößt (Art. 77 Abs. 1 Datenschutz-Grundverordnung).
Die Aufsichtsbehörden haben das Einreichen solcher Beschwerden durch bestimmte Maßnahmen zu erleichtern, wie z.B. durch das Bereitstellen eines Beschwerdeformulars, das auch elektronisch ausgefüllt werden kann, ohne dass allerdings andere Kommunikationsmittel ausgeschlossen sein dürfen (Art. 57 Abs. 2 Datenschutz-Grundverordnung).
In der Folge ist die Aufsichtsbehörde, bei der die Beschwerde eingereicht wurde, verpflichtet, die Beschwerdeführerin oder den Beschwerdeführer über den Stand und die Ergebnisse der Beschwerde, einschließlich der Möglichkeit eines gerichtlichen Rechtsbehelfs nach Art. 78 Datenschutz-Grundverordnung zu unterrichten (Art. 77 Abs. 2 Datenschutz-Grundverordnung).
Weitere Informationen:
Der Grundsatz der Transparenz bei der Verarbeitung personenbezogener Daten in Art. 5 Abs. 1 lit. a DS-GVO wird durch eine ganze Reihe von Informationspflichten der Verantwortlichen gegenüber den betroffenen Personen konkretisiert. Im Gegensatz zum Auskunftsrecht, bei dem betroffenen Personen die Auskunft verlangen müssen, sind müssen die verantwortlichen bei den Informationspflichten von sich aus aktiv werden.
Die wichtigsten Informationspflichten sind:
- Information über Widerrufsrecht bei der Einwilligung (Art. 7 Abs. 3),
- Informationspflicht bei Erhebung der Daten bei der betroffenen Person (Art. 13 Abs. 1),
- Informationspflicht, wenn die Daten nicht bei der betroffenen Person erhoben werden (Art.14 Abs. 1),
- Informationspflicht bei Zweckänderung (Art. 13 Abs. 3 und Art. 14 Abs. 4),
- Benachrichtigungspflicht bei Datenschutzverletzungen (Art. 34),
- Veröffentlichung der Kontaktdaten des Datenschutzbeauftragten (Art. 37).
Die zentralen Informationspflichten in Art. 13 und 14 DS-GVO enthalten jeweils einen Katalog mit Pflichtinhalten für die Information je nach Art der Datenverarbeitung. Art. 12 DS-GVO enthält außerdem allgemeine Anforderungen an die Zugänglichkeit und Verständlichkeit der Information.
Weitere Informationen:
Im Datenschutzrecht gilt sowohl derzeit aus auch künftig unter der Datenschutz-Grundverordnung das sog. Verbot mit Erlaubnisvorbehalt (siehe Art. 6 Datenschutz-Grundverordnung). Die Verarbeitung von personenbezogenen Daten ist auch unter Geltung der Datenschutz-Grundverordnung nur zulässig, wenn die betroffene Person eingewilligt hat oder eine gesetzliche Vorschrift diese erlaubt.
Zur Verarbeitung von personenbezogenen Daten ist eine Einwilligung also dann erforderlich, wenn keine gesetzliche Erlaubnisnorm existiert.
Vorhandene Einwilligungen können weiter gelten, wenn sie bereits den Anforderungen der Datenschutz-Grundverordnung genügen.
Weitere Informationen:
Die Bedingungen für die Einwilligung regelt Art. 7 Datenschutz-Grundverordnung.
Wirksamkeitsvoraussetzung für die Einwilligung ist derzeit und wird auch unter der Datenschutz-Grundverordnung sein, dass diese freiwillig und informiert erfolgt. Auch die Zweckgebundenheit der Einwilligung ist ein derzeit herrschender Grundsatz, der weiter gelten wird; d.h. pauschale Einwilligungen sind unwirksam.
Neu im Zusammenhang mit der Freiwilligkeit der Einwilligung ist das in der Datenschutz-Grundverordnung nunmehr ausdrücklich geregelte, generell geltende sog. Kopplungsverbot (Art. 7 Abs. 4 Datenschutz-Grundverordnung bzw. Erwägungsgrund 43 der Datenschutz-Grundverordnung). Dieses besagt, dass eine Einwilligung keine gültige Rechtsgrundlage liefert, wenn zwischen der betroffenen Person und dem Verantwortlichen ein klares Ungleichgewicht besteht, insbesondere wenn es sich bei dem Verantwortlichen um eine Behörde handelt, und es deshalb in Anbetracht aller Umstände in dem speziellen Fall unwahrscheinlich ist, dass die Einwilligung freiwillig gegeben wurde.
Zudem ist unter der Datenschutz-Grundverordnung geregelt, dass eine Einwilligung von der betroffenen Person jederzeit widerrufen werden kann und dass die betroffene Person auf diese Widerrufsmöglichkeit hinzuweisen ist.
Es wird zukünftig unter der Datenschutz-Grundverordnung aber nicht mehr erforderlich sein, dass die Einwilligung in aller Regel schriftlich erfolgt. Vielmehr ist diese grundsätzlich formfrei möglich. Erforderlich ist allerdings nach der Datenschutz-Grundverordnung, dass die verantwortliche Stelle die Einwilligung nachweisen kann. Deshalb wird sich auch zukünftig eine schriftliche Einwilligung anbieten.
Weitere Informationen:
Für die Verarbeitung personenbezogener Daten von Kindern auf Grundlage einer Einwilligung in Bezug auf Dienste der Informationsgesellschaft gelten Besonderheiten (Art. 8 Datenschutz-Grundverordnung).
Grundsätzlich ist die Erteilung der Einwilligung durch den gesetzlichen Vertreter oder zumindest dessen Zustimmung zur Einwilligung erforderlich, um eine Datenverarbeitung auf dieser Grundlage rechtmäßig vorzunehmen. Erst nach Vollendung des sechzehnten Lebensjahres können Minderjährige selbst eine wirksame Einwilligung zur Verarbeitung ihrer personenbezogenen Daten abgeben.
Die Mitgliedstaaten können diese o.g. Altersgrenze absenken, allerdings darf diese jedenfalls nicht unter dem vollendeten dreizehnten Lebensjahr liegen. Der Bundesgesetzgeber hat davon allerdings bislang keinen Gebrauch gemacht.
Weitere Informationen:
"Codes of Conduct" werden im Deutschen "Verhaltensregeln" genannt und sind in Art. 40 und 41 DS-GVO geregelt. Sie sind ein Instrument der regulierten Selbstregulierung. Verbände und Vereinigungen, die Kategorien von Verantwortlichen oder Auftragsverarbeitern können Verhaltensregeln erarbeiten und von den Aufsichtsbehörden genehmigen lassen. Diese Verhaltensregeln konkretisieren und präzisieren die abstrakten Vorgaben der DS-GVO für Verarbeitungssituationen in spezifischen Branchen und Bereichen.
Die Aufsicht über die Befolgung der Verhaltensregeln kann auf private Stellen übertragen werden, die von den Aufsichtsbehörden akkreditiert werden.
Genehmigte Verhaltensregeln bringen mehrere Vorteile für die Verantwortlichen mit sich.
Die Verantwortlichen können sich zum einen gegenüber den Aufsichtsbehörden auf die von diesen genehmigten Verhaltensregeln und die darin zum Ausdruck gekommene Konkretisierung und Präzisierung bestimmter Regelungen der Verordnung berufen.
Verhaltensregeln haben zum anderen an mehreren Stellen als vorteilhafte Auswirkungen für den Verantwortlichen:
- Im Rahmen der Erfüllung der Pflichten nach Art. 24,
- Im Rahmen der Auftragsverarbeitung nach Art. 28,
- Im Rahmen der Erfüllung von Pflichten nach Art. 32,
- Im Rahmen der Datenschutz-Folgenabschätzung nach Art. 35,
- Im Rahmen der Datenübermittlung in Drittländer nach Art. 46,
- Im Rahmen der Festlegung der Höhe von Bußgeldern nach Art. 83
Weitere Informationen: