eu-datenschutzgrundverordnung und neues ...download.egroh.de/datenschutz/dgrv...

EU-Datenschutzgrundverordnung

und

neues Bundesdatenschutzgesetz

Umsetzungsleitfaden für

Waren-, Dienstleistungs- und weitere Genossenschaften Version 3.2018

DSGVO - Umsetzungsleitfaden für Waren-, Dienstleistungs- und weitere Genossenschaften, Version 3.2018

2

Inhaltsverzeichnis

1. Hinweis ........................................................................................................................................................ 5

2. Einführung .................................................................................................................................................... 6

2.1. Gegenstand und Ziele .................................................................................................................................. 6

2.2. Sachlicher und räumlicher Anwendungsbereich .......................................................................................... 6

2.3. Begriffsbestimmungen ................................................................................................................................ 6

2.4. Datenschutzgrundsätze ............................................................................................................................... 7

2.5. Rechenschaftspflicht mit Beweislastumkehr ............................................................................................... 7

2.6. Bußgelder .................................................................................................................................................... 8

2.7. Weiterführende Informationen ................................................................................................................... 8

3. Umsetzung der neuen datenschutzrechtlichen Vorgaben – Erster Schritt ..................................................... 9

4. Rechtmäßigkeit .......................................................................................................................................... 10

4.1. Einführung ................................................................................................................................................. 10

4.2. Beschreibung der Anforderungen .............................................................................................................. 10

4.3. Umsetzungsvorschlag ................................................................................................................................ 12

4.4. Selbst-Check ............................................................................................................................................... 12

4.5. Weiterführende Informationen und Muster .............................................................................................. 12

5. Werbung .................................................................................................................................................... 13

5.1. Einführung ................................................................................................................................................. 13

5.2. Stichworte .................................................................................................................................................. 13



5.5. Selbst-Check ............................................................................................................................................... 13

6. Informationspflichten ................................................................................................................................. 14

6.1. Einführung ................................................................................................................................................. 14

6.2. Stichworte .................................................................................................................................................. 14



6.5. Selbst-Check ............................................................................................................................................... 17


7. Rechte des Betroffenen .............................................................................................................................. 18

7.1. Einführung ................................................................................................................................................. 18

7.2. Stichworte .................................................................................................................................................. 18



7.5. Selbst-Check ............................................................................................................................................... 23



3

8. Technischer Datenschutz ............................................................................................................................ 24

8.1. Einführung ................................................................................................................................................. 24

8.2. Stichworte .................................................................................................................................................. 24



8.5. Selbst-Check ............................................................................................................................................... 25

9. Datenschutz-Folgenabschätzung ................................................................................................................ 26

9.1. Einführung ................................................................................................................................................. 26

9.2. Stichworte .................................................................................................................................................. 26



9.5. Selbst-Check ............................................................................................................................................... 27


10. Auftragsverarbeitung ............................................................................................................................... 29

10.1. Einführung ............................................................................................................................................... 29

10.2. Stichworte................................................................................................................................................ 29

10.3. Beschreibung der Anforderungen ............................................................................................................ 29

10.4. Sonstige Hinweise .................................................................................................................................... 31

10.5. Umsetzungsvorschlag .............................................................................................................................. 32

10.6. Selbst-Check............................................................................................................................................. 33

10.7. Weiterführende Informationen und Muster ............................................................................................ 33

11. Meldepflicht von „Datenpannen“ ............................................................................................................. 35

11.1. Einführung ............................................................................................................................................... 35

11.2. Stichworte................................................................................................................................................ 35



11.5. Selbst-Check............................................................................................................................................. 40


12. Datenschutzbeauftragter .......................................................................................................................... 42

12.1. Stichworte................................................................................................................................................ 42



13. Verzeichnis der Verarbeitungstätigkeiten ................................................................................................. 50

13.1. Einführung ............................................................................................................................................... 50

13.2. Stichworte................................................................................................................................................ 50




4

13.5. Selbst-Check............................................................................................................................................. 52


14. Beschäftigtendatenschutz ........................................................................................................................ 54

14.1. Einführung ............................................................................................................................................... 54


14.3. Umsetzungsvorschlag & Selbst-Check ..................................................................................................... 55

15. Videoüberwachung .................................................................................................................................. 56

15.1. Einführung ............................................................................................................................................... 56

15.2. Stichworte................................................................................................................................................ 56



15.5. Selbst-Check............................................................................................................................................. 58


16. Weiteres ................................................................................................................................................... 60

16.1. Datenübermittlung an Drittländer .......................................................................................................... 60

16.2. Automatisierte Entscheidungen im Einzelfall einschließlich Profiling...................................................... 60

16.3. Gemeinsam für die Verarbeitung Verantwortliche ................................................................................. 60

16.4. Selbst-Check............................................................................................................................................. 60

17. Literatur zur gesamten DSGVO ................................................................................................................. 61


5

1. Hinweis Diese Anleitung ist eine Orientierungshilfe und muss auf den jeweiligen Einzelfall angepasst werden. Bei der Erstellung haben wir sorgfältig gearbeitet, erheben aber keinen Anspruch auf Vollständigkeit und Richtigkeit. Wir schließen eine Haftung aus.

Version: 9. März 2018

Autoren:

Tim Geier, DER MITTELSTANDSVERBUND – ZGV e. V. Steffen Hahn, Genossenschaftsverband Bayern e. V. Paul Heitmann, DGRV – Deutscher Genossenschafts- und Raiffeisenverband e. V. Peter Heyers, Genossenschaftsverband – Verband der Regionen e. V.

Arno Lehmann, Baden-Württembergischer Genossenschaftsverband e. V. Merle Meier, Genossenschaftsverband Weser-Ems e. V. Michael Misch, Genossenschaftsverband – Verband der Regionen e. V. Christian Schmitt, DGRV – Deutscher Genossenschafts- und Raiffeisenverband e. V. Alexandra Thiel, Deutscher Raiffeisenverband e. V.


6

2. Einführung Am 25. Mai 2018 wird die EU-Datenschutzgrundverordnung (DSGVO) nach einer zweijährigen Übergangsfrist für alle Unternehmen in der Europäischen Union verbindlich. Da die DSGVO zahlreiche Öffnungsklauseln enthält, verbleibt den nationalen Gesetzgebern ein gewisser eigener Regelungsspielraum. In Deutschland wird hiervon im neuen Bundesdatenschutzgesetz (BDSG n. F.) Gebrauch gemacht. Das BDSG n. F. stellt aber nur noch ein Begleitgesetz dar – d. h. zunächst sind die Vorschriften der DSGVO maßgeblich und lediglich ergänzend ist das BDSG n. F. heranzuziehen.

2.1. Gegenstand und Ziele

Die DSGVO schützt die Verarbeitung personenbezogener Daten, d. h. von Informationen, die sich auf natürliche Personen (Menschen) beziehen. Ziel ist, die gesamte Verarbeitung personenbezogener Daten einheitlichen – strengen – Vorgaben in der EU zu unterwerfen. Die Inhalte der DSGVO entsprechen in vielen Bereichen denjenigen des bisherigen Bundesdatenschutzgesetzes (BDSG a. F.). Dies ist kein Zufall, sondern der maßgeblichen Mitwirkung der deutschen Seite im Gesetzgebungsverfahren in Brüssel geschuldet. Die DSGVO enthält jedoch auch Regelungen, die bislang auch in Deutschland unbekannt waren und die z. T. Erleichterungen mit sich bringen – etwa bei der Einholung von Kundeneinwilligungen.

2.2. Sachlicher und räumlicher Anwendungsbereich

Die DSGVO gilt für die automatisierte Verarbeitung personenbezogener Daten. Sie gilt darüber hinaus auch für die nichtautomatisierte Verarbeitung, sofern personenbezogene Daten in einem Dateisystem gespeichert werden. Somit gilt die die DSGVO für alle IT-technisch verarbeiteten oder auch analog (papierhaft) systematisch gespeicherten Daten. Ausnahmen finden sich in Art. 2 Abs. 2 DSGVO, etwa im Hinblick auf ausschließlich persönliche oder familiäre Tätigkeiten. Räumlich ist die DSGVO anzuwenden auf Datenverarbeitungen in einem oder für ein Unternehmen oder eine Niederlassung in der EU – unabhängig davon, ob die Verarbeitung als solche in der EU stattfindet. Die DSGVO ist auch von Unternehmen zu beachten, die zwar nicht in der EU niedergelassen sind, aber dort Personen Waren oder Dienstleistungen anbieten.

2.3. Begriffsbestimmungen

Art. 4 DSGVO enthält zahlreiche Begriffsdefinitionen. Besonders relevant sind folgende Festlegungen (vgl. im Einzelnen den Gesetzestext): Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen (Betroffener).

Verarbeitung ist jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführter Vorgang im Zusammenhang mit personenbezogenen Daten (erheben, erfassen, ordnen, speichern, anpassen, verändern etc.)

Profiling ist jede Art der automatisierten Verarbeitung personenbezogener Daten, die darin besteht, persönliche Aspekte natürlicher Personen zu bewerten (z.B. Arbeitsleistung, persönliche Vorlieben).

Pseudonymisierung ist die Verarbeitung personenbezogener Daten in einer Weise, dass diese ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können (sofern diese zusätzlichen Informationen so aufbewahrt werden, dass eine Zuweisung zu einer natürlichen Person ausgeschlossen ist).

Dateisystem ist jede strukturierte Sammlung personenbezogener Daten, die nach bestimmten Kriterien zugänglich ist, z.B. Aktenordner mit Register oder alphabetischer Sortierung.

Verantwortlicher ist die natürliche oder juristische Person, Behörde etc., die über die Verarbeitung personenbezogener Daten entscheidet.


7

Einwilligung ist jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung (oder konkludent) mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist.

2.4. Datenschutzgrundsätze

Die Datenschutzgrundsätze konkretisieren die rechtlichen Vorgaben in der DSGVO (Art. 5 Abs. 1). Sie stellen nicht etwa bloß schlichte Programmsätze dar, sondern definieren verbindliche Maßstäbe für die Datenverarbeitung. Eine isolierte Würdigung der Grundsätze dürfte in der Unternehmenspraxis gleichwohl eine eher geringe Rolle spielen. Bedeutsam sind die Datenschutzgrundsätze in Zusammenhang mit der Auslegung der konkreten rechtlichen Vorschriften.

Im Einzelnen geht es um folgende Grundsätze:

Verbot mit Erlaubnisvorbehalt/Rechtmäßigkeit der Datenverarbeitung: Eine Datenverarbeitung ist nur zulässig, wenn sie auf einer Einwilligung oder weiterer Rechtfertigungsgründe beruht.

Grundsatz von Treu und Glauben: Eine Datenverarbeitung muss erforderlich und verhältnismäßig sein.

Transparenzgrundsatz, erweiterte Informationspflichten: Die Datenverarbeitung hat in nachvollziehbarer Weise für den Betroffenen zu erfolgen.

Zweckbindung: Grundsätzlich dürfen personenbezogene Daten nur für den bereits vorab festgelegten Zweck erhoben werden und nicht für andere Zwecke weiterverarbeitet werden.

Datenminimierung: Gefordert ist, dass Daten im Rahmen der Zweckbindung qualitativ und quantitativ begrenzt werden.

Grundsatz der Datenrichtigkeit: Daten müssen aktuell sein. Unrichtige Daten sind zu löschen.

Zeitliche Begrenzung der Speicherung: Eine Speicherung darf nur solange bestehen, wie sie für den jeweils festgelegten Zweck erforderlich ist.

Integrität und Vertraulichkeit (Datensicherheit): Personenbezogene Daten sind vor unbefugter und unrechtmäßiger Verarbeitung, vor unbeabsichtigtem Verlust, vor unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung zu schützen.

Der im Bundesdatenschutzgesetz alter Fassung enthaltene Grundsatz der Direkterhebung entfällt.

2.5. Rechenschaftspflicht mit Beweislastumkehr Der Verantwortliche muss in der Lage sein, die Einhaltung der datenschutzrechtlichen Grundsätze nachweisen zu können. Datenschutz ist Chefsache.

Noch nicht abschließend geklärt ist, inwieweit hieraus generelle Dokumentationspflichten erwachsen. Der Umfang der Dokumentationspflicht wird in der Fachwelt noch diskutiert, die Verpflichtung zur Erstellung eines ausführlichen Tätigkeitsverzeichnisses ist jedoch unumstritten (Art. 30 DSGVO).

Zu beachten sind einzelne harte Regelungen zur Beweislastumkehr. Praxisrelevant ist v. a. Art. 7 Abs. 1 DSGVO, wonach der Verantwortliche das Vorliegen einer Einwilligung nachweisen muss.


8

2.6. Bußgelder Notwendig und zu empfehlen ist die Beachtung und Einhaltung der neuen Datenschutzvorschriften auch deshalb, da die DSGVO erhebliche Sanktionen für Verstöße vorsieht. Bußgelder können maximal bis zu 20 Mio. Euro oder 4% des Jahresumsatzes erreichen. Auch wenn diese Größenordnungen in der Praxis der Genossenschaften – schon nach dem Grundsatz der Verhältnismäßigkeit – keine Rolle spielen dürften, muss doch in Zukunft eher mit einer Sanktionierung gerechnet werden.

Zuständige Bußgeldstellen sind – wie bisher - die Landesämter für Datenschutzaufsicht/ die Landesdatenschutzbeauftragten. Diese sind zuständige Aufsichtsbehörde für die private Wirtschaft, mithin auch für den Genossenschaftssektor. Von wesentlicher Bedeutung wird daher auch die Verwaltungspraxis der jeweils zuständigen Aufsichtsbehörde sein.

Daneben können Verstöße gegen die datenschutzrechtlichen Vorgaben ggf. auch Abmahnungen und Klagen durch Mitbewerber, Verbraucherzentralen und Verbände zur Folge haben.

2.7. Weiterführende Informationen Kurzpräsentation der DSGVO (EU-Kommission): http://ec.europa.eu/justice/smedataprotect/index_de.htm

http://ec.europa.eu/justice/smedataprotect/index_de.htm


9

3. Umsetzung der neuen datenschutzrechtlichen Vorgaben –

Erster Schritt Zur Umsetzung der neuen datenschutzrechtlichen Vorgaben bietet sich eine Projektstruktur an. Die Projektgruppe sollte von einem Vertreter der Geschäftsleitung geleitet werden und sich aus Vertretern der Abteilungen:

Vertrieb, Ein-/Verkauf, Mitgliederbetreuung und Personal,

sowie (soweit vorhanden)

dem/r Datenschutzbeauftragten, dem/r IT-Verantwortlichen und dem/r Informationssicherheitsbeauftragten

zusammensetzen.

Durch die Projektgruppe sollte zunächst eine Bestandsaufnahme erfolgen:

1. Welche Verfahren mit personenbezogenen Daten betreibt das Unternehmen? (welche Daten, welche Systeme, wo und von wo erhoben) Website? Onlineshop? Newsletter? Kundenbindungssystem? Preisausschreiben? Kundenkarten? ERP-System? Kassensystem? Lieferkette? Webcam? Videoüberwachung? Personalakte? Bonitätsabfragen? …

2. Auf welcher Rechtsgrundlage erfolgt die Datenverarbeitung? Einwilligung? Vertragserfüllung? Vorvertragliche Verpflichtung? Rechtliche Verpflichtung? Interessensabwägung?

3. Welche technisch organisatorischen Maßnahmen für die Datensicherheit wurden bereits getroffen? s. Anlage §9 BDSG a. F.

4. Welche Abläufe zur Erfüllung der Betroffenenrechte sind bereits implementiert?

Bei der Bestandsaufnahme sollten berücksichtigt werden:

die Dienstleistungsbeziehungen (wie etwa Verträge über eine Auftragsdatenverarbeitung, Datenübermittlung in Staaten außerhalb der EU),

die Dokumentation (z.B. Verfahrensverzeichnisse, Vorabkontrollen, Datenschutzkonzepte, IT-Sicherheitskonzepte, Sicherheitsvorfälle) und

sofern vorhanden Betriebsvereinbarungen, denn diese können auch Regelungen zum Umgang mit den Daten der Beschäftigten enthalten.

Ausgehend von dieser Bestandsaufnahme können die in den weiteren Kapiteln genannten Vorschläge umgesetzt werden.


10

4. Rechtmäßigkeit

4.1. Einführung

Wie auch nach bisherigem Recht bedarf es für die Verarbeitung von personenbezogenen Daten eines Rechtfertigungsgrundes. Das heißt jegliche Form der Verarbeitung von personenbezogenen Daten ist verboten, sofern nicht eine Rechtsgrundlage die Verarbeitung legitimiert wie z. B. die Einwilligung des Betroffenen. Die Verarbeitung ist rechtmäßig gemäß Art. 6 DSGVO wenn insbesondere einer der folgenden Voraussetzungen vorliegt:

Einwilligung erforderlich für die Erfüllung eines Vertrages erforderlich zur Erfüllung rechtlicher Verpflichtungen Interessenabwägung

Weitere – für die Genossenschaftsunternehmen weniger von Bedeutung – bestehende Rechtfertigungsgründe sind der Schutz lebenswichtiger Interessen und die Wahrnehmung der Aufgaben im öffentlichen Interesse (Vgl. Art. 6 Abs. 1 lit. d und e DSGVO).

4.2. Beschreibung der Anforderungen A. Einwilligung

Die Einwilligung bildete bisher eine der wesentlichen Grundlagen für die Verarbeitung von personenbezogenen Daten. Auch unter der DSGVO bleibt die Einwilligung ein wichtiger Erlaubnistatbestand für die Datenverarbeitung. Die formalen Anforderungen an die Einwilligung werden durch den Wegfall des Schriftformerfordernisses deutlich vereinfacht. Allerdings formuliert die DSGVO auch erhöhte materielle Voraussetzungen für eine wirksame Einwilligung. Die Anforderungen an eine datenschutzrechtliche Einwilligung ergeben sich künftig aus Art. 6 Abs. 1a und Art. 7 DSGVO.

I. Voraussetzungen 1. Die Einwilligung muss wie bisher freiwillig und informiert, d. h. in Kenntnis des

geplanten Zwecks der Erhebung, Verarbeitung oder Nutzung der personenbezogenen Daten erfolgen. An der Freiwilligkeit kann es fehlen, wenn von der Einwilligung der Abschluss eines Vertrages oder die Erbringung einer Dienstleistung abhängig gemacht wird (sog. Kopplungsverbot, Art. 7 Abs. 4 DSGVO).

2. Schriftform ist nicht mehr erforderlich. Ausreichend ist vielmehr eine unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person ihr Einverständnis zur Verarbeitung der sie betreffenden Daten erteilt. In diesem Zusammenhang ist jedoch zu beachten, dass ein stillschweigendes Einverständnis, standardmäßig vorangekreuzte Kästchen oder die Untätigkeit des Betroffenen nach EG 32 DSGVO keine Einwilligung darstellt. Zudem muss das Unternehmen die Abgabe der Einwilligungserklärung nachweisen können, so dass weiterhin Schriftform oder zumindest Textform (z. B. E-Mail) zu empfehlen sind. Soweit Geschäfte im Wesentlichen über das Internet abgewickelt werden, dürfte, wie bisher auch, als Nachweis eine entsprechende Dokumentation des „Einwilligungs-Klick-Verhaltens“ der betroffenen Person ausreichen. Im letzteren Fall wird jedoch der Informiertheit wieder eine größere Bedeutung beizumessen sein, d. h., dass der Verantwortliche auf seinen Webseiten sehr deutlich und transparent darstellt, zu welchem von ihm geplanten Datenumgang die betroffene Person einwilligen.


11

3. Der Betroffene ist nunmehr stets darauf hinzuweisen, dass er die Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen kann. Diese Hinweispflicht bestand bisher nur nach § 13 Abs. 3 Telemediengesetz (TMG) sowie im Rahmen der Werbeeinwilligung, jedoch nicht bei sonstigen Einwilligungserklärungen. Der Widerruf der Einwilligung muss genauso leicht möglich sein wie die Abgabe selbst.

4. soweit die Einwilligung im Zusammenhang mit anderen Erklärungen abgegeben wird, muss sie, wie bisher, besonders hervorgehoben sein (Vgl. Art. 7 Abs.2 DSGVO).

5. Werden personenbezogene Daten besonderer Kategorien verarbeitet, sind darüber hinaus die Voraussetzungen nach Art. 9 DSGVO zu beachten.

Näheres siehe besondere Kategorien personenbezogener Daten - Art. 9 DSGVO (Kurzpapier des Bayerischen Landesamtes für Datenschutzaufsicht) https://www.lda.bayern.de/media/baylda_ds-gvo_6_special_categories.pdf

6. Für die Einwilligung eines Kindes in Bezug auf die Dienste der Informationsgesellschaft gelten nach Art. 8 DSGVO weitere, besondere Anforderungen.

Näheres siehe Bedingungen für die Einwilligung eines Kindes - Art. 8 DSGVO (Kurzpapier des Bayerischen Landesamtes für Datenschutzaufsicht) https://www.lda.bayern.de/media/baylda_ds-gvo_15_childs_consent.pdf

7. Die Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten darf gemäß Art. 10 DSGVO nur unter behördlicher Aufsicht erfolgen.

II. Zweckgebundenheit Die Einwilligung ist streng zweckgebunden einzuholen. Eine Generaleinwilligung auf eine unbeschränkte Zusage zur Verarbeitung der eigenen personenbezogenen Daten ist unzulässig. Die Verarbeitung darf grundsätzlich nur zu diesem Zweck erfolgen. Eine Zweckänderung ist hingegen dann möglich, wenn sie im Wesentlichen dem Alten entspricht, s. Art. 6 Abs. 4 DSGVO.

III. Fortgeltung Alt-Einwilligungen Bereits erteilte Einwilligungen bestehen fort, sofern sie bereits den Bedingungen der DSGVO entsprechen. In diesem Zusammenhang ist es insbesondere von Bedeutung, ob die Einwilligung einen Hinweis auf das jederzeitige Widerrufsrecht enthält.

IV. Unwirksame Einwilligung / Bußgeld Erweist sich eine Einwilligung als unwirksam oder kann der Verantwortliche das Vorliegen einer Einwilligung nicht nachweisen und liegt ein sonstiger Grund für die Rechtmäßigkeit der Verarbeitung nicht vor, ist der Umgang mit den personenbezogenen Daten des Betroffenen unzulässig und kann mit einem entsprechenden Bußgeld geahndet werden.

B. Vertrag- und vorvertragliche Maßnahmen

Wie bisher ist auch die Verarbeitung zur Erfüllung eines Vertrages oder zur Durchführung vorvertraglicher Maßnahmen zulässig. Zu beachten ist in diesem Zusammenhang, dass sich die Zulässigkeit ausschließlich auf tatsächlich für die Erfüllung des Vertrages erforderlichen Maßnahmen bezieht. Die Verwendung für Werbezwecke ist von diesem Rechtfertigungsgrund z. B. nicht erfasst.

https://www.lda.bayern.de/media/baylda_ds-gvo_6_special_categories.pdf

https://www.lda.bayern.de/media/baylda_ds-gvo_15_childs_consent.pdf


12

C. Rechtliche Verpflichtungen

Die Verarbeitung ist ferner zulässig, wenn sie zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist. Als Rechtsvorschriften kommen z. B. solche des Handels- oder Steuerrechts in Betracht (z. B. Aufbewahrungsfristen).

D. Interessenabwägung

Eine Verarbeitung ist auch dann rechtmäßig, wenn sie zur Wahrung der berechtigten Interessen erforderlich ist und nicht die Interessen des Betroffenen überwiegen. Ein berechtigtes Interesse kann rechtlicher, tatsächlicher, wirtschaftlicher oder ideeller Natur sein. Nach Erwägungsgrund 47 kann auch die Verarbeitung zum Zweck der Erhebung von Direktwerbung im Rahmen der Interessenabwägung erfolgen. Die Interessenabwägung ist neben der Einwilligung die bedeutendste Regelung unter den Rechtfertigungsgründen.

4.3. Umsetzungsvorschlag

1. Aufgrund der Nachweispflicht der Einhaltung der Rechtmäßigkeit der Verarbeitung, dessen Verstoß mit hohen Bußgeldern geahndet werden kann, sollte die Rechtmäßigkeit des jeweiligen Verarbeitungsvorgänge im Verzeichnis der Verarbeitungstätigkeiten dokumentiert werden.

2. Die bisherigen Einwilligungserklärungen sind zu überprüfen, ob sie den Anforderungen der Art. 6 und 7 genügen. Insbesondere sind die Einwilligungen dahingehend zu überprüfen, ob sie einen Hinweis auf die Widerrufsmöglichkeit enthalten. Sofern die Einwilligungserklärungen der Anforderungen des DSGVO nicht erfüllen, sind diese bis spätestens zum 25. Mai 2018 neu einzuholen.

4.4. Selbst-Check

1. Haben Sie für alle Verarbeitungen, bei denen personenbezogene Daten verarbeitet werden, eine Rechtsgrundlage nach der neuen Rechtslage (Art. 6 bis 11 DSGVO sowie § 26 BDSG n. F.)?

2. Haben Sie dies dokumentiert? 3. Haben Sie Ihre Formulare für Einwilligungserklärungen für Kunden, Interessenten usw.

an die Anforderungen von Art. 7 und 13 DSGVO angepasst (insbesondere: erweiterte Informationspflichten, auch zur jederzeitigen Widerrufbarkeit der Einwilligung)?

4. Verarbeiten Sie auch personenbezogene Daten von Kindern in Bezug auf Dienste der Informationsgesellschaft?

5. Wenn ja, haben Sie in diesen Fällen an die besonderen Anforderungen an die Einwilligung gedacht (Art. 8 DSGVO)?

6. Können Sie das Vorliegen der Einwilligungen nachweisen?

4.5. Weiterführende Informationen und Muster

Muster-Einwilligungserklärung, s. Anlagen


13

5. Werbung

5.1. Einführung

Da die Datenschutzgrundverordnung keine dem § 28 Absatz 3 BDSG a. F. vergleichbare Regelung zur Zulässigkeit der Verwendung personenbezogener Daten für gewerbliche Maßnahmen enthält, wird zukünftig die Interessenabwägung gem. Art. 6 Absatz 1 f DSGVO die zentrale Rechtfertigungsgrundlage für vertriebliche Maßnahmen bilden. Dabei ist insbesondere von Bedeutung, dass der europäische Gesetzgeber in EG 47 DSGVO das Werbeinteresse grundsätzlich als ein berechtigtes Interesse des Verantwortlichen im Sinne von Art. 6 Absatz 1 f anerkennt.

5.2. Stichworte Direktwerbung

5.3. Beschreibung der Anforderungen Verarbeitung personenbezogener Daten für Werbung (Kurzpapier der Datenschutzkonferenz) https://www.lda.bayern.de/media/dsk_kpnr_3_werbung.pdf

5.4. Umsetzungsvorschlag 1. Sämtliche Werbeeinwilligungen sind daraufhin zu überprüfen, ob sie den Anforderungen der DSGVO entsprechen. Hierbei ist insbesondere das Kopplungsverbot im Rahmen der Freiwilligkeit (Einwilligung darf nicht vom Abschluss eines Vertrages oder der Erbringung einer Dienstleistung abhängig gemacht werden) zu berücksichtigen sowie der Hinweis auf ein mögliches Widerrufsrecht.

2. Soweit die werbliche Maßnahme auf eine Interessenabwägung gestützt werden soll, sollte der Kunde zuvor hinreichend über eine werbliche Maßnahme informiert sein. Dies ist frühzeitig vorzunehmen und zu dokumentieren, Details s. ((Informationspflichten))

5.5. Selbst-Check

1. Haben Sie für alle Verarbeitungen, bei denen personenbezogene Daten zu Werbezwecken verarbeitet werden, eine Interessensabwägung vorgenommen?

2. Haben Sie dies dokumentiert? 3. Haben Sie Ihre Werbeeinwilligungserklärungen für Kunden, Interessenten usw. an die

Anforderungen von Art. 7 und 13 DSGVO angepasst (insbesondere: erweiterte Informationspflichten, auch zur jederzeitigen Widerrufbarkeit der Einwilligung)?

4. Können Sie das Vorliegen der Werbeeinwilligungen nachweisen?

https://www.lda.bayern.de/media/dsk_kpnr_3_werbung.pdf


14

6. Informationspflichten

6.1. Einführung

Der Verantwortliche hat bei der Datenerhebung, -verarbeitung bzw. -nutzung zu jeder Zeit Transparenz gegenüber der betroffenen Person herzustellen. Eine umfassende Information des Betroffenen ist mithin Grundvoraussetzung aller relevanten Prozesse. Nach der DSGVO erfolgt dabei eine Unterscheidung zwischen Informationspflichten bei der Erhebung personenbezogener Daten beim Betroffenen und Informationspflichten in den Fällen, in denen die Erhebung nicht beim Betroffenen erfolgt.

6.2. Stichworte Informationspflichten, Datenerhebung, Datenverarbeitung, Datennutzung, Dritte, Betroffene, Ausnahmen, Hinweis, Transparenz

6.3. Beschreibung der Anforderungen Erhebung personenbezogener Daten beim Betroffenen Werden personenbezogene Daten beim Betroffenen selbst erhoben, muss der Verantwortliche nach Art. 13 Abs. 1 DSGVO folgende Informationen mitteilen:

Identität des Verantwortlichen, Kontaktdaten des Datenschutzbeauftragten, Verarbeitungszwecke und Rechtsgrundlage der Datenerhebung und Daten-verarbeitung, Berechtigtes Interesse, Empfänger der personenbezogenen Daten, Ggfls. Übermittlung an Drittstaaten.

Zudem muss der Verantwortliche über Folgendes informieren:

Dauer der Speicherung

Es ist konkret anzugeben, für wie lange die personenbezogenen Daten gespeichert werden. Nur ausnahmsweise, wenn die Angabe einer konkreten Zeitspanne dem Verantwortlichen nicht möglich ist, reichen Kriterien für die Festlegung der endgültigen Dauer der Speicherung aus, anhand derer eine Bestimmbarkeit hergestellt wird.

Rechte der Betroffenen

Der Verantwortliche muss den Betroffenen über seine Rechte auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Widerspruch gegen die Verarbeitung sowie Datenübertragbarkeit informieren, s. Kap. Rechte des Betroffenen.

Widerrufbarkeit von Einwilligungen

Beruht die Datenverarbeitung auf einer Einwilligung des Betroffenen ist darauf hinzuweisen, dass diese widerruflich ist. Die entsprechende Informationspflicht ist nur erfüllt, wenn gleichzeitig darüber aufgeklärt wird, dass die Einwilligung jederzeit widerrufen werden kann und die Datenverarbeitung bis zum Zeitpunkt des Widerrufs rechtmäßig bleibt.


15

Beschwerderecht bei der Aufsichtsbehörde

Der Betroffene ist darüber aufzuklären, dass er sich bei einer Aufsichtsbehörde beschweren kann, wenn er der Ansicht ist, dass die Verarbeitung seiner personenbezogenen Daten rechtswidrig erfolgt.

Verpflichtung zur Bereitstellung personenbezogener Daten und Automatisierte Entscheidungsfindung und Profiling

Für diese Spezialfälle gibt es zusätzliche Regelungen.

Erhebung von personenbezogenen Daten bei Dritten

Werden personenbezogene Daten nicht unmittelbar beim Betroffenen, sondern bei oder über einen Dritten erhoben, bestehen nach Art. 14 DSGVO für den Verantwortlichen nahezu identische Informationspflichten, wie bei der Erhebung direkt beim Betroffenen. Zudem muss der Verantwortliche über die Quelle der personenbezogenen Daten informieren.

Achtung: In vielen Fällen muss zukünftig darüber informiert werden, wenn die Daten teils beim Betroffenen selbst und teils von Dritten (z.B. Auskunftei) stammen. Dies kann beispielsweise bei der Verarbeitung personenbezogener Daten zum Zwecke des Abschlusses von Finanzierungsverträgen erheblich sein. Auch der letzte Schritt eines Kaufabschlusses im Online-Handel, bei dem die vom Kunden eingegebenen Daten mit denen von Auskunfteien übermittelten Daten zur Bestimmung der Zahlungsmethode ergänzt werden, ist in diesem Zusammenhang zu nennen.

Form der Information Hinsichtlich der Form der Datenschutzinformationen sind die Vorgaben in Art. 12 DSGVO zu beachten. Danach sind die Informationen der betroffenen Person „in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln“.

Zeitpunkt und Art der Bereitstellung Ebenfalls relevant ist die Frage, zu welchem Zeitpunkt die Datenschutzinformationen der betroffenen Person bereitgestellt werden müssen. Werden personenbezogene Daten direkt beim Betroffenen erhoben, sind die Informationen der betroffenen Person zum Zeitpunkt der Erhebung mitzuteilen. Werden die Daten beim Dritten erhoben (Bsp. Adressankauf), müssen die Informationen mit der ersten Ansprache des Betroffenen (Bsp. Werbeschreiben) erteilt werden.

Wichtig ist hierbei die Dokumentation der Datenschutzinformation, da den Verantwortlichen insoweit eine Nachweispflicht trifft

6.4. Umsetzungsvorschlag Die unterschiedlichen Kommunikationswege zwischen Verantwortlichen und Betroffenen führen zu unterschiedlichen Art und Weisen der Unterrichtung des für die Datenverarbeitung Verantwortlichen.

Online-Auftritt

Betritt ein Nutzer den Online-Auftritt beispielsweise eine Händlers, muss spätestens zu dem Zeitpunkt, indem der Nutzer zur Angabe persönlicher Daten aufgefordert wird (z.B. Ausfüllen eines Online-Formulars oder Beginn einer Kommunikation mittels E-Mail) oder wenn Dateien mit direktem oder indirektem Personenbezug von seinem Rechner abgerufen werden, die dort schon


16

gespeichert vorliegen (etwa durch das Setzen von Cookies), eine Unterrichtung durch den Betreiber der Homepage erfolgen.

Die Unterrichtung muss vollständig und verständlich sein. Diese Unterrichtung bzw. der Hinweis auf die Unterrichtung ist so anzubringen, dass ein Nutzer sie üblicherweise zur Kenntnis nimmt, wenn er das entsprechende Angebot aufruft.

Die Online-Datenschutzerklärung sollte von jeder Seite des Internetangebotes aus erreichbar sein. Dies kann erreicht werden, in dem sie z.B. in Navigationsleisten oder in Fuß- oder Kopfzeilen jeder Seite durch einen Link über eine typische, aussagekräftige Schaltfläche (z.B. “Online-Datenschutzerklärung”, “Online-Datenschutz-Prinzipien” oder “Datenschutz”) aufrufbar sind. Außerdem sollten die Online-Datenschutzerklärung vor jeder Eingabe personenbezogener Daten, z.B. in Formularen, angeboten werden oder zumindest aufgerufen werden können. Vor jedem zu setzenden dauerhaften Cookie sollte sie zur Kenntnisnahme systemseitig angeboten werden.

Newsletter

Der Betroffene sollte spätestens vor dem Einschreibungsverfahren in einen Newsletter-Dienst über die bereits angeführten Punkte informiert werden. Auch hier empfiehlt sich ein deutlicher Hinweis sowie eine Abrufbarkeit der Informationen auf der jeweiligen Homepage. Zudem sollte jeder Newsletter eine deutlich gekennzeichnete Abbestellungsfunktion enthalten.

Der Versand von Newslettern, die vor dem In-Kraft-Treten der DSGVO bestellt worden sind, sowie die entsprechende Verarbeitung personenbezogener Daten bleibt - auf Grundlage der von dem Betroffenen in der Vergangenheit abgegebenen Zustimmung zum Erhalt desselben - grundsätzlich zulässig (auch wenn dies in jedem Fall intern geprüft werden sollte). Es stellt sich hingegen die Frage, ob der Betroffene auch über seine Rechte zum Datenschutz hinreichend informiert wurde. Aus diesem Grund sollte in Zweifelsfällen eine separate E-Mail zum Zwecke der Information versandt werden. Diese sollte auch den Hinweis enthalten, dass eine Abbestellung jederzeit möglich ist.

Die Regelungen zum Double-Opt-In kommen aus dem UWG und sind damit unverändert gültig.

Stationärer Handel

Grundsätzlich gilt: Die Informationspflichten der DSGVO betreffen sämtliche Verarbeitungen personenbezogener Daten, d.h. sowohl Verarbeitungen im Online- als auch im „Offline-Bereich“. Werden daher in Geschäften - unter Erhebung und Verarbeitung personenbezogener Daten - Waren oder Dienstleistungen angeboten, muss ein entsprechender Hinweis erfolgen. Ein Aushang sollte hierbei ausreichend sein. Darüber hinaus sollten diese Informationen auf Nachfrage dem Kunden in Papierform zur Verfügung gestellt werden.

Telefonische Bestellung

Bei telefonischer Bestellung oder Reservierung erscheint eine Sprachwiedergabe der erforderlichen Informationen nicht zweckdienlich. Es sollte daher auf optionale Angebote (Sprachwiedergabe der Information im Rahmen einer Menüfunktion, Link per SMS auf das Mobiltelefon) bereitgestellt werden. Auch ein Hinweis auf eine leicht zu merkende URL sollte ausreichend sein.

Kataloge/Aktionen im Bereich Print

Noch immer ungeklärt ist die Frage, in welchem Umfang die erforderlichen Informationen mitgeteilt werden müssen, wenn das Format besonders klein ist, Bsp. Postkarte. Die DSGVO trifft hierzu gegenläufige Aussagen: Zwar sollen die Informationen auch “in elektronischer Form” erteilt werden können, jedoch muss die Information “im Zeitpunkt der Erhebung der Daten” erfolgen.

Der Verantwortliche muss sicherstellen, dass der Betroffene informiert wird, z.B. Aushangplakat bei Erhebung auf dem Messestand, separater Flyer.


17

6.5. Selbst-Check Wie werden die Informationspflichten nach der DSGVO erfüllt?

Kontaktdaten Zwecke / Rechtsgrundlage der Verarbeitung Wenn vorhanden: berechtigte Interessen der verarbeitenden Stelle Empfänger der Daten Übermittlung in Drittländer Dauer der Speicherung Betroffenenrechte Hintergründe der Bereitstellung Automatisierte Entscheidungsfindung Zweckänderung

Sind die erteilten Informationen vollständig?

Sind die erteilten Informationen verständlich?

Sind die zu erteilenden Informationen auf Websites leicht auffindbar?

Wie wird die Erfüllung der Informationspflicht dokumentiert?

6.6. Weiterführende Informationen und Muster Musterdatenschutzerklärung für Websitebetreiber nach den Vorgaben der DSGVO, von Professor Dr. Thomas Hoeren (Institut für Informations-, Telekommunikations- und Medienrecht, Münster) zusammen mit Mitarbeitern der Forschungsstelle Recht des DFN Vereins entwickelt. http://www.uni-muenster.de/Jura.itm/hoeren/lehre/materialien/musterdatenschutzerklaerung

http://www.uni-muenster.de/Jura.itm/hoeren/lehre/materialien/musterdatenschutzerklaerung


18

7. Rechte des Betroffenen

7.1. Einführung

Die DSGVO führt durch das herrschende Transparenzgebot umfassende Transparenzrechte ein. So soll den Betroffenen ermöglicht werden, die Konsequenzen der Preisgabe von Daten einzuschätzen sowie die Wahrnehmung ihrer Rechte zu erleichtern. Die Rechte des Betroffenen werden in Art. 15 bis Art. 21 DSGVO geregelt. Zweck der Regelungen ist mithin die Selbstkontrolle des Betroffenen. Intention des Gesetzgebers ist, dass sich diese Selbstkontrolle mit den Pflichten des Verantwortlichen zur Eigenkontrolle ausbalancieren soll. Die Vorschriften der DSGVO werden durch die §§ 32 bis 37 des Bundesdatenschutzgesetzes (BDSG n. F.) ergänzt.

7.2. Stichworte Auskunftsrecht, Recht auf Berichtigung, Mitteilungspflicht, Datenübertragbarkeit, Recht auf Löschung, Vergessenwerden, Widerspruchsrecht, Recht auf Einschränkung der Bearbeitung

7.3. Beschreibung der Anforderungen 1. Auskunftsrecht, Art. 15 DSGVO

a. Allgemein

Das Auskunftsrecht gemäß Art. 15 DSGVO ist das „Basisrecht“ für Betroffene zur Geltendmachung weiterer Ansprüche. § 34 BDSG n. F. entspricht in wesentlichen Teilen Art. 15 DSGVO aber ergänzt zum Teil auch die Regelung.

Der Betroffene hat demnach das Recht, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob von ihm personenbezogene Daten verarbeitet werden. Ist dies der Fall, so hat der Betroffene das Recht auf Auskunft über seine personenbezogenen Daten. Dies bedeutet Auskunft über

die Verarbeitungszwecke, die Kategorie der Daten, die Empfänger oder Kategorien der Empfänger, gegenüber denen die

personenbezogenen Daten offengelegt worden sind, die Dauer der Speicherung, das Recht auf Berichtigung, Löschung, Einschränkung und Widerspruch, das Beschwerderecht bei einer Aufsichtsbehörde, die Herkunft der Daten (wenn nicht bei Betroffenen erhoben), das Bestehen einer automatisierten Entscheidungsfindung einschließlich

Profiling, die Übermittlung ins Drittland oder an internationale Organisation. b. Praktische Umsetzung

aa) Für die Praxis bedeutet dies, dass der Verantwortliche dem Betroffenen eine Kopie der personenbezogenen Daten grundsätzlich unentgeltlich zur Verfügung stellen muss, Art. 12 Abs. 5 DSGVO. Während diese Regelung so bereits in § 34 Abs. 8 BDSG a. F. enthalten ist, ergeben sich aus Art. 12 Abs. 3 DSGVO zwei Neuerungen. Anders als § 34 BDSG a. F. enthält Art. 12 Abs. 3 DSGVO zum einen eine konkrete Frist zur Beantwortung des Auskunftsersuchen:

Demnach hat die Antwort ohne unangemessene Verzögerung, spätestens aber innerhalb eines Monats zu erfolgen.


19

Zum anderen bestimmt Art. 12 Abs. 3 DSGVO, dass Auskunftsersuchen nach Möglichkeit auf elektronischem Wege zu beantworten sind, wenn sie auf elektronischem Wege gestellt wurden.

Für alle weiteren Kopien, die der Betroffene beantragt, kann der Verantwortliche ein angemessenes Entgelt auf der Grundlage der Verwaltungskosten verlangen.

Eine weitere Neuerung enthält Art. 12 Abs. 4 DSGVO. Nach dieser Norm ist die betroffene Person über die Gründe für ein etwaiges Untätigbleiben auf ein Auskunftsersuchen hin und über die Möglichkeit zur Beschwerde bei einer Aufsichtsbehörde zu unterrichten.

bb) Im Erwägungsgrund (64) der DSGVO fordert der europäische Gesetzgeber zudem ausdrücklich, dass der Verantwortliche alle vertretbaren Mittel nutzen sollte, um die Identität einer Auskunft suchenden betroffenen Person zu überprüfen. Dies soll insbesondere für Online-Dienste und Online-Kennungen gelten.

Sofern mündliche, insbesondere telefonische Auskunftsersuchen an das Unternehmen gerichtet werden, sollte der Ersuchende gebeten werden, die Anfrage schriftlich zu formulieren, damit dieses korrekt bearbeitet werden kann. Dies beugt Missbrauch vor und dient dem Persönlichkeitsschutz des Betroffenen, damit deren Daten nicht unrechtmäßig übermittelt werden. Um Auskunftsverlangen entsprechen zu können, sind Identifikationsmerkmale, das heißt Absenderangaben des Betroffenen, erforderlich. Auch sollte die vollständige Adresse von dem Ersuchenden angegeben werden, um Fehlleitungen der Zusendung zu vermeiden.

2. Recht auf Berichtigung und Mitteilungspflicht, Art. 16 DSGVO

a. Allgemein

Sind personenbezogene Daten falsch, nicht mehr aktuell oder unvollständig, haben die betroffenen Personen gemäß Art. 16 DSGVO ein Recht auf Berichtigung. Der Verantwortliche muss die unrichtigen oder unvollständigen Daten unverzüglich korrigieren.

Unter Berücksichtigung der Zwecke der Verarbeitung hat die betroffene Person das Recht, die Vervollständigung unvollständiger personenbezogener Daten – auch mittels einer ergänzenden Erklärung- zu verlangen. Dieses Recht ist im Zusammenhang mit der Mitteilungspflicht nach Art. 19 DSGVO (Mitteilungspflicht im Zusammenhang mit der Berichtigung oder Löschung personenbezogener Daten oder der Einschränkung der Bearbeitung) zu betrachten. Die Anwendung des Art. 19 DSGVO setzt allerdings voraus, dass die Daten VOR der Datenkorrektur offengelegt wurden. Der Verantwortliche muss allen Empfängern, denen personenbezogene Daten von einem Betroffenen offengelegt wurden, jede Berichtigung nach Art. 16 DSGVO mitteilen, es sei denn dies erweist sich als unmöglich oder ist mit unverhältnismäßigem Aufwand verbunden.

b. Praktische Umsetzung

Der Antrag auf Berichtigung der personenbezogenen Daten kann grundsätzlich formlos gestellt werden. Allerdings gilt an dieser Stelle das bereits unter 1. b) bb) zum Thema telefonische Auskunftsersuchen Gesagte entsprechend. Der Betroffene sollte gebeten werden, die Korrektur schriftlich zu formulieren, damit diese korrekt bearbeitet werden kann. Als Argumente sollten hier ebenfalls der Missbrauchsschutz und die Fehlervermeidung genannt werden.

3. Recht auf Löschung („Recht auf Vergessenwerden“), Art. 17 DSGVO

a. Allgemein

Nach Art. 17 DSGVO hat der Betroffene das Recht, die Löschung seiner Daten zu verlangen, wenn einer der gesetzlich geregelten Löschungsgründe vorliegt. Entsprechend dazu regelt § 35 Abs. 2 BDSG n. F. auf nationaler Ebene den gleichen Anspruch.


20

Ein Löschungsgrund liegt demnach vor, wenn:

die Aufbewahrung der Daten für den Zweck, zu dem sie ursprünglich erhoben wurden, nicht mehr erforderlich ist,

die Daten unrechtmäßig verarbeitet wurden, der Betroffene seine Einwilligung für eine weitere Speicherung widerrufen hat

sowie

eine Rechtspflicht zum Löschen nach EU oder nationalem Recht besteht.

Selbst wenn einer der vorgenannten Gründe vorliegt, dürfen Daten aber nicht gelöscht werden, wenn gesetzliche Aufbewahrungsfristen bestehen und der Verantwortliche damit zur Aufbewahrung verpflichtet ist (z.B. bei rentenrelevanten Unterlagen von Mitarbeitern), Art. 17 Abs. 3 DSGVO.

Der Löschungsanspruch ist in folgenden Fällen ausgeschlossen:

wenn das Recht auf freie Meinungsäußerung bzw. die Informationsfreiheit überwiegen,

wenn die Datenspeicherung der Erfüllung einer rechtlichen Verpflichtung dient,

wenn das öffentliche Interesse im Bereich der öffentlichen Gesundheit überwiegt,

wenn Archivzwecke oder wissenschaftliche und historische Forschungszwecke entgegenstehen oder

wenn die Speicherung zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich ist.

Den Verantwortlichen trifft bei Bestehen eines Löschungsanspruchs eine umfassende Mitwirkungspflicht bei der Löschung der Daten. Zu den Mitwirkungspflichten siehe Punkt 5.

Hinzuweisen ist an dieser Stelle zudem darauf, dass § 35 BDSG n. F. eine Einschränkung der Löschungspflicht regelt. Anstelle einer Löschung tritt demnach die sog. Einschränkung der Verarbeitung, wenn die Löschung nicht oder nur mit unverhältnismäßig hohem Aufwand möglich ist und das Interesse des Betroffenen an der Löschung als gering anzusehen ist (siehe hierzu unten).

Das Recht auf Löschung korrespondiert auch mit einer entsprechenden Pflicht zur Löschung (Art. 5 Abs. 1 lit.c DSGVO).

b. Recht auf „Vergessenwerden“, Art. 17 Abs. 2 DSGVO

Art. 17 Abs. 2 DSGVO regelt eine besondere Form des Löschungsanspruchs, das sogenannte „Recht auf Vergessenwerden“. Dieses Recht bezieht sich auf Daten, die der Verantwortliche veröffentlicht hat und zielt insbesondere auf Veröffentlichungen im Internet ab.

Das Recht auf Löschung wird in diesem Absatz insofern ausgeweitet, als dass der Verantwortliche verpflichtet wird, unter Berücksichtigung der verfügbaren Technologie und der Implementierungskosten angemessene Maßnahmen zu treffen, den Verantwortlichen, die diese Daten wiederum auch verarbeiten, mitzuteilen, alle Links zu diesen personenbezogenen Daten oder Kopien oder Replikationen dieser Daten zu löschen.

4. Recht auf Einschränkung der Verarbeitung, Art. 18 DSGVO

a. Allgemein

Mit dem Recht auf Einschränkung der Verarbeitung können Betroffene in bestimmten Fällen vom Verantwortlichen die Einschränkung der Verarbeitung zu verlangen, wenn


21

die Richtigkeit gespeicherter Daten bestritten wird und die Datennutzung für die Dauer der Überprüfung der Richtigkeit ausgesetzt werden soll,

die Datenverarbeitung unrechtmäßig ist und der Betroffene anstatt der Löschung die Nutzungseinschränkung bevorzugt,

der Verantwortliche zwar die personenbezogenen Daten für die Zwecke der Verarbeitung nicht länger benötigt, aber der Betroffene diese zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen benötigt sowie

der Betroffene Widerspruch gegen die Verarbeitung nach Art. 21 Abs. 1 DSGVO eingelegt hat, solange noch nicht feststeht, ob die berechtigten Gründe des Verantwortlichen gegenüber denen des Betroffenen überwiegen.

b. Praktische Umsetzung

Sollte es zu diesem Fall kommen, sollte diese ausgewählten personenbezogenen Daten vorübergehend auf ein anderes Verarbeitungssystem übertragen werden. Die Daten sollten so für die Nutzer gesperrt werden und die veröffentlichten Daten vorübergehend von der Internetseite genommen werden.

In automatisierten Dateisystemen sollte die Einschränkung der Verarbeitung grundsätzlich durch technische Mittel so erfolgen, dass die personenbezogenen Daten in keiner Weise weiterverarbeitet oder geändert werden können. Zudem sollte ein unmissverständlicher Hinweis im System hinterlegt werden.

5. Mitteilungspflicht im Zusammenhang mit der Berichtigung oder Löschung personenbezogener Daten oder der Einschränkung der Bearbeitung, Art. 19 DSGVO

Die Mitteilungspflicht besteht sobald der Betroffene von seinem Recht auf Berichtigung, Löschung oder Einschränkung der Verarbeitung Gebrauch gemacht hat. Dann hat der Verantwortliche allen Empfängern, denen personenbezogenen Daten offengelegt wurden, diese Änderungen mitzuteilen, es sei denn, dies erweist sich als unmöglich oder ist mit einem unverhältnismäßigen Aufwand verbunden. Siehe dazu auch Punkt 2.a).

Zudem ist zu beachten, dass der Verantwortliche die betroffene Person über diese Empfänger zu unterrichten hat, wenn die betroffene Person dies verlangt.

6. Recht auf Datenübertragbarkeit, Art. 20 DSGVO

a. Allgemein

Das Recht auf Datenübertragung gibt Betroffenen unter bestimmten Voraussetzungen einen Anspruch, die ihn betreffenden personenbezogenen Daten, die er dem Verantwortlichen bereitgestellt hat, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten.

Zudem hat der Betroffene das Recht, diese Daten einem anderen Verantwortlichen ohne Behinderung durch den Verantwortlichen, dem die personenbezogenen Daten bereitgestellt worden sind, zu übermitteln, sofern

die Verarbeitung auf einer Einwilligung zu Verarbeitung oder die Verarbeitung auf einem Vertrag beruht und mithilfe automatisierter

Verfahren erfolgt.

Der Betroffene kann demnach vom Verantwortlichen die direkte Datenübertragung auf den anderen Verantwortlichen verlangen, soweit dies technisch machbar ist. Die Regelung soll den Wechsel zu einem anderen Anbieter insbesondere bei sozialen Netzwerken erleichtern.


22

Diese Regelung lässt das Recht auf Löschung gemäß Art. 17 DSGVO unberührt.

b. Bedeutung für Unternehmens- und Beschäftigtendatenschutz

Im Arbeitnehmerdatenschutz stellt sich die Frage, ob Mitarbeiter beim Verlassen des Unternehmens ihre nutzergenerierten Daten, die sie im Rahmen ihrer Tätigkeit dem Unternehmen bereitgestellt haben, oder auf Kommunikationsplattformen des Unternehmens bereitgestellt haben, nach Art. 20 DSGVO mitnehmen können. Da diese Datenübertragung jedoch eine Weitergabe interner Unternehmensdaten an Konkurrenten zur Folge hätte, ist im Wege der teleologischen Reduktion ein Anspruch des Arbeitnehmers wohl ausgeschlossen. Dennoch bleibt abzuwarten, wie die Entwicklung im Arbeitsmarkt einen etwaigen Anspruch annimmt.

c. Praktische Anwendung

Sofern die unter a) genannten Voraussetzungen vorliegen, muss das Unternehmen technisch für solche Fälle vorbereitet sein. Es sollte jedoch auch darauf geachtet werden, dass für nur in Papierform vorgehaltene Daten ein Anspruch auf Datenübertragung nicht gilt. Den direkten Transfer von einem Anbieter zu einem anderen Anbieter können die Verantwortlichen daher mit der Begründung ablehnen, dass dies aus technischen Gründen nicht machbar ist.

7. Widerspruchsrecht, Art. 21 DSGVO

a. Widerspruchsrecht bei Interessenabwägung oder bei Verarbeitung im öffentlichen Interesse, Art. 21 Abs. 1 DSGVO

Der Betroffene hat nach Art. 21 Abs. 1 DSGVO ein Widerspruchsrecht aus Gründen, die sich aus seiner besonderen Situation (z.B. existenzvernichtende Wirkung) ergeben. Das Widerspruchsrecht sollte hier keinesfalls mit dem Widerrufsrecht verwechselt werden. Zum Widerrufsrecht siehe Kapitel Rechtmäßigkeit – Einwilligung – Widerruf.

Falls dem Widerspruch nicht stattgegeben wird, muss der für die Verarbeitung Verantwortliche darlegen, dass seine zwingenden berechtigten Interessen Vorrang vor den Interessen, Rechten und Freiheiten der betroffenen Person überwiegen.

b. Widerspruchsrecht aufgrund von Direktwerbung

Werden personenbezogene Daten verarbeitet, um Direktwerbung zu betreiben, so kann die betroffene Person jederzeit unentgeltlich insoweit Widerspruch gegen eine solche – ursprüngliche oder spätere – Verarbeitung einschließlich des Profilings einlegen, als sie mit dieser Direktwerbung zusammenhängt. Wenngleich die Nutzung von Daten zur Direktwerbung grundsätzlich zulässig ist, können betroffene Personen hiergegen jederzeit und ohne Angabe von Gründen widersprechen. Nach erfolgtem Widerspruch dürfen die Daten nicht mehr zur Direktwerbung genutzt werden.

c. Praktische Umsetzung

Sofern ein Widerspruch des Betroffenen erfolgt und dem Widerspruch stattgegeben wird, dürfen die personenbezogenen Daten nicht mehr für diesen Zweck verwendet werden und sind ggf. nach Art. 17 Abs. 1 lit.c DSGVO zu löschen.

Zudem fordert der Gesetzgeber gemäß Art. 21 Abs. 4 DSGVO, dass die betroffene Person spätestens zum Zeitpunkt der ersten Kommunikation ausdrücklich auf das Widerspruchsrecht wegen einer besonderen Situation als auch wegen Direktwerbung hingewiesen wird. Dieser Hinweis hat in einer verständlichen und von anderen Informationen getrennten Form erfolgen.


23

7.4. Umsetzungsvorschlag 1. Um den Anforderungen gerecht zu werden, benötigen Sie ein gut geführtes

Verzeichnis der Verarbeitungstätigkeiten.

2. Erarbeiten Sie sich auf Grundlage Ihres typischen Kontakts mit Betroffenen eine Arbeitsanweisung zum richtigen Umgang mit Anfragen von Betroffenen und schulen Sie Ihre Mitarbeiter entsprechend.

3. Beachten Sie bei Direktwerbung die Verpflichtung auf das Widerspruchrecht hinzuweisen.

7.5. Selbst-Check 1. Ich habe Klarheit über meine internen Verarbeitungsprozesse und kann Auskunft über die in Art. 15 geforderten Inhalte geben: ja O nein O

2. Sind die Mitarbeiter über den richtigen Umgang mit Anfragen von Betroffen informiert, so dass sie auf Ersuchen richtig reagieren und diese bearbeiten können: ja O nein O

3. Ich habe einen Überblick über von mir beauftragte Auftragsdatenverarbeiter und Dritten, denen ich die der Genossenschaft übermittelte personenbezogenen Daten übermittle: ja O nein O

4. Die zur Herausgebe der personenbezogenen Daten verwendeten Dokumente besitzen den erforderlichen, verständlichen und von anderen Informationen getrennten Hinweis auf das Widerspruchsrecht: ja O nein O

7.6. Weiterführende Informationen und Muster Wächter, Datenschutz im Unternehmen, C.H.Beck Verlag, 5. Auflage

Schröder, Datenschutzrecht für die Praxis, Beck im dtv, 2. Auflage


24

8. Technischer Datenschutz

8.1. Einführung Die Verarbeitung personenbezogener Daten muss rechtmäßig sein, s. Kapitel Rechtmäßigkeit. Damit einhergehend muss der Verantwortliche technische und organisatorische Maßnahmen zur Erreichung/Garantie des Datenschutzes ergreifen. Dafür verwendet man den Begriff Technischer Datenschutz.

8.2. Stichworte aus der IT: Informationssicherheitsmanagementsystem, IT-Sicherheit, Schutzziele, BSI-Grundschutz

aus dem Datenschutz: Technische und organisatorische Maßnahmen (TOM), Datenschutzmanagementsystem, Datenschutz by Design, Datenschutz by Default, Datensicherheit

8.3. Beschreibung der Anforderungen Sicherheit der Verarbeitung - Art. 32 DSGVO (Kurzpapier des Bayerischen Landesamtes für Datenschutzaufsicht) https://www.lda.bayern.de/media/baylda_ds-gvo_1_security.pdf

Privacy by design / Privacy by default - Standardmäßiger Datenschutz für mehr Privatsphäre (IHK-Nürnberg) https://www.ihk-nuernberg.de/de/media/PDF/Innovation-Umwelt/Datenschutz-in-der-betrieblichen-Praxis/eu-datenschutz-grundverordnung-privacy-by-design-privacy-by-default.pdf

Art. 25 Abs. 3 DSGVO „Ein genehmigtes Zertifizierungsverfahren gemäß Art. 42 kann als Faktor herangezogen werden, um die Erfüllung der in den Abs. 1 und 2 des vorliegenden Artikels genannten Anforderungen nachzuweisen.“ Zertifizierung nach Art. 42 DSGVO (Kurzpapier Nr. 9 des Datenschutzkonferenz) https://www.lda.bayern.de/media/dsk_kpnr_9_zertifizierung.pdf

8.4. Umsetzungsvorschlag Die Einhaltung der Anforderungen durch einen Dienstleister sollten Sie sich bestätigen lassen. Details dazu finden Sie im Kapitel Auftragsverarbeitung. Deshalb wird im Weiteren das Vorgehen bezüglich der Verarbeitung personenbezogener Daten in der eigenen Firma dargestellt.

Es empfiehlt sich der Einsatz eines Informationssicherheitsmanagementsystems unter Berücksichtigung der besonderen Anforderungen des Datenschutzes. D.h. die Risiken der Datenverarbeitung müssen aus der Sicht des Betroffenen und nicht nur aus der Sicht des Unternehmens betrachtet werden. Deswegen stehen die Optionen des Informationssicherheitsmanagements, ermittelte hohe Risiken zu transferieren (z. B. durch Abschluss einer Versicherung) oder ohne Abwehrmaßnahmen durch die Geschäftsleitung zu akzeptieren, nicht zur Verfügung, da der Träger des Risikos hier nicht das Unternehmen sondern der Betroffene ist.

Mit dem Informationssicherheitsmanagement werden auch Themen wie die Risikoanalyse und die Überprüfung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung adressiert. Dort sind auch Regelungen zu verankern, die sicherstellen, dass dass datenschutzrechtliche Belange bei Beginn oder Änderung eines jeden Verfahrens in Ihrem Unternehmen Berücksichtigung finden (Privacy by Design).

Die Anforderungen können mit einem Informationssicherheitsmanagementsystem erfüllt werden. Orientieren kann man sich - je nach Größe und Geschäftsgegenstand der Genossenschaft - z.B. an folgenden Standards:

https://www.lda.bayern.de/media/baylda_ds-gvo_1_security.pdf

https://www.ihk-nuernberg.de/de/media/PDF/Innovation-Umwelt/Datenschutz-in-der-betrieblichen-Praxis/eu-datenschutz-grundverordnung-privacy-by-design-privacy-by-default.pdf

https://www.ihk-nuernberg.de/de/media/PDF/Innovation-Umwelt/Datenschutz-in-der-betrieblichen-Praxis/eu-datenschutz-grundverordnung-privacy-by-design-privacy-by-default.pdf

https://www.lda.bayern.de/media/dsk_kpnr_9_zertifizierung.pdf


25

VdS 3473 – Cyber-Security für kleine und mittlere Unternehmen (KMU), Anforderungen (pdf) https://vds.de/fileadmin/vds_publikationen/vds_3473_web.pdf

ISIS12-InformationsSIcherheitsmanagementSystem in 12 Schritten https://www.it-sicherheit-bayern.de/isis12-isms-informationssicherheitsmanagementsystem-in-12-schritten.html

Leitfaden zur Basis-Absicherung nach IT-Grundschutz https://www.bsi.bund.de/DE/Themen/ITGrundschutz/ITGrundschutzStandards/Leitfaden_Basisabsicherung/Leitfaden_Basisabsicherung_node.html

Bei der Einführung von Apps

Orientierungshilfe zu den Datenschutzanforderungen an App-Entwickler und App-Anbieter(PDF) https://www.lda.bayern.de/media/oh_apps.pdf hrsg. vom Düsseldorfer Kreis (Aufsichtsbehörden für den Datenschutz im nicht-öffentlichen Bereich)

8.5. Selbst-Check Aus dem Fragenkatalog der Landesbeauftragten für den Datenschutz Niedersachsen:

1. Setzen Sie oder Ihre Dienstleister technische und organisatorische Maßnahmen ein, die ein dem Verarbeitungsrisiko angemessenes Schutzniveau gewährleisten (Art. 32 DSGVO)? Haben Sie Ihre diesbezügliche Schutzbedarfsklassifizierung dokumentiert?

2. Setzen Sie Pseudonymisierungs- oder Verschlüsselungsverfahren ein? In welchen Fällen?

3. Haben Sie für die von Ihnen eingesetzten IT-Anwendungen jeweils ein dokumentiertes Rollen- und Berechtigungskonzept?

4. Wie stellen Sie sicher, dass bei der Änderung oder Neuentwicklung von Produkten oder Dienstleistungen Datenschutzanforderungen von Anfang an mit berücksichtigt werden (Art. 25 DSGVO)?

Quelle: https://www.lfd.niedersachsen.de/startseite/dsgvo/fragen_zur_vorbereitung_auf_dsgvo/nur-noch-6-monate-bis-zur-anwendung-der-datenschutz-grundverordnung-159273.html

Aus dem Fragenkatalog des Bayerischen Landesamtes für Datenschutzaufsicht:

1. Haben Sie ein Datenschutzmanagementsystem installiert, um sicherzustellen und den Nachweis erbringen zu können, dass Ihre Verarbeitung gemäß der DSGVO erfolgt?

2. Haben Sie Ihre bestehenden Prozesse zur Überprüfung der Sicherheit der Verarbeitung auf die neuen Anforderungen des Art. 32 DSGVO angepasst?

o Haben Sie insbesondere bestehende Checklisten zur Auswahl von technischen und organisatorischen Maßnahmen durch eine risikoorientierte Betrachtungsweise auf Basis von Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der Risiken für die Rechte und Freiheiten ersetzt?

o Wurde ein geeignetes Managementsystem zur regelmäßigen Überprüfung, Bewertung und Verbesserung der Security-Maßnahmen umgesetzt?

o Wurden Schutzmaßnahmen wie Pseudonymisierung und der Einsatz von kryptographischen Verfahren zum Schutz vor unbefugten oder unrechtmäßigen Verarbeitungen sowohl bezüglich externer als auch interner „Angreifer“ umgesetzt?

3. Wie haben Sie sichergestellt, dass datenschutzrechtliche Belange bei Beginn oder Änderung eines jeden Prozesses in Ihrem Unternehmen Berücksichtigung finden (Privacy by Design – Art. 25 DSGVO)?

Quelle: https://www.lda.bayern.de/media/dsgvo_fragebogen.pdf

https://vds.de/fileadmin/vds_publikationen/vds_3473_web.pdf

https://www.it-sicherheit-bayern.de/isis12-isms-informationssicherheitsmanagementsystem-in-12-schritten.html

https://www.it-sicherheit-bayern.de/isis12-isms-informationssicherheitsmanagementsystem-in-12-schritten.html

https://www.bsi.bund.de/DE/Themen/ITGrundschutz/ITGrundschutzStandards/Leitfaden_Basisabsicherung/Leitfaden_Basisabsicherung_node.html

https://www.bsi.bund.de/DE/Themen/ITGrundschutz/ITGrundschutzStandards/Leitfaden_Basisabsicherung/Leitfaden_Basisabsicherung_node.html

https://www.lda.bayern.de/media/oh_apps.pdf

https://www.lfd.niedersachsen.de/startseite/dsgvo/fragen_zur_vorbereitung_auf_dsgvo/nur-noch-6-monate-bis-zur-anwendung-der-datenschutz-grundverordnung-159273.html


https://www.lda.bayern.de/media/dsgvo_fragebogen.pdf


26

9. Datenschutz-Folgenabschätzung

9.1. Einführung

Die Autoren der DSGVO erläutern in Erwägungsgrund 84 die Motivation für die Einführung einer Datenschutz-Folgenabschätzung:

“Damit diese Verordnung in Fällen, in denen die Verarbeitungsvorgänge wahrscheinlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen mit sich bringen, besser eingehalten wird, sollte der Verantwortliche für die Durchführung einer Datenschutz-Folgenabschätzung, mit der insbesondere die Ursache, Art, Besonderheit und Schwere dieses Risikos evaluiert werden, verantwortlich sein. Die Ergebnisse der Abschätzung sollten berücksichtigt werden, wenn darüber entschieden wird, welche geeigneten Maßnahmen ergriffen werden müssen, um nachzuweisen, dass die Verarbeitung der personenbezogenen Daten mit dieser Verordnung in Einklang steht.”

9.2. Stichworte IT-Risikoanalyse, Business Impact Analyse

9.3. Beschreibung der Anforderungen Datenschutz-Folgenabschätzung nach Art. 35 DSGVO (Kurzpapier Nr. 5 der Datenschutzkonferenz): https://www.bfdi.bund.de/SharedDocs/Downloads/DE/Datenschutz/Kurzpapier_DatenschutzFolgeabschaetzung.pdf;jsessionid=0332089D003FC3D09285DFB72A707920.1_cid354?blob=publicationFile&v=2

Die DSGVO Art. 35 spricht von einer Abschätzung vorab. Deshalb kann man argumentieren, dass die Verpflichtung zur Durchführung einer Datenschutz-Folgenabschätzung alle ab dem 25.5.2018 eingeführten bzw. hinsichtlich des Risikos für die Rechte und Freiheiten der

Betroffenen veränderten Verfahren betrifft.1

Ein eventueller Auftragsverarbeiter ist nach Art. 28 Abs. 3 lit.f DSGVO verpflichtet, den Verantwortlichen bei der Erstellung der Datenschutz-Folgenabschätzung zu unterstützen.

9.4. Umsetzungsvorschlag 1. Vorprüfung („Schwellwertanalyse“)

Die Vorprüfung ist vor Einführung eines neuen Verfahrens durchzuführen. Hier wird bestimmt, ob eine Datenschutz-Folgenabschätzung durchgeführt werden muss. Erläuterungen dazu stehen im Muster, s. Anlagen.

2. Durchführung einer Datenschutz-Folgenabschätzung

Falls entsprechend des Ergebnisses der Vorprüfung eines Datenschutz-Folgenabschätzung durchzuführen ist, legt DSGVO Art. 35 Abs. 7 die Mindestinhalte fest:

Die Folgenabschätzung enthält zumindest Folgendes:

a. eine systematische Beschreibung der geplanten Verarbeitungsvorgänge und der Zwecke der Verarbeitung, gegebenenfalls einschließlich der von dem Verantwortlichen verfolgten berechtigten Interessen;

b. eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf den Zweck;

c. eine Bewertung der Risiken für die Rechte und Freiheiten der betroffenen Personen gemäß Absatz 1 und

https://www.bfdi.bund.de/SharedDocs/Downloads/DE/Datenschutz/Kurzpapier_DatenschutzFolgeabschaetzung.pdf;jsessionid=0332089D003FC3D09285DFB72A707920.1_cid354?




27

d. die zur Bewältigung der Risiken geplanten Abhilfemaßnahmen, einschließlich Garantien, Sicherheitsvorkehrungen und Verfahren, durch die der Schutz personenbezogener Daten sichergestellt und der Nachweis dafür erbracht wird, dass diese Verordnung eingehalten wird, wobei den Rechten und berechtigten Interessen der betroffenen Personen und sonstiger Betroffener Rechnung getragen wird.

Das Vorgehen zur Risikoabschätzung und die Festlegung der Abhilfemaßnahmen können sich an dem im Unternehmen festgelegten Standard zur Informationssicherheit orientieren, s. Kapitel Technischer Datenschutz.

Ein Vorgehen zur Erstellung einer DSFA ist die Anwendung des Standarddatenschutzmodells: https://www.bfdi.bund.de/DE/Datenschutz/Themen/Technische_Anwendungen/TechnischeAnwendungenArtikel/Standard-Datenschutzmodell.html

Für eine Darstellung der Verknüpfung von Sicherheit der Verarbeitung und Datenschutz-Folgenabschätzung mit der Informationssicherheit und für eine Einführung in die Risikoabschätzung sei auf den Leitfaden “Risk Assessment & Datenschutz-Folgenabschätzung” des Bitkom e. V. verwiesen: https://www.bitkom.org/Bitkom/Publikationen/Risk-Assessment-Datenschutz-Folgenabschaetzung.html

3. Folgen der Datenschutz-Folgenabschätzung

Wenn aus einer Datenschutz-Folgenabschätzung hervorgeht, dass die Verarbeitung ein hohes Risiko zur Folge hätte, und der Verantwortliche keine Maßnahmen zur Eindämmung des Risikos trifft, muss der Verantwortliche laut Art. 36 DSGVO vor der Verarbeitung die Aufsichtsbehörde konsultieren. Details sind in Art. 36 DSGVO festgelegt.

4. Muster am Beispiel Videoüberwachung

Ein Muster am Beispiel Videoüberwachung, das auf dem derzeit zur Verfügung stehenden Informationsstand beruht, finden Sie in den Anlagen.


1. Führt Ihr Unternehmen Verarbeitungen mit einem voraussichtlich hohen Risiko für die Rechte und Freiheiten der Betroffenen durch? Dies gilt z.B. bei einer umfangreichen Verarbeitung besonderer Kategorien personenbezogener Daten.

2. Falls ja, haben Sie für die in diesen Fällen erforderliche Datenschutz-Folgenabschätzung in Ihrem Unternehmen einen Prozess eingeführt?

3. Wer ist für diesen Prozess zuständig?


Aus dem Fragenkatalog des Bayerischen Landesamtes für Datenschutzaufsicht:

1. Haben Sie sich auf die evtl. Notwendigkeit der Durchführung einer Datenschutz-Folgenabschätzung vorbereitet?

2. Haben Sie eine geeignete Methode zur Bestimmung der Frage, ob eine Datenschutz-Folgenabschätzung durchzuführen ist, in Ihrem Unternehmen eingeführt?

3. Haben Sie eine geeignete Risikomethode zur Durchführung einer Datenschutz-Folgenabschätzung in Ihrem Unternehmen eingeführt? Haben Sie sich für einen Prozess der Datenschutz-Folgenabschätzung entschieden; haben Sie diesen schon einmal getestet?

Quelle: https://www.lda.bayern.de/media/dsgvo_fragebogen.pdf

https://www.bfdi.bund.de/DE/Datenschutz/Themen/Technische_Anwendungen/TechnischeAnwendungenArtikel/Standard-Datenschutzmodell.html

https://www.bfdi.bund.de/DE/Datenschutz/Themen/Technische_Anwendungen/TechnischeAnwendungenArtikel/Standard-Datenschutzmodell.html

https://www.bitkom.org/Bitkom/Publikationen/Risk-Assessment-Datenschutz-Folgenabschaetzung.html

https://www.bitkom.org/Bitkom/Publikationen/Risk-Assessment-Datenschutz-Folgenabschaetzung.html



https://www.lda.bayern.de/media/dsgvo_fragebogen.pdf


28

9.6. Weiterführende Informationen und Muster GDD-Praxishilfe DS-GVO X - Voraussetzungen der Datenschutz-Folgenabschätzung, Version 1.0, Stand November 2017 https://www.gdd.de/downloads/praxishilfen/GDD-Praxishilfe_DS-GVO_10.pdf

1 s.a.GDD-Praxishilfe DS-GVO X: DSFA, S. 9 f. href=”https://www.gdd.de/downloads/praxishilfen/GDD-Praxishilfe_DS-GVO_10.pdf

http://www.gdd.de/downloads/praxishilfen/GDD-Praxishilfe_DS-GVO_10.pdf

href=


29

10. Auftragsverarbeitung

10.1. Einführung

Eine Auftragsdatenverarbeitung (ADV) bezeichnet die Verarbeitung von personenbezogenen Daten durch einen Auftragnehmer gemäß den Weisungen des Auftraggebers auf Grundlage eines (schriftlichen) Vertrages.

Prägend für eine ADV ist, dass der Dienstleister kein eigenes Recht und Interesse an den Daten erhält bzw. hat und er die vom Auftraggeber übermittelten Daten ausschließlich streng nach dessen Weisung, unter Einhaltung der vereinbarten technischen und organisatorischen Maßnahmen zur Datensicherheit (sog. „TOMs“) nur zu dem vom Auftraggeber vorgegebenen Zweck verarbeiten darf. Grundlage muss ein den gesetzlichen Anforderungen entsprechender

Vertrag zwischen Auftraggeber und Auftragnehmer (zukünftig „Auftragsverarbeiter“1 ) sein. Die

bisher aus § 11 BDSG a. F. bekannte ADV wird unter der DSGVO zukünftig als „Auftragsverarbeitung“ (AV) bezeichnet und ist maßgeblich in Art. 28 DSGVO geregelt.

Beispiele typischer ADV Sachverhalte: z.B. Nutzung eines externen Cloud-Dienstleisters (z.B. für den Newsletterversand, zur Datenspeicherung), externe Gehaltsabrechnung, Druck und Versand von adressierter Kundenwerbung durch eine Marketingagentur/Lettershop, Akten- und Datenentsorgung)

Liegen alle Voraussetzungen des Art. 28 DSGVO vor, stellt Art. 28 DSGVO eine eigenständige

Rechtsgrundlage für die Datenverarbeitung dar.2 Der Betroffene muss keine Einwilligung zu der

Datenübermittlung erklärt haben.

Die nach altem Recht (§ 11 BDSG a. F.) abgeschlossenen Verträge werden durch die neue Rechtslage ab dem 25. Mai 2018 nicht automatisch unwirksam. Werden sie nicht gekündigt, einvernehmlich aufgehoben oder abgeändert bestehen sie unverändert fort.

Sie erfüllen aber in aller Regel nicht die Anforderungen der DSGVO, so dass zwingend eine Aktualisierung oder ein Neu-Abschluss der Verträge im Hinblick auf die Anforderungen von Art. 28 DSGVO erfolgen muss.

Verarbeitet der Auftragsverarbeiter die Daten auch zu eigenen Zwecken, darf er die Daten z.B. auch für eigene Marketingzwecke nutzen, oder hat er sonstige weitergehende Rechte (er trifft z.B. eigene Entscheidungen bei der Bearbeitung) wird regelmäßig keine nach Art. 28 DSGVO privilegierte Auftragsverarbeitung vorliegen. Eine Datenübermittlung an den „Auftragnehmer“ ist dann nur unter den Voraussetzungen des Art. 6 DSGVO zulässig; der vermeintliche Auftragsverarbeiter wird selbst zur verantwortlichen Stelle (Verantwortlicher).

10.2. Stichworte Auftragsdatenverarbeitung, Auftragsverarbeitung, Auftraggeber, Auftragnehmer, Auftragsverarbeiter, TOM, TOMs, Art. 28, Art. 32, Funktionsübertragung, Dienstleistung, Outsourcing

10.3. Beschreibung der Anforderungen

1. Sorgfältige Auswahl eines geeigneten Auftragsverarbeiters – Art. 28 Abs. 1 Der Auftraggeber muss den Auftragsverarbeiter sorgfältig auswählen; er darf nur solche Auftragsverarbeiter beauftragen, die hinreichend Garantien dafür bieten, dass sie geeignete technische und organisatorische Maßnahmen für einen ausreichenden Datenschutz entsprechend den Anforderungen der DSGVO gewährleisten.


30

o Auftragsverarbeiter können ihre Zuverlässigkeit/Geeignetheit zukünftig durch die Einhaltung genehmigter Verhaltensregeln (Art. 40) oder durch eine entsprechende Zertifizierung (Art. 42) nachweisen. Da diese Zertifizierungspraktiken neu sind, ist erst mittelfristig mit derartigen Nachweisen zur rechnen. Bis dahin müssen Sie den Dienstleister und seine Geeignetheit selbst bewerten.

o Bei der Beurteilung der Geeignetheit sind auch Art und Umfang der betroffenen Daten, die durch den Auftragsverarbeiter verarbeitet werden, zu berücksichtigen (Bank und Gesundheitsdaten erfordern z.B. ein wesentlich höheres Schutzniveau als reine Adressdaten). Sie müssen Ihre Auswahlentscheidung (warum ist der Auftragsverarbeiter geeignet?) dokumentieren.

2. Abschluss eines Vertrages3 zur Auftragsverarbeitung – Art. 28 Abs. 3

Die Verarbeitung durch den Auftragsverarbeiter muss auf Grundlage eines Vertrages (ggf. als Anlage zu einem Hauptvertrag) erfolgen, welcher den Auftragsverarbeiter an den Auftraggeber bindet und der

o den Gegenstand, o die Dauer, o die Art und den Zweck der Verarbeitung, o die Art der personenbezogenen Daten, o die Kategorien betroffener Personen die der Verarbeitung unterliegen werden o den Einsatz von weiteren Auftragnehmern (Subunternehmer) sowie o die Rechte und Pflichten des Auftraggebers

festlegt.

Darüber hinaus sieht die DSGVO weitere verbindliche Vertragsinhalte vor: siehe Art. 28 Abs. 3 Buchstaben a) bis h).

Verschiedene Stellen haben bereits Muster-Verträge veröffentlicht4 . Die gesetzlichen

Mindestanforderungen sind in aller Regel in den Muster-Verträgen enthalten; insb. in den von den Aufsichtsbehörden herausgegebenen Mustern. Das generelle Schriftformerfordernis des § 11 Abs. 2 Satz 2 BDSG a. F. ist weggefallen. Artikel 28 Abs. 9 legt zwar fest, dass der Vertrag „schriftlich abzufassen“ ist. Die Norm ergänzt aber gleich darauf, dass das „auch in einem elektronischen Format erfolgen kann“. Welche Anforderungen dieses „elektronische Format“ erfüllen muss, ist umstritten. Entscheidend ist, dass der Vertragstext nicht nach Vertragsschluss einseitig geändert werden kann. Das ist etwa auch bei einem Vertrag, der als Datei im PDF-Format vorliegt, der Fall. Es gilt damit für AV-Verträge kein strenges Schriftformerfordernis im Sinne des § 126 BGB mehr. Gleichwohl empfiehlt es sich, zu Beweiszwecken an der Schriftform festzuhalten (siehe auch sogleich zur Situation bzgl. Unterauftragnehmern).

3. Regelung zum Einsatz von Subunternehmern – Art. 28 Abs. 2 Auftragsverarbeiter dürfen ohne vorherige gesonderte oder allgemeine schriftliche

Genehmigung5 des Verantwortlichen keine “weiteren Auftragsverarbeiter”

(Subunternehmer) hinzuziehen. Hat der Auftraggeber dem Auftragsverarbeiter - im Vertrag - eine allgemeine schriftliche Genehmigung zur Hinzuziehung weiterer Auftragsverarbeiter erteilt, hat der Auftragsverarbeiter den Auftraggeber über jede beabsichtigte Hinzuziehung oder Ersetzung zu informieren. Der Auftraggeber kann in diesem Fall die Hinzuziehung oder Ersetzung untersagen. Beauftragt der Auftragsverarbeiter einen oder mehrere weitere Unterauftragsverarbeiter, muss er mit diesen ebenfalls einen Vertrag mit den Inhalten aus Art. 28 Abs. 3 abschließen, so dass die Unterauftragsverarbeiter dieselben Pflichten treffen, wie den


31

Auftragsverarbeiter im Verhältnis zum Auftraggeber, Art. 28 Abs. 4.

4. Treffen der erforderlichen Datenschutzmaßnahmen, Art. 32 Ein Auftragsverarbeiter darf nur dann mit der Verarbeitung personenbezogener Daten beauftragt werden, wenn dieser auch mit geeigneten technischen und organisatorischen Maßnahmen sicherstellt, dass die Verarbeitung in Übereinstimmung mit den gesetzlichen Anforderungen erfolgt und damit der Schutz der Rechte der Betroffenen (deren Daten verarbeitet werden) gewährleistet wird. Siehe hierzu auch das Kurzpapier Nr. 1 des BayLDA (“Sicherheit der Verarbeitung”) www.lda.bayern.de/media/baylda_ds-gvo_1_security.pdf und das vorhergehende Kapitel “Technischer Datenschutz”. Dazu treffen der Auftraggeber und der Auftragsverarbeiter

unter Berücksichtigung

o des Stands der Technik o der Implementierungskosten o der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung o sowie der Eintrittswahrscheinlichkeit und der Schwere des Risikos

für die Rechte und Freiheiten der Betroffenen (also der Personen deren Daten Gegenstand der Auftragsverarbeitung sind) geeignete

o technische und o organisatorische

Schutzmaßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Die zu treffenden Maßnahmen sind in dem Vertrag oder dem als Anlage zum Vertrag beizufügenden Sicherheitskonzept zu beschreiben.

10.4. Sonstige Hinweise Prüfen der Wirksamkeit der TOMs

Es muss ein Verfahren zur regelmäßigen Überprüfung, Bewertung, und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung eingerichtet werden. Dieses Verfahren gewährleistet eine dauerhafte Sicherheit der Verarbeitung. Die Ergebnisse sind zu dokumentieren.

Verarbeitungsverzeichnis

Bislang musste nur der Auftraggeber die Verarbeitungsvorgänge im Rahmen von Auftragsdatenverarbeitungen in sein Verfahrensverzeichnis aufnehmen. Mit Geltung der DSGVO gilt, dass der Auftragsverarbeiter, die Verfahren, die er als Auftragsverarbeiter durchführt, auch in sein Verarbeitungsverzeichnis mit aufnehmen muss.

“Fernwartung-Sachverhalte”

Die bisherige Regelung sah in § 11 Abs. 5 BDSG a. F. vor, dass mit Dienstleistern eine § 11 Abs. 2 bis 4 BDSG a. F. entsprechende Vereinbarung abgeschlossen werden musste, wenn die Kenntnisnahme von personenbezogenen Daten bei Ausübung der Dienstleistung nicht ausgeschlossen werden konnte. Die DSGVO enthält keine entsprechende Regelung. Beauftragen Sie einen Dienstleister, bei dem es gerade nicht darum geht personenbezogene

http://www.lda.bayern.de/media/baylda_ds-gvo_1_security.pdf


32

Daten in Ihrem Auftrag zu verarbeiten6 , es kann aber nicht ausgeschlossen werden, dass der

Dienstleister bei Ausübung seiner Tätigkeit Kenntnis von personenbezogenen Daten aus Ihrem Verantwortungsbereich, erhält, verpflichten Sie den Dienstleister zumindest über eine

entsprechende Vereinbarung7 zur Verschwiegenheit.

8 In Zweifelsfällen sollten Sie eine

vollständige Vereinbarung zur AV abschließen; die Verschwiegenheitsverpflichtung gem. des am Ende beigefügten Musters bildet die Ausnahme!

10.5. Umsetzungsvorschlag

1. Verschaffen Sie sich eine Übersicht über alle Sachverhalte in Ihrer Genossenschaft, die den Tatbestand der Auftragsverarbeitung erfüllen und erfassen diese geordnet

2. Prüfen Sie, ob die vorhandenen Dienstleister geeignet sind, auch unter den Regelungen der Datenschutzgrundverordnung ab dem 25. Mai 2018 für Sie als Auftragsverarbeiter zu arbeiten:

a. Ist der Dienstleister gem. Art. 42 zertifiziert? b. Hält der Dienstleister genehmigte Verhaltensregeln gem. Art. 40 ein? c. Wenn zu a. und b. keine entsprechenden Informationen vorliegen: Wie kommen

Sie ansonsten zu der Einschätzung, dass der Dienstleister unter Berücksichtigung geeigneter technischer und organisatorischer Maßnahmen personenbezogene Daten in Ihrem Auftrag datenschutzkonform durchführen wird? (Dokumentieren Sie, warum Sie den Dienstleister ausgewählt haben und warum Sie davon ausgehen, dass er datenschutzkonform mit Ihren personenbezogenen (Kunden-/Mitarbeiter-) Daten umgehen wird; Sie können z.B. andere datenschutzrelevante Prüfbescheinigungen (z.B. eines Wirtschaftsprüfers, der Internen Revision oder des Datenschutzbeauftragten des Auftragsverarbeiters heranziehen).

3. Fragen Sie den jeweiligen Dienstleister, ob er Ihnen rechtzeitig bis zum 25. Mai 2018 ein DSGVO-konformes Muster für die zukünftige Auftragsverarbeitung zur Verfügung stellen kann; falls ja, lassen Sie den Vertragsentwurf technisch und rechtlich prüfen, passen ihn ggf. an und schließen die Vereinbarung zur Auftragsverarbeitung ab.

4. Falls Ihr Dienstleister kein entsprechendes Vertragsmuster anbietet: verschiedene Stellen

haben bereits Muster-Verträge/Formulierungshilfen9 im Internet veröffentlicht:

o Muster Aufsichtsbehörde10

o Muster bitkom11

o Muster GDD12

Prüfen Sie, ob Sie eines der genannten Beispiele als Vorlage für Ihren Sachverhalt dienen kann und schließen bis zum 25. Mai 2018 einen entsprechend angepassten Vertrag zur Auftragsverarbeitung mit Ihrem Dienstleister ab. (Alternativ: passen Sie bis zum 25. Mai 2018 die bestehenden Verträge auf ein DSGVO-konformes Niveau an).

5. Ergänzen Sie Ihr Datenschutzkonzept um die nachfolgende Aufgabe: Einrichtung eines Verfahrens zur regelmäßigen Überprüfung, Bewertung, und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung eines jeden einzelnen Auftragsverarbeitungssachverhaltes (siehe Art. 32 Abs. 2 lit. d). Die Ergebnisse und Nachweise sind zu dokumentieren.


33

10.6. Selbst-Check 1. Ich verfüge über eine vollständige Übersicht über alle AV-Sachverhalte meiner Genossenschaft: ja O nein O

2. Es liegen zu allen erfassten AV-Sachverhalten bis zum 25. Mai 2018 DSGVO-konforme Auftragsverarbeitungsverträge vor: ja O nein O

3. Die Auswahlentscheidung (Dienstleister ist geeignet) für meine AV-Dienstleister ist nachweislich dokumentiert: ja O nein O

4. Die Prüfung der Wirksamkeit der jeweils vereinbarten TOMs mit den Dienstleistern ist in dem Datenschutzkonzept meiner Genossenschaft aufgenommen: ja O nein O

5. Alle Mitarbeiter/Innen wurden zum Thema “Auftragsverarbeitung” nachweislich geschult: ja O nein O

10.7. Weiterführende Informationen und Muster I. Links zu drei Muster AV-Verträgen

https://www.lda.bayern.de/media/muster_adv.pdf ; Formulierungshilfe des Bayerischen Landesamtes für Datenschutzaufsicht v. 22.12.2017.

https://www.bitkom.org/Bitkom/Publikationen/Begleitende-Hinweise-zu-der-Anlage-Auftragsverarbeitung.html ; Auftragsverarbeitung Mustervertrag (DOCX, 894 KB) des Branchenverbandes Bitkom e.V.

https://www.gdd.de/gdd-arbeitshilfen/praxishilfen-ds-gvo/praxishilfen-ds-gvo ; GDD Praxishilfe DS-GVO IV der Gesellschaft für Datenschutz und Datensicherheit e.V.

…

https://www.lda.bayern.de/media/muster_adv.pdf

https://www.bitkom.org/Bitkom/Publikationen/Begleitende-Hinweise-zu-der-Anlage-Auftragsverarbeitung.html


https://www.gdd.de/gdd-arbeitshilfen/praxishilfen-ds-gvo/praxishilfen-ds-gvo


34

II. Muster Verschwiegenheitsverpflichtung

Muster Verschwiegenheitsverpflichtung13

Im Rahmen meiner Dienstleistung als

für die XXXX Genossenschaft eG, Adresse

verpflichte ich mich, über alle mir bei Ausübung oder anlässlich der oben benannten Tätigkeit, bei der XXX Genossenschaft evtl. zur Kenntnis gelangten personenbezogenen Daten (z.B. Kunden oder Mitarbeiterdaten), gegenüber Dritten Stillschweigen zu bewahren. Es ist mir untersagt etwaig zur Kenntnis gelangte personenbezogene Daten Dritten zur Kenntnis zu geben oder für andere Zwecke, als für die Erbringung der vereinbarten Dienstleistung erforderlich, zu nutzen.

Verstöße gegen diese Pflicht zur Verschwiegenheit sind strafbar und können Schadenersatzansprüche der Genossenschaft und/oder der Betroffenen Person selbst auslösen.

Ort, Datum, Unterschrift des Verpflichteten – Name in Druckbuchstabe

1 Siehe Definition in Artikel 4 Nr. 8: Auftragsverarbeiter ist eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet. 2 Nicht ganz unumstritten. 3 Die EU Kommission und/oder eine Aufsichtsbehörden kann zukünftig auch „Standardvertragsklauseln“ festlegen, Art. 28 Abs. 7 und 8; bislang liegen von einzelnen Aufsichtsbehörden lediglich „Muster“ bzw. „Orientierungshilfen“ vor. 4 Siehe Abschnitt Weiterführende Informationen und Muster am Ende. 5 Enthält der Vertrag eine gesonderte oder allgemeine Erlaubnis zum Einsatz von Subunternehmern, soll zumindest diesbezüglich weiterhin die Schriftform – ausgedruckter Vertrag liegt Ihnen mit Original-Unterschriften vor - erforderlich sein. 6 z.B. Fensterputzer, Möbelpacker, Handwerker, Reinigungskräfte (ohne Aktenentsorgung) etc. 7 Siehe Muster Verschwiegenheitsverpflichtung 8 Die Fragestellung (reicht eine Verschwiegenheitserklärung oder bedarf es einer vollständigen Vereinbarung zur Auftragsverarbeitung) ist noch nicht abschließend geklärt. 9 Auch Muster sollten nach der Anpassung auf den Einzelfall sorgfältig durch einen Experten geprüft werden; aufgrund der neuen Rechtslage ist zudem mit zukünftigen Anpassungen der Muster zu rechnen. 10 https://www.lda.bayern.de/media/muster_adv.pdf; Formulierungshilfe des Bayerischen Landesamtes für Datenschutzaufsicht v. 22.12.2017. 11 https://www.bitkom.org/Bitkom/Publikationen/Begleitende-Hinweise-zu-der-Anlage-Auftragsverarbeitung.html; Auftragsverarbeitung Mustervertrag (DOCX, 894 KB) des Branchenverbandes Bitkom e.V. 12 https://www.gdd.de/gdd-arbeitshilfen/praxishilfen-ds-gvo/praxishilfen-ds-gvo; GDD Praxishilfe DS-GVO IV der Gesellschaft für Datenschutz und Datensicherheit e.V. 13 Bitte beachten: dieses Muster darf ausschließlich dann verwendet werden, wenn Ihr Dienstleister gerade keine personenbezogenen Daten für Sie verarbeiten soll, es aber nicht ausgeschlossen werden kann, dass er zufällig doch Kenntnis von personenbezogenen Daten erhält – es handelt sich insoweit um einen Ausnahmefall!

https://www.lda.bayern.de/media/muster_adv.pdf



https://www.gdd.de/gdd-arbeitshilfen/praxishilfen-ds-gvo/praxishilfen-ds-gvo


35

11. Meldepflicht von „Datenpannen“

11.1. Einführung

Schon nach dem bisherigen Bundesdatenschutzgesetz (§ 42 a BDSG a. F.) bestehen beim Verlust / der unbefugte Offenbarung personenbezogener Daten (sog. Datenpannen) für Unternehmen Meldepflichten bei der zuständigen Datenschutzaufsicht (Landesdatenschutzbeauftragen/Landesamt für Datenschutzaufsicht). Diese Meldepflichten bestehen aber nur in gewichtigen Fällen, d.h. wenn durch die Datenpanne eine schwerwiegende Beeinträchtigung der Rechte oder schutzwürdigen Interessen der Betroffenen -Kunden- droht. Vielfach, bzw. in der Regel, konnte damit bislang auf eine Meldung an die Aufsichtsbehörde und damit auch zugleich auf eine Information der Betroffenen verzichtet werden.

Mit in Kraft treten der DSGVO gilt zu den Meldepflichten nach Art. 33 DSGVO jedoch ein neues gestuftes Regel-Ausnahme-Prinzip. Grundsätzlich besteht danach bei jeder Datenpanne eine Meldepflicht an die Aufsicht, jedoch dann nicht, wenn die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen (Betroffenen) führt. Lediglich Datenpannen ohne Risiken bleiben damit meldefrei.

Sofern eine Datenpanne jedoch zu einem hohen Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen (der Betroffenen) führt, muss das Unternehmen zusätzlich in einem zweiten Schritt unverzüglich eine Benachrichtigung der von der Datenpanne Betroffenen vornehmen (Art. 34 DSGVO).

Maßgeblich für die Durchführung der jeweils notwendigen Maßnahmen ist damit die Bestimmung der Gefahren- bzw. Risikosituation der Ereignisse aus der konkreten Datenpanne. Im Hinblick auf die massiv erhöhten Bußgeldandrohungen in der DSGVO ist eine äußerst sorgfältige Prüfung der Melde- und Benachrichtigungsvoraussetzungen (bzw. deren Nichtvorliegen) geboten und erforderlich. Dazu ist vom Unternehmen auch eine entsprechende Dokumentation zu erstellen. Zusätzlich ist zu beachten, dass zur Meldung einer Datenpanne grds. eine Frist von 72 Stunden besteht (Art. 33 Abs. 1 DSGVO).

11.2. Stichworte Datenpanne, Verlust/Offenbarung von Daten mit Zugriffsmöglichkeit Dritter, Verletzung des Schutzes personenbezogener Daten, Risikograd eines Schadenseintritts, Dokumentation, Meldung an die Landesdatenschutzaufsicht, Meldeinhalt, Meldefrist, Benachrichtigung der Betroffenen, Inhalt der Benachrichtigung, Benachrichtigungsfrist, Sanktionen, interne Zuständigkeit, Auftragsverarbeiter.

11.3. Beschreibung der Anforderungen Die DSGVO enthält nunmehr in Art. 33 und 34 zwei - auch formell getrennte - Melde- bzw. Benachrichtigungstatbestände:

1. Meldung an die Aufsichtsbehörde Die Anzeige dient dem zuständigen Landesdatenschutzbeauftragten/Landesamt für Datenschutz als Gefahreninformation und nicht zuletzt auch für eventuelle Maßnahmen bzw. zur Ausübung von Befugnissen gem. Art. 58 DSGVO. Dies kann z. B. die Anweisung an das Unternehmen sein, auch Betroffene zu benachrichtigen, vgl. unten.


36

1. Verletzung des Schutzes personenbezogener Daten Nach Art. 33 DSGVO meldet das verantwortliche Unternehmen an die Aufsichtsbehörde eine „Verletzung des Schutzes personenbezogener Daten“. Der Begriff „personenbezogene Daten“ ist in Art. 4 Nr. 1 DSGVO definiert und bezieht sich auf alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person erstrecken. Betroffen sein können z.B. Bankverbindungsdaten, Kreditkartennummern, Abrechnungsdaten, Bezugsdaten, Log-In Daten, IP-Adressen, private Kontaktdaten, Geburtsdaten, Statusdaten, amtliche Kennnummern, Besitzmerkmale, etc. Eine Verletzung des Schutzes personenbezogener Daten liegt vor bei Verstößen gegen die Datensicherheit, die zur Vernichtung, zum Verlust, zur Veränderung oder zur unbefugten Offenlegung von bzw. zum unbefugten Zugang von Daten führen (vgl. Art. 4 Nr. 12 DSGVO). Unerheblich ist, ob die Verletzung unbeabsichtigt erfolgt. Relevant wäre z. B. die unrechtmäßige Offenlegung von Bankverbindungsdaten, Log-In Daten, IP-Adressen, ebenso das Abhandenkommen eines Notebooks/USB-Sticks mit den entsprechenden Daten.

2. Ausnahmen

Eine Anzeige braucht nicht zu erfolgen, wenn die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt. Somit hat das Unternehmen im Einzelfall prognosebezogen zu prüfen, inwieweit eine festgestellte Datenpanne konkrete Schadens-/Nachteilsauswirkungen für Betroffene hat.

Relevant sind Risiken für Rechte und Freiheiten natürlicher Personen. Gelangt das Unternehmen zu dem Ergebnis, dass für Betroffene kein oder nur ein sehr geringes Risiko besteht, ist keine Meldung erforderlich bzw. diese zu unterlassen. Zum Ausschluss der Meldepflicht darf nur ein (sehr) niedriger Risikograd für die Betroffenen bestehen, d.h. ein geringfügiges Risiko, welches ohne Meldeerfordernis hinzunehmen ist.

Die Beweislast im Hinblick auf ein geringfügigen Risiko liegt beim Verantwortlichen, also beim Unternehmen. Dies ist bei der Sachverhaltsbewertung zu berücksichtigen. Größere, d.h. melderelevante Risiken für die „Rechte und Freiheiten“ können z.B. bei der Weitergabe/der Offenlegung von Abrechnungsdaten nebst Besitzangaben und Kreditkartennummern bestehen. Dagegen zieht z.B. die Nennung eines Temins oder das Bestehen einer Geschäftsverbindung als solche i.d.R. keine bzw. nur eine äußerst geringfügige Verletzung von Schutzgütern eines Betroffenen nach sich. Diese wäre nicht anzeigepflichtig.

Solange die Aufsichtsbehörden zur Risikobeurteilung noch keine Verlautbarungen getroffen haben, kann beispielsweise zur Bestimmung des Risikogrades eines Schadens im konkreten Fall der Datenpanne auf die folgende Darstellung


37

zurückgegriffen werden.

3. Inhalt der Meldung

Die Meldung an die Aufsichtsbehörde muss zumindest folgende Inhalte aufweisen (Art. 33 Abs. 3 DSGVO):

Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten (z. B. Datendiebstahl), soweit möglich mit Angabe der Datenkategorien (z. B. Umsatzdaten) und der ungefähren Zahl der betroffenen Personen/Datensätze,

den Namen und die Kontaktdaten des Datenschutzbeauftragten oder einer sonstigen Anlaufstelle für weitere Informationen (z. B. IT- oder Compliance-Beauftragter),

eine Beschreibung der wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten (z. B. Kreditkarten-, Kontenmissbrauch),

eine Beschreibung der vom Unternehmen ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten und ggf. Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen (z. B. Änderung betroffener Kontoverbindungen, Sperren von Bestellungen über betroffene Log-In Daten).

Die Informationen können -anders als im bisherigen BDSG- ggf. schrittweise zur Verfügung gestellt werden, wenn insoweit eine sofortige bzw. fristgerechte Mitteilung nicht möglich ist. Dies kann z.B. bei vorrangigen Abhilfemaßnahmen der Fall sein.

4. Dokumentation Das Unternehmen hat die Datenpanne zu dokumentieren, einschl. der Auswirkungen und ergriffenen Abhilfemaßnahmen. Auch geringfügige und somit


38

ggfs. nicht meldepflichtige Datenpannen sind zu dokumentieren. Gesetzlicher Hintergrund ist der Prüfungsauftrag der Aufsichtsbehörde.

5. Frist Die Meldung hat „unverzüglich und möglichst binnen 72 Std.“ zu erfolgen. Die Frist beginnt in dem Zeitpunkt, in welchem der Bank die Datenschutzverletzung bekannt wurde. Samstag, Sonn- und Feiertage zählen bei der Fristberechnung grds. nicht mit. Kann eine Prüfung der Meldevoraussetzungen nicht in dem genannten Zeitraum erfolgen, so ist der Meldung eine Begründung für die Verzögerung beizufügen.

6. Auftragsverarbeiter Für Datenpannen bei Auftragsverarbeitern besteht eine Sonderregelung gemäß Art. 33 Abs. 2 DSGVO. Danach erfolgt die Verletzungsmeldung an den Verantwortlichen, dieser wird dann ggf. selbst anzeigepflichtig gegenüber der Aufsicht bzw. mitteilungspflichtig gegenüber den Betroffenen. Den Auftragsverarbeiter selbst trifft keine Meldepflicht.

2. Benachrichtigung der von einer Datenpanne betroffenen Person

Die Regelung bezweckt den Betroffenen selbst eine Reaktion auf bestehende Risiken zu ermöglichen und ggf. auch die Geltendmachung von Haftungsansprüchen (Art. 82 Abs. 1 DSGVO).

1. Verletzung des Schutzes personenbezogener Daten

Hat die Verletzung des Schutzes personenbezogener Daten voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen zur Folge, so benachrichtigt das Unternehmen den/die Betroffenen unverzüglich über die Verletzung (Art. 34 Abs. 1 DSGVO).

Die Meldepflicht gegenüber dem Betroffenen besteht damit erst bei einem deutlich größeren Risiko für die persönlichen Rechte und Freiheiten. Diese wesentliche Voraussetzung ist z.B. eindeutig noch nicht erfüllt, wenn personenbezogene Daten mit einem relativ geringen Vertraulichkeitsgrad unberechtigt übermittelt werden (etwa das Bestehen einer Kundenbeziehung, eines Termins, dem reinen Namen des Betroffenen -soweit keine berufliche Verschwiegenheit besteht-). Dagegen würde die Offenlegung z.B. von Abrechnungsdaten oder Zahlungsrückständen im Zweifel eine „hohes Risiko“ für die persönlichen Rechte und Freiheiten i.S.d. DSGVO nach sich ziehen.

Zur Bestimmung des Risikogrades kann auf die obige Übersicht Bezug genommen werden.

2. Keine feste Frist

Das Unternehmen hat den Betroffenen „unverzüglich“ zu benachrichtigen. Dies bedeutet, dass eine sorgfältige Prüfung vor eine Benachrichtigung des Betroffenen, auch wenn diese einige Tage beansprucht, nicht zu einer Fristverletzung führen muss (Einzelfallbeurteilung, vgl. auch nachfolgende Ausnahmen).

3. Ausnahmen

Die Benachrichtigung der betroffenen Person ist nicht erforderlich, wenn eine der folgenden Bedingungen erfüllt ist:

Das Unternehmen hat geeignete technische und organisatorische Sicherheitsvorkehrungen getroffen und diese Vorkehrungen auf die von der Verletzung betroffenen personenbezogenen Daten angewandt. (z.B. durch angemessene Verschlüsselung).


39

Das Unternehmen hat sichergestellt, dass das hohe Risiko für die Rechte und Freiheiten der betroffenen Person gem. Art. 33 Abs. 1 DSGVO aller Wahrscheinlichkeit nach nicht mehr besteht (z. B. durch Sperrung betroffener Log-In Daten, wobei der Betroffene selbstverständlich hierüber zu informieren ist).

Die Meldung wäre für das Unternehmen mit einem unverhältnismäßigen Aufwand verbunden. In diesem Fall hätte das Unternehmen stattdessen eine öffentliche Bekanntmachung oder eine ähnliche Maßnahme vorzunehmen, durch die die betroffenen Personen vergleichbar wirksam informiert werden.

4. Inhalt der Meldung

Die Meldung gegenüber dem Betroffenen hat „zumindest“ die in Art. 33 Abs. 3 lit. b, c und d DSGVO genannten Informationen und Maßnahmen zu enthalten. Dies entspricht den Meldeinhalten gegenüber der Aufsichtsbehörde (vgl. oben). Nicht erforderlich ist jedoch die Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten, der Angabe der Datenkategorien sowie der ungefähren Zahl der betroffenen Personen und Datensätze.

Die Mitteilung an den Betroffenen hat in klarer und einfacher Sprache zu erfolgen (innerhalb Deutschlands daher zumindest in deutscher Sprache).

5. Befugnisse der Datenschutzaufsichtsbehörde

Die Landesdatenschutzbehörden können verlangen, dass der/die Betroffenen informiert werden. Die Behörden haben hierbei jedoch ebenfalls zu berücksichtigen, mit welcher Wahrscheinlichkeit eine Verletzung des Schutzes personenbezogener Daten zu einem hohen Risiko führt.

3. Sanktionen

Während es bislang im Zusammenhang mit Datenpannen und Meldepflichten auch und vor allem um die Vermeidung von Reputationsschäden ging, enthält Art. 83 DSGVO nun massive Bußgeldandrohungen für die Verletzung u.a. auch der Vorgaben in Art. 33 u. 34 DSGVO. Geldbußen können bis in Höhe von 10 Mio. € oder alternativ in Höhe von 2 % des gesamten Jahresumsatzes verhängt werden. Diese ganz erhebliche Ausdehnung der Sanktionsdrohungen muss zu einem verstärkten Augenmerk bei der Einhaltung der Meldepflichten nach der DSGVO führen. In Zweifelsfällten sollte erst nach Einholung fachkundiger IT- und Rechtsberatung über eine Meldung entschieden werden.

11.4. Umsetzungsvorschlag Die Meldepflicht trifft den datenschutzrechtlich Verantwortlichen (Art. 4 Nr. 7 DSGVO), also das Unternehmen bzw. die Geschäftsleitung als solche. Somit ist im Betrieb ferner zu regeln, wer für die Prüfung der Meldevoraussetzungen verantwortlich bzw. zuständig ist und wer dann ggf. die Anzeige abgibt und Benachrichtigungen vornimmt (Krisenteam).

Zuständig für die Prüfungen zum Risiko kann insbesondere der Datenschutzbeauftragte, der IT-Beauftragte, der IT-Sicherheitsbeauftragte, der IT-Leiter, etc. sein. Diese Festlegung ist nicht zwingend, es empfiehlt sich jedoch auf hinreichend sachkundiges Personal zurückzugreifen. Dabei empfiehlt sich auch im Auge zu haben, dass datenpannengleiche Folgen ggf. auf einen aktiven IT-Angriff zurückgehen können. In diesem Fall ist jedoch die weitere Einschaltung eines Rechtsanwalts und der Ermittlungsbehörden grds. unumgänglich, da dann je nach Einzelfall eine Vielzahl von besonderen Maßnahmen zu treffen sind (Einzelfallberatung notwendig).


40

Maßnahmen mit Außenwirkung nach der DSGVO, wie die Abgabe von Meldungen, Benachrichtigungen etc., sollten in der (Mit-) Zuständigkeit Geschäftsleitung liegen.

Im Wesentlichen kommt es bei einer Datenpanne darauf an, dass die Risiken eines Schadenseintritts in technischer und auch rechtlicher Hinsicht insgesamt sachgerecht eingeordnet werden. Es empfiehlt sich ggf. bei schwierigen technischen Fragen auch auf externe IT-Fachkräfte, IT-Berater, IT-Gutachter, etc. zurückzugreifen. Die Abgaben von Meldungen und Benachrichtigungen sowie die Ermittlungen dazu, sollten sinnvollerweise durch einen einschlägig tätigen Rechtsanwalt begleitet werden. Es ist darauf zu achten, dass die Dokumentation zur Panne hinreichend rechtlich abgefasst wird, da vielfältige Rechtsstreitigkeiten drohen können. Zudem sollte bedacht werden, dass ggf. weitere rechtliche und tatsächliche Maßnahmen zur Verhinderung von Schäden eingeleitet werden müssen.

Da bei der Bearbeitung von Datenpannen regelmäßig Eile geboten ist, ist es ratsam schon mit Einführung der DSGVO geeignete externe Unterstützungskräfte in Erfahrung zu bringen. Als erste Anlaufstellen stehen dazu auch die Regionalen Prüfungsverbände sowie deren Kooperationspartner zur Verfügung. Über dort kann dann bis hin zu einschlägig qualifizierten Rechtsanwälten Unterstützung angefragt bzw. eingeholt werden.

11.5. Selbst-Check

1. Krisenteam einrichten bzw. zusammenrufen (zwingend: Geschäftsleitung, betrieblicher Datenschutzbeauftragter, sinnvoll dazu: IT-Leiter, IT Fachkräfte, Compliance Beauftragter, Betriebsratsvertreter; Kontaktaufnahme mit Rechtsanwalt); ggf. entsprechende Einbindung des Auftragsverarbeiters

2. Frist beachten, grds. 72 Stunden bis evtl. Anzeige 3. Klärung Sachverhalt (was, wann, wo, wie, wer, betroffene Daten, betroffene Personen;

vollständiges Pannenbild möglich, ggf. reproduzierbar? 4. Klärung von Gegenmaßnamen (Schadensverhinderung, ggf. Löschungsbestätigungen),

ggf. sofort nach erster Erkenntnis über die Panne 5. Bestimmung des Risikogrades für die von der Panne Betroffenen (ggf. mit externen IT-

Beratern, IT-Gutachtern und auch Rechtsanwalt) 6. Ggf. Anzeige beim Landesdatenschutzbeauftragten -LDSB- (grds. über Rechtsanwalt), 7. Nichtanzeige beim LDSB ist in jedem Fall zu begründen und zu dokumentieren 8. Ggf. Betroffeneninformation bei hohem Risiko für die von der Panne Betroffenen (grds.

nach Abstimmung mit Rechtsanwalt) 9. (ggf. Strafanzeige und Strafantrag, ggf. auch gleich nach erster Erkenntnis bei einem

solchen Verdacht)

11.6. Weiterführende Informationen und Muster Bei der Datenschutzfolgenabschätzung für Verarbeitungsvorgänge stellt sich ebenso die Frage des hohen Risikos für die Betroffenen (Art. 35 Abs. 1 DSGVO). Dabei ist jedoch zu bedenken, dass es bei Datenpannen regelmäßig um atypische Geschehensabläufe bzw. Ereignisse geht. Von daher kann für den speziellen Fall von Datenpannen - wie oben dargestellt - eine deutlich verfeinerte Risikomatrix zur Bestimmung des konkreten Risikograds unter Berücksichtigung der Eintrittswahrscheinlichkeit (z.B. gering-begrenzt-wesentlich-maximal) und des Schadensumfangs (z.B. Schwere des Schadens; z.B. gering-normal-hoch-sehr hoch) angewendet werden.

Gleichwohl dürfte es sich aber empfehlen, quasi in einer Art „Kontrollüberlegung“, die Erwägungen der Aufsicht für Verarbeitungsvorgänge mit hohem Risiko zu berücksichtigen (vgl. dazu BayLDA-Kurzpapiere zur DSGVO, Nr. XVIII, Datenschutz-Folgenabschätzung (DSFA) - Art. 35 DSGVO, dortige Risikomatrix; ebenso DSK-Kurzpapier zur DSGVO Nr. 5, Datenschutz-Folgenabschätzung nach Art. 35 DSGVO).


41

https://www.bfdi.bund.de/SharedDocs/Downloads/DE/Datenschutz/Kurzpapier_DatenschutzFolgeabschaetzung.pdf?blob=publicationFile&v=2

Der Bitkom e.V. hat sich in einem aktuellen Leitfaden (Risk Management & Datenschutzfolgenabschätzung) ebenfalls für eine solche Risikomatrix ausgesprochen (aaO. Seite 31 ff.).

Die sog. „Art. 29 Datenschutzgruppe“ (das unabhängige Beratungsgremium der Europäischen Kommission in Fragen des Datenschutzes) hat zwischenzeitlich einen Entwurf einer Guideline (Working Paper, WP 248) veröffentlicht, der sich mit Auslegungsfragen bei der Datenschutzfolgenabschätzung nach der DSGVO beschäftigt. Die dort genannten Kriterien zur verpflichtenden Abschätzung eines hohen Risikos (Faustformel: 2 zutreffende aus 10 genannten Kriterien) erscheinen jedoch bei Datenpannen i.S. der Art. 33,34 DSGVO allein nicht praktikabel bzw. anwendbar. Im Anhang 2 des WP 248 wird außerdem von einer nicht abschließenden Orientierungshilfe gesprochen, sodass damit grds. auch andere Verfahren zur Risikobestimmung herangezogen werden können.

https://www.bfdi.bund.de/SharedDocs/Downloads/DE/Datenschutz/Kurzpapier_DatenschutzFolgeabschaetzung.pdf?

https://www.bfdi.bund.de/SharedDocs/Downloads/DE/Datenschutz/Kurzpapier_DatenschutzFolgeabschaetzung.pdf?


42

12. Datenschutzbeauftragter

12.1. Stichworte

Bestellung eines DSB, Tätigkeit des DSB, Ansprechpartner auf höchster Managementebene, Organisatorische Einbindung, Pflicht zur Benennung, Aufgaben, Ressourcen, interne Aufgaben im Unternehmen, Funktion im Verhältnis zur Aufsichtsbehörde, Funktion als Anlaufstelle für betroffene Personen, Risikoorientierung der Tätigkeit, Erhöhtes Haftungsrisiko, Vermeidung von Interessenskonflikten, Weisungsfreiheit, Abberufungsschutz und Benachteiligungsverbot, Geheimhaltungspflicht, Direkte Berichterstattung

12.2. Beschreibung der Anforderungen I. Bestellung eines DSB

In der DSGVO bestehen Öffnungsklauseln. Die in Art. 37 genannte Einschränkung der Benennungspflicht hat für deutsche Unternehmen keine praktische Relevanz, da Art. 37 Abs. 4 Satz 2 DSGVO eine Öffnungsklausel für die Mitgliedstaaten enthält, welche durch § 38 Abs. 1 BDSG n. F. genutzt wird. Damit wird die erweiterte Benennungspflicht beibehalten.

Regelung in § 38 Abs. 1 BDSG n. F. bzw. § 4f Abs. 1 BDSG a. F.

Ein DSB muss benannt werden, wenn in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind.

o Das den Grenzwert bestimmende System kennt nur „ganze Beschäftigte“, zu denen auch Teilzeitkräfte, Auszubildende, Leiharbeiter, Behinderte, Jugendfreiwilligendienstleistende und Heimarbeiter zählen.

o Mit Datenverarbeitung beauftragt, o Datenverarbeitung gehört zur Regelarbeitsleistung des Beschäftigten, seine

Tätigkeit ist auf mindestens ein Jahr angelegt, o Nicht erforderlich ist ein bestimmter Umfang der Datenverarbeitung, o Nicht erforderlich ist eine tägliche Datenverarbeitung, o Ausreichend ist Datenverarbeitung in regelmäßigen Abständen, wiederkehrende

Phasen o Aktuell nicht besetzte Stellen sind mitzuzählen, wenn sie auf Dauer im

Organisationsplan vorgesehen sind.

§ 38 Abs. 1 Satz 2 BDSG n. F. bestimmt zudem eine Benennungspflicht, und zwar unabhängig von der Anzahl der Beschäftigten, wenn der Verantwortliche oder der Auftragsverarbeiter:

o Verarbeitungen vornehmen, die einer Datenschutz-Folgenabschätzung nach Art. 35 DSGVO unterliegen,

o oder personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung verarbeiten.

o Sofern ein Unternehmen nach eingehender Prüfung zu der Einschätzung gelangt, keine Pflicht zur Ernennung eines DSB zu haben, sollten die Grundlagen dieser Entscheidung genau dokumentiert werden.

Benennung bedeutet, dass der Verantwortliche festlegt, wer die Funktion eines DSB wahrnimmt. Diese Festlegung an sich trifft der Verantwortliche einseitig. Getrennt davon ist eine vertragliche, also zweiseitige Vereinbarung mit dem (künftigen) DSB erforderlich, dass er diese Funktion übernimmt. Die DSGVO sagt dazu nichts.


43

Was geschieht mit einer bestehenden Bestellung? Grundsatz: Bestellung bleibt weiterhin gültig. Es besteht keine Pflicht, jetzt nach den Vorgaben des geltenden Bundesdatenschutzgesetzes einen Datenschutzbeauftragten zu bestellen. Die DSGVO macht Rechtshandlungen, die auf der Basis des bisher geltenden BDSG a. F. vorgenommen wurden, nicht unwirksam. Das gilt auch für die Bestellung eines DSB.

Falls eine nicht-öffentliche Stelle nach den Vorgaben von DSGVO und BDSG n. F. keinen DSB benennen muss, kann sie dies freiwillig tun (Art. 37 Abs. 4 Satz 1 Halbsatz 1 DSGVO). Für die Tätigkeit eines solchen „freiwilligen DSB“ gelten dieselben Regelungen wie für einen „Pflicht-DSB“. Ausnahme: Im Fall der freiwilligen Bildung entfällt der Kündigungsschutz des DSB.

Ein DSB für eine Unternehmensgruppe (Konzern) ist zulässig nach Art. 4 Nr. 19)

Anforderungen und Benennung des DSB o Bestellungsgrundlage, Art. 37

Berufliche Qualifikation (auch ohne IT-Wissen) Fachwissen auf dem Gebiet des Datenschutzrechts und –praxis Fähigkeiten zur Aufgabenerfüllung der Aufgaben nach Art. 39 Zulässig sind interne wie auch externe DSB

Wesentliche Unterschiede im Verhältnis zu den sich bislang aus § 4f Abs. 2 S. 1 BDSG a. F. ergebenden Fachkundeanforderungen, wonach eine Trias rechtlicher, technischer und organisatorischer Kenntnisse erforderlich ist, ergeben sich insofern nicht.

Bestellvorgang o Der DSB muss durch die Leitung der Behörde, der Organisation oder des

Unternehmens schriftlich bestellt werden. Sh. Muster-Bestellungsurkunde o Über die Bestellung des DSB sollten alle Mitarbeiter informiert werden. o Kontaktdaten des DSB, Art. 37 Abs. 7

Pflicht zur Veröffentlichung (z.B. auf der Internet-Seite der Stelle – Impressum) wg. Ansprechpartner für Betroffenen. Die Veröffentlichung muss nicht den Namen des DSB enthalten.

Pflicht zur Mitteilung an die Aufsichtsbehörde Die Aufsichtsbehörden werden den mitteilungspflichtigen Stellen ein

Formular zur Mitteilung der Kontaktdaten des DSB zur Verfügung stellen.

Praxistipps: Terminierung der Veröffentlichung und Mitteilung an die Aufsichtsbehörde auf April 2018

II. Inhalte der Bestellungsurkunde

Bestellungsgrundlage klarstellen Klargestellt werden sollte, ob ein „Pflicht-DSB“ oder ein „freiwilliger DSB“ bestellt wird. Die Pflichten und Rechte der verschiedenen Arten von DSB unterscheiden sich zwar nicht. Oft nimmt der DSB jedoch auch noch andere Aufgaben und Pflichten wahr. Das ist prinzipiell zulässig (Art. 38 Abs. 6 Satz 1 DSGVO). Allerdings ist dann darauf zu achten, dass solche anderen Aufgaben und Pflichten nicht zu einem Interessenkonflikt führen (Art. 38 Abs. 6 Satz 2 DSGVO).

Tätigkeit eines DSB für mehrere verbundene Unternehmen. Aus der Bestellung muss eindeutig zu entnehmen sein, wer den DSB bestellt und für welche rechtliche Einheit oder Einheiten der DSB diese Funktion wahrnehmen soll.

Aufgaben des DSB Sorgfältig ist festzulegen, was genau die Aufgaben des DSB sind. Enthält die Benennung hierzu keine Aussage, gilt der Katalog der gesetzlichen Mindestaufgaben gemäß Art. 39


44

Abs. 1 DSGVO. Außerdem hat der DSB dann noch die Aufgaben, die sich aus anderen Regelungen der DSGVO ergeben. Dies betrifft v.a. die Tätigkeit des DSB speziell als Anlaufstelle gegenüber der Aufsichtsbehörde für weitere Informationen bei einer Verletzung des Schutzes personenbezogener Daten (Art. 33 Abs. 3 Buchst. b DSGVO).

Schulung von Mitarbeitern o die Schulung von Mitarbeitern ist in Art. 39 Abs. 1 Buchst. b DSGVO ausdrücklich

erwähnt. Allerdings überträgt diese Vorschrift nicht die gesamte Schulung von Mitarbeitern auf den DSB. Vielmehr verpflichtet sie ihn nur dazu, die „Strategien des Verantwortlichen“ u.a. im Hinblick auf die Schulung zu überprüfen.

o Das ist so allgemein formuliert, dass z.B. klargestellt werden sollte, ob (und für wen) der DSB auch selbst Schulungen anzubieten hat. Wenn dies festgelegt wird, gehört die Durchführung dieser Schulungen zu den Aufgaben des DSB gemäß Art. 39 Abs. 1 DSGVO.

o Die Schulung der Mitarbeiter, d.h. die zielgerichtete pädagogische Aufbereitung der für die konkret ausgeübte Tätigkeit relevanten datenschutzrechtlichen Informationen ist hingegen – anders als nach BDSG a. F. – nicht Aufgabe des DSB, sondern des für die Verarbeitung Verantwortlichen. Nach der DSGVO kommt dem DSB bezüglich der Schulung lediglich eine beratende bzw. kontrollierende Funktion zu. Der für die Verarbeitung Verantwortliche ist jedoch frei, dem DSB auch die Durchführung der Schulungsaufgabe zu übertragen.

Führung des Verzeichnisses von Verarbeitungstätigkeiten Nicht zu den gesetzlichen Aufgaben des DSB gehört das Führen des Verzeichnisses von Verarbeitungstätigkeiten (Art. 30 Abs. 1 DSGVO). Sie obliegt vielmehr dem Verantwortlichen. Eine Übertragung als Aufgabe des DSB gemäß Art. 39 DSGVO ist möglich.

„Andere“ Aufgaben und Pflichten Von der Übertragung weiterer Aufgaben, die mit dem Datenschutz zusammenhängen, ist die Übertragung „anderer Aufgaben und Pflichten“ auf den DSB zu trennen, die keinen inhaltlichen Bezug zum Datenschutz haben. Ihre Übertragung ist nur unter der Voraussetzung zulässig, dass sie nicht zu einem Interessenkonflikt führen (siehe Art. 38 Abs. 6 DSGVO). Das betrifft die häufigen Fälle, in denen ein DSB nur einen Teil seiner Arbeitszeit dieser Funktion widmen kann und im Übrigen völlig andere Aufgaben wahrnimmt. Diese anderen Aufgaben sollten in der Benennung aufgeführt werden. Damit ist dann eindeutig dokumentiert, ob diese Tätigkeiten zu einem Interessenkonflikt führen oder nicht.

Vermeidung von Interessenkonflikten Bei Bestellung ist darauf zu achten, dass es innerhalb der Wahrnehmung unterschiedlicher Aufgaben nicht zu Interessenkonflikten kommt.

Nicht vorgeschrieben ist es, bei der Benennung festzulegen, welche Ressourcen dem DSB zur Verfügung stehen. Art. 38 Abs. 2 DSGVO gibt ihm allerdings einen gesetzlichen Anspruch auf die Ressourcen, die zur Erfüllung seiner Aufgaben erforderlich sind. Oft ist es sinnvoll, die Diskussion darüber bereits anlässlich der Benennung als DSB zu führen und das Ergebnis ausdrücklich in der Benennung festzuhalten. Das kann spätere Konflikte vermeiden.

Eine schriftliche Bestätigung durch den DSB, dass er seine Benennung zur Kenntnis genommen hat, ist sinnvoll. So lässt sich gegenüber der Aufsichtsbehörde im Bedarfsfall dokumentieren, dass er sich seiner Aufgaben bewusst war. Rechtlich erforderlich ist die Unterschrift des DSB unter seine Benennung jedoch nicht. Die Benennung erfolgt rechtlich gesehen einseitig durch den Verantwortlichen und stellt keinen Vertrag dar.

Für den Betriebsrat besteht bei der Bestellung grundsätzlich kein eigenes Mitbestimmungsrecht. Die Unternehmensleitung ist also grundsätzlich frei, ob sie einen


45

internen oder externen DSB bestellt.

III. Aufgaben des Datenschutzbeauftragten

Risikoorientierung der Tätigkeit Dabei obliegt es dem DSB, seine Tätigkeitsschwerpunkte danach auszurichten, welches Risiko mit Verarbeitungsvorgängen verbunden ist (siehe Art. 39 Abs. 2 DSGVO). Hier findet seine Unabhängigkeit rechtlich gesehen eine Grenze. Ausdrücklich erscheint der Begriff der „Unabhängigkeit“ in der DSGVO selbst übrigens nicht, wohl aber in Erwägungsgrund 97, letzter Satz. Explizit festgelegt ist in der DSGVO lediglich, dass der DSB bezüglich der Ausübung seiner Aufgaben keine Anweisungen erhalten darf (siehe Art. 38 Abs. 3 Satz 1 DSGVO). Aus all dem folgt rechtlich gesehen nicht, dass ein DSB „tun kann, was er will“. Vielmehr hat er die Pflicht zu einem risikoorientierten Vorgehen. Wie er dies konkret umsetzt, liegt dabei in seiner eigenen Verantwortung.

Die Pflichtaufgaben eines DSB nach der DSGVO lassen sich in drei Blöcke gliedern: 1. interne Aufgaben im Unternehmen 2. Funktion im Verhältnis zur Aufsichtsbehörde 3. Funktion als Anlaufstelle für betroffene Personen

1. Interne Aufgaben im Unternehmen Art. 38 Abs. 1 Buchst. a fordert die Unterrichtung und Beratung des Verantwortlichen bzw. des Auftragsverarbeiters. Dazu gehört, die Beschäftigten, die Verarbeitungen durchführen, zu unterrichten und zu beraten.

Unterrichtung und Beratung Überwachung der Einhaltung von Vorgaben Art. 38 Abs. 1 Buchst. b verlangt die Überwachung der Einhaltung der DSGVO, anderer Datenschutzvorschriften der Union (etwa der ePrivacy-Richtlinie 2002/58/EG) und der Datenschutzvorschriften der Mitgliedstaaten wie etwa des BDSG n. F. Als eine wichtige Unteraufgabe zu dieser Hauptaufgabe benennt die DSGVO die Überwachung, ob der Verantwortliche unternehmensinterne Strategien für den Schutz personenbezogener Daten einhält.

Schulung

Hinzu kommen die Sensibilisierung und Schulung von Mitarbeitern und damit verbundene Überprüfungen. Gegebenenfalls muss eine Abstimmung mit dem Betriebsrat erfolgen (§ 98 BetrVG).

o Schulungsinhalte und Schulungsart Art der Durchführung steht im Ermessen des DSB Allgemeine Erstsensibilisierung, Online-Schulungen,

Informationsbroschüren, Rundschreiben, Workshops, Informationsbroschüren

Vermittlung notwendiger Grundkenntnisse und erforderlichem Spezialwissen

Sensibilisierung und Schulung der Mitarbeiter im Unternehmen im Umgang mit personenbezogenen Daten

2. Verhältnis zur Aufsichtsbehörde

Art. 39 Abs. 1 Buchst. e DSGVO spricht ausdrücklich davon, dass er „Anlaufstelle für die Aufsichtsbehörde“ sein soll.


46

Art. 39 Abs. 1 Buchst. d verpflichtet den DSB zur „Zusammenarbeit mit der Aufsichtsbehörde“.

Zweigliedrigkeit der Kontrolle o Gegenseitige Kooperation

Allgemeine Hilfestellung zu datenschutzrechtlichen Themen Konkrete Beratung in Problem- und Zweifelsfällen

o Aufsichtsbehörde kontrolliert auch, ob der DSB seinen Überwachungsaufgaben ausreichend nachkommt.

o Aufsichtsbehörde ist das externe Kontrollorgan o DSB ist Organ der Selbstkontrolle des Unternehmens

Arbeitsvertragliche Treuepflicht o Spannungsverhältnis zwischen Treuepflicht aus dem Arbeitsvertrag und

gesetzlichen Pflichten aus der Bestellung o Anrufung der Behörde steht im Ermessen des DSB o Vermittlung möglich durch die Aufsichtsbehörde

Beratung und Unterstützung durch die Behörde sollte nicht „leichtfertig“ in Anspruch genommen werden, da diese Aufsichtsbehörde ist.

3. Ansprechpartner für Betroffene

Anlaufstelle Relativ stark betont die DSGVO die Funktion des DSB als Anlaufstelle für betroffene Personen. Betroffene haben das Recht, den DSB zu allen Fragen „zu Rate zu ziehen“, die mit „der Verarbeitung ihrer personenbezogenen Daten und mit der Wahrnehmung ihrer Rechte“ gemäß der DSGVO im Zusammenhang stehen (Art. 38 Abs. 4 DSGVO). Der Begriff „zu Rate ziehen“ sollte dabei nicht überinterpretiert werden. Er führt nicht dazu, dass der DSB zu einer Art „Beratungsbüro für Betroffene“ wird. Veröffentlichung der Kontaktdaten Damit Betroffene diese Kontaktmöglichkeit nutzen können, muss der Verantwortliche bzw. der Auftragsverarbeiter die „Kontaktdaten des DSB“ veröffentlichen (siehe Art. 37 Abs. 7 DSGVO).

Sonderproblem: Datenschutz-Folgenabschätzung Eine interne Hauptaufgabe, die der DSB erst auf Anfrage (gemeint: des Verantwortlichen für die Verarbeitung oder Auftragsverarbeiters) wahrnehmen muss, ist die Beratung im Zusammenhang mit der Datenschutz-Folgenabschätzung (siehe Art. 39 Abs. 1 Buchst. c DSGVO). Die Formulierung „auf Anfrage“ bedeutet nicht, dass der Verantwortliche oder Auftragsverarbeiter den DSB bei der Datenschutz-Folgenabschätzung außen vor lassen könnte. Er hat vielmehr ausdrücklich die Pflicht, bei der Durchführung einer Datenschutz-Folgenabschätzung „den Rat des DSB“ einzuholen (siehe Art. 35 Abs. 2 DSGVO). Gleichzeitig ist er verpflichtet, ihn „ordnungsgemäß und frühzeitig in alle mit dem Schutz personenbezogener Daten zusammenhängenden Fragen“ einzubinden (Art. 38 Abs. 1 DSGVO).

Erfüllung der Dokumentations- und Rechenschaftspflichten. Um dieser umfassenden Rechenschaftspflicht nachkommen zu können, ist ein regelmäßiger Tätigkeitbericht des DSB eine wichtige Hilfe.

Form und Inhalt des Tätigkeitsberichts Da keine gesetzliche Verpflichtung zur Erstellung eines Tätigkeitsberichts besteht, ist der betriebliche DSB in der Gestaltung von Form und Inhalt frei. In der Regel bietet sich ein jährlicher Datenschutzbericht an. Dieser ist der Geschäftsführung zur Verfügung zu stellen.


47

Mögliche Inhalte sind:

o erfolgte Prüfungen und Maßnahmen, z.B. Bearbeitung von Anfragen Betroffener, Kontakt mit der Aufsichtsbehörde, Überprüfung von Verpflichtungserklärungen auf das Datengeheimnis, datenschutzrechtliche Stellungnahmen etc.

o aktueller Status des IT-Systems mit Stärken und Schwächen sowie Handlungsbedarf aus datenschutzrechtlicher Sicht

o Begleitung durchgeführter Datenschutz-Folgenabschätzungen o durchgeführte und geplante Schulungen o relevante Änderungen und Entwicklungen der Gesetzgebung und

Rechtsprechung o Daneben kann der DSB beliebige weitere Informationen und Inhalte aufnehmen,

um die Sensibilität der Unternehmensleitung für Datenschutzthemen zu erhöhen und gegebenenfalls Verständnis für von ihm geplante Maßnahmen zu erreichen.

Neues Haftungsrisiko für den DSB? Die Aufgabe des DSB, die Einhaltung der DSGVO und anderer Vorschriften „zu überwachen“ (siehe Art. 39 Abs. 1 Buchst. b), hat bereits zu ersten Diskussionen darüber geführt, ob damit neue Haftungsrisiken verbunden sind. Working Paper 243 sieht das nicht so. Zunächst hebt es hervor, dass ein DSB über keine verbindlichen Entscheidungsbefugnisse verfügt (siehe Ziffer 3.3 des Papiers). Dann sagt es ganz klar: „Überwachung der Einhaltung bedeutet nicht, dass es der DSB ist, der persönlich verantwortlich wäre, wenn ein Fall der Nichteinhaltung vorliegt.“ Diese Interpretation stützt Erwägungsgrund 97. Danach soll der DSB den Verantwortlichen bzw. den Auftragsverarbeiter lediglich „unterstützen“. Das passt auch zu Art. 24 DSGVO („Verantwortung des für die Verarbeitung Verantwortlichen“). Vor diesem Hintergrund sprechen gute Gründe dafür, dass die Auffassung der Gruppe nach Art. 29 auch vor deutschen Gerichten Bestand haben wird.

Die ersten Schritte des neuen DSB 1. Ist-Aufnahme

Als Basis bietet es sich an, zunächst alle datenschutzrelevanten Prozesse im Unternehmen zu ermitteln. Dazu kann mit den jeweiligen Abteilungen, wie z.B. Rechnungswesen, IT Marketing und Vertrieb, über den momentanen Umgang mit personenbezogenen Daten gesprochen werden. Außerdem können Unterlagen, Verträge und Richtlinien, die bereits zum Datenschutz vorhanden sind, zusammengetragen werden.

2. Datenschutzstandard bewerten Anhand der Ist-Aufnahme kann der Datenschutzstandard bewertet werden. Wo ist bereits ein gutes Level erreicht, an welcher Stelle befinden sich noch Lücken? Sind alle notwendigen Unterlagen vorhanden?

3. Priorisierung und Maßnahmenplan Sind die Lücken beim Datenschutz bekannt, kann eine Priorisierung der weiteren Maßnahmen erfolgen. Außerdem bringt eine weitere Planung Struktur in das Thema Datenschutz.

4. Mitarbeiter sensibilisieren Die Arbeit des DSB funktioniert nur, wenn auch die übrigen Mitarbeiter umfassend auf das Thema sensibilisiert sind. Der DSB ist in gewisser Weise darauf angewiesen, von den jeweils zuständigen Mitarbeitern über die aktuelle Verarbeitung personenbezogener Daten informiert zu werden. Eine Sensibilisierung kann durch regelmäßige Schulungen, aber auch durch Richtlinien erfolgen.

5. Laufende Tätigkeit Datenschutz ist ein fortlaufender Prozess. Auch wenn der Maßnahmenplan abgearbeitet wird, ist der Datenschutzstandard ständig neu zu bewerten und zu beurteilen. Dabei müssen neue Entwicklungen, sowohl im Unternehmen, als auch auf Seiten des Gesetzgebers und der Aufsichtsbehörden, mitberücksichtigt


48

werden.

IV. Stellung des Datenschutzbeauftragten

Anforderungen an die organisatorische Stellung Damit der DSB die ihm obliegenden Aufgaben angemessen umsetzen kann, stellt die DSGVO konkrete Anforderungen an seine organisatorische Stellung im Unternehmen. Die im Folgenden beschriebenen Anforderungen stellen gleichzeitig einen Auftrag an den Verantwortlichen bzw. den Auftragsverarbeiter dar, diese Anforderungen umzusetzen und einzuhalten. Verstoßen Verantwortliche oder Auftragsverarbeiter gegen diese Pflichten bezüglich der Stellung des DSB, kann dies mit einem Bußgeld geahndet werden, vgl. Art. 83 Abs. 4 lit. a) DSGVO. Die Vorgaben der DSGVO unterscheiden sich abgesehen von einem explizit vorgesehenem Sonderkündigungsschutz nicht wesentlich von denen des § 4f BDSG a. F.

1. Anforderungen Der DSB muss beruflich qualifiziert sein und das zur Erfüllung seiner Aufgaben notwendige Fachwissen auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis besitzen, Art. 37 Abs. 5 DSGVO. Das erforderliche Niveau des Fachwissens richtet sich vor allem nach den durchgeführten Verarbeitungsvorgängen und nach dem erforderlichen Schutz der Verarbeitungen.

2. Vor- und Weiterbildung Die DSGVO geht richtigerweise davon aus, dass das einmal erworbene Fachwissen nicht ohne Weiteres erhalten bleibt, sondern entsprechend der technischen und datenschutzrechtlichen Veränderungen kontinuierliche Fortbildung notwendig ist. Insofern muss der Verantwortliche bzw. der Auftragsverarbeiter dem DSB die Ressourcen zur Erhaltung seines Fachwissens zur Verfügung stellen, Art. 38 Abs. 2 DSGVO.

3. Weisungsfreiheit Der DSB erhält bezüglich der Ausübung seiner Aufgaben keine Anweisungen, Art. 38 Abs. 3 S. 1 DSGVO. Diese Weisungsfreiheit muss je nach dem vom Verantwortlichen oder vom Auftragsverarbeiter sichergestellt werden, unabhängig davon, ob es sich bei dem DSB um einen Beschäftigten des Unternehmens handelt oder nicht. Jedoch bezieht sich die Weisungsfreiheit bei einem Beschäftigten des Verantwortlichen nur auf den datenschutzrechtlichen Bereich.

4. Schutz des DSB (Abberufungsschutz und Benachteiligungsverbot) DSB dürfen von dem Verantwortlichen oder dem Auftragsverarbeiter nicht wegen der Erfüllung seiner Aufgaben benachteiligt oder abberufen werden, Art. 38 Abs. 3 DSGVO. Durch diesen zusätzlichen Schutz soll die Unabhängigkeit des DSB über die Weisungsfreiheit hinaus gewährleistet werden. Zum Schutz des DSB gewährleistet die DSGVO Abberufungsschutz sowie ein Benachteiligungsverbot (Art. 38 Abs. 3 S. 2 DSGVO). Der DSB darf von dem Verantwortlichen oder dem Auftragsverarbeiter wegen der Erfüllung seiner Aufgaben nicht abberufen oder benachteiligt werden. Ebenso wenig genießt der DSB nach der DSGVO besonderen arbeitsrechtlichen Schutz. Auf Grund seiner Befugnis zur Regelung des materiellen Arbeitsrechts ist dem nationalen Gesetzgeber jedoch unbenommen, einen Sonderkündigungsschutz für DSB auf nationaler Ebene weiterhin vorzusehen. BDSG n. F. enthält einen solchen Kündigungsschutz.

5. Geheimhaltungspflicht Bei der Wahrnehmung seiner Aufgaben ist der DSB an Geheimhaltung und Vertraulichkeit gebunden, Art. 38 Abs. 5 DSGVO. Die Geheimhaltungspflicht des DSB schützt die Betroffenen auch vor dem DSB, der aufgrund seines Einsichtsrechts Einblick in die persönlichen Daten erhält.

6. Beteiligung des DSB Der Verantwortliche und der Auftragsverarbeiter müssen sicherstellen, dass der DSB ordnungsgemäß und frühzeitig in alle mit dem Schutz personenbezogener Daten zusammenhängende Fragen eingebunden wird, Art. 38 Abs. 1 DSGVO. Der DSB soll zunächst in alle Fragen bezüglich des Schutzes personenbezogener Daten eingebunden


49

werden, damit er abschätzen kann, ob eine ihm obliegende Aufgabe betroffen ist oder nicht. Aufgrund der angeordneten Beweislast des Art. 24 Abs. 1 DSGVO empfiehlt sich hier ein entsprechend dokumentierter Prozess zur Information des DSB. “Frühzeitig“ bedeutet, dass der DSB in eine Lage versetzt wird, die ihm eine umfassende vorherige Prüfung relevanter Einzelfälle noch gestattet. Eine ordnungsgemäße Einbindung liegt vor, wenn der DSB noch Einfluss auf die Beantwortung der Frage hat. Dies erfordert eine umfassende Information des DSB über den der Frage zu Grunde liegenden Sachverhalt.

7. Unterstützung des DSB Der Verantwortliche bzw. Auftragsverarbeiter sind dazu verpflichtet, den DSB bei der Erfüllung seiner Aufgaben zu unterstützen, Art. 39 Abs. 2 DSGVO. Die Unterstützungspflicht soll den DSB in die Lage versetzen, seine Aufgaben effektiv und sorgfältig wahrzunehmen. Der Unterstützungspflicht kommen der Verantwortliche bzw. der Auftragsverarbeiter nach, indem sie die für die Aufgaben erforderlichen Ressourcen (auch die zur Erhaltung des Fachwissens) und den Zugang zu personenbezogenen Daten und Verarbeitungsvorgängen zur Verfügung stellen.

8. Zurverfügungstellung erforderlicher Ressourcen Die erforderlichen Ressourcen müssen den Aufgaben und Pflichten des DSB entsprechen. Dies betrifft etwa geeignete IT-Ausstattung, Räumlichkeiten, Büroeinrichtung, Fachliteratur, Fortbildungen, Zeitbudget, finanzielle und ggf. personelle Mittel usw. Der Umfang der Ressourcen lässt sich dabei nicht pauschal beziffern, vielmehr hängt er von der Anzahl der Datenverarbeitungsvorgänge und der Schutzbedürftigkeit der Daten im Einzelfall ab. Im Hinblick auf die erforderlichen Ressourcen für den DSB ist aktuell insbesondere auch der Aufwand zu berücksichtigen, der sich durch die Beratung im Hinblick auf die Umsetzung der DSGVO ergibt.

9. Zugang zu Verarbeitungsvorgängen und personenbezogenen Daten Der in Art. 38 Abs. 2 DSGVO zwingend vorgeschriebene Zugang zu personenbezogenen Daten und Verarbeitungs-vorgängen umfasst Zutrittsrechte in alle Bereiche des Unternehmens, in denen Verarbeitungen durchgeführt werden können sowie umfassende Einsichtsrechte.

10. Direkte Berichterstattung Um effektiv für die Einhaltung der datenschutzrechtlichen Vorgaben sorgen zu können, berichtet der DSB unmittelbar der höchsten Ebene des Managements des Verantwortlichen oder des Auftragsverarbeiters, Art. 38 Abs. 3 S. 3 DSGVO. Diese unmittelbare Kommunikationslinie zum Management verstärkt die Stellung des DSB und sollte im Hinblick auf die Rechenschaftspflicht nach Art. 5 Abs. 2 und Art. 24 DSGVO klar dokumentiert werden.

12.3. Weiterführende Informationen und Muster

Bestellung des DSB (Muster des ZDH) https://www.zdh.de/fileadmin/user_upload/themen/Recht/Datenschutz/Handwerksbetriebe/Anlage_Muster_Bestellung_betrieblicher_Datenschutzbeauftragte.docx

https://www.zdh.de/fileadmin/user_upload/themen/Recht/Datenschutz/Handwerksbetriebe/Anlage_Muster_Bestellung_betrieblicher_Datenschutzbeauftragte.docx

https://www.zdh.de/fileadmin/user_upload/themen/Recht/Datenschutz/Handwerksbetriebe/Anlage_Muster_Bestellung_betrieblicher_Datenschutzbeauftragte.docx


50

13. Verzeichnis der Verarbeitungstätigkeiten

13.1. Einführung

Das Verzeichnis der Verarbeitungstätigkeiten (Verarbeitungsverzeichnis) war bisher als internes Verfahrensverzeichnis bekannt. Es gibt wegen des Transparenzgebotes (Erweiterung der Informationspflichten bei der Erhebung von Daten direkt beim Betroffenen sowie bei Dritten) kein öffentliches Verfahrensverzeichnis mehr.

Zentrale Aufgaben des Verarbeitungsverzeichnisses ist primär der Nachweis der Zulässigkeit der Verarbeitung personenbezogener Daten und der Einhaltung der gesetzlichen Bestimmungen.

Damit hat es mehrere potenzielle Nutznießer: 1. Die Leitungsebene (Nachweis der Compliance – sh. ErwGr. 82) 2. Der Datenschutzbeauftragte (Grundlage für die Prüfung der Rechtmäßigkeit

und Kontrolle der IT-Systeme) 3. Die Aufsichtsbehörde (Erfüllung ihrer Aufgabe, Einsicht auf Anfrage) 4. Die Betroffenen selbst: Kunden, Mitarbeiter, Betriebs- bzw. Personalrat

(Grundlage für detaillierte Auskünfte an die Betroffenen)

Das Verarbeitungsverzeichnis ist somit Grundlage zur Erfüllung unternehmerischer Pflichten eines Verantwortlichen oder eines Auftragsverarbeiters und Hilfsmittel der Tätigkeit von deren Datenschutzbeauftragten. Das Führen des Verarbeitungsverzeichnisses ist außerdem eine ausgezeichnete Grundlage, um die notwendigen Informationen im Hinblick auf die Rechenschafts- und Dokumentationspflichten zusammenzustellen und verfügbar zu machen.

13.2. Stichworte Verzeichnis der Verarbeitungstätigkeiten (Verarbeitungsverzeichnis), Verfahrensverzeichnis, IT Asset Management

13.3. Beschreibung der Anforderungen Das Verpflichtung zum Führen eines Verarbeitungsverzeichnisses ergibt sich aus Art. 30 DSGVO und ergänzend auch aus Art. 5 Abs. 2 DSGVO.

Unterschied zum BDSG a.F. Die Dokumentationspflicht ist bereits aus § 4g Abs. 2 BDSG a.F. bekannt. Im Gegensatz zur bisherigen Regelung muss allerdings nur ein einheitliches Verzeichnis geführt werden, das zudem nur den Aufsichtsbehörden auf Anfrage offengelegt werden muss. Die Unterscheidung zwischen „internem“ und „externem“ Verfahrensverzeichnis entfällt daher. Neu ist hingegen die Verpflichtung für den Auftragsverarbeiter ein solches Verzeichnis zu führen! Für sehr kleine Unternehmen, die unter die Befreiung von der Meldepflicht gemäß § 4d Abs. 3 BDSG a.F. gefallen sind und auch keinen Datenschutzbeauftragten bestellen mussten, ist dies eine gewaltige Änderung. Sie sind zukünftig gefordert, ein Verzeichnis für Verarbeitungstätigkeiten zu führen, da die in Art. 30 DSGVO genannten Ausnahmen nur sehr selten greifen werden.

Welche Form muss das Verzeichnis haben? Das Verzeichnis ist schriftlich zu führen, was aber auch in einem elektronischen Format erfolgen kann (Art. 30 Abs. 3 DSGVO).


51

Wer ist für die Führung des Verzeichnisses verantwortlich? Das Verzeichnis ist durch den Verantwortlichen bzw. durch den Auftragsverarbeiter selbst (also die Unternehmensleitung) zu führen. In der Praxis wird diese Aufgabe aber häufig auf den betrieblichen Datenschutzbeauftragten delegiert werden.

Inhalt des Verzeichnisses

Die verpflichtenden Inhalte sind in Art. 30 DSGVO festgelegt, s. Umsetzungsvorschlag. Im Fall einer Interessensabwägung bei Drittlandübermittlung entsteht eine zusätzliche, neue Dokumentationspflicht. Das Ergebnis der erforderlichen Interessensabwägung muss samt der vorgesehenen geeigneten und angemessenen Garantien in das Verarbeitungsverzeichnis aufgenommen werden.

Die Aufsichtsbehörden haben die Anforderungen in einem Kurzpapier beschrieben: Verzeichnis von Verarbeitungstätigkeiten – Art. 30 DSGVO (Kurzpapier Nr. 1 der Datenschutzkonferenz) https://www.lda.bayern.de/media/dsk_kpnr_1_verzeichnis_verarbeitungstaetigkeiten.pdf

13.4. Umsetzungsvorschlag Bei der Erstellung des „Verzeichnis der Verarbeitungstätigkeiten“ sind Detailkenntnisse über die einzelnen Verfahren unabdingbar. Es ist daher unmöglich, dass eine einzelne Person das Verzeichnis der Verarbeitungstätigkeiten einer verantwortlichen Stelle alleine erstellt und pflegt. Vielmehr obliegt es dem Datenschutzbeauftragten das Verzeichnis lediglich zu führen und für Konsistenz in den Beiträgen der einzelnen Fachverantwortlichen zu sorgen. Der Datenschutzbeauftragte sollte daher im Unternehmen entsprechend vernetzt sein.

Eine Verarbeitungstätigkeit, bisher als Verfahren bezeichnet, ist kein bestimmtes IT-System, keine IT-Plattform und keine IT-Anwendung. Es obliegt dem Verantwortlichen, inhaltlich zusammenhängende Verarbeitungsvorgänge zu einer Verarbeitungstätigkeit zusammenzufassen. So könnte je nach konkreter Umsetzung in der Genossenschaft die gesamte Kundenkommunikation (CRM-System) als eine Verarbeitungstätigkeit oder aber als mehrere Verarbeitungstätigkeiten (Call-Center, Key-Account-Management,...) beschrieben werden. Der Verantwortliche sollte, den Begriff so definieren, wie es für den eigenen Betrieb am besten geeignet ist. Letztlich geht es darum, Vorgänge, bei denen personenbezogene Daten verarbeitet werden, so zu erfassen, dass die Vorgaben der DSGVO erfüllt werden. In der Praxis hat es sich bewährt, die Verarbeitungstätigkeiten ihren Zwecken folgend nach den jeweiligen Fachabteilungen zu gliedern.

Das Verarbeitungsverzeichnis besteht aus drei aufeinander aufbauenden Teilen:

1. Einem allgemeinen verfahrensübergreifenden Teil, 2. Spezifische Angaben zu den einzelnen Verfahren sowie

3. Angaben zu technischen und organisatorischen Schutzmaßnahmen, von denen alle (oder zumindest ein überwiegender Teil der Verfahren) profitieren.

Ziel dieser Dokumentenstruktur ist die Vermeidung redundanter Angaben sowie die Erleichterung der Lesbarkeit und der Dokumentenpflege.

https://www.lda.bayern.de/media/dsk_kpnr_1_verzeichnis_verarbeitungstaetigkeiten.pdf


52

Laut Art. 30 sind folgende Angaben verpflichtend: zu Teil 1:

Namen und die Kontaktdaten des Verantwortlichen (=der Firma) Namen und die Kontaktdaten des Vertreters des Verantwortlichen (=Vorstand) Namen und die Kontaktdaten des Datenschutzbeauftragten

zu Teil 2 - für jede Verarbeitungstätigkeit:

Zwecke der Verarbeitung Kategorien betroffener Personen und der Kategorien personenbezogener Daten Kategorien von Empfängern ggf. Übermittlungen in ein Drittland (außerhalb EU & EWR) die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien1

zu Teil 3:

eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen1, s.

Kap. Technischer Datenschutz

Aus Art. 5 ergeben sich folgende Angaben:

zu Teil 2 - für jede Verarbeitungstätigkeit:

Rechtmäßigkeit der Verarbeitung

Um den Dokumentationsanforderungen gerecht zu werden und den Datenschutz effizient zu organisieren, können weitere Angaben zum Verfahren in das Verarbeitungsverzeichnis aufgenommen werden, z.B. das Ergebnis der Vorprüfung zur Datenschutz-Folgenabschätzung.

Im Verarbeitungsverzeichnis kann auf bestehende Dokumente, z.B. auf ein allgemeines Sicherheitskonzept bzw. übergreifende technisch-organisatorische Maßnahmen verwiesen werden, die dann im Bedarfsfall ebenso der Aufsichtsbehörde zur Verfügung gestellt werden müssen.

Der Bitkom e. V. hat in seinem Leitfaden, die Erstellung eines Verarbeitungsverzeichnisses typischerweise in mehrere Phasen beschrieben und detaillierte Empfehlungen für den Inhalt erarbeitet: https://www.bitkom.org/Bitkom/Publikationen/Das-Verarbeitungsverzeichnis.html

13.5. Selbst-Check Ist das Verfahrensverzeichnis nach dem BDSG a. F. aktuell und vollständig,

so dass es als Ausgangsbasis für das Verarbeitungsverzeichnis dienen kann?

Wer ist für die Führung des Verarbeitungsverzeichnisses verantwortlich?

Gibt es Verfahren mit Drittlandübermittlung? Werden im Fall der Drittlandübermittlung die Garantien zur Herstellung eines angemessenen Datenschutzniveaus für dieses Drittland dokumentiert?

Ist das Verarbeitungsverzeichnis aktuell und vollständig? Sind alle Verarbeitungen personenbezogener Daten aufgeführt?

In welchen Abständen bzw. aufgrund welcher Anlässe werden die Einträge im Verarbeitungsverzeichnis aktualisiert?

…

https://www.bitkom.org/Bitkom/Publikationen/Das-Verarbeitungsverzeichnis.html


53

13.6. Weiterführende Informationen und Muster Wie das BayLDA mitteilte, haben sich die deutschen Aufsichtsbehörden in

einer Arbeitsgruppe auf Vorlagen zu Verzeichnissen nach Art. 30 DSGVO verständigt. Folgende Muster-Verzeichnisse für Verantwortliche und Auftragsverarbeiter können dort abgerufen werden. für Verantwortliche: https://www.bvdnet.de/wp-content/uploads/2017/06/Muster_Verz_der_Verarbeitungst%C3%A4tigkeiten_Verantwortlicher.pdf für Auftragsverarbeiter: https://www.bvdnet.de/wp-content/uploads/2017/06/Muster_Verz_der_Verarbeitungst%C3%A4tigkeiten_Auftragsverarbeiter.pdf Mustervorlage für die Angabe der Technischen und Organisatorischen Maßnahmen (TOM): https://www.bvdnet.de/wp-content/uploads/2017/06/Muster_Verz_der_Verarbeitungst%C3%A4tigkeiten_TOMs.pdf

Der Bitkom e. V. hat neben seinem oben genannten Leitfaden Formulare veröffentlicht, um die Abläufe zur Erstellung des Verarbeitungsverzeichnisses zu organisieren: Formular für interne Prüfvermerke des Datenschutzbeauftragten https://www.bitkom.org/NP-Themen/NP-Vertrauen-Sicherheit/Datenschutz/Formulare-Verarbeitungsverzeichnis/2017-05-05-Formular2-Fehlanzeige.docx Formular: Erfassung einer Verarbeitungstätigkeit https://www.bitkom.org/NP-Themen/NP-Vertrauen-Sicherheit/Datenschutz/Formulare-Verarbeitungsverzeichnis/2017-05-05-Formular1-Erfassung-einer-Verarbeitungstaetigkeit.docx Formular: Meldung Fehlanzeige https://www.bitkom.org/NP-Themen/NP-Vertrauen-Sicherheit/Datenschutz/Formulare-Verarbeitungsverzeichnis/2017-05-05-Formular2-Fehlanzeige.docx

Beispiele für Verarbeitungsverzeichnisse Beispiel für ein Verarbeitungsverzeichnis beim Verantwortlichen innerhalb der EU, S.29 ff. oben genannter Leitfaden des Bitkom e. V.

Beispiel für ein Verarbeitungsverzeichnis beim Verantwortlichen außerhalb der EU, S.31 oben genannter Leitfaden des Bitkom e. V. Beispiel für ein Verarbeitungsverzeichnis bei einem

Auftragsverarbeiter, S.32 oben genannter Leitfaden des Bitkom e. V. GDD-Praxishilfe DS-GVO V, Verzeichnis von Verarbeitungstätigkeiten

https://www.gdd.de/downloads/praxishilfen/GDD-Praxishilfe_DS-GVO_5.pdf 1 Das hier in der DSGVO vorangestellte “wenn möglich” wurde hier nicht wiedergegeben, da sich aus anderen Artikeln der DSGVO die Verpflichtung ergibt.

https://www.bvdnet.de/wp-content/uploads/2017/06/Muster_Verz_der_Verarbeitungst%C3%A4tigkeiten_Verantwortlicher.pdf



https://www.bvdnet.de/wp-content/uploads/2017/06/Muster_Verz_der_Verarbeitungst%C3%A4tigkeiten_Auftragsverarbeiter.pdf



https://www.bvdnet.de/wp-content/uploads/2017/06/Muster_Verz_der_Verarbeitungst%C3%A4tigkeiten_TOMs.pdf



https://www.bitkom.org/NP-Themen/NP-Vertrauen-Sicherheit/Datenschutz/Formulare-Verarbeitungsverzeichnis/2017-05-05-Formular2-Fehlanzeige.docx



https://www.bitkom.org/NP-Themen/NP-Vertrauen-Sicherheit/Datenschutz/Formulare-Verarbeitungsverzeichnis/2017-05-05-Formular1-Erfassung-einer-Verarbeitungstaetigkeit.docx






https://www.gdd.de/downloads/praxishilfen/GDD-Praxishilfe_DS-GVO_5.pdf


54

14. Beschäftigtendatenschutz

14.1. Einführung

Die Datenschutzgrundverordnung sieht Veränderungen auch für den Beschäftigtendatenschutz vor. Der Deutsche Bundestag hat mit der Reform des Bundesdatenschutzgesetzes den in Art. 88 DSGVO vorgegebenen europarechtlichen Rahmen dahingehend umgesetzt, dass § 26 BDSG n. F. den alten § 32 BDSG a. F. ersetzt. § 26 BDSG n. F. ist ausführlicher als die bisherige Regelung im alten § 32 BDSG a. F.

14.2. Beschreibung der Anforderungen I. Verantwortliche als Arbeitgeber müssen auch im Beschäftigungsverhältnis die Einhaltung von Datenschutz nachweisen und dementsprechend dokumentieren.

II. Personenbezogene Daten dürfen genutzt werden, wenn sie folgenden Aufgaben dienen:

1. Einstellungsentscheidung 2. Organisation/Administration (Durchführung) des Arbeitsverhältnisses 3. Beendigung des Arbeitsverhältnisses 4. bei Ausübung oder Erfüllung der sich aus einem Gesetz oder einer Betriebsvereinbarung

ergebenden Rechte und Pflichten des Betriebsrates, wenn dies zwingend erforderlich sind.

a) § 26 BDSG n. F. gilt nicht nur für Arbeitgeber, sondern auch für deren Vertreter, Vorgesetzte oder Dienstleister, wobei auch sämtliche in einem Betrieb anzutreffenden Personen in den Schutzbereich des Datenschutzes fallen wie Auszubildende, Praktikanten, Betriebsstudenten oder auch leitende Angestellte und Vorstände, die nicht unter den Arbeitnehmerbegriff fallen.

b) Die Erforderlichkeit der Datenverarbeitung nach § 26 BDSG n. F. stellt klar, dass dies auf einer umfassenden Interessenabwägung zwischen dem Belangen des Arbeitgebers und denen der betroffenen Beschäftigten beruht. Dies stellt eine Fortführung der bisherigen Rechtsprechung zum § 32 BDSG a. F. dar.

III. Die allgemeinen datenschutzrechtlichen Erlaubnisse gelten auch im Beschäftigtendatenschutz (Art. 6 Abs. 1 oder Art. 9 Abs. 2 DSGVO). Letztlich wird man davon ausgehen können, dass diese allgemeinen datenschutzrechtlichen Erlaubnistatbestände unabhängig von einem Arbeitsverhältnis bestehen, die diesbezüglich nicht relevant sind. Beispielsweise wäre dies eine Vergabe von Betriebswohnungen, Gewährung von betrieblichen Urlaubsunterkünften oder Aktivitäten beim Verkauf eigener hergestellter Waren im Mitarbeiterverkauf.

IV. Rechtsgrundlage für eine Verarbeitung personenbezogener Daten im Beschäftigungsverhältnis ist zusätzlich die Einwilligung des Arbeitnehmers nach § 26 Abs. 2 BDSG n. F. Die Einwilligung von Beschäftigten in die Verarbeitung ihrer personenbezogenen Daten müssen freiwillig erteilt werden. Problematisch ist dabei die grundsätzliche Abhängigkeit des Beschäftigten. Freiwilligkeit kann insbesondere vorliegen, wenn für die beschäftigte Person ein rechtlicher oder wirtschaftlicher Vorteil erreicht wird oder Arbeitgeber und beschäftigte Person gleichgelagerte Interessen verfolgen. Stellt sich jedoch heraus, dass die Datenverarbeitung nachteilig für den Arbeitnehmer ist, wird die Einwilligung unwirksam sein. Um dem Beschäftigten seine Einwilligungsentscheidung zu ermöglichen, muss der Arbeitgeber auf besondere Kategorien personenbezogener Daten im Rahmen einer Einwilligung ausdrücklich hinweisen, die er verarbeiten möchte.


55

Nur ausnahmsweise dürfen besondere Kategorien personenbezogener Daten von Beschäftigten verarbeitet werden. Informationen, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, fallen hierunter. Auch die Verarbeitung genetischer Daten oder biometrischer Daten zur Arbeitnehmeridentifizierung können in Ausnahmefällen verarbeitet werden. Wenn zur Ausübung von Rechten oder zur Erfüllung rechtlicher Pflichten aus dem Arbeitsrecht, dem Recht der sozialen Sicherheit des Sozialschutzes erforderliche Informationen unabdingbar sind, dürfen auch Gesundheitsdaten oder Daten zum Sexualleben sowie zur sexuellen Orientierung eines Arbeitnehmers nach § 26 Abs. 3 Satz 1 BDSG n. F. ausnahmsweise zulässig sein. Sicherzustellen ist jedoch dabei, dass nur ein Zugriff auf diese Daten durch einen besonders eng abgegrenzten Personenkreis zulässig ist. Sollte jedoch kein Zweck für die Erhebung und Verarbeitung dieser Daten erkennbar oder diese Daten entbehrlich sein, so ist die Verarbeitung unzulässig.

V. Die Verarbeitungsmöglichkeit von Beschäftigtendaten aufgrund von Betriebsvereinbarungen oder anderen Kollektivvereinbarungen besteht weiterhin, vgl. § 26 Abs. 4 BDSG n. F. Allerdings gilt der europarechtliche Vorrang von Art. 88 Abs. 2 DSGVO. Dementsprechend müssen die Kollektiv-Parteien angemessene und besondere Maßnahmen zur Wahrung der menschlichen Würde, der berechtigten Interessen und der Grundrechte der betroffenen Arbeitnehmer sicherstellen. Weiter muss sichergestellt werden, dass die Verarbeitungsregelungen transparent sind. Letztlich müssen sämtliche Kollektiv-Vereinbarungen nunmehr den datenschutzrechtlichen Vorgaben der DSGVO entsprechen. Die teilweise vertretene Auffassung, dass die Tarifvertragsparteien selbst Beschäftigten Datenschutzregeln setzten dürfen, ist durch die DSGVO überholt.

Ein Bestandschutz für bisherige Betriebsvereinbarung gibt es nicht. Daher müssen bereits abgeschlossene Betriebsvereinbarung ab dem 25.05.2018 auf die DSGVO angepasst werden.

Auch Betriebsräte und andere Arbeitnehmervertretungen müssen die Vorgaben der DSGVO und des BDSG n. F. einhalten. Bisher hatte das Bundesarbeitsgericht die Verarbeitung personenbezogener Daten von Arbeitnehmer durch den Betriebsrat als möglicherweise anwendbar gehalten. Nunmehr dürfen Betriebsräte bei Erfüllung ihrer Betriebsratstätigkeit personenbezogene Daten der Arbeitnehmer nur noch dann anfordern und verarbeiten, wenn dies auf der Grundlage einer umfassenden Interessenabwägung erfolgt. Ein originäres Verarbeiten aufgrund des Kollektivarbeitsrechts ist nach dem 25.05.2018 nur nach den Vorgaben von DSGVO und BDSG n. F. zulässig.

VI. Was gilt sonst noch? Arbeitgeber müssen auch umfassende Informationspflichten, Auskunftsrechte von Arbeitnehmern und Löschpflichten beachten. Des Weiteren müssen Arbeitgeber Datenschutz-Folgeabschätzungen, bzw. dessen Vorprüfung durchführen, wenn Daten von Arbeitnehmern sensibel sind. Ebenfalls muss ein Verarbeitungsverzeichnis geführt werden, welches den Datenschutzaufsichtsbehörden ermöglicht, die Struktur der Datenflüsse – auch im Arbeitsverhältnis – nachvollziehen zu können.

14.3. Umsetzungsvorschlag & Selbst-Check Zur Umsetzung der datenschutzrechtlichen Anforderungen insbesondere hinsichtlich der Dokumentation sind die in den vorangegangenen Kapiteln beschriebenen Umsetzungsvorschläge (auch) für die Mitarbeiterdaten umzusetzen.

Bereits abgeschlossene Betriebsvereinbarungen sind dahingehend zu überprüfen, ob die Vereinbarungen datenschutzrechtlichen Vorgaben der DSGVO entsprechen. Dementsprechend müssen die Kollektiv-Parteien angemessene und besondere Maßnahmen zur Wahrung der menschlichen Würde, der berechtigten Interesse und der Grundrechte der betroffenen Arbeitnehmer sicherstellen. Weiter muss sichergestellt werden, dass die Verarbeitungsregelungen transparent sind. Zum 25.05.2018 müssen die Vereinbarungen angepasst sein.


56

15. Videoüberwachung

15.1. Einführung

Die DSGVO enthält keine ausdrückliche Vorschrift zur Regelung zur Videoüberwachung. Die Neuregelung erfolgt vielmehr in § 4 BDSG n. F. Dort wird die Videoüberwachung in öffentlich zugänglichen Räumen geregelt. Davon abzugrenzen sind jedoch die Bereiche der Nichtöffentlichkeit bzw. die Bereiche von Arbeitnehmern/Mitarbeiten. Für die Überwachung von Arbeitnehmern gelten die von der bisherigen Rechtsprechung, im Wesentlichen aus den Grundsätzen des Arbeitsrechts, entwickelten Maßstäbe fort. Dazu sind aber insoweit auch die neuen Regelungen in Art. 88 DSGVO und § 26 BDSG n. F. (Datenverarbeitung für Zwecke des Beschäftigungsverhältnisses) zu beachten. Die Fragen der Arbeitnehmervideoüberwachung sind stark Einzelfallgeprägt, von daher ist grds. eine einschlägige anwaltliche Beratung bei der Durchführung solcher Maßnahmen angezeigt.

Im Übrigen sind im Fall des Vorhandenseins von Betriebsräten weitere, besondere Anforderungen aus dem Betriebsverfassungsrecht zu beachten. So ist in diesem Fall z.B. eine Betriebsvereinbarung grds. empfehlenswert.

Die folgenden Ausführungen betrachten rein den betrieblichen Bereich mit Öffentlichkeits- bzw. Kundenverkehr. Für diesen Bereich ergeben sich künftig höhere Anforderungen in der Handhabung (insb. Informationspflichten, Datenschutz-Folgeabschätzungen, Löschpflichten).

Auch aufgestellte Webcams unterliegen grds. den Anforderungen an die Videoüberwachung. Bei Webcams empfiehlt es sich jedoch Gestaltungen zu wählen auf denen keine Personen zu sehen bzw. zu erkennen sind und damit keine Überwachungsfunktion gegeben ist (fehlende Individualisierbarkeit).

15.2. Stichworte Bestehende Videoüberwachungen und Überleitung, Zulässigkeit, Interessensabwägung, Informationspflichten, technische Anforderungen, Datenschutz-Folgenabschätzung, Auftragsverarbeitung, Löschpflichten.

15.3. Beschreibung der Anforderungen

1. Materielle Zulässigkeit der Videoüberwachung Die Vorschrift des § 4 BDSG n. F. entspricht in weiten Teilen dem Wortlaut des bisherigen § 6b BDSG a. F. Die Zulässigkeit von Videoüberwachungsmaßnahmen ab Geltung der DSGVO ist, wie schon nach derzeitiger Rechtslage, anhand einer umfassenden Abwägung der betroffenen Interessen zu beurteilen. Sie ist u. a. zulässig, soweit sie zur Wahrnehmung des Hausrechts oder zur Wahrnehmung berechtigter Interessen für konkret festgelegte Zwecke erforderlich ist (z.B. Sicherheitsinteresse) und keine Anhaltspunkte bestehen, dass schutzwürdige Interessen der Betroffenen -Kunden- überwiegen. Der Betrieb von Videoüberwachungssystemen, die den Vorgaben des bisherigen § 6b BDSG a. F. genügen, werden daher grundsätzlich auch unter Geltung der Neuregelungen zulässig sein.

2. Informationspflichten bei der Videoüberwachung Stärker als bislang bestehen künftig gesetzliche Informationspflichten beim Videoeinsatz. Das Unternehmen muss gemäß § 4 Abs. 2 BDSG n. F. den Umstand der Videobeobachtung (u.a. Kamerasymbol nach DIN 33450), den Unternehmensnamen und nunmehr auch die Kontaktdaten des Unternehmens zum frühestmöglichen Zeitpunkt erkennbar machen, etwa durch entsprechende Aufkleber oder Schilder. Unternehmen mit mehreren Filialen müssen den Hauptsitz des Unternehmens angeben (vgl. Art. 4 Nr. 7


57

DSVO). Aktuell hat die Datenschutzkonferenz (DSK-Datenschutzbehörden des Bundes und der Länder) ein Kurzpapier Nr. 15 herausgegeben nach dem eine Reihe von weiteren Angaben bei der Beschilderung notwendig seien (z.B. Kontaktdaten des betrieblichen. Datenschutzbeauftragten, Angabe des berechtigten Interesses, Speicherdauer). Dabei wird jedoch übersehen, dass solche weiteren Informationen gem. Art. 13 Abs. 1 DSGVO erst zu geben sind, wenn nach § 4 Abs. 4 BDSG n. F. eine Personenzuordnung erfolgt. Dies ist jedoch normalerweise bei Raumüberwachungen nicht der Fall und damit unbeachtlich. Derzeit laufen dazu mit der DSK weitere Erörterungen, ggf. wird dazu über Rundschreiben zur Entwicklung informiert.

3. Technische Maßnahmen Der Datenschutz erfordert bei der Videoüberwachung auch die Berücksichtigung angemessener technischer Maßnahmen. Im Hinblick auf die neuen generellen Vorschriften der DSGVO zur Datenminimierung und angemessener IT-Sicherheit (Art. 25 Abs. 1 u. 2, 32 DSGVO) sind grds. Ringspeicher, ein strenger Zugriffsschutz und gesicherte Übertragungswege der Daten zu empfehlen. Unverschlüsselte WLAN - Kameras mit eventueller Internetübertragung genügen nicht diesen Anforderungen.

4. Datenschutz-Folgenabschätzung

1. Neue Rechtslage Nach alter bzw. noch aktueller Rechtslage ist bei Videoüberwachung eine Vorabkontrolle gem. § 4d Abs. 5 BDSG a. F. durchzuführen. Gemäß der künftigen Neuregelung Art 35 Abs. 3 lit. c DSGVO wird bei einer systematischen weiträumigen Videoüberwachung eine Datenschutz-Folgenabschätzung notwendig (vgl. Erwägungsgrund 91 DSGVO). Regelmäßig sind von einer Videomaßnahme Personen in einer größeren Anzahl betroffen, damit ist eine gewisse Vergleichbarkeit zur alten Rechtslage zu sehen.

2. Übergangsregelungen zu laufenden Videoüberwachungen Gemäß Artikel 35 Abs. 1 Satz 1 DSGVO ist die Datenschutz-Folgenabschätzung „vorab”, mithin vor Beginn der Verarbeitung durchzuführen. Das gilt auch für laufende Verarbeitungen wie die Videoüberwachung. „Verarbeitungen” im Sinne der DSGVO sind gemäß Artikel 4 Nr. 2 DSGVO nämlich nicht nur einzelne Vorgänge, sondern auch Vorgangsreihen. Für bereits vor der Anwendung der DSGVO begonnene Verarbeitungen (und damit auch: Videoüberwachungen) gilt diese Verpflichtung, unter Beachtung der Ausnahmen nach Artikel 35 Abs. 10 DSGVO, nicht. Eine Datenschutz-Folgenabschätzung sollte aber auch bei am 25. Mai 2018 bereits laufenden Videoüberwachungen jedenfalls dann vorgenommen werden, wenn sich die Umstände/Parameter der Videoüberwachung wesentlich ändern, es sei denn, die Eingriffsintensität sinkt. Dies dürfte etwa bei folgenden Beispielen der Fall sein:

• Der von der Kamera erfasste Bereich wird geändert und ausgedehnt. • Der Grad der Auflösung wird erhöht. • Die Unkenntlichmachung bestimmter Bildbereiche durch Ausblendung/Verpixelung wird aufgehoben. • Die Zeiträume der Videoüberwachung werden verändert bzw. verlängert.

3. Datenschutzfolgeabschätzung (DSFA) Weitergehende Ausführungen zur Datenschutz-Folgenabschätzung können dem Kapitel Datenschutz-Folgenabschätzung entnommen werden. Die Anlagen enthalten je ein Muster zur Durchführung einer Datenschutz-Folgenabschätzung und für die Vorprüfung. Ergänzt wird dieses Muster durch Ausfüllhinweise zu einer Videoüberwachung in Kundenräumen eines Unternehmens. Würde sich insoweit das Ergebnis eines hohen Risikos für die Betroffenen einstellen, wäre gemäß Art. 36 DSGVO die Datenschutzaufsichtsbehörde zu konsultieren.


58

Gem. Artikel 35 Abs. 1 Satz 2 DSGVO können gleich gelagerte Datenverarbeitungsvorgänge mit einer gemeinsamen Datenschutz-Folgenabschätzung bewertet werden. Falls die datenschutzrechtlichen Vorgänge, die eine Kamera zur Videoüberwachung auslöst, mehrfach im Unternehmen vergleichbar auftreten, können diese Vorgänge mithilfe einer gemeinsamen Datenschutz-Folgenabschätzung bewertet werden.

Wird die Videoüberwachung durch Dienstleister vorgenommen wird, liegt ein Fall der Auftragsverarbeitung vor, d.h. die Anforderungen dazu sind zusätzlich zu beachten. Gleichwohl kann das Unternehmen den Arbeitsaufwand, der sich aus der Erstellung einer Datenschutz- Folgenabschätzung ergibt, dadurch verringern. Nach Artikel 28 Abs. 3 lit. f DSGVO hat der beauftragte Dienstleister als Auftragnehmer einer Auftragsverarbeitung (Auftragsverarbeiter) das Unternehmen (Auftraggeber) zu unterstützen. Der Vertrag über die Auftragsverarbeitung muss eine solche Pflicht zur Erstellung einer DSFA durch den Auftragsverarbeiter jedoch ausdrücklich regeln, diese Regelungsbefugnis ergibt sich aus dem Wortlaut des Art. 28 Abs. 3 lit. f DSGVO, der auch die Datenschutz-Folgenabschätzung nach Art. 35 DSGVO einschließt.

5. Löschpflicht

Die Löschpflicht der Daten ist künftig in § 4 Abs. 5 BDSG n. F. geregelt. Danach sind personenbezogene Daten unverzüglich zu löschen, wenn sie für die Zwecke, für die sie erhoben wurden, nicht mehr notwendig sind. Die Anforderungen entsprechen damit der bisherigen Regelung in § 6b Abs. 5 BDSG a. F. Die Datenschutzaufsichtsbehörden sehen die Speicherdauer in ihren Äußerungen recht kurz. Nach einem Urteil des OVG Lüneburg (Urteil v. 29.09.2014, Az. 11 LC 114/13) wird jedoch z.B. im Fall eines Eingangsbereichs und Treppenaufgängen zu Geschäftsräumen eines Bürogebäudes eine Speicherdauer von bis zu 10 Wochentagen als zulässig angesehen. In der Praxis kommt es auf die jeweilige Einzelfallbetrachtung an. Es gilt der Grundsatz, je länger eine Speicherung erfolgt, desto triftiger sollten die Gründe dafür sein.

15.4. Umsetzungsvorschlag Bestehende Videoüberwachungen mit durchgeführter Vorabkontrolle nach Altrecht können fortgeführt werden. Falls künftig Veränderungen vorgenommen werden, dürfen das keine Erweiterungen in tatsächlicher Hinsicht sein. Erweiternde Veränderungen und Neuinstallationen unterliegen den neuen Anforderungen der DSGVO insb. an die Datenschutz-Folgenabschätzung. Bezüglich aller Kamers sind mit in Kraft treten der DSGVO die Hinweisschilder/-aufkleber an den Überwachungszonen anzubringen, so dass eine Kenntnisnahme beim Betreten der Bereiche möglich ist. Im Fall der Einschaltung von Dienstleistern ist auf die notwendigen Regelungen/Anpassungen im Vertrag zur Auftragsverarbeitung zu achten. Den technischen Anforderungen ist Beachtung geschuldet, ebenso muss ein Löschkonzept vorhanden sein.

15.5. Selbst-Check

1. Welche Bereiche sollen überwacht werden? (öffentlich zugänglicher Raum, z.B. Kundenbereiche -Normalfall-); Mitarbeiterräume (Arbeitsrecht usw. beachten)

2. Dient die Videoüberwachung der Wahrung des Hausrechts oder eines anderen berechtigten Interesses (Zweck)?

3. Besteht eine Gefährdungslage und auf welche Tatsachen, z.B. Vorkommnisse in der Vergangenheit, gründet sich diese?

4. Werden ggf. bestimmte -nicht notwendige Bereiche- Bereiche der Überwachung ausgeblendet oder verpixelt?

5. Wurde vor dem Betrieb der Anlage eine Datenschutzfolgeabschätzung vorgenommen 6. Sind die Hinweisschilder/-Aufkleber zu den Kameras angebracht


59

7. Wurden die technischen Anforderungen an das Kamerasystem inkl. Löschkonzept beachtet?

8. Gibt es im Unternehmen ggf. einen Betriebsrat und wurde mit diesem eine Betriebsvereinbarung zur Videoüberwachung getroffen?

15.6. Weiterführende Informationen und Muster Die DSK -Datenschutzkonferenz- hat zur Videoüberwachung aktuell das Kurzpapier Nr. 15 veröffentlicht, dem weitere Hinweise entnommen werden können. Es ist jedoch zu beachten, dass dieses Papier nicht das BDSG n. F. berücksichtigt und in der Diskussion steht (siehe oben). Weitere Veröffentlichungen, Verbandsinformationen, etc. zur Thematik sollten aufmerksam verfolgt werden.

Ein Grundmuster einer Datenschutz-Folgeabschätzung -nebst Ausfüllhinweisen- ist den Anlagen beigefügt:

Sofern Sie mit Zahlungsmitteln bzw. Bargeld an Verkaufsstellen (einschl. Tankstellen) hantieren, kann zur Unterstützung der Begründung einer Videoüberwachung ergänzend die Broschüre der Deutschen Gesetzlichen Unfallversicherung e.V. Nr. 141 -BGR/DGUV Regel 141- „Umgang mit Zahlungsmitteln in Verkaufsstellen“ herangezogen werden. Link: http://publikationen.dguv.de/dguv/pdf/10002/r-141.pdf

http://publikationen.dguv.de/dguv/pdf/10002/r-141.pdf


60

16. Weiteres

16.1. Datenübermittlung an Drittländer

Drittländer im Sinne der DSGVO sind Länder außerhalb der EU und des EWR. Falls das Unternehmen Daten in Drittländer überträgt sind die Vorgaben zu beachten:

Datenübermittlung in Drittländer (Kurzpapier Nr. 4 der Datenschutzkonferenz) https://www.bfdi.bund.de/SharedDocs/Downloads/DE/Datenschutz/Kurzpapier_Drittlaender.pdf?blob=publicationFile&v=3

16.2. Automatisierte Entscheidungen im Einzelfall einschließlich

Profiling Automatisierte Entscheidungen unterliegen sehr starken Einschränkungen. Falls im Unternehmen der “Computer entscheidet”, ohne das ein Mensch eingreift, sind die Vorgaben des Art. 22 DSGVO zu prüfen:

Guidelines on Automated individual decision-making and Profiling for the purposes of Regulation 2016/679, wp251 http://ec.europa.eu/newsroom/just/document.cfm?doc_id=47963

16.3. Gemeinsam für die Verarbeitung Verantwortliche Legen zwei oder mehr Verantwortliche gemeinsam die Zwecke der und die Mittel zur Verarbeitung fest, so sind sie laut Art. 26 DSGVO gemeinsam Verantwortliche. Eine solche Regelung gab es im bisherigen BDSG nicht.

Weiter Informationen finden Sie im Leitfaden des Bitkom e. V. Joint Controllership in der EU-Datenschutz-Grundverordnung https://www.bitkom.org/Bitkom/Publikationen/Joint-Controllership-in-der-EU-Datenschutz-Grundverordnung.html


1. Bestehen für alle Verarbeitungen, bei denen eine Übermittlung personenbezogener Daten in ein Drittland möglich ist, entsprechende zusätzliche Garantien/Vereinbarungen?

o EU-Standardvertragsklauseln o Binding Corporate Rules o Privacy Shield (nur für die USA)


https://www.bfdi.bund.de/SharedDocs/Downloads/DE/Datenschutz/Kurzpapier_Drittlaender.pdf?

https://www.bfdi.bund.de/SharedDocs/Downloads/DE/Datenschutz/Kurzpapier_Drittlaender.pdf?

http://ec.europa.eu/newsroom/just/document.cfm?doc_id=47963

https://www.bitkom.org/Bitkom/Publikationen/Joint-Controllership-in-der-EU-Datenschutz-Grundverordnung.html

https://www.bitkom.org/Bitkom/Publikationen/Joint-Controllership-in-der-EU-Datenschutz-Grundverordnung.html




61

17. Literatur zur gesamten DSGVO

DSGVO - Verordnung (EU) 2016/679, deutscher Text http://eur-lex.europa.eu/legal-content/DE/TXT/PDF/?uri=CELEX:32016R0679&from=DE

Berichtigung der Verordnung (EU) 2016/679 vom 27. Oktober 2016 http://data.consilium.europa.eu/doc/document/ST-12399-2016-INIT/en/pdf

BfDI – Info 6 - Datenschutz-Grundverordnung (und BDSG n. F.) https://www.bfdi.bund.de/SharedDocs/Publikationen/Infobroschueren/INFO6.html

DATENSCHUTZGRUNDVERORDNUNG - Praxis-Leitfaden für Verbundgruppen und Anschlusshäuser https://www.mittelstandsverbund.de/media/dfba9d52-a2a4-490d-a5dc-2d9c6fd7fdb0/YqGwrg/Download/Inhaltliche%20Papiere/Praxis-Leitfaden%20DSGVO.pdf

Datenschutz für Handwerksbetriebe (Hrsg. ZDH) https://www.zdh.de/fachbereiche/organisation-und-recht/datenschutz/datenschutz-fuer-handwerksbetriebe/

GDD-Praxishilfe DS-GVO VIII - Unternehmensrichtlinie zur Datenschutz-Organisation, Version 1.1, Stand Oktober 2017 https://www.gdd.de/downloads/praxishilfen/GDD-Praxishilfe_DS-GVO_8.pdf

http://eur-lex.europa.eu/legal-content/DE/TXT/PDF/?uri=CELEX:32016R0679&from=DE

http://data.consilium.europa.eu/doc/document/ST-12399-2016-INIT/en/pdf

https://www.bfdi.bund.de/SharedDocs/Publikationen/Infobroschueren/INFO6.html

https://www.mittelstandsverbund.de/media/dfba9d52-a2a4-490d-a5dc-2d9c6fd7fdb0/YqGwrg/Download/Inhaltliche%20Papiere/Praxis-Leitfaden%20DSGVO.pdf

https://www.mittelstandsverbund.de/media/dfba9d52-a2a4-490d-a5dc-2d9c6fd7fdb0/YqGwrg/Download/Inhaltliche%20Papiere/Praxis-Leitfaden%20DSGVO.pdf

https://www.zdh.de/fachbereiche/organisation-und-recht/datenschutz/datenschutz-fuer-handwerksbetriebe/

https://www.zdh.de/fachbereiche/organisation-und-recht/datenschutz/datenschutz-fuer-handwerksbetriebe/

https://www.gdd.de/downloads/praxishilfen/GDD-Praxishilfe_DS-GVO_8.pdf

eu-datenschutzgrundverordnung und neues ...download.egroh.de/datenschutz/dgrv...

Documents