EU-Datenschutz-Grundverordnung im Unternehmen E-Book

ISBN 978-3-8005-1634-6

© 2016 Deutscher Fachverlag GmbH, Fachmedien Recht und Wirtschaft, Frankfurt am Main

Das Werk einschließlich aller seiner Teile ist urheberrechtlich geschützt. Jede Verwertung außerhalb der engen Grenzen des Urheberrechtsgesetzes ist ohne Zustimmung des Verlages unzulässig und strafbar. Das gilt insbesondere für Vervielfältigungen, Bearbeitungen, Übersetzungen, Mikroverfilmungen und die Einspeicherung und Verarbeitung in elektronischen Systemen.

Satzkonvertierung: Lichtsatz Michael Glaese GmbH, 69502 Hemsbach

Druck und Verarbeitung: WIRmachenDRUCK GmbH, Mühlbachstraße 7, 71522 Backnang

Printed in Germany

Vorwort von Jan Philipp Albrecht, MdEP*

Mit der Datenschutz-Grundverordnung der Europäischen Union ist im Frühjahr 2016 nicht nur eine umfassende EU-weit einheitliche Neuregelung des Datenschutzrechts verabschiedet worden. In schwierigen politischen Zeiten in Europa und der Welt ist sie ein wichtiger Schritt in eine globalisierte und digitalisierte Lebens- und Marktrealität, die uns alle bereits heute umgibt. Die rasante Vernetzung und die umfassende Digitalisierung in allen Wirtschaftszweigen stellen dabei nicht nur eine große Chance für Innovation und Wachstum dar. Sie werfen auch grundlegende Fragen der Regulierung in einem immer stärker grenzüberschreitend funktionierenden Markt auf. Die fragmentierte Rechtslage im digitalen Markt sorgt dabei nicht nur für Bürokratiekosten und Rechtsunsicherheit auf Seiten der Unternehmen. Auch Verbraucherinnen und Verbraucher verlieren zunehmend das Vertrauen in die Gültigkeit und Durchsetzbarkeit ihrer Rechte und Interessen. Dieser Vertrauensverlust trifft alle Marktteilnehmer, auch jene, die bereits heute einen hohen Standard befolgen. Dies gilt insbesondere beim Datenschutz, dem im Leben der Menschen eine immer größere Bedeutung zukommt. An der Schwelle zur Kompletterfassung ihres Alltags wollen sie darauf vertrauen können, dass ihre persönlichen Daten nicht zweckentfremdet werden oder zu einer negativen Ungleichbehandlung führen. Es ist daher entscheidend, dass alle Unternehmen in Zukunft den gleichen Regelsatz zum Datenschutz auf dem Binnenmarkt der EU befolgen und je nach ihrer wirtschaftlichen Bedeutung auch mit entsprechend scharfen Sanktionen bei Regelverletzungen rechnen müssen. Und zwar ganz gleich, wo ein Unternehmen seinen Sitz hat.

Immer häufiger sorgt das bisherige, fragmentierte Datenschutzrecht auch für Wettbewerbsverzerrungen. Können oder wollen doch nicht alle Unternehmen von heute auf morgen ihren Unternehmenssitz nach Irland oder Großbritannien verlegen, wo der Datenschutz lockerer geregelt und die Aufsichtsbehörden zurückhaltender sind. Hiermit wird die Datenschutz-Grundverordnung nun Schluss machen. Sie sorgt nicht nur für einheitliche unmittelbar anwendbare Bestimmungen zum Datenschutz, sondern schafft auch einen vollständig neuen Durchsetzungsmechanismus. Künftig werden die Aufsichtsbehörden aller EU-Mitgliedstaaten gemeinsam über grenzübergreifende (Streit-)Fragen des Datenschutzrechts entscheiden. Vor allem bei der Durchsetzung des Datenschutzes wird hierdurch eine höhere Kohärenz und Rechtssicherheit im gesamten Binnenmarkt der EU geschaffen. Das ist der große Erfolg der Neuregelung, die ohne Zweifel auch ein Kompromiss war. Denn 28 noch immer unterschiedliche Rechtsordnungen und -kulturen durch einen einheitlichen, verbindlichen Rechtskatalog – sowohl bei den Rechten und Pflichten zum Datenschutz als auch bei der Durchsetzung durch Behörden und Gerichte – zu ersetzen, ist eine Mammutaufgabe und erfordert von allen Beteiligten, dass sie sich von ihrem gewohnten Umfeld lösen und auf ein komplett neues Terrain einlassen müssen. Dementsprechend wird die Datenschutz-Grundverordnung auch für den Anwender – also insbesondere für die Unternehmen – neues Terrain sein. Sie sind im Zuge des Verantwortlichkeitsprinzips erster Adressat der neuen Datenschutzregeln. Hierfür werden sie Orientierung brauchen. Genau diese bringt ihnen auf kompakte und verständliche Weise das vorliegende Buch als Einführung und Praxisleitfaden.

Es wird nun von entscheidender Bedeutung für den Erfolg eines Unternehmens im digitalen Markt der Zukunft sein, dass es sich zügig und umfassend auf die neuen Datenschutzregeln der EU einstellt. Als größter gemeinsamer Binnenmarkt der Welt wird die Europäische Union ihre über Jahre gewachsenen Vorstellungen des Datenschutzes auch im globalen Marktumfeld durchsetzen wollen und können. Sie setzt damit aus Sicht der Verbraucherinnen und Verbraucher, aber auch im Sinne ihrer eigenen digitalen Wirtschaft einen Datenschutz-Goldstandard für den Weltmarkt. Wer diesen bereits jetzt ins Zentrum seiner unternehmerischen Grundsätze rückt und auf einen starken Datenschutz im Unternehmen als Wettbewerbsfaktor baut, wird bereits in wenigen Jahren zur Spitzengruppe im digitalisierten Markt der Zukunft gehören. Denn Datenschutz und Innovation schließen sich keineswegs aus: Sie sind auf absehbare Zeit zwei Seiten derselben Medaille. Schon heute findet ein Wettlauf um neue Technologien statt, die einen starken Datenschutz und ein hohes Maß an Verbraucherkontrolle mit den Möglichkeiten von Big Data-Anwendungen und dem Internet der Dinge verknüpfen. Der Datenschutz gehört mit der neuen EU-Verordnung nicht nur wegen der drohenden, hohen Sanktionen ins Kerngeschäft des Unternehmensmanagements. Er wird – auch durch die gestärkte Rolle des Verbrauchers beim Datenschutz – zukünftig ein entscheidender Marktfaktor werden. Die neuen Regeln sind dabei keine Belastung. Unnötige Bürokratie wie die Vorabkontrolle wird durch sie abgeschafft und aus 28 unterschiedlichen Regeln im selben Markt wird ein einziger Standard. Es ist also genau das Gegenteil: Die Datenschutz-Grundverordnung ist eine große Chance für Unternehmen, sich im digitalisierten Markt von morgen zu positionieren.

Hamburg/Brüssel, den 11.8.2016

Jan Philipp Albrecht, MdEP

*

Verhandlungsführer des Europäischen Parlaments für die Datenschutz-Grundverordnung.

Inhaltsverzeichnis

Vorwort

Abkürzungsverzeichnis

Einleitung

I. Ziele, Umsetzung und Anwendung der DSGVO

1. Ziele der Verordnung

2. Inkrafttreten der DSGVO

3. Von der DSGVO verwendete Begriffe

4. Anwendungsbereich der DSGVO

a) Sachlicher Anwendungsbereich: Welche Datenverarbeitungen sind betroffen?

b) Räumlicher Anwendungsbereich: Wo gilt die Verordnung?

II. Überblick über die Vorschriften der DSGVO – Was steht wo?

1. Allgemeine Bestimmungen, Kapitel 1, Art. 1 bis Art. 4 DSGVO

2. Grundsätze der Verordnung, Kapitel 2, Art. 5 bis Art. 11 DSGVO

3. Rechte der betroffenen Person, Kapitel 3, Art. 12 bis Art. 23 DSGVO

4. Verantwortlicher und Auftragsverarbeiter, Kapitel 4, Art. 24 bis Art. 43 DSGVO

5. Übermittlung personenbezogener Daten in Drittländer, Kapitel 5, Art. 44 bis Art. 50 DSGVO

6. Aufsichtsbehörden, Kapitel 6 und 7, Art. 51 bis 76 DSGVO

7. Rechtsbehelfe, Haftung, Sanktionen, Kapitel 8, Art. 77 bis Art. 84 DSGVO

8. Besondere Datenverarbeitungssituationen, Kapitel 9, Art. 85 bis Art. 91 DSGVO

9. Delegierte Rechtsakte und Durchführungsrechtsakte, Kapitel 10, Art. 92 und 93 DSGVO

10. Schlussbestimmungen, Kapitel 11, Art 94 bis Art. 99 DSGVO

III. Grundsätze der DSGVO

1. Bedeutung der Grundsätze der DSGVO für die Praxis

2. Die einzelnen Prinzipien der DSGVO

a) Rechtmäßigkeit (Verbot mit Erlaubnisvorbehalt), Art. 5 Abs. 1 lit. (a) DSGVO

b) Treu und Glauben (Verhältnismäßigkeit), Art. 5 Abs. 1 lit. (a) DSGVO

c) Transparenz, Art. 5 Abs. 1 lit. (a) DSGVO

d) Zweckbindung, Art. 5 Abs. 1 lit. (b) DSGVO

e) Datenminimierung, Art. 5 Abs. 1 lit. (c) DSGVO

f) Richtigkeit, Art. 5 Abs. 1 lit. (d) DSGVO

g) Speicherbegrenzung, Art. 5 Abs. 1 lit. (e) DSGVO

h) Integrität und Vertraulichkeit, Art. 5 Abs. 1 lit. (f) DSGVO

i) Rechenschaftspflicht, Art. 5 Abs. 2 DSGVO

IV. Praktische Folgen – Wichtige Änderungen auf einen Blick

1. Grundlagen der DSGVO

a) Vorrang der DSGVO vor anderen Rechtsvorschriften der Mitgliedstaaten

b) Globale Anwendung der DSGVO

c) Erweiterte Haftung für Verantwortliche und Auftragsverarbeiter

d) Höhere Bußgelder

2. Neue Pflichten für Unternehmen

a) Erweiterte Dokumentations- und Nachweispflichten

b) Risikobasierter Datenschutz

c) Informationspflichten des Verantwortlichen bei Datenerhebung

aa) Informationspflichten bei Datenerhebung beim Betroffenen, Art. 13 DSGVO

bb) Informationspflichten bei Datenerhebung bei Dritten, Art. 14 DSGVO

d) Datenschutz-Folgenabschätzung

e) Striktere Löschpflichten und Recht auf Vergessenwerden

f) Erhebliche Melde- und Benachrichtigungspflichten bei Datenschutzverletzungen

g) Datenschutz durch Technik und datenschutzrechtliche Voreinstellungen

h) Verzeichnis von Verarbeitungstätigkeiten

i) Datensicherheit

j) Zusätzliche Verantwortung für Datenschutzbeauftragte

3. Betroffenenrechte (Art. 15ff. DSGVO)

a) Recht auf Auskunft, Art. 15 DSGVO

aa) Umfang der Auskunft, Art. 15 Abs. 1 DSGVO

(1) Recht auf Überlassung einer Kopie der verarbeiteter Daten, Art. 15 Abs. 3 DSGVO

(2) Praxisfolgen von Art. 15 DSGVO

b) Recht auf Berichtigung, Art. 16 DSGVO

c) Pflicht zur Löschung von Daten, Art. 17 DSGVO

d) Recht auf Vergessenwerden, Art. 17 Abs. 2 DSGVO

e) Recht auf Einschränkung der Verarbeitung, Art. 18 DSGVO

f) Recht auf Datenübertragbarkeit, Art. 20 DSGVO

g) Widerspruchsrecht

h) Automatisierte Entscheidung im Einzelfall (einschließlich Profiling)

4. Gemeinsam für Verarbeitungen Verantwortliche

5. Auftragsverarbeitung

6. Datenaustausch im Konzern

7. Übermittlung personenbezogener Daten in Drittländer

a) Voraussetzungen grenzüberschreitender Datenübermittlungen in Drittländer

aa) Allgemeine Anforderungen an Übermittlungen in Drittländer

bb) Datenübermittlung auf Grundlage eines Angemessenheitsbeschlusses

cc) „Privacy Shield“

dd) Datenübermittlungen auf der Grundlage geeigneter Garantien nach Art. 45 DSGVO

ee) Ausnahmen für bestimmte Fälle, Art. 49 DSGVO

ff) Übermittlung zur Wahrung zwingender berechtigter Interessen

b) Datenschutzrechtliche Folgen des „Brexit“

aa) Fortgeltung des bisherigen Rechts

bb) Rechtskraft der Datenschutzgrundverordnung

cc) Ausscheiden des Vereinigten Königreichs aus der EU („Brexit“)

dd) Praktische Folgen des Brexit

8. Aufsichtsbehörden

9. Bewertung der Veränderungen durch die DSGVO – Folgen für Unternehmen

V. Erlaubnistatbestände der DSGVO

1. Überblick

a) Datenverarbeitungen nach Art. 6 DSGVO

b) Datenverarbeitungen auf der Grundlage von Einwilligungen

c) Verarbeitung besonderer Kategorien personenbezogener Daten

d) Verarbeitung von Daten über strafrechtliche Verurteilungen und Straftaten

e) Besondere Verarbeitungssituationen

2. Erfüllung einer vertraglichen Verpflichtung, Art. 6 Abs. 1 lit. (b) DSGVO

a) Erfüllung einer vertraglichen Pflicht

b) Sonstige Anforderungen aus Art. 5 DSGVO

3. Wahrung berechtigter Interessen, Art. 6 Abs. 1 lit. (f) DSGVO

a) Funktion von Art. 6 Abs. 1 lit. (f) DSGVO

b) Interessenabwägung

aa) Vernünftige Erwartungen der betroffenen Person

bb) Näheverhältnis zwischen betroffener Person und Verantwortlichem

cc) Datenverarbeitung für Compliance-Zwecke

dd) Datenübermittlungen im Konzern

ee) Sonstige für die Interessenabwägung relevante Belange

4. Zweckänderungen, Art. 6 Abs. 4 DSGVO

5. Erfüllung einer rechtlichen Verpflichtung, Art. 6 Abs. 1 lit. (c) DSGVO

a) Anforderungen an Rechtsvorschriften nach Art. 6 Abs. 3 DSGVO

aa) Zweckfestlegung, Art. 6 Abs. 3 Satz 2 DSGVO

bb) Spezifischere Bestimmungen möglich, Art. 6 Abs. 3 Satz 3 DSGVO

cc) Ziel der Rechtsvorschrift, Art. 6 Abs. 3 Satz 3 DSGVO

6. Lebenswichtiges Interesse, öffentliches Interesse oder Ausübung öffentlicher Gewalt, Art. 6 Abs. 1 lit. (d), (e) DSGVO

7. Einwilligung, Art. 6 Abs. 1 lit. (a) DSGVO

a) Anforderungen an Einwilligungen

aa) Informiertheit

bb) Freiwilligkeit

cc) Eindeutigkeit

dd) Widerruflichkeit

ee) Einwilligungen von Kindern in Bezug auf Dienste der

b) Koppelungsverbot bei Einwilligungen

c) Einwilligungen in der Praxis

8. Verarbeitung besonderer Kategorien personenbezogener Daten

a) Erlaubnis zur Verarbeitung besonderer Kategorien personenbezogener Daten

b) Erlaubnistatbestände zur Verarbeitung von Daten nach Art. 9 Abs. 2 DSGVO

9. Verarbeitung von Daten über strafrechtliche Verurteilungen und Straftaten, Art. 10 DSGVO

a) Anwendungsbereich von Art. 10 DSGVO

aa) Strafrechtliche Verurteilungen

bb) Mit Straftaten zusammenhängende Sicherungsmaßregeln

cc) Straftaten

b) Sonderfall: Datenverarbeitung für Compliance-Zwecke

10. Besondere Verarbeitungssituationen – insbesondere Beschäftigtendatenschutz

a) Beschäftigtendatenschutz nach Art. 88 DSGVO

b) Regelung durch Rechtsvorschriften

c) Regelung durch Kollektivvereinbarungen

d) Folgen des Anwendungsvorrangs der Verordnung für Informationsrechte des Betriebsrats

VI. Projektplanung und Checkliste zur Umsetzung der DSGVO im Unternehmen

1. Leitfaden zur Implementierung der DSGVO

a) Projektteam

b) Festlegung von Projektzielen

c) Ressourcenplanung

d) Budgetplanung

e) Risikoanalyse DSGVO

f) Risiken für betroffene Personen

aa) Mögliche Bußgelder

bb) Zivilrechtliche Haftungsrisiken

cc) Rufschäden

dd) Arbeitsrechtliche Aspekte

ee) Sonstige Nachteile

g) Bestandsaufnahme

h) Gap-Analyse

i) Einbindung Datenschutzbeauftragter

j) Datenschutzkommunikation

k) Datenschutztrainings

l) Datenschutzberatung

m) Information und Abstimmung mit den Datenschutzaufsichtsbehörden

n) Betriebsrat

o) Betriebsvereinbarungen

p) Planung der in der DSGVO geforderten Prozesse und Strukturen

q) Beschwerdemanagement

r) Vertragsmanagement

s) Einwilligungsmanagement

t) Dokumentation

2. Fazit und Ausblick

Anhang 1: Praktiker-Glossar

Anhang 2: Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates

Sachregister

Abkürzungsverzeichnis

Einleitung

Ab dem 25.5.2018 regelt die Datenschutz-Grundverordnung (DSGVO)1 die Verarbeitung personenbezogener Daten einheitlich für die gesamte Europäische Union. Das neue europäische Datenschutzrecht bringt eine Reihe neuer Anforderungen mit sich. Viele Unternehmen haben erkannt, dass die verbleibende Zeit bis zur verbindlichen Anwendung der DSGVO eher knapp bemessen ist, und haben damit begonnen, erste Schritte zur Umsetzung der Vorgaben der Verordnung einzuführen. Dieses Buch fasst bisherige Erfahrungen aus der Implementierung der Verordnung2 bei einer Reihe von Wirtschaftsunternehmen zusammen. Es beschreibt die für Unternehmen relevanten Anforderungen des Datenschutzes an die Verarbeitung personenbezogener Daten in klarer und einfacher Sprache. Zur besseren Verständlichkeit bietet das Buch viele Beispiele, Schaubilder und Praxistipps. Dabei werden viele in der DSGVO vorgesehene Prozesse und Strukturen durch Checklisten oder Ablaufpläne anschaulich beschrieben. Ein abschließender Teil dieses Buches beschreibt die erforderlichen Projektschritte zur Umsetzung der Vorgaben der DSGVO und fasst diese Planungsschritte in Form einer Checkliste zusammen. Das Buch enthält auch einen Praktiker-Glossar zur DSGVO, der anhand von Stichworten wichtige Begriffe und Zusammenhänge aus der Datenschutz-Praxis erläutert. Dabei werden auch Besonderheiten beziehungsweise Veränderungen durch die DSGVO beschrieben. Die praktische Arbeit mit dem vorliegenden Buch soll dadurch weiter erleichtert werden, dass auch die Artikel der Verordnung abgedruckt sind. Der Leser kann einzelne Vorschriften der DSGVO so nachschlagen, ohne ein weiteres Buch zur Hand nehmen zu müssen. Auf den Abdruck der Erwägungsgründe wird dagegen aus Platzgründen verzichtet. Teilweise werden für die Praxis wichtige Passagen aus den Erwägungsgründen allerdings in den Fußnoten wiedergegeben, sofern dies für die Anwendung der Verordnung hilfreich ist.

Die vorliegende Einführung in den kommenden EU-Datenschutz ist eine an den Bedürfnissen der Wirtschaft orientierte Gebrauchsanweisung für einen einfachen Einstieg in die DSGVO – und für die praktische Umsetzung der Anforderungen des neuen Datenschutzrechts. Dieses Buch soll dem Leser einen unkomplizierten Überblick über die ab Mai 2018 geltende EU-Verordnung zum Datenschutz geben. Es richtet sich an den Praktiker im Unternehmen und verzichtet dabei bewusst auf eine wissenschaftliche Bewertung der Regelungskomplexe der Verordnung. Für die Praxis wichtige Fragen wie die Auswirkungen des zwischen der EU-Kommission und den USA vereinbarten Privacy Shield oder die datenschutzrechtlichen Folgen des Brexit werden in knapper Form dargestellt.

Diese Einführung enthält Checklisten, Beispiele, Ablaufpläne, Schaubilder und Praxistipps, die die konkrete Anwendung des neuen Datenschutzrechts erleichtern. Dabei steht die praktische Umsetzung der DSGVO im Unternehmen im Vordergrund.

Dieses Buch ist nicht allein das Ergebnis meiner eigenen Arbeit. Auch Jana Bruns, Dr. Lukas Ströbel und Lukas von Gierke, alle Hogan Lovells International LLP, haben daran intensiv mitgewirkt. Daher möchte ich ihnen, aber auch Dr. Wolf-Tassilo Böhm, Marlien Telöken und vielen anderen Anwälten des deutschen Arbeitsrechtsteams und auch des globalen Datenschutzteams unserer Sozietät danken. Sie haben mich mit Rat und wertvollen Anregungen unterstützt. Insbesondere der stetige Austausch mit meinen Partnern Harriet Pearson, Christopher Wolf, Eduardo Ustaran, Julie Brill, Tim Tobin, Winston Maxwell und Scott Loughlin war bei der täglichen Arbeit im internationalen Datenschutz enorm hilfreich. Dr. Jyn Schultze-Melling und Thorsten Sörup danke ich für ihre Mitarbeit an dem Praktiker-Glossar und den stets wertvollen Austausch und Rat zu aktuellen Fragen des Datenschutzes. Auch Dr. Stefan Brink, Philipp Zikesch und Dr. Oliver Draf haben wertvolle Denkanstöße und Ideen beigesteuert. Gerade Dr. Oliver Draf und Juliane Kraska verdanke ich auch ausgesprochen hilfreiche Hinweise zur Planung von Implementierung von Umsetzungsprojekten zur DSGVO. Abschließend danke ich Frau Anja Eiserfey für die professionelle, geduldige und unermüdliche Koordination unserer Arbeit an diesem Buch.

1

Verordnung (EU) 2016/679 des europäischen Parlaments und des Rates vom 27.4.2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) im Amtsblatt der Europäischen Union, Abl. L 119/1.

2

Soweit in diesem Buch von der „Verordnung“ die Rede ist, bezieht sich dies ebenso wie die Abkürzung „DSGVO“ auf die Verordnung (EU) 2016/679 des europäischen Parlaments und des Rates vom 27.4.2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) im Amtsblatt der Europäischen Union, Abl. L 119/1.

I. Ziele, Umsetzung und Anwendung der DSGVO

Am 4.5.2016 veröffentlichte die Europäische Union (EU) die Endfassung der seit 2012 verhandelten DSGVO.3 Sie gilt nach einer gut zweijährigen Übergangsfrist ab dem 25.5.2018 und hebt die Richtlinie 95/46/EG4 (Datenschutzrichtlinie) auf.5 Die DSGVO wirkt dann in der gesamten Europäischen Union unmittelbar und direkt. Anders als bei einer EU-Richtlinie ist eine Umsetzung in das nationale Recht der Mitgliedstaaten nicht mehr erforderlich. Dies soll zu einer erheblichen Vereinheitlichung beim Datenschutz in der EU führen und einheitliche Wirtschaftsbedingungen schaffen, die den Binnenmarkt stärken sollen.6

Für Unternehmen hat die Verordnung7 gravierende Folgen: Neben Schadensersatzklagen drohen bei Fehlern Bußgelder von bis zu vier Prozent des globalen (Konzern-)Umsatzes. Beteiligte Manager, Datenschützer und sonstige Entscheidungsträger müssen bei Verstößen mit Geldbußen bis zu 20 Millionen Euro rechnen. Zudem sind die inhaltlichen Anforderungen beim neuen Datenschutz sehr hoch. Sie betreffen viele Unternehmensbereiche, etwa IT, Personal, Compliance, interne Revision und Vertrieb.

Dieser Teil des Buches zeigt, welche Ziele der EU-Gesetzgeber mit der Einführung der DSGVO verfolgt. Es beschreibt zudem, für welche Anwendungsfälle das neue Datenschutzrecht gilt. Der Schwerpunkt liegt dabei auf der Frage, bei welchen Datenverarbeitungen Unternehmen8 die Vorgaben der Verordnung beachten müssen.

3

Verordnung (EU) 2016/679 des europäischen Parlaments und des Rates vom 27.4.2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) im Amtsblatt der Europäischen Union, Abl. L 119/1.

4

Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24.10.1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr.

5

Art. 94 Abs. 1 DSGVO.

6

Vgl. Erwägungsgrund 7.

7

Soweit in der vorliegenden Einführung die Begriffe „Verordnung“ oder „DSGVO“ in Bezug genommen werden, bezieht sich dies auf die deutsche Endfassung der EU-Datenschutz-Grundverordnung, abrufbar etwa unter http://eur-lex.europa.eu/legal-content/DE/TXT/PDF/?uri=CELEX:32016R0679&from=EN.

8

Vgl. zum Begriff des Unternehmens Art. 4 Nr. 18 DSGVO.

1. Ziele der Verordnung

Die Verordnung soll das Datenschutzrecht EU-weit vereinheitlichen.9 Das Schutzniveau für die Rechte und Freiheiten von natürlichen Personen bei der Verarbeitung ihrer personenbezogenen Daten soll in der gesamten Union gleichmäßig hoch und einheitlich sein.10 Die Anwendung einer einzigen EU-Verordnung zum Datenschutz soll es Unternehmen ermöglichen, die Datenverarbeitung in allen 28 Mitgliedstaaten gleich zu regeln. Diese Vereinheitlichung soll auch den Binnenmarkt in der Union stärken.11

Allerdings enthält die Verordnung auch eine Reihe von sogenannten „Öffnungsklauseln“. Diese Vorschriften erlauben es den Mitgliedstaaten, in gewissen Umfang für einzelne Datenverarbeitungen oder Anforderungen nationale Spezialgesetze zu schaffen, etwa beim Beschäftigtendatenschutz gemäß Art. 88 DSGVO. Dabei legt Erwägungsgrund 155 fest, dass diese Öffnungsklausel es den Mitgliedstaaten vor allem erlaubt, Vorschriften über die Bedingungen vorzusehen, unter denen personenbezogene Daten im Beschäftigungsverhältnis auf der Einwilligung12 eines Beschäftigten verarbeitet werden dürfen.13

Solche Ausnahmevorschriften müssen aber den grundsätzlichen Vorgaben der DSGVO entsprechen.14 Im Ergebnis beschränken die Öffnungsklauseln das Maß an EU-weiter Vereinheitlichung. Daher bleibt in vielen Bereichen abzuwarten, ob und in welcher Form die Mitgliedstaaten nationale Regelungen zum Beschäftigtendatenschutz erlassen werden – und welchen Spielraum der Europäische Gerichtshof (EuGH) ihnen hierfür letztlich zubilligen wird.15 Allerdings legt Erwägungsgrund 8 nahe, dass einzelstaatliche Regelungen nur in eingeschränktem Umfang möglich sind: „Wenn in dieser Verordnung Präzisierungen oder Einschränkungen ihrer Vorschriften durch das Recht der Mitgliedstaaten vorgesehen sind, können die Mitgliedstaaten Teile dieser Verordnung in ihr nationales Recht aufnehmen, soweit dies erforderlich ist, um die Kohärenz zu wahren und die nationalen Rechtsvorschriften für die Personen, für die sie gelten, verständlicher zu machen.“

9

Vgl. Erwägungsgründe 10ff.

10

Vgl. Erwägungsgrund 10.

11

Vgl. Erwägungsgründe 2 und 13.

12

Vgl. zum Begriff der Einwilligung Art. 4 Nr. 11 DSGVO.

13

Vgl. auch

Kort

, DB 2016, 711, 715.

14

Vgl. zum Regelungsrahmen bei Präzisierungen zum Beschäftigtendatenschutz etwa Art. 88 Abs. 2 DSGVO. Ausführlich hierzu auch Rn. 308 ff.

15

Vgl. Erwägungsgrund 8, der lediglich „Präzisierungen oder Einschränkungen (...) durch das Recht der Mitgliedstaaten“ erlaubt.

2. Inkrafttreten der DSGVO

Die DSGVO wurde am 14.5.2016 vom EU-Parlament verabschiedet. Die Verordnung wurde am 4.5.2016 im Amtsblatt der Europäischen Union veröffentlicht und trat am 20. Tag nach der Veröffentlichung in Kraft.16 Nach einer zweijährigen Umsetzungsfrist wird die DSGVO ab dem 25.5.2018 geltendes Recht.17 Sie hebt die EU-Datenschutzrichtlinie 95/46/EG auf.18 Die DSGVO verdrängt die deckungsgleichen Vorschriften des Bundesdatenschutzgesetzes (BDSG). Der Verordnung kommt ein sogenannter „Anwendungsvorrang“19 zu.

Die Anforderungen der Verordnung gehen in einigen Bereichen weit über die Vorgaben des BDSG hinaus. Zudem erfordern sie zahlreiche neue Prozesse, welche die Unternehmen erst implementieren müssen. Gerade die Vorschriften zur Information betroffener Personen, zur Dokumentation von Datenschutzprozessen, zur Datenübertragbarkeit, zur Datenlöschung, zum Datenschutz durch Technik und durch datenschutzfreundliche Voreinstellungen oder zur Datenschutz-Folgenabschätzung erfordern einigen Umsetzungsaufwand.

Das Bundesinnenministerium plant derzeit ein Ausführungsgesetz zur DSGVO. Ob und in welcher Form das geplante Gesetz Änderungen für die Wirtschaft mit sich bringen wird, ist noch offen. Die laufende Legislaturperiode dauert nur noch bis September 2017 an. Es besteht Handlungsbedarf. Ein mögliches Ausführungsgesetz sollte im Hinblick auf den nach bisherigem Stand dann beginnenden Wahlkampf jedenfalls bis Mitte 2017 ausgearbeitet und beschlossen sein.20

16

Vgl. Art. 99 Abs. 1 DSGVO.

17

Vgl. Art. 99 Abs. 2 DSGVO.

18

Vgl. Art. 94 Abs. 1 DSGVO.

19

Vgl. Art. 288 Abs. 2 AEUV.

20

Vgl. hierzu etwa

Kühling/Martini

, EuZW 2016, 448, 450.

3. Von der DSGVO verwendete Begriffe

Die DSGVO verwendet grundsätzlich sehr ähnliche Begriffe wie das BDSG. Allerdings gibt es einige Unterschiede, die der Anwender kennen sollte, um die Verordnung rechtssicher anwenden zu können.

Der für die „Verarbeitung personenbezogener Daten Verantwortliche“21 (oder kurz: „Verantwortlicher“) ist diejenige Stelle, die die Entscheidung über die Verarbeitung von personenbezogenen Daten trifft.22 Bei einem Unternehmen ist dies die rechtliche Person, mittels derer das Unternehmen betrieben wird, z. B. eine GmbH oder Aktiengesellschaft. Dies entspricht der bereits aus § 3 Abs. 7 BDSG bekannten Definition der „verantwortlichen Stelle“.

Ebenso wie das BDSG definiert die DSGVO den Begriff der „personenbezogenen Daten“.23 Die Verordnung bezeichnet damit alle Informationen, die sich auf eine bestimmte oder bestimmbare natürliche Person beziehen.24 Diese Person bezeichnet die DSGVO als „betroffene Person“. Dieser Begriff entspricht weitgehend dem aus § 3 Abs. 1 BDSG bekannten „Betroffenen“.

An Stelle der aus dem BDSG bekannten „Erhebung, Verarbeitung oder Nutzung“25 personenbezogener Daten tritt im Rahmen der DSGVO die „Verarbeitung“. Diese bezieht sich auf jede Verwendung personenbezogener Daten.26 Beide Begriffe sind im Wesentlichen deckungsgleich. Allerdings ist die sprachliche Vereinfachung gegenüber der „Erhebung, Verarbeitung und Nutzung personenbezogener Daten“27 nach dem BDSG zu begrüßen. Als Verarbeitung bestimmt Art. 4 Nr. 2 DSGVO jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten.

An Stelle des „Auftragsdatenverarbeiters“ nach § 11 BDSG tritt der in Art. 4 Nr. 8 DSGVO näher bestimmte „Auftragsverarbeiter“.28 Dieser bezeichnet jede natürliche oder juristische Person, Behörde, Einrichtung oder jede andere Stelle, die personenbezogene Daten im Auftrag des für die Verarbeitung Verantwortlichen verarbeitet.29

21

Auch als „Verantwortlicher“ bezeichnet.

22

Vgl. Art. 4 Nr. 7 DSGVO.

23

Siehe ausführlich zur Definition der „personenbezogenen Daten“:

Herbst

, NVwZ 2016, 902; sowie das Schlussplädoyer des Generalanwalts am EuGH, Manuel Campos Sánchez-Bordona, im Vorabentscheidungsverfahren Patrick Breyer/ Bundesrepublik Deutschland (Rs. C-582/2014),

Knoke

, ZD-Aktuell 2016, 05206, der dynamische IP-Adressen als personenbezogene Daten qualifiziert.

24

Vgl. Art. 4 Nr. 1 DSGVO.

25

Vgl. § 3 Abs. 2 bis 5 BDSG.

26

Vgl. Art. 4 Nr. 2 DSGVO.

27

Vgl. etwa § 3 Abs. 2 Satz 1 BDSG.

28

Vgl. zu den Anforderungen an Auftragsverarbeiter auch Erwägungsgrund 81.

29

Vgl. zu den Einzelheiten der Auftragsverarbeitung nach der Verordnung Art. 28 f. DSGVO.

4. Anwendungsbereich der DSGVO

Die Verordnung gilt zunächst für die Verarbeitung personenbezogener Daten durch Verantwortliche und Auftragsverarbeiter, die im Rahmen von Tätigkeiten von Niederlassungen in der EU erfolgen.30 Zudem finden die Vorschriften der DSGVO in bestimmten Fällen auch auf Verantwortliche oder Auftragsverarbeiter außerhalb der Union31 Anwendung.32

a) Sachlicher Anwendungsbereich: Welche Datenverarbeitungen sind betroffen?

Die Verordnung gilt in sachlicher Hinsicht für die automatisierte Verarbeitung personenbezogener Daten, Art. 2 Abs. 1 DSGVO. Hierbei ist es unerheblich, ob die Verarbeitung vollständig oder nur teilweise automatisiert stattfindet.33 Zudem findet die Verordnung auf die nichtautomatisierte Verarbeitung von personenbezogenen Daten Anwendung, die bereits in einer Datei gespeichert sind oder noch gespeichert werden sollen.

Damit ist der sachliche Anwendungsbereich der Verordnung in der Praxis weit gefasst. Unternehmen werden selten Daten erheben, die sie nicht im Anschluss speichern oder in sonstiger Weise weiterverarbeiten. Selbst eine zunächst nicht automatisierte Datenerhebung (z. B. durch Beobachten, Befragen, Mithören oder andere nicht technikgestützte Wahrnehmungsvorgänge) wird bei wirtschaftlich relevanten Vorgängen erfahrungsgemäß schnell Gegenstand einer späteren Speicherung.

Art. 2 Abs. 2 DSGVO regelt einige Ausnahmen, bei deren Vorliegen die Verordnung keine Anwendung findet. Für die Unternehmenspraxis relevant kann vor allem Art. 2 Abs. 2 lit. (c) DSGVO sein. Danach findet die Verordnung keine Anwendung, wenn natürliche Personen personenbezogene Daten ausschließlich zur Ausübung persönlicher oder familiärer Tätigkeiten erheben. Im Vergleich zum BDSG ändert sich der sachliche Geltungsbereich für Unternehmen insofern nicht wesentlich. Dies gilt auch in Bezug auf Daten, die erst später gespeichert werden sollen. Bereits im bisherigen Recht sieht § 29 Abs. 1 Satz 1 BDSG vor, dass die Vorgaben dieses Gesetzes auch gelten, soweit personenbezogene Daten für den Einsatz in Datenverarbeitungsanlagen erhoben werden sollen.

b) Räumlicher Anwendungsbereich: Wo gilt die Verordnung?

Die Verordnung gilt nach Art. 3 Abs. 1 DSGVO für die Datenverarbeitung im Rahmen der Tätigkeit einer Niederlassung eines Verantwortlichen oder Auftragsverarbeiters in der EU. Dabei ist unerheblich, ob die Verarbeitung in der Union stattfindet oder nicht. Entscheidend ist zunächst, ob sich die Niederlassung des Verantwortlichen oder Auftragsverarbeiters in der EU befindet (sogenanntes „Niederlassungsprinzip“).

Zudem kann die Verordnung nach Art. 3 Abs. 2 DSGVO auch für Verantwortliche oder Auftragsverarbeiter außerhalb der EU gelten (sogenanntes „Marktortprinzip“). Dies ist zum einen der Fall, wenn die Datenverarbeitung dazu dient, betroffenen Personen in der Union Waren oder Dienstleistungen anzubieten.34 Ob dies entgeltlich oder unentgeltlich geschieht, ist unerheblich. Die Verordnung gilt zudem auch dann, wenn Verantwortliche oder Auftragsverarbeiter das Verhalten betroffener Personen in der EU beobachten.35

30

Vgl. Art. 3 Abs. 1 DSGVO.

31

Soweit in der vorliegenden Einführung von der „Union“ oder der „EU“ die Rede ist, bezieht sich dies auf die Europäische Union und den Europäischen Wirtschaftsraum (EWR). Von einer jeweils gesonderten Nennung des EWR sieht die vorliegende Darstellung aus Gründen der sprachlichen Vereinfachung bewusst ab.

32

Vgl. das in Art. 3 Abs. 2 DSGVO geregelte sog. „Marktortprinzip“.

33

So der Wortlaut von Art. 2 Abs. 1 DSGVO. Vgl. auch Erwägungsgrund 15: „Um ein ernsthaftes Risiko einer Umgehung der Vorschriften zu vermeiden, sollte der Schutz natürlicher Personen technologieneutral sein und nicht von den verwendeten Techniken abhängen. Der Schutz natürlicher Personen sollte für die automatisierte Verarbeitung personenbezogener Daten ebenso gelten wie für die manuelle Verarbeitung von personenbezogenen Daten, wenn die personenbezogenen Daten in einem Dateisystem gespeichert sind oder gespeichert werden sollen. Akten oder Aktensammlungen sowie ihre Deckblätter, die nicht nach bestimmten Kriterien geordnet sind, sollten nicht in den Anwendungsbereich dieser Verordnung fallen.“

34

Vgl. Art. 3 Abs. 2 lit. (a) DSGVO.

35

Vgl. Art. 3 Abs. 2 lit. (b) DSGVO.

36

Vgl. zum Begriff der (innerhalb der EU) grenzüberschreitenden Verarbeitung Art. 4 Nr. 23 DSGVO.

II. Überblick über die Vorschriften der DSGVO – Was steht wo?

Dieses Kapitel soll dem Leser vor allem den ersten Einstieg in die DSGVO erleichtern. Es gibt einen Überblick darüber, welche Regelungen an welcher Stelle in der Verordnung zu finden sind. Die neuen Vorschriften zum EU-weiten Datenschutzrecht sind teilweise schwer verständlich formuliert. Auch die Struktur der DSGVO ist nicht gerade übersichtlich. Umso wichtiger ist es für den Anwender, sich zunächst ein Bild darüber zu verschaffen, welche Vorgaben der Verordnung in welchen Abschnitten und in welchen Artikeln zu finden sind.

Abbildung 1: Struktur der DSGVO

Abbildung 2: Überblick und Aufbau der DSGVO (Kap. 1–3)

1. Allgemeine Bestimmungen, Kapitel 1, Art. 1 bis Art. 4 DSGVO

Das erste Kapitel der Verordnung regelt Gegenstand und Ziele sowie den sachlichen und räumlichen Anwendungsbereich der DSGVO. Es enthält auch die wesentlichen Begriffsbestimmungen.

Art. 1 DSGVO bestimmt Gegenstand und Ziele des neuen EU-Datenschutzrechts.37 Die Verordnung soll das Recht natürlicher Personen auf den Schutz ihrer personenbezogenen Daten umsetzen, ohne dabei den freien Verkehr personenbezogener Daten in der EU übermäßig einzuschränken.

Art. 2 und 3 DSGVO regeln den sachlichen und räumlichen Anwendungsbereich der Verordnung.38 Sie gilt für die automatisierte Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten, die noch in Dateien gespeichert werden sollen. Die DSGVO gilt zunächst für Datenverarbeitungen im Rahmen der Tätigkeiten von Niederlassungen in der EU.39 Zudem gilt sie für Datenverarbeitungen in Bezug auf Personen in der EU durch nicht in der EU niedergelassene Verantwortliche, wenn diese betroffenen Personen in der EU Waren oder Dienstleistungen anbieten oder deren Verhalten beobachten.40

Art. 4 DSGVO enthält die wichtigsten Begriffsbestimmungen für die Anwendung der Verordnung.41

37

Vgl. zu den Zielen der DSGVO Rn. 8 ff.

38

Vgl. zum sachlichen und räumlichen Anwendungsbereich der DSGVO Rn. 21 ff.

39

Vgl. Art. 3 Abs. 1 DSGVO.

40

Vgl. Art. 3 Abs. 2 lit. (a) und (b) DSGVO.

41

Vgl. zu den Begriffsbestimmungen der DSGVO Rn. 15 ff.

2. Grundsätze der Verordnung, Kapitel 2, Art. 5 bis Art. 11 DSGVO

Art. 5 DSGVO regelt die wichtigsten Grundsätze der Verordnung.42 Die Vorschrift enthält die wesentlichsten inhaltlichen Vorgaben der DSGVO. Sie ist damit vor allem für die Auslegung der unbestimmten Rechtsbegriffe der Verordnung maßgeblich, etwa für das unter anderem in Art. 6 und Art. 9 DSGVO vorausgesetzte Kriterium der Erforderlichkeit.

Art. 5 DSGVO gibt folgende Prinzipien vor:

•     Rechtmäßigkeit (Verbot mit Erlaubnisvorbehalt),

•     Treu und Glauben (Verhältnismäßigkeit),

•     Transparenz,

•     Zweckbindung,

•     Datenminimierung,

•     Richtigkeit,

•     Speicherbegrenzung,

•     Integrität und Vertraulichkeit,

•     Rechenschaftspflicht.

Art. 6 DSGVO erlaubt den Umgang mit personenbezogenen Daten nur, wenn diese oder eine andere anwendbare Rechtsvorschrift dies vorsieht. Art. 6 DSGVO enthält die wichtigsten allgemeinen Erlaubnistatbestände der Verordnung.43 Die Regelung nimmt damit eine ähnliche Stellung ein wie § 28 BDSG im bisherigen deutschen Recht.

Art. 9 DSGVO ist eine Sondervorschrift zur Verarbeitung besonderer Kategorien personenbezogener Daten.44 Dabei ist der Katalog solcher sensitiver Daten weiter formuliert als der bislang geltende § 3 Abs. 9 BDSG. Er umfasst auch ausdrücklich genetische45 und biometrische46 Daten.

Art. 7 DSGVO regelt die Bedingungen für Einwilligungen als Rechtsgrundlage für Datenverarbeitungen.47 Danach muss der für die Verarbeitung Verantwortliche nachweisen können, dass die betroffene Person ihre Einwilligung abgegeben hat.48 Die Einwilligung muss ohne Zwang abgegeben werden. Sie kann jederzeit widerrufen werden. Die betroffene Person muss vor der Abgabe ihrer Einwilligung von der Möglichkeit zum Widerruf in Kenntnis gesetzt werden.49 Bei der Einwilligung von Kindern bis zum vollendeten 16. Lebensjahr gelten nach Art. 8 DSGVO zusätzliche Anforderungen.

42

Vgl. zu den Grundsätzen der Verordnung Rn. 61 ff.

43

Vgl. zu den Erlaubnistatbeständen der Verordnung Rn. 242 ff.

44

Vgl. zur Verarbeitung besonderer Kategorien von Daten Rn. 295 ff.

45

Vgl. zum Begriff der genetischen Daten Art. 4 Nr. 13 DSGVO.

46

Vgl. zum Begriff der biometrischen Daten Art. 4 Nr. 14 DSGVO.

47

Vgl. zur Einwilligung Rn. 281 ff.

48

Vgl. auch Art. 5 Abs. 2 und Art. 24 Abs. 1 DSGVO zur Rechenschaftspflicht.

49

Vgl. Art. 7 Abs. 3 Satz 3 DSGVO.

3. Rechte der betroffenen Person, Kapitel 3, Art. 12 bis Art. 23 DSGVO

Das dritte Kapitel der DSGVO regelt in Art. 12 bis Art. 23 die Betroffenenrechte.50 Dabei gehen vor allem die neuen Transparenz- und Informationspflichten deutlich über die bisherigen Regelungen des BDSG hinaus.

Das Kapitel regelt unter anderem:

•     transparente Information und Kommunikation gegenüber betroffenen Personen (Art. 12 DSGVO),

•     Informationspflichten bei Datenerhebung (Art. 13 und Art. 14 DSGVO),

•     Auskunftsrechte betroffener Personen (Art. 15 DSGVO),

•     das Recht auf Berichtigung (Art. 16 DSGVO),

•     das Recht auf Löschung (Art. 17 DSGVO),

•     das Recht auf Einschränkung der Verarbeitung51 (Art. 18 DSGVO),

•     das Recht auf Datenübertragbarkeit (Art. 20 DSGVO),

•     Widerspruchsrechte (Art. 21 DSGVO),

•     Profiling52 und andere automatisierte Einzelentscheidungen (Art. 22 DSGVO),

•     die Möglichkeit der Beschränkung der Betroffenenrechte durch Rechtsvorschriften der Union oder der Mitgliedstaaten (Art. 23 DSGVO).

Abbildung 3: Überblick und Aufbau der DSGVO (Kap. 4–7)

50

Vgl. zu den Betroffenenrechten Rn. 161 ff.

51

Vgl. zum Begriff der Einschränkung der Verarbeitung Art. 4 Nr. 3 DSGVO.

52

Vgl. zum Begriff des Profiling Art. 4 Nr. 4 DSGVO.

4. Verantwortlicher und Auftragsverarbeiter, Kapitel 4, Art. 24 bis Art. 43 DSGVO

Die Art. 24 bis 39 DSGVO normieren die Pflichten der für die Verarbeitung Verantwortlichen und der Auftragsverarbeiter. Geregelt sind etwa:

•     die Sicherstellung geeigneter technischer und organisatorischer Maßnahmen (Art. 24 DSGVO),53

•     Datenschutz durch Technik und datenschutzfreundliche Voreinstellungen (Art. 25 DSGVO),54

•     die Organisation der Pflichtenaufteilung bei gemeinsam für Verarbeitungen Verantwortlichen (Art. 26 DSGVO)55 sowie die

•     Auftragsverarbeitung (Art. 28 bis Art. 31 DSGVO).56

Zudem umfasst das vierte Kapitel der Verordnung die folgenden Anforderungen:

•     Datensicherheit (Art. 32 DSGVO),57

•     Meldungen an Aufsichtsbehörden (Art. 33 DSGVO)58 sowie

•     Meldungen an betroffene Personen (Art. 34 DSGVO).59

Von besonderer Bedeutung für die Praxis ist dabei die in Art. 35 DSGVO vorgesehene Datenschutz-Folgenabschätzung.60 Kann man bei einer Verarbeitung hohe Risiken für betroffene Personen nicht vermeiden oder eindämmen, muss der Verantwortliche nach Art. 36 DSGVO die zuständige Aufsichtsbehörde konsultieren.

Die Bestellung sowie die Rechte und Pflichten des betrieblichen Datenschutzbeauftragten sind in Art. 37 bis Art. 39 DSGVO geregelt.61

Die Art. 40 bis Art. 43 DSGVO regeln Verhaltensregeln und Zertifizierung.

53

Vgl. zur Sicherstellung geeigneter technischer und organisatorischer Maßnahmen Rn. 100 ff.

54

Vgl. zum Datenschutz durch Technik und datenschutzfreundliche Voreinstellungen Rn. 134 ff.

55

Vgl. zur Organisation der Pflichtenaufteilung bei gemeinsam für Verarbeitungen Verantwortlichen Rn. 192 ff.

56

Vgl. zur Auftragsverarbeitung Rn. 201 ff.

57

Vgl. zur Datensicherheit Rn. 145 ff.

58

Vgl. zum Begriff der Aufsichtsbehörden Art. 4 Nr. 21 DSGVO.

59

Vgl. zu den Meldepflichten nach Art. 33 und 34 DSGVO Rn. 128 ff.

60

Vgl. zur Datenschutz-Folgenabschätzung Rn. 118 ff.

61

Vgl. zu den Rechten und Pflichten des Datenschutzbeauftragten Rn. 151 ff.

5. Übermittlung personenbezogener Daten in Drittländer, Kapitel 5,Art. 44 bis Art. 50 DSGVO

Die Art. 44 bis Art. 50 DSGVO regeln die Datenübermittlung in Drittländer.62 Hier bleibt es im Grundsatz bei den aus dem BDSG bzw. der EU-Datenschutzrichtlinie bekannten Mechanismen. Die Übermittlung personenbezogener Daten in Drittländer (oder an internationale Organisationen63) ist nur dann zulässig, wenn der Verantwortliche die in Kapitel 5 der DSGVO niedergelegten Bestimmungen einhält.64

Nach Art. 45 DSGVO können Angemessenheitsbeschlüsse (sogenannte „Adäquanzentscheidungen“) der EU-Kommission das Vorliegen eines angemessenen Schutzniveaus bestätigen, sodass eine Übermittlung personenbezogener Daten in die entsprechenden Drittstaaten zulässig ist. Diese Übermittlungen bedürfen dann keiner besonderen Genehmigung.

Art. 46 DSGVO sieht vor, dass Datenübermittlungen auch auf der Basis geeigneter Garantien zulässig sein können, etwa aufgrund von verbindlichen unternehmensinternen Datenschutzvorschriften65 (Binding Corporate Rules – sogenannte „BCRs“66) oder Standarddatenschutzklauseln, die von der Kommission gemäß dem Prüfverfahren nach Art. 93 Abs. 2 DSGVO erlassen werden können.67

Art. 49 DSGVO regelt Ausnahmen für Sonderfälle. Die Vorschrift übernimmt damit im Wesentlichen die Funktion des bisherigen § 4c Abs. 1 BDSG.

62

Vgl. zur Übermittlung personenbezogener Daten in Drittländer Rn. 210 ff.

63

Vgl. zum Begriff der internationalen Organisation Art. 4 Nr. 26 DSGVO.

64

Vgl. Art. 44 DSGVO.

65

Vgl. zum Begriff der verbindlichen internen Datenschutzvorschriften Art. 4 Nr. 20 DSGVO.

66

Vgl. Art. 47 DSGVO.

67

Vgl. Art. 46 Abs. 2 lit. (c) DSGVO.

6. Aufsichtsbehörden, Kapitel 6 und 7, Art. 51 bis 76 DSGVO

Art. 51 bis Art. 59 DSGVO regeln Zuständigkeit, Aufgaben sowie Rechte und Pflichten der Aufsichtsbehörden.68

Art. 60 bis Art. 76 DSGVO enthalten Regelungen zur Zusammenarbeit zwischen den Aufsichtsbehörden. Dabei soll dem neu zu gründenden Europäischen Datenschutzausschuss insbesondere bei der Vereinheitlichung der Anwendung der DSGVO eine besondere Rolle zukommen. In der Praxis sind dabei vor allem auch die Befugnisse der Aufsichtsbehörden gegenüber Unternehmen maßgeblich. Darunter fällt auch die Zuständigkeit, Geldbußen nach Art. 83 DSGVO zu verhängen.

68

Vgl. zu den Aufsichtsbehörden Rn. 234 ff.

7. Rechtsbehelfe, Haftung, Sanktionen, Kapitel 8, Art. 77 bis Art. 84 DSGVO

Art. 77 DSGVO regelt das Recht betroffener Personen, sich bei einer Aufsichtsbehörde zu beschweren. Entscheidungen der Aufsichtsbehörde über solche Beschwerden können nach Art. 78 DSGVO gerichtlich überprüft werden. Auch gegen Verantwortliche und Auftragsverarbeiter steht der Rechtsweg offen, Art. 79 DSGVO.

Abbildung 4: Überblick und Aufbau der DSGVO (Kap. 8–11)

Art. 80 DSGVO sieht für mögliche Datenschutzverstöße ein Verbandsklagerecht vor. Haftung und Schadensersatz sind in Art. 82 DSGVO geregelt.69

Art. 83 DSGVO sieht für an Verstößen gegen die Verordnung beteiligte Personen Bußgelder von bis zu 20 Millionen Euro vor.70 Für Unternehmen ist der Bußgeldrahmen sogar noch höher. Es drohen bis zu vier Prozent des globalen konzernweiten Umsatzes des Vorjahres.71 Dabei sind anders als in § 43 BDSG Verstöße gegen ausgesprochen viele Vorschriften der DSGVO sanktionsbewehrt.72

69

Vgl. zu Haftung und Schadensersatz Rn. 91 ff.

70

Vgl. zu den Bußgeldern Rn. 94 ff.

71

Vgl.

Faust/Spittka/Wybitul

, ZD 2016, 105 ff.

72

Vgl. hierzu Art. 83 Abs. 4 bis 6 DSGVO.

8. Besondere Datenverarbeitungssituationen, Kapitel 9, Art. 85 bis Art. 91 DSGVO

Das neunte Kapitel der DSGVO enthält Vorschriften für besondere Verarbeitungssituationen, etwa zur Verarbeitung personenbezogener Daten und zur Freiheit der Meinungsäußerung sowie der Informationsfreiheit gemäß Art. 85 DSGVO, oder für den Zugang der Öffentlichkeit zu amtlichen Dokumenten, Art. 86 DSGVO.

Für die Praxis dürfte dabei die Öffnungsklausel des Art. 88 DSGVO besonders maßgeblich sein.73 Sie erlaubt es den einzelnen Mitgliedstaaten, den Datenschutz im Beschäftigungsverhältnis durch einzelstaatliches Recht zu regeln (wie etwa durch den derzeit bereits geltenden § 32 Abs. 1 BDSG).74 Auch Betriebsvereinbarungen und andere Kollektivvereinbarungen, etwa Tarifverträge, können danach den Umgang mit personenbezogenen Daten im Beschäftigungskontext erlauben, wenn sie geeignete und besondere Maßnahmen zur Wahrung der menschlichen Würde, der berechtigten Interessen und der Grundrechte der betroffenen Person umfassen, Art. 88 Abs. 2 DSGVO.

73

Vgl. zum Beschäftigtendatenschutz Rn. 308 ff.

74

Vgl.

Wybitul/Pötters

, RDV 2016, 10ff.;

Gola/Pötters/Thüsing

, RDV 2016, 55 ff.

9. Delegierte Rechtsakte und Durchführungsrechtsakte, Kapitel 10, Art. 92 und 93 DSGVO

Art. 92 und Art. 93 DSGVO regeln Befugnisse der Kommission zum Erlass delegierter Rechtsakte und von Durchführungsrechtsakten. Dieser Teil der Verordnung betrifft die Rechte der EU-Kommission und ist für die praktische Umsetzung der DSGVO im Unternehmen noch nicht relevant.

10. Schlussbestimmungen, Kapitel 11, Art 94 bis Art. 99 DSGVO

Das elfte Kapitel der DSGVO enthält Schlussbestimmungen, wie zur Aufhebung der Datenschutzrichtlinie gemäß Art. 91 DSGVO oder zum Zeitpunkt des Inkrafttretens der Verordnung, Art. 99 DSGVO. Für den Praktiker ist dabei wichtig, dass die DSGVO ab dem 25.5.2018 verbindlich gilt. Bis spätestens dahin müssen Unternehmen die Anforderungen der Verordnung vollständig umgesetzt haben.

III. Grundsätze der DSGVO

Dieses Kapitel beschreibt die wesentlichen Prinzipien der DSGVO. Es zeigt auch, warum gerade die Kenntnis dieser Prinzipien für den Anwender in der Praxis ausgesprochen wichtig ist. Zudem ist die Kenntnis der hier beschriebenen Grundsätze des Art. 5 DSGVO eine wichtige Basis für das Verständnis der wesentlichen Strukturen und Anforderungen der Verordnung.

1. Bedeutung der Grundsätze der DSGVO für die Praxis

Die wesentlichen Grundsätze des neuen EU-Datenschutzrechts sind in Art. 5 DSGVO geregelt. Ein klares Verständnis der in Art. 5 DSGVO normierten Vorgaben ist für die Auslegung und Anwendung der Vorschriften der gesamten Verordnung notwendig.

Art. 5 DSGVO gibt die folgenden Grundsätze vor:

•     Rechtmäßigkeit (Verbot mit Erlaubnisvorbehalt),75

•     Verarbeitung nach Treu und Glauben (Verhältnismäßigkeitsgrundsatz),76

•     Transparenz,77

•     Zweckbindung,78

•     Datenminimierung,79

•     Richtigkeit,80

•     Speicherbegrenzung,81

•     Integrität und Vertraulichkeit,82

•     Rechenschaftspflicht.83

Nach Art. 83 Abs. 5 lit. (a) DSGVO drohen bei der fehlenden oder mangelhaften Umsetzung der Grundprinzipien der DSGVO Bußgelder von bis zu vier Prozent des globalen Umsatzes des Konzerns bzw. des Unternehmens. Daher sind die Grundprinzipien der Verordnung etwa auch aus Compliance-Sicht eine maßgebliche Anforderung an Unternehmen.

75

Vgl. Art. 5 Abs. 1 lit. (a) DSGVO.

76

Vgl. Art. 5 Abs. 1 lit. (a) DSGVO sowie Erwägungsgrund 4.

77

Vgl. Art. 5 Abs. 1 lit. (a) DSGVO. Vgl. Erwägungsgrund 39: „Für natürliche Personen sollte Transparenz dahingehend bestehen, dass sie betreffende personenbezogene Daten erhoben, verwendet, eingesehen oder anderweitig verarbeitet werden und in welchem Umfang die personenbezogenen Daten verarbeitet werden und künftig noch verarbeitet werden. Der Grundsatz der Transparenz setzt voraus, dass alle Informationen und Mitteilungen zur Verarbeitung dieser personenbezogenen Daten leicht zugänglich und verständlich und in klarer und einfacher Sprache abgefasst sind. Dieser Grundsatz betrifft insbesondere die Informationen über die Identität des Verantwortlichen und die Zwecke der Verarbeitung und sonstige Informationen, die eine faire und transparente Verarbeitung im Hinblick auf die betroffenen natürlichen Personen gewährleisten, sowie deren Recht, eine Bestätigung und Auskunft darüber zu erhalten, welche sie betreffende personenbezogene Daten verarbeitet werden. Natürliche Personen sollten über die Risiken, Vorschriften, Garantien und Rechte im Zusammenhang mit der Verarbeitung personenbezogener Daten informiert und darüber aufgeklärt werden, wie sie ihre diesbezüglichen Rechte geltend machen können.“

78

Vgl. Art. 5 Abs. 1 lit. (b) DSGVO. Vgl. Erwägungsgrund 39: „Insbesondere sollten die bestimmten Zwecke, zu denen die personenbezogenen Daten verarbeitet werden, eindeutig und rechtmäßig sein und zum Zeitpunkt der Erhebung der personenbezogenen Daten feststehen. Die personenbezogenen Daten sollten für die Zwecke, zu denen sie verarbeitet werden, angemessen und erheblich sowie auf das für die Zwecke ihrer Verarbeitung notwendige Maß beschränkt sein. Dies erfordert insbesondere, dass die Speicherfrist für personenbezogene Daten auf das unbedingt erforderliche Mindestmaß beschränkt bleibt.“

79

Vgl. Art. 5 Abs. 1 lit. (c) DSGVO. Vgl. Erwägungsgrund 39: „Personenbezogene Daten sollten nur verarbeitet werden dürfen, wenn der Zweck der Verarbeitung nicht in zumutbarer Weise durch andere Mittel erreicht werden kann.“

80

Vgl. Art. 5 Abs. 1 lit. (d) DSGVO.

81

Vgl. Art. 5 Abs. 1 lit. (e) DSGVO. Vgl. Erwägungsgrund 39: „Um sicherzustellen, dass die personenbezogenen Daten nicht länger als nötig gespeichert werden, sollte der Verantwortliche Fristen für ihre Löschung oder regelmäßige Überprüfung vorsehen. Es sollten alle vertretbaren Schritte unternommen werden, damit unrichtige personenbezogene Daten gelöscht oder berichtigt werden.“

82

Vgl. Art. 5 Abs. 1 lit. (f) DSGVO.

83

Vgl. Art. 5 Abs. 2 DSGVO.

2. Die einzelnen Prinzipien der DSGVO

Die in Art. 5 Abs. 1 DSGVO geregelten Grundsätze fassen nicht nur die allgemeine Programmatik der Verordnung zusammen. Richtigerweise sind sie darüber hinaus auch zur Auslegung der unbestimmten Rechtsbegriffe der DSGVO heranzuziehen. Dies gilt insbesondere für die nähere Bestimmung des etwa in Art. 6 und Art. 9 DSGVO vorausgesetzten Kriteriums der Erforderlichkeit.

a) Rechtmäßigkeit (Verbot mit Erlaubnisvorbehalt), Art. 5 Abs. 1 lit. (a) DSGVO