EU-Datenschutz-Grundverordnung - Tim Wybitul - E-Book

EU-Datenschutz-Grundverordnung E-Book

Tim Wybitul

0,0
114,99 €

Beschreibung

Ab Mai 2018 ersetzt die EU-Datenschutz-Grundverordnung (DSGVO) die bislang in Europa geltenden Regelungen zum Datenschutz. Das neue Datenschutzrecht gilt dann in allen EU-Mitgliedsstaaten unmittelbar und direkt. Unternehmen müssen sich bei Transparenzpflichten, Dokumentation, Verantwortlichkeit und Haftung auf umfassende Veränderungen einstellen. Bei Fehlern drohen Bußgelder von bis zu 20 Millionen Euro – für Unternehmen können sogar bis zu 4 Prozent des weltweiten Umsatzes fällig werden. Dieses Handbuch richtet sich an Datenschutz-Verantwortliche in Unternehmen. Er bietet mit kurzen Kommentierungen einen unkomplizierten Einstieg in das neue europäische Datenschutzrecht und damit die Möglichkeit, sich schnell in die komplexen Regelungen der DSGVO einzuarbeiten. Dabei steht nicht deren wissenschaftliche Aufarbeitung, sondern die praktische Umsetzung im Vordergrund. Das Buch orientiert sich an den Anforderungen der Wirtschaft und der Vermeidung von Risiken durch mögliche Fehler bei der Umsetzung. Als leicht verständlichen Einführungsteil enthält es einen aktualisierten Abdruck des bereits erschienenen Praxisleitfadens, der primär die für Wirtschaftsunternehmen wesentlichen Vorschriften der DSGVO erläutert. Sämtliche Mitautoren sind ausgewiesene Praktiker. Die ausgewogene Mischung aus betrieblichen Datenschutzbeauftragten und Datenschutzanwälten stellt eine hohe Praxistauglichkeit bei rechtlicher Belastbarkeit der vorgeschlagenen Lösungen sicher.

Das E-Book können Sie in Legimi-Apps oder einer beliebigen App lesen, die das folgende Format unterstützen:

EPUB

Seitenzahl: 1246

Bewertungen
0,0
0
0
0
0
0



Vorwort

Die EU-Datenschutz-Grundverordnung (DSGVO) gilt ab dem 25.5.2018. Setzen Unternehmen die Vorgaben der DSGVO nicht hinreichend um, drohen hohe Bußgelder, Schadensersatzprozesse und weitere Nachteile. Das vorliegende Handbuch soll Unternehmen dabei helfen, sich auf die Anforderungen der DSGVO vorzubereiten.

Die Autoren sind Praktiker aus Unternehmen und Beratung und verfügen über teilweise langjährige Erfahrung im Datenschutzrecht und Datenschutz-Management. Das vorliegende Handbuch gibt Empfehlungen zur Auslegung und Umsetzung der Anforderungen der DSGVO. Der Schwerpunkt der Darstellung liegt dabei auf der praktischen Arbeit im Datenschutz. Weder soll das Handbuch eine wissenschaftliche Abhandlung noch eine an die Rechtswissenschaft gerichtete Kommentierung ersetzen, es ist vielmehr eine Arbeitshilfe für Projekte zur Umsetzung der DSGVO und zur Schaffung der hierfür erforderlichen Prozesse und Strukturen. Dementsprechend liegt der Schwerpunkt der Darstellung auf den für die Wirtschaft wichtigen Themen, andere Aspekte, wie etwa die Mechanismen zur Zusammenarbeit und der Abstimmung zwischen den Aufsichtsbehörden, werden nur am Rande angesprochen.

Auch das derzeit in Bundestag und Bundesrat verhandelte Datenschutz-Anpassungs- und Umsetzungsgesetz-EU (DSAnpUG-EU) wird in dem vorliegenden Buch nicht berücksichtigt. Zwar scheint sich immer klarer abzuzeichnen, dass das DSAnpUG-EU und das darin geregelte neue BDSG wohl noch in dieser Legislaturperiode verabschiedet werden. Allerdings hat der Bundesrat den vorgelegten Entwurf teilweise massiv kritisiert und viele Änderungen gefordert, vgl. BR-Drucks. 110/17 (Beschluss). Daher ist nach wie vor offen, welche Regelungen des Entwurfs die Parlamentarier verabschieden und in welcher Form. Zudem bewerten die Aufsichtsbehörden für den Datenschutz einige Regelungen als europarechtswidrig, etwa die geplante Einschränkung der Betroffenenrechte. Einige Behörden haben angekündigt, diese Regelungen selbst dann nicht anzuwenden, wenn der Gesetzgeber sie im Rahmen der beabsichtigten Neufassung des BDSG tatsächlich beschließen sollte. Auch vor diesem Hintergrund beschränkt sich das vorliegende Handbuch auf die Anforderungen der DSGVO.

Viele Vorschriften der DSGVO sind auslegungsbedürftig. Das vorliegende Handbuch gibt Vorschläge zur Anwendung dieser Vorschriften. Es bleibt abzuwarten, in welchen Fällen Gerichte und Behörden den hier vorgeschlagenen Auslegungsansätzen folgen werden und in welchen Fällen nicht. Ebenso sind bei der ersten Auflage eines Handbuchs zu einem derart komplexen Gebilde wie der DSGVO Fehler und Ungenauigkeiten leider unabwendbar. Die Autoren, der Verlag und der Herausgeber würden sich daher sehr über entsprechende Hinweise und Verbesserungsvorschläge freuen.

Kronberg, im März 2017

Tim Wybitul

Bearbeiterverzeichnis

Bausewein, Dr. Christoph

Rechtsanwalt und Syndikusrechtsanwalt, Konzerndatenschutzbeauftragter mit internationalem Zuständigkeitsbereich bei einem US-amerikanischen Technologieunternehmen

Böhm, Dr. Wolf-Tassilo

Rechtsanwalt, Senior Associate –  Hogan Lovells International LLP, Frankfurt am Main

Draf, Dr. Oliver

Rechtsanwalt (Syndikusrechtsanwalt), Leiter Datenschutz –  Allianz Deutschland AG, München

Ettig, Dr. Diana, LL.M.

Rechtsanwältin –  DAMM | Rechtsanwälte, Frankfurt am Main

Fladung, Armin

Rechtsanwalt, Compliance-Officer (TÜV), Ressortleiter Arbeitsrecht und Compliance –  CAD-Institut und Arbeitgeberverband Chemie Rheinland-Pfalz, Ludwigshafen

Hanßen, Dr. Henrik

Rechtsanwalt, Associate –  Hogan Lovells International LLP, Hamburg

Krätschmer, Dr. Stefan

Rechtsanwalt (Syndikusrechtsanwalt), Data Privacy Officer, Europe –  IBM, Ehningen

Pflüger, Dr. Martin

Rechtsanwalt, Counsel –  Hogan Lovells International LLP, München

Pötters, Dr. Stephan, LL.M. (Cambridge)

Rechtsanwalt –  Seitz Rechtsanwälte Steuerberater Partnerschaftsgesellschaft mbB, Köln

Rauer, Dr. Nils, MJI

Rechtsanwalt, Partner –  Hogan Lovells International LLP, Frankfurt am Main

Schreibauer, Dr. Marcus

Rechtsanwalt, Partner, Fachanwalt für Informationstechnologierecht –  Hogan Lovells International LLP, Düsseldorf

Schuppert, Dr. Stefan, LL.M. (Harvard)

Rechtsanwalt, Partner –  Hogan Lovells International LLP, München

Sigel, Paul

Wissenschaftlicher Mitarbeiter, Hogan Lovells International LLP, Frankfurt am Main

Spittka, Jan

Rechtsanwalt, Senior Associate –  DLA Piper UK LLP, Köln

Steinhaus, Jörg, M.A., LL.M.

Datenschutzbeauftragter –  Fresenius SE & Co. KGaA, Bad Homburg

Ströbel, Dr. Lukas

Rechtsanwalt, Associate –  Hogan Lovells International LLP, Frankfurt am Main

Tinnefeld, Dr. Christian

Rechtsanwalt, Counsel –  Hogan Lovells International LLP, Hamburg

Wybitul, Tim

Rechtsanwalt, Fachanwalt für Arbeitsrecht, Partner –  Hogan Lovells International LLP, Frankfurt am Main

Inhaltsverzeichnis

Vorwort

Bearbeiterverzeichnis

Abkürzungsverzeichnis

Teil 1 Einleitung

I. Ziele, Umsetzung und Anwendung der DSGVO

1. Ziele der Verordnung

2. Inkrafttreten der DSGVO

3. Von der DSGVO verwendete Begriffe

4. Anwendungsbereich der DSGVO

a) Sachlicher Anwendungsbereich: Welche Datenverarbeitungen sind betroffen?

b) Räumlicher Anwendungsbereich: Wo gilt die Verordnung?

II. Überblick über die Vorschriften der DSGVO – Was steht wo?

1. Allgemeine Bestimmungen (Kapitel 1, Art. 1 bis Art. 4 DSGVO)

2. Grundsätze der Verordnung (Kapitel 2, Art. 5 bis Art. 11 DSGVO)

3. Rechte der betroffenen Person (Kapitel 3, Art. 12 bis Art. 23 DSGVO)

4. Verantwortlicher und Auftragsverarbeiter (Kapitel 4, Art. 24 bis Art. 43 DSGVO)

5. Übermittlung personenbezogener Daten in Drittländer (Kapitel 5, Art. 44 bis Art. 50 DSGVO)

6. Aufsichtsbehörden (Kapitel 6 und 7, Art. 51 bis 76 DSGVO)

7. Rechtsbehelfe, Haftung, Sanktionen (Kapitel 8, Art. 77 bis Art. 84 DSGVO)

8. Besondere Datenverarbeitungssituationen (Kapitel 9, Art. 85 bis Art. 91 DSGVO)

9. Delegierte Rechtsakte und Durchführungsrechtsakte (Kapitel 10, Art. 92 und 93 DSGVO)

10. Schlussbestimmungen (Kapitel 11, Art. 94 bis Art. 99 DSGVO)

III. Grundsätze der DSGVO

1. Bedeutung der Grundsätze der DSGVO für die Praxis

2. Die einzelnen Prinzipien der DSGVO

a) Rechtmäßigkeit (Verbot mit Erlaubnisvorbehalt) (Art. 5 Abs. 1 lit. a) DSGVO)

b) Treu und Glauben (Fairness) (Art. 5 Abs. 1 lit. a) DSGVO)

c) Transparenz (Art. 5 Abs. 1 lit. a) DSGVO)

d) Zweckbindung (Art. 5 Abs. 1 lit. b) DSGVO)

e) Datenminimierung (Art. 5 Abs. 1 lit. c) DSGVO)

f) Richtigkeit (Art. 5 Abs. 1 lit. d) DSGVO)

g) Speicherbegrenzung (Art. 5 Abs. 1 lit. e) DSGVO)

h) Integrität und Vertraulichkeit (Art. 5 Abs. 1 lit. f) DSGVO)

i) Rechenschaftspflicht (Art. 5 Abs. 2 DSGVO)

IV. Praktische Folgen – Wichtige Änderungen auf einen Blick

1. Grundlagen der DSGVO

a) Vorrang der DSGVO vor anderen Rechtsvorschriften der Mitgliedstaaten

b) Globale Anwendung der DSGVO

c) Erweiterte Haftung für Verantwortliche und Auftragsverarbeiter

d) Höhere Bußgelder

2. Neue Pflichten für Unternehmen

a) Erweiterte Dokumentations- und Nachweispflichten

b) Risikobasierter Datenschutz

c) Informationspflichten des Verantwortlichen bei Datenerhebung

d) Datenschutz-Folgenabschätzung

e) Striktere Löschpflichten und Recht auf Vergessenwerden

f) Erhebliche Melde- und Benachrichtigungspflichten bei Datenschutzverletzungen

g) Datenschutz durch Technik und datenschutzrechtliche Voreinstellungen

h) Verzeichnis von Verarbeitungstätigkeiten

i) Datensicherheit

j) Zusätzliche Verantwortung für Datenschutzbeauftragte

3. Betroffenenrechte (Art. 15 ff. DSGVO)

a) Recht auf Auskunft (Art. 15 DSGVO)

b) Recht auf Berichtigung (Art. 16 DSGVO)

c) Pflicht zur Löschung von Daten (Art. 17 DSGVO)

d) Recht auf Vergessenwerden (Art. 17 Abs. 2 DSGVO)

e) Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)

f) Recht auf Datenübertragbarkeit (Art. 20 DSGVO)

g) Widerspruchsrecht

h) Automatisierte Entscheidung im Einzelfall (einschließlich Profiling)

4. Gemeinsam für Verarbeitungen Verantwortliche

5. Auftragsverarbeitung

6. Datenaustausch im Konzern

7. Übermittlung personenbezogener Daten in Drittländer

a) Voraussetzungen grenzüberschreitender Datenübermittlungen in Drittländer

b) Datenschutzrechtliche Folgen des „Brexit“

8. Aufsichtsbehörden

9. Bewertung der Veränderungen durch die DSGVO – Folgen für Unternehmen

V. Erlaubnistatbestände der DSGVO

1. Überblick

a) Datenverarbeitungen nach Art. 6 DSGVO

b) Datenverarbeitungen auf der Grundlage von Einwilligungen

c) Verarbeitung besonderer Kategorien personenbezogener Daten

d) Verarbeitung von Daten über strafrechtliche Verurteilungen und Straftaten

e) Besondere Verarbeitungssituationen

2. Erfüllung einer vertraglichen Verpflichtung (Art. 6 Abs. 1 lit. b) DSGVO)

a) Erfüllung einer vertraglichen Pflicht

b) Sonstige Anforderungen aus Art. 5 DSGVO

3. Wahrung berechtigter Interessen (Art. 6 Abs. 1 lit. f) DSGVO)

a) Funktion von Art. 6 Abs. 1 lit. f) DSGVO

b) Interessenabwägung

4. Zweckänderungen (Art. 6 Abs. 4 DSGVO)

5. Erfüllung einer rechtlichen Verpflichtung (Art. 6 Abs. 1 lit. c) DSGVO)

a) Anforderungen an Rechtsvorschriften nach Art. 6 Abs. 3 DSGVO

6. Lebenswichtiges Interesse, öffentliches Interesse oder Ausübung öffentlicher Gewalt (Art. 6 Abs. 1 lit. d), e) DSGVO)

7. Einwilligung (Art. 6 Abs. 1 lit. a) DSGVO)

a) Anforderungen an Einwilligungen

b) Koppelungsverbot bei Einwilligungen

c) Einwilligungen in der Praxis

8. Verarbeitung besonderer Kategorien personenbezogener Daten

a) Erlaubnis zur Verarbeitung besonderer Kategorien personenbezogener Daten

b) Erlaubnistatbestände zur Verarbeitung von Daten nach Art. 9 Abs. 2 DSGVO

9. Verarbeitung von Daten über strafrechtliche Verurteilungen und Straftaten (Art. 10 DSGVO)

a) Anwendungsbereich von Art. 10 DSGVO

b) Sonderfall: Datenverarbeitung für Compliance-Zwecke

10. Besondere Verarbeitungssituationen – insbesondere Beschäftigtendatenschutz

a) Beschäftigtendatenschutz nach Art. 88 DSGVO

b) Regelung durch Rechtsvorschriften

c) Regelung durch Kollektivvereinbarungen

d) Folgen des Anwendungsvorrangs der Verordnung für Informationsrechte des Betriebsrats

VI. Projektplanung und Checkliste zur Umsetzung der DSGVO im Unternehmen

1. Überblick zur Implementierung der DSGVO

a) Projektteam

b) Festlegung von Projektzielen

c) Ressourcenplanung

d) Budgetplanung

e) Bestandsaufnahme bestehender Datenschutzstrukturen

f) Verarbeitungsverzeichnis

g) Rechtmäßigkeitsgrundlagen

h) Gap-Analyse

i) Lösungsoptionen

j) Einbindung Datenschutzbeauftragter

k) Risikoanalyse DSGVO

l) Datenschutzkommunikation

m) Datenschutzberatung

n) Betriebsrat

o) Betriebsvereinbarungen

p) Datenschutzschulung und -sensibilisierung

q) Datenschutz-Management-System

r) Auftragsverarbeitung

s) Gemeinsam Verantwortliche

t) Beschwerdemanagement

u) Überprüfung bestehender Verträge

v) Einwilligungsmanagement

2. Projektplanung der Umsetzung

a) Vorphase

b) Voruntersuchung

c) Umsetzungsphase

3. Besondere Herausforderungen

a) Organisation

b) IT-Prozesse und Anwendungen

4. Regelbetrieb

5. Fazit und Ausblick

VII. Gesetzentwurf zur Anpassung des BDSG

1. Entstehungsgeschichte

2. Die für die Praxis wichtigsten Änderungen

3. Zusammenfassung und Ausblick

Anhang: Mustersammlung

Muster 1 Maßnahmen zur Umsetzung der DSGVO im Unternehmen

Grobschema für einen Ablaufplan zur Umsetzung der DSGVO

Anlage Priorisierung der Maßnahmen (Beispiel)

Muster 2 Verarbeitungsverzeichnis für Unternehmen (Art. 30 Abs. 1 DSGVO)

Kontaktdaten Verantwortlicher

Verzeichnis der Verarbeitungstätigkeiten

Beispiel für eine Anlage zur Beschreibung einzelner Verarbeitungen

Muster 3 Datenschutz-Folgenabschätzung für Unternehmen, Art. 35 DSGVO

Muster 4 Anlage Auftragsverarbeitung zum Vertrag

Anhang 1 Angaben zur Datenverarbeitung

Anhang 2 Datenschutzbeauftragter, Weisungsberechtigte, Weisungsempfänger

Anhang 3 Technische und organisatorische Maßnahmen zum Datenschutz

Anhang 4 Auflistung der für den Auftragnehmer tätigen Subunternehmer

Muster 5 Ablaufplan bei Datenschutzverletzungen in Unternehmen

Anlage Mitarbeiteranweisung für Datenschutzverletzungen

Teil 2 Abdruck und Kurzkommentierung der für Unternehmen wichtigsten Vorschriften der DSGVO

KAPITEL I Allgemeine Bestimmungen

Art. 1 Gegenstand und Ziele

Art. 2 Sachlicher Anwendungsbereich

Art. 3 Räumlicher Anwendungsbereich

Art. 4 Begriffsbestimmungen

KAPITEL II Grundsätze

Art. 5 Grundsätze für die Verarbeitung personenbezogener Daten

Art. 6 Rechtmäßigkeit der Verarbeitung

Art. 7 Bedingungen für die Einwilligung

Art. 8 Bedingungen für die Einwilligung eines Kindes in Bezug auf Dienste der Informationsgesellschaft

Art. 9 Verarbeitung besonderer Kategorien personenbezogener Daten

Art. 10 Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten

Art. 11 Verarbeitung, für die eine Identifizierung der betroffenen Person nicht erforderlich ist

KAPITEL III Rechte der betroffenen Person

Abschnitt 1 Transparenz und Modalitäten

Art. 12 Transparente Information, Kommunikation und Modalitäten für die Ausübung der Rechte der betroffenen Person

Abschnitt 2 Informationspflicht und Recht auf Auskunft zu personenbezogenen Daten

Art. 13 Informationspflicht bei Erhebung von personenbezogenen Daten bei der betroffenen Person

Art. 14 Informationspflicht, wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben wurden

Art. 15 Auskunftsrecht der betroffenen Person

Abschnitt 3 Berichtigung und Löschung

Art. 16 Recht auf Berichtigung

Art. 17 Recht auf Löschung („Recht auf Vergessenwerden“)

Art. 18 Recht auf Einschränkung der Verarbeitung

Art. 19 Mitteilungspflicht im Zusammenhang mit der Berichtigung oder Löschung personenbezogener Daten oder der Einschränkung der Verarbeitung

Art. 20 Recht auf Datenübertragbarkeit

Abschnitt 4 Widerspruchsrecht und automatisierte Entscheidungsfindung im Einzelfall

Art. 21 Widerspruchsrecht

Art. 22 Automatisierte Entscheidungen im Einzelfall einschließlich Profiling

Abschnitt 5 Beschränkungen

Art. 23 Beschränkungen

KAPITEL IV Verantwortlicher und Auftragsverarbeiter

Abschnitt 1 Allgemeine Pflichten

Art. 24 Verantwortung des für die Verarbeitung Verantwortlichen

Art. 25 Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen

Art. 26 Gemeinsam für die Verarbeitung Verantwortliche

Art. 27 Vertreter von nicht in der Union niedergelassenen Verantwortlichen oder Auftragsverarbeitern

Art. 28 Auftragsverarbeiter

Art. 29 Verarbeitung unter der Aufsicht des Verantwortlichen oder des Auftragsverarbeiters

Art. 30 Verzeichnis von Verarbeitungstätigkeiten

Art. 31 Zusammenarbeit mit der Aufsichtsbehörde

Abschnitt 2 Sicherheit personenbezogener Daten

Art. 32 Sicherheit der Verarbeitung

Art. 33 Meldung von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde

Art. 34 Benachrichtigung der von einer Verletzung des Schutzes personenbezogener Daten betroffenen Person

Abschnitt 3 Datenschutz-Folgenabschätzung und vorherige Konsultation

Art. 35 Datenschutz-Folgenabschätzung

Art. 36 Vorherige Konsultation

Abschnitt 4 Datenschutzbeauftragter

Vor Art. 37

Art. 37 Benennung eines Datenschutzbeauftragten

Art. 38 Stellung des Datenschutzbeauftragten

Art. 39 Aufgaben des Datenschutzbeauftragten

Abschnitt 5 Verhaltensregeln und Zertifizierung

Art. 40 Verhaltensregeln

Art. 41 Überwachung der genehmigten Verhaltensregeln

Art. 42 Zertifizierung

Art. 43 Zertifizierungsstellen

KAPITEL V Übermittlung personenbezogener Daten an Drittländer oder an internationale Organisation

Art. 44 Allgemeine Grundsätze der Datenübermittlung

Art. 45 Datenübermittlung auf der Grundlage eines Angemessenheitsbeschlusses

Art. 46 Datenübermittlung vorbehaltlich geeigneter Garantien

Art. 47 Verbindliche interne Datenschutzvorschriften

Art. 48 Nach dem Unionsrecht nicht zulässige Übermittlungen oder Offenlegungen

Art. 49 Ausnahmen für bestimmte Fälle

Art. 50 Internationale Zusammenarbeit zum Schutz personenbezogener Daten

KAPITEL VI Unabhängige Aufsichtsbehörden

Abschnitt 1 Unabhängigkeit

Art. 51 Aufsichtsbehörde

Art. 52 Unabhängigkeit

Art. 53 Allgemeine Bedingungen für die Mitglieder der Aufsichtsbehörde

Art. 54 Errichtung der Aufsichtsbehörde

Abschnitt 2 Zuständigkeit, Aufgaben und Befugnisse

Art. 55 Zuständigkeit

Art. 56 Zuständigkeit der federführenden Aufsichtsbehörde

Art. 57 Aufgaben

Art. 58 Befugnisse

Art. 59 Tätigkeitsbericht

KAPITEL VII Zusammenarbeit und Kohärenz

Abschnitt 1 Zusammenarbeit

Art. 60 Zusammenarbeit zwischen der federführenden Aufsichtsbehörde und den anderen betroffenen Aufsichtsbehörden

Art. 61 Gegenseitige Amtshilfe

Art. 62 Gemeinsame Maßnahmen der Aufsichtsbehörden

Abschnitt 2 Kohärenz

Art. 63 Kohärenzverfahren

Art. 64 Stellungnahme des Ausschusses

Art. 65 Streitbeilegung durch den Ausschuss

Art. 66 Dringlichkeitsverfahren

Art. 67 Informationsaustausch

Abschnitt 3 Europäischer Datenschutzausschuss

Art. 68 Europäischer Datenschutzausschuss

Art. 69 Unabhängigkeit

Art. 70 Aufgaben des Ausschusses

Art. 71 Berichterstattung

Art. 72 Verfahrensweise

Art. 73 Vorsitz

Art. 74 Aufgaben des Vorsitzes

Art. 75 Sekretariat

Art. 76 Vertraulichkeit

KAPITEL VIII Rechtsbehelfe, Haftung und Sanktionen

Art. 77 Recht auf Beschwerde bei einer Aufsichtsbehörde

Art. 78 Recht auf wirksamen gerichtlichen Rechtsbehelf gegen eine Aufsichtsbehörde

Art. 79 Recht auf wirksamen gerichtlichen Rechtsbehelf gegen Verantwortliche oder Auftragsverarbeiter

Art. 80 Vertretung von betroffenen Personen

Art. 81 Aussetzung des Verfahrens

Art. 82 Haftung und Recht auf Schadensersatz

Art. 83 Allgemeine Bedingungen für die Verhängung von Geldbußen

Art. 84 Sanktionen

KAPITEL IX Vorschriften für besondere Verarbeitungssituationen

Art. 85 Verarbeitung und Freiheit der Meinungsäußerung und Informationsfreiheit

Art. 86 Verarbeitung und Zugang der Öffentlichkeit zu amtlichen Dokumenten

Art. 87 Verarbeitung der nationalen Kennziffer

Art. 88 Datenverarbeitung im Beschäftigungskontext

Art. 89 Garantien und Ausnahmen in Bezug auf die Verarbeitung zu im öffentlichen Interesse liegenden Archivzwecken, zu wissenschaftlichen oder historischen Forschungszwecken und zu statistischen Zwecken

Art. 91 Bestehende Datenschutzvorschriften von Kirchen und religiösen Vereinigungen oder Gemeinschaften

KAPITEL X Delegierte Rechtsakte und Durchführungsrechtsakte

Art. 92 Ausübung der Befugnisübertragung

Art. 93 Ausschussverfahren

KAPITEL XI Schlussbestimmungen

Art. 94 Aufhebung der Richtlinie 95/46/EG

Art. 95 Verhältnis zur Richtlinie 2002/58/EG

Art. 96 Verhältnis zu bereits geschlossenen Übereinkünften

Art. 97 Berichte der Kommission

Art. 98 Überprüfung anderer Rechtsakte der Union zum Datenschutz

Art. 99 Inkrafttreten und Anwendung

Literaturverzeichnis

Sachregister A

Sachregister B

Sachregister C

Sachregister D

Sachregister E

Sachregister F

Sachregister G

Sachregister H

Sachregister I

Sachregister J

Sachregister K

Sachregister L

Sachregister M

Sachregister N

Sachregister O

Sachregister P

Sachregister R

Sachregister S

Sachregister T

Sachregister U

Sachregister V

Sachregister W

Sachregister Z

Abkürzungsverzeichnis

Teil 1 Einleitung

1

Die Datenschutz-Grundverordnung (DSGVO) gilt ab dem 25.5.2018.1 Sie regelt die Verarbeitung personenbezogener Daten einheitlich für die gesamte Europäische Union. Die DSGVO stellt Unternehmen vor einige Herausforderungen und bringt einen erheblichen Umsetzungsaufwand mit sich. Das vorliegende Handbuch soll Hilfestellungen für die Anwendung des neuen Rechts geben. Es fasst bisherige Erfahrungen aus der Implementierung der Verordnung2 bei einer Reihe von Wirtschaftsunternehmen zusammen. Die Autoren sind erfahrene Praktiker aus dem Bereich des Datenschutzes, die Unternehmen bei der Umsetzung der Anforderungen des neuen Datenschutzrechts unterstützen. Sie erläutern die für die Verarbeitung personenbezogener Daten in der Unternehmenspraxis relevanten Artikel der DSGVO in klarer und einfacher Sprache.

2

Zur besseren Verständlichkeit und Übersichtlichkeit enthält das vorliegende Buch auch einen umfassenden Einführungsteil, der die für Unternehmen wichtigsten Neuerungen in knapper und komprimierter Form zusammenfasst.3 Dabei werden viele in der DSGVO vorgesehene Prozesse und Strukturen durch Schaubilder, Praxistipps, Checklisten oder Ablaufpläne anschaulich beschrieben. Ein weiterer Abschnitt dieses Einleitungsteils beschreibt die erforderlichen Projektschritte zur Umsetzung der Vorgaben der DSGVO und fasst diese Planungsschritte in Form einer Checkliste zusammen.4 Abschließend findet der Leser auch einige Muster, die ihn bei der Anwendung der DSGVO im Unternehmen unterstützen sollen.5

3

Das vorliegende Handbuch erläutert die für die Datenschutzpraxis in der Wirtschaft wichtigen Vorschriften der DSGVO und gibt Hilfestellungen für die praktische Umsetzung der Anforderungen des neuen Datenschutzrechts. Dieses richtet sich vor allem an den Praktiker im Unternehmen. Daher steht die praktische Einführung der DSGVO im Unternehmen im Vordergrund.

4

Der Schwerpunkt dieses Handbuchs liegt somit nicht auf einer umfassenden wissenschaftlichen Bewertung des kommenden EU-Datenschutzes, sondern auf der Umsetzung der DSGVO. Der Gesetzentwurf der Bundesregierung für ein deutsches Anpassungsgesetz zur DSGVO und dessen mögliche Auswirkungen für die Praxis werden in einem eigenen Abschnitt kurz bewertet.6

1

Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27.4.2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) im Amtsblatt der Europäischen Union, ABl. L 119/1.

2

Soweit in diesem Handbuch von der „Verordnung“ die Rede ist, bezieht sich dies ebenso wie die Abkürzung „DSGVO“ auf die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27.4.2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) im Amtsblatt der Europäischen Union, ABl. L 119/1.

3

Der Einführungsteil beruht im Wesentlichen auf einer geringfügig aktualisierten und angepassten Fassung des Praxisleitfadens EU-Datenschutz-Grundverordnung im Unternehmen, 1. Aufl. 2016.

4

Siehe hierzu Rn. 387.

5

Siehe hierzu Mustersammlung Rn. 402 ff.

6

Siehe hierzu Rn. 392 ff.

I. Ziele, Umsetzung und Anwendung der DSGVO

5

Am 4.5.2016 veröffentlichte die Europäische Union (EU) die Endfassung der seit 2012 verhandelten DSGVO.7 Sie gilt nach einer gut zweijährigen Übergangsfrist ab dem 25.5.2018 und hebt die Richtlinie 95/46/EG8 (Datenschutzrichtlinie) auf.9 Die DSGVO wirkt dann in der gesamten Europäischen Union unmittelbar und direkt. Anders als bei einer EU-Richtlinie ist eine Umsetzung in das nationale Recht der Mitgliedstaaten nicht mehr erforderlich. Dies soll zu einer erheblichen Vereinheitlichung beim Datenschutz in der EU führen und einheitliche Wirtschaftsbedingungen schaffen, die den Binnenmarkt stärken sollen.10

6

Für Unternehmen hat die Verordnung11 gravierende Folgen: Neben Schadensersatzklagen drohen bei Fehlern Bußgelder von bis zu vier Prozent des globalen (Konzern-)Umsatzes. Beteiligte Manager, Datenschützer und sonstige Entscheidungsträger müssen bei Verstößen mit Geldbußen von bis zu 20 Millionen Euro rechnen. Zudem sind die inhaltlichen Anforderungen beim neuen Datenschutz sehr hoch. Sie betreffen viele Unternehmensbereiche, etwa IT, Personal, Compliance, interne Revision und Vertrieb.

7

Dieser Teil der Einführung zeigt, welche Ziele der EU-Gesetzgeber mit der Einführung der DSGVO verfolgt. Es beschreibt zudem, für welche Anwendungsfälle das neue Datenschutzrecht gilt. Der Schwerpunkt liegt dabei auf der Frage, bei welchen Datenverarbeitungen Unternehmen12 die Vorgaben der Verordnung beachten müssen.

1. Ziele der Verordnung

8

Die Verordnung soll das Datenschutzrecht EU-weit vereinheitlichen.13 Das Schutzniveau für die Rechte und Freiheiten von natürlichen Personen bei der Verarbeitung ihrer personenbezogenen Daten soll in der gesamten Union gleichmäßig hoch und einheitlich sein.14 Die Anwendung einer einzigen EU-Verordnung zum Datenschutz soll es Unternehmen ermöglichen, die Datenverarbeitung in allen 28 Mitgliedstaaten gleich zu regeln. Diese Vereinheitlichung soll auch den Binnenmarkt in der Union stärken.15

9

Allerdings enthält die Verordnung auch eine Reihe von sogenannten „Öffnungsklauseln“. Diese Vorschriften erlauben es den Mitgliedstaaten, in gewissen Umfang für einzelne Datenverarbeitungen oder Anforderungen nationale Spezialgesetze zu schaffen, etwa beim Beschäftigtendatenschutz gemäß Art. 88 DSGVO. Dabei legt Erwägungsgrund 155 fest, dass diese Öffnungsklausel es den Mitgliedstaaten vor allem erlaubt, Vorschriften über die Bedingungen vorzusehen, unter denen personenbezogene Daten im Beschäftigungsverhältnis auf Basis der Einwilligung16 eines Beschäftigten verarbeitet werden dürfen.17

10

Solche Ausnahmevorschriften müssen jedoch den grundsätzlichen Vorgaben der DSGVO entsprechen.18 Im Ergebnis beschränken die Öffnungsklauseln das Maß an EU-weiter Vereinheitlichung. Daher bleibt in vielen Bereichen abzuwarten, ob und in welcher Form die Mitgliedstaaten nationale Regelungen zum Beschäftigtendatenschutz erlassen werden –  und welchen Spielraum der Europäische Gerichtshof (EuGH) ihnen hierfür letztlich zubilligen wird.19 Allerdings legt Erwägungsgrund 8 nahe, dass einzelstaatliche Regelungen nur in eingeschränktem Umfang möglich sind: „Wenn in dieser Verordnung Präzisierungen oder Einschränkungen ihrer Vorschriften durch das Recht der Mitgliedstaaten vorgesehen sind, können die Mitgliedstaaten Teile dieser Verordnung in ihr nationales Recht aufnehmen, soweit dies erforderlich ist, um die Kohärenz zu wahren und die nationalen Rechtsvorschriften für die Personen, für die sie gelten, verständlicher zu machen.“

2. Inkrafttreten der DSGVO

11

Die DSGVO wurde am 14.5.2016 vom EU-Parlament verabschiedet. Die Verordnung wurde am 4.5.2016 im Amtsblatt der Europäischen Union veröffentlicht und trat am 20. Tag nach der Veröffentlichung in Kraft.20 Nach einer zweijährigen Umsetzungsfrist wird die DSGVO ab dem 25.5.2018 geltendes Recht.21 Sie hebt die EU-Datenschutzrichtlinie 95/46/EG auf.22 Die DSGVO verdrängt die deckungsgleichen Vorschriften des bislang geltenden Bundesdatenschutzgesetzes (BDSG). Der Verordnung kommt ein sogenannter „Anwendungsvorrang“23 zu.

12

Die Anforderungen der Verordnung gehen in einigen Bereichen weit über die Vorgaben des BDSG hinaus. Zudem erfordern sie zahlreiche neue Prozesse, welche die Unternehmen erst implementieren müssen. Gerade die Vorschriften zur Information betroffener Personen, zur Dokumentation von Datenschutzprozessen, zur Datenübertragbarkeit, zur Datenlöschung, zum Datenschutz durch Technik und durch datenschutzfreundliche Voreinstellungen oder zur Datenschutz-Folgenabschätzung erfordern einigen Umsetzungsaufwand.

13

Das Bundesinnenministerium plant derzeit ein Ausführungsgesetz zur DSGVO.24 Ob und in welcher Form das geplante Gesetz Änderungen für die Wirtschaft mit sich bringen wird, ist noch offen. Die bei der Drucklegung dieses Handbuchs laufende Legislaturperiode dauert bis September 2017 an. Ein mögliches Ausführungsgesetz sollte im Hinblick auf den dann voraussichtlich beginnenden Wahlkampf jedenfalls bis dahin ausgearbeitet und beschlossen sein.25 Es bleibt zu hoffen, dass der deutsche Gesetzgeber seine derzeitige Planung für ein neues Bundesdatenschutzgesetz noch einmal überdenkt und sich auf eine übersichtlichere Regelung beschränkt.

14

Praxistipp: Die Umsetzungsfrist von zwei Jahren ist für eine effektive Implementierung der notwendigen Prozesse und Strukturen zur Umsetzung der DSGVO knapp bemessen. Gerade die für den Datenschutz verantwortlichen Unternehmensfunktionen sollten möglichst bald einen Ist-Soll-Vergleich beginnen. Zudem sollten sie auch zügig mit den erforderlichen Budget-Planungen beginnen.

In diesem Zusammenhang kann eine zeitige und gut vorbereitete Unterrichtung des Managements über die neuen Anforderungen und Haftungsrisiken durch die Verordnung zweckmäßig sein. Auch viele andere Unternehmensfunktionen außerhalb des Datenschutzes sind von den Anforderungen der DSGVO in erheblicher Weise betroffen. Unternehmen sollten grundsätzlich prüfen, welche Folgen das neue EU-Datenschutzrecht für ihre Arbeit hat und wie sie die neuen Anforderungen effektiv und ohne unnötige Risiken und Aufwände umsetzen. Kapitel VI dieser Einführung gibt dem Leser einen an den Bedürfnissen der Praxis orientierten Überblick über erforderliche Projektschritte zur Umsetzung der Vorgaben der DSGVO.

3. Von der DSGVO verwendete Begriffe

15

Die DSGVO verwendet grundsätzlich sehr ähnliche Begriffe wie das BDSG. Allerdings gibt es einige Unterschiede, die der Anwender kennen sollte, um die Verordnung rechtssicher anwenden zu können.

16

Der für die „Verarbeitung personenbezogener Daten Verantwortliche“26 (oder kurz: „Verantwortlicher“) ist diejenige Stelle, die die Entscheidung über die Verarbeitung von personenbezogenen Daten trifft.27 Bei einem Unternehmen ist dies die rechtliche Person, mittels derer das Unternehmen betrieben wird, z.B. eine GmbH oder Aktiengesellschaft. Dies entspricht der bereits aus § 3 Abs. 7 BDSG bekannten Definition der „verantwortlichen Stelle“.

17

Ebenso wie das BDSG definiert die DSGVO den Begriff der „personenbezogenen Daten“.28 Die Verordnung bezeichnet damit alle Informationen, die sich auf eine bestimmte oder bestimmbare natürliche Person beziehen.29 Diese Person bezeichnet die DSGVO als „betroffene Person“. Dieser Begriff entspricht weitgehend dem aus § 3 Abs. 1 BDSG bekannten „Betroffenen“.

18

An Stelle der aus dem BDSG bekannten „Erhebung, Verarbeitung oder Nutzung“30 personenbezogener Daten tritt im Rahmen der DSGVO die „Verarbeitung“. Diese bezieht sich auf jede Verwendung personenbezogener Daten.31 Beide Begriffe sind im Wesentlichen deckungsgleich. Allerdings ist die sprachliche Vereinfachung gegenüber der „Erhebung, Verarbeitung und Nutzung personenbezogener Daten“32 nach dem BDSG zu begrüßen. Als Verarbeitung bestimmt Art. 4 Nr. 2 DSGVO jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten.

19

An Stelle des „Auftragsdatenverarbeiters“ nach § 11 BDSG tritt der in Art. 4 Nr. 8 DSGVO näher bestimmte „Auftragsverarbeiter“.33 Dieser bezeichnet jede natürliche oder juristische Person, Behörde, Einrichtung oder jede andere Stelle, die personenbezogene Daten im Auftrag des für die Verarbeitung Verantwortlichen verarbeitet.34

4. Anwendungsbereich der DSGVO

20

Die Verordnung gilt zunächst für die Verarbeitung personenbezogener Daten durch Verantwortliche und Auftragsverarbeiter, die im Rahmen von Tätigkeiten von Niederlassungen in der EU erfolgen.35 Zudem finden die Vorschriften der DSGVO in bestimmten Fällen auch auf Verantwortliche oder Auftragsverarbeiter außerhalb der Union36 Anwendung.37

a) Sachlicher Anwendungsbereich: Welche Datenverarbeitungen sind betroffen?

21

Die Verordnung gilt in sachlicher Hinsicht für die automatisierte Verarbeitung personenbezogener Daten, Art. 2 Abs. 1 DSGVO. Hierbei ist es unerheblich, ob die Verarbeitung vollständig oder nur teilweise automatisiert stattfindet.38 Zudem findet die Verordnung auf die nichtautomatisierte Verarbeitung von personenbezogenen Daten Anwendung, die bereits in einer Datei gespeichert sind oder noch gespeichert werden sollen.

22

Damit ist der sachliche Anwendungsbereich der Verordnung in der Praxis weit gefasst. Unternehmen werden selten Daten erheben, die sie nicht im Anschluss speichern oder in sonstiger Weise weiterverarbeiten. Selbst eine zunächst nicht automatisierte Datenerhebung (z.B. durch Beobachten, Befragen, Mithören oder andere nicht technikgestützte Wahrnehmungsvorgänge) wird bei wirtschaftlich relevanten Vorgängen erfahrungsgemäß schnell Gegenstand einer späteren Speicherung.

23

Art. 2 Abs. 2 DSGVO regelt einige Ausnahmen, bei deren Vorliegen die Verordnung keine Anwendung findet. Für die Unternehmenspraxis relevant kann vor allem Art. 2 Abs. 2 lit. c) DSGVO sein. Danach findet die Verordnung keine Anwendung, wenn natürliche Personen personenbezogene Daten ausschließlich zur Ausübung persönlicher oder familiärer Tätigkeiten erheben. Im Vergleich zum BDSG ändert sich der sachliche Geltungsbereich für Unternehmen insofern nicht wesentlich. Dies gilt auch in Bezug auf Daten, die erst später gespeichert werden sollen. Bereits im bisherigen Recht sieht § 29 Abs. 1 Satz 1 BDSG vor, dass die Vorgaben dieses Gesetzes auch gelten, soweit personenbezogene Daten für den Einsatz in Datenverarbeitungsanlagen erhoben werden sollen.

24

Beispiel 1: Wenn ein Unternehmen Mitarbeiter befragt und die Ergebnisse dieser Befragungen im Anschluss mit einem Textverarbeitungsprogramm dokumentiert oder auch nur in einer E-Mail zusammenfasst, ist der sachliche Geltungsbereich der Verordnung nach Art. 2 Abs. 1 Alt. 2 DSGVO eröffnet.

Beispiel 2: Wenn ein Vorgesetzter auf der Arbeit einen Mitarbeiter zur Begrüßung fragt, wie es diesem Mitarbeiter geht, wird dies nicht als ausschließlich persönlicher Vorgang zu bewerten sein. Denn der Vorgesetzte stellt diese Frage erkennbar in einem Kontext zum Beschäftigungsverhältnis. Allerdings bleibt die Frage nach dem Wohlbefinden auch am Arbeitsplatz richtigerweise nach Art. 9 Abs. 2 lit. b) oder lit. h) DSGVO zulässig.

b) Räumlicher Anwendungsbereich: Wo gilt die Verordnung?

25

Die Verordnung gilt nach Art. 3 Abs. 1 DSGVO für die Datenverarbeitung im Rahmen der Tätigkeit einer Niederlassung eines Verantwortlichen oder Auftragsverarbeiters in der EU. Dabei ist unerheblich, ob die Verarbeitung in der Union stattfindet oder nicht. Entscheidend ist zunächst, ob sich die Niederlassung des Verantwortlichen oder Auftragsverarbeiters in der EU befindet (sogenanntes „Niederlassungsprinzip“).

26

Zudem kann die Verordnung nach Art. 3 Abs. 2 DSGVO auch für Verantwortliche oder Auftragsverarbeiter außerhalb der EU gelten (sogenanntes „Marktortprinzip“). Dies ist zum einen der Fall, wenn die Datenverarbeitung dazu dient, betroffenen Personen in der Union Waren oder Dienstleistungen anzubieten.39 Ob dies entgeltlich oder unentgeltlich geschieht, ist unerheblich. Die Verordnung gilt zudem auch dann, wenn Verantwortliche oder Auftragsverarbeiter das Verhalten betroffener Personen in der EU beobachten.40

27

Praxistipp: Der erweiterte räumliche Anwendungsbereich der Verordnung ist eine der wesentlichen Änderungen gegenüber dem bisherigen Recht. Sofern ausländische Datenverarbeitungen „in die EU hineinreichen“, gelten die hohen Anforderungen der DSGVO. In diesem Fall müssen auch Unternehmen ohne Niederlassung in der Union die Grundprinzipien der DSGVO beachten und prüfen, ob eine Datenverarbeitung nach Art. 6 DSGVO erlaubt ist. Zudem müssen sie in Bezug auf solche grenzüberschreitend wirkenden Datenverarbeitungen41 nach Art. 3 Abs. 2 DSGVO unter anderem auch sicherstellen, dass sie die in Art. 12 bis Art. 39 DSGVO vorgeschriebenen Anforderungen und Prozesse umsetzen. Sofern in solchen Fallkonstellationen Daten in der EU erhoben und in einem Drittstaat gespeichert werden, können zudem die Vorgaben für die Übermittlung personenbezogener Daten in Drittländer nach Art. 44 ff. DSGVO einschlägig sein. Entscheidungsträger in Unternehmen sollten genau beobachten, wie sich europäische Aufsichtsbehörden und Gerichte zu diesen Fragen künftig positionieren.

International operierende Unternehmen sollten genau prüfen, ob und in welchem Umfang sie auch bei Verarbeitungen im Rahmen von Niederlassungen außerhalb der EU gemäß Art. 3 Abs. 2 DSGVO den Vorgaben der Verordnung unterliegen. Gegebenenfalls können Haftungsrisiken und andere Nachteile auch durch getrennte Datenverarbeitungen vermieden werden.

28

Fazit:

•    EU-weite Vereinheitlichung des Datenschutzrechts bei Öffnungsklauseln.

•    Kurze Umsetzungsfrist von nur zwei Jahren.

•    Verbindliche Geltung der DSGVO ab dem 25.5.2018.

•    DSGVO verwendet ähnliche Begriffe wie das BDSG.

•    Weiter sachlicher Anwendungsbereich der Verordnung.

•    Exterritoriale Wirkung der DSGVO.

7

Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27.4.2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) im Amtsblatt der Europäischen Union, ABl. L 119/1.

8

Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24.10.1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr.

9

Art. 94 Abs. 1 DSGVO.

10

Vgl. Erwägungsgrund 7.

11

Soweit in der vorliegenden Einführung die Begriffe „Verordnung“ oder „DSGVO“ in Bezug genommen werden, bezieht sich dies auf die deutsche Endfassung der EU-Datenschutz-Grundverordnung, abrufbar etwa unter http://eur-lex.europa.eu/legal-content/DE/TXT/PDF/?uri=CELEX:32016R0679&from=EN.

12

Vgl. zum Begriff des Unternehmens Art. 4 Nr. 18 DSGVO.

13

Vgl. Erwägungsgründe 10 ff.

14

Vgl. Erwägungsgrund 10.

15

Vgl. Erwägungsgründe 2 und 13.

16

Vgl. zum Begriff der Einwilligung Art. 4 Nr. 11 DSGVO.

17

Vgl. auch

Kort

, DB 2016, 711, 715.

18

Vgl. zum Regelungsrahmen bei Präzisierungen zum Beschäftigtendatenschutz etwa Art. 88 Abs. 2 DSGVO. Ausführlich hierzu auch Rn. 310 ff.

19

Vgl. Erwägungsgrund 8, der lediglich „Präzisierungen oder Einschränkungen [...] durch das Recht der Mitgliedstaaten“ erlaubt.

20

Vgl. Art. 99 Abs. 1 DSGVO.

21

Vgl. Art. 99 Abs. 2 DSGVO.

22

Vgl. Art. 94 Abs. 1 DSGVO.

23

Vgl. Art. 288 Abs. 2 AEUV.

24

Über aktuelle Entwicklungen hierzu können sie sich auch auf dem Hogan Lovells Datenschutz-Blog (hldatenschutz.de) informieren.

25

Vgl. hierzu etwa

Kühling/Martini

, EuZW 2016, 448, 450.

26

Auch als „Verantwortlicher“ bezeichnet.

27

Vgl. Art. 4 Nr. 7 DSGVO.

28

Siehe ausführlich zur Definition der „personenbezogenen Daten“:

Herbst

, NVwZ 2016, 902; sowie das Schlussplädoyer des Generalanwalts am EuGH, Manuel Campos Sánchez-Bordona, im Vorabentscheidungsverfahren Patrick Breyer/ Bundesrepublik Deutschland (Rs. C-582/2014),

Knoke

, ZD-Aktuell 2016, 05206, der dynamische IP-Adressen als personenbezogene Daten qualifiziert.

29

Vgl. Art. 4 Nr. 1 DSGVO.

30

Vgl. § 3 Abs. 2 bis 5 BDSG.

31

Vgl. Art. 4 Nr. 2 DSGVO.

32

Vgl. etwa § 3 Abs. 2 Satz 1 BDSG.

33

Vgl. zu den Anforderungen an Auftragsverarbeiter auch Erwägungsgrund 81.

34

Vgl. zu den Einzelheiten der Auftragsverarbeitung nach der Verordnung Art. 28 f. DSGVO.

35

Vgl. Art. 3 Abs. 1 DSGVO.

36

Soweit in der vorliegenden Einführung von der „Union“ oder der „EU“ die Rede ist, bezieht sich dies auf die Europäische Union und den Europäischen Wirtschaftsraum (EWR). Von einer jeweils gesonderten Nennung des EWR sieht die vorliegende Darstellung aus Gründen der sprachlichen Vereinfachung bewusst ab.

37

Vgl. das in Art. 3 Abs. 2 DSGVO geregelte sog. „Marktortprinzip“.

38

So der Wortlaut von Art. 2 Abs. 1 DSGVO. Vgl. auch Erwägungsgrund 15: „Um ein ernsthaftes Risiko einer Umgehung der Vorschriften zu vermeiden, sollte der Schutz natürlicher Personen technologieneutral sein und nicht von den verwendeten Techniken abhängen. Der Schutz natürlicher Personen sollte für die automatisierte Verarbeitung personenbezogener Daten ebenso gelten wie für die manuelle Verarbeitung von personenbezogenen Daten, wenn die personenbezogenen Daten in einem Dateisystem gespeichert sind oder gespeichert werden sollen. Akten oder Aktensammlungen sowie ihre Deckblätter, die nicht nach bestimmten Kriterien geordnet sind, sollten nicht in den Anwendungsbereich dieser Verordnung fallen.“

39

Vgl. Art. 3 Abs. 2 lit. a) DSGVO.

40

Vgl. Art. 3 Abs. 2 lit. b) DSGVO.

41

Vgl. zum Begriff der (innerhalb der EU) grenzüberschreitenden Verarbeitung Art. 4 Nr. 23 DSGVO.

II. Überblick über die Vorschriften der DSGVO –  Was steht wo?

29

Dieses Kapitel soll dem Leser vor allem den ersten Einstieg in die DSGVO erleichtern. Es gibt einen Überblick darüber, welche Regelungen an welcher Stelle

Abbildung 1: Struktur der DSGVO

Abbildung 2: Überblick und Aufbau der DSGVO (Kap. 1–3)

in der Verordnung zu finden sind. Die neuen Vorschriften zum EU-weiten Datenschutzrecht sind teilweise schwer verständlich formuliert. Auch die Struktur der DSGVO ist nicht gerade übersichtlich. Umso wichtiger ist es für den Anwender, sich zunächst ein Bild darüber zu verschaffen, welche Vorgaben der Verordnung in welchen Abschnitten und in welchen Artikeln zu finden sind.

30

Praxistipp: Wer sich die Grundstrukturen der Verordnung verdeutlichen möchte, kann anhand des vorstehenden Schaubilds die einzelnen Kapitel der DSGVO nachschlagen und sich einen ersten Überblick über die Gliederung der jeweiligen Kapitel verschaffen. In einem zweiten Schritt kann man dann den nachstehenden Überblick durchgehen und die einzelnen genannten Artikel nachschlagen.

1. Allgemeine Bestimmungen (Kapitel 1, Art. 1 bis Art. 4 DSGVO)

31

Das erste Kapitel der Verordnung regelt Gegenstand und Ziele sowie den sachlichen und räumlichen Anwendungsbereich der DSGVO. Es enthält auch die wesentlichen Begriffsbestimmungen.

32

Art. 1 DSGVO bestimmt Gegenstand und Ziele des neuen EU-Datenschutzrechts.42 Die Verordnung soll das Recht natürlicher Personen auf den Schutz ihrer personenbezogenen Daten umsetzen, ohne dabei den freien Verkehr personenbezogener Daten in der EU übermäßig einzuschränken.

33

Art. 2 und 3 DSGVO regeln den sachlichen und räumlichen Anwendungsbereich der Verordnung.43 Sie gilt für die automatisierte Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten, die noch in Dateien gespeichert werden sollen. Die DSGVO gilt zunächst für Datenverarbeitungen im Rahmen der Tätigkeiten von Niederlassungen in der EU.44 Zudem gilt sie für Datenverarbeitungen in Bezug auf Personen in der EU durch nicht in der EU niedergelassene Verantwortliche, wenn diese betroffenen Personen in der EU Waren oder Dienstleistungen anbieten oder das Verhalten betroffener Personen beobachten.45

34

Art. 4 DSGVO enthält die wichtigsten Begriffsbestimmungen für die Anwendung der Verordnung.46

2. Grundsätze der Verordnung (Kapitel 2, Art. 5 bis Art. 11 DSGVO)

35

Art. 5 DSGVO regelt die wichtigsten Grundsätze der Verordnung.47 Die Vorschrift enthält die wesentlichsten inhaltlichen Vorgaben der DSGVO. Sie ist damit vor allem für die Auslegung der unbestimmten Rechtsbegriffe der Verordnung maßgeblich, etwa für das unter anderem in Art. 6 und Art. 9 DSGVO vorausgesetzte Kriterium der Erforderlichkeit.

36

Art. 5 DSGVO gibt folgende Prinzipien vor:

•    Rechtmäßigkeit (Verbot mit Erlaubnisvorbehalt),

•    Treu und Glauben (Verhältnismäßigkeit),

•    Transparenz,

•    Zweckbindung,

•    Datenminimierung,

•    Richtigkeit,

•    Speicherbegrenzung,

•    Integrität und Vertraulichkeit,

•    Rechenschaftspflicht.

37

Art. 6 DSGVO erlaubt den Umgang mit personenbezogenen Daten nur, wenn diese oder eine andere anwendbare Rechtsvorschrift dies vorsieht. Art. 6 DSGVO enthält die wichtigsten allgemeinen Erlaubnistatbestände der Verordnung.48 Die Regelung nimmt damit eine ähnliche Stellung ein wie § 28 BDSG im bisherigen deutschen Recht.

38

Art. 9 DSGVO ist eine Sondervorschrift zur Verarbeitung besonderer Kategorien personenbezogener Daten.49 Dabei ist der Katalog solcher sensitiver Daten weiter formuliert als der bislang geltende § 3 Abs. 9 BDSG. Er umfasst auch ausdrücklich genetische50 und biometrische51 Daten.

39

Art. 7 DSGVO regelt die Bedingungen für Einwilligungen als Rechtsgrundlage für Datenverarbeitungen.52 Danach muss der für die Verarbeitung Verantwortliche nachweisen können, dass die betroffene Person ihre Einwilligung abgegeben hat.53 Die Einwilligung muss ohne Zwang abgegeben werden. Sie kann jederzeit widerrufen werden. Die betroffene Person muss vor der Abgabe ihrer Einwilligung von der Möglichkeit zum Widerruf in Kenntnis gesetzt werden.54 Bei der Einwilligung von Kindern bis zum vollendeten 16. Lebensjahr gelten nach Art. 8 DSGVO zusätzliche Anforderungen. Mitgliedstaaten können in begrenztem Umfang abweichende Regelungen schaffen.55

3. Rechte der betroffenen Person (Kapitel 3, Art. 12 bis Art. 23 DSGVO)

40

Das dritte Kapitel der DSGVO regelt in Art. 12 bis Art. 23 die Betroffenenrechte.56 Dabei gehen vor allem die neuen Transparenz- und Informationspflichten deutlich über die bisherigen Regelungen des BDSG hinaus.

41

Das Kapitel regelt unter anderem:

•    transparente Information und Kommunikation gegenüber betroffenen Personen (Art. 12 DSGVO),

•    Informationspflichten bei Datenerhebung (Art. 13 und Art. 14 DSGVO),

•    Auskunftsrechte betroffener Personen (Art. 15 DSGVO),

•    das Recht auf Berichtigung (Art. 16 DSGVO),

•    das Recht auf Löschung (Art. 17 DSGVO),

•    das Recht auf Einschränkung der Verarbeitung57 (Art. 18 DSGVO),

•    das Recht auf Datenübertragbarkeit (Art. 20 DSGVO),

•    Widerspruchsrechte (Art. 21 DSGVO),

•    Profiling58 und andere automatisierte Einzelentscheidungen (Art. 22 DSGVO),

•    die Möglichkeit der Beschränkung der Betroffenenrechte durch Rechtsvorschriften der Union oder der Mitgliedstaaten (Art. 23 DSGVO).

Abbildung 3: Überblick und Aufbau der DSGVO (Kap. 4–7)

4. Verantwortlicher und Auftragsverarbeiter (Kapitel 4, Art. 24 bis Art. 43 DSGVO)

42

Die Art. 24 bis 39 DSGVO normieren die Pflichten der für die Verarbeitung Verantwortlichen und der Auftragsverarbeiter. Geregelt sind etwa:

•    die Sicherstellung geeigneter technischer und organisatorischer Maßnahmen (Art. 24 DSGVO),59

•    Datenschutz durch Technik und datenschutzfreundliche Voreinstellungen (Art. 25 DSGVO),60

•    die Organisation der Pflichtenaufteilung bei gemeinsam für Verarbeitungen Verantwortlichen (Art. 26 DSGVO)61 sowie die

•    Auftragsverarbeitung (Art. 28 bis Art. 31 DSGVO).62

43

Zudem umfasst das vierte Kapitel der Verordnung die folgenden Anforderungen:

•    Datensicherheit (Art. 32 DSGVO),63

•    Meldungen an Aufsichtsbehörden (Art. 33 DSGVO)64 sowie

•    Meldungen an betroffene Personen (Art. 34 DSGVO).65

44

Von besonderer Bedeutung für die Praxis ist dabei die in Art. 35 DSGVO vorgesehene Datenschutz-Folgenabschätzung.66 Kann man bei einer Verarbeitung hohe Risiken für betroffene Personen nicht vermeiden oder eindämmen, muss der Verantwortliche nach Art. 36 DSGVO die zuständige Aufsichtsbehörde konsultieren.

45

Die Bestellung sowie die Rechte und Pflichten des betrieblichen Datenschutzbeauftragten sind in Art. 37 bis Art. 39 DSGVO geregelt.67

46

Die Art. 40 bis Art. 43 DSGVO regeln Verhaltensregeln und Zertifizierung.

5. Übermittlung personenbezogener Daten in Drittländer (Kapitel 5, Art. 44 bis Art. 50 DSGVO)

47

Die Art. 44 bis Art. 50 DSGVO regeln die Datenübermittlung in Drittländer.68 Hier bleibt es im Grundsatz bei den aus dem BDSG bzw. der EU-Datenschutzrichtlinie bekannten Mechanismen. Die Übermittlung personenbezogener Daten in Drittländer (oder an internationale Organisationen69) ist nur dann zulässig, wenn der Verantwortliche die in Kapitel 5 der DSGVO niedergelegten Bestimmungen einhält.70

48

Nach Art. 45 DSGVO können Angemessenheitsbeschlüsse (sogenannte „Adäquanzentscheidungen“) der EU-Kommission das Vorliegen eines angemessenen Schutzniveaus bestätigen, sodass eine Übermittlung personenbezogener Daten in die entsprechenden Drittstaaten zulässig ist. Diese Übermittlungen bedürfen dann keiner besonderen Genehmigung.

49

Art. 46 DSGVO sieht vor, dass Datenübermittlungen auch auf der Basis geeigneter Garantien zulässig sein können, etwa aufgrund von verbindlichen unternehmensinternen Datenschutzvorschriften71 (Binding Corporate Rules –  sogenannte „BCRs“72) oder Standarddatenschutzklauseln, die von der Kommission gemäß dem Prüfverfahren nach Art. 93 Abs. 2 DSGVO erlassen werden können.73

50

Art. 49 DSGVO regelt Ausnahmen für Sonderfälle. Die Vorschrift übernimmt damit im Wesentlichen die Funktion des bisherigen § 4c Abs. 1 BDSG.

6. Aufsichtsbehörden (Kapitel 6 und 7, Art. 51 bis 76 DSGVO)

51

Art. 51 bis Art. 59 DSGVO regeln Zuständigkeit, Aufgaben sowie Rechte und Pflichten der Aufsichtsbehörden.74

52

Art. 60 bis Art. 76 DSGVO enthalten Regelungen zur Zusammenarbeit zwischen den Aufsichtsbehörden. Dabei soll dem neu zu gründenden Europäischen Datenschutzausschuss insbesondere bei der Vereinheitlichung der Anwendung der DSGVO eine besondere Rolle zukommen. In der Praxis sind dabei vor allem auch die Befugnisse der Aufsichtsbehörden gegenüber Unternehmen maßgeblich. Darunter fällt auch die Zuständigkeit, Geldbußen nach Art. 83 DSGVO zu verhängen.

7. Rechtsbehelfe, Haftung, Sanktionen (Kapitel 8, Art. 77 bis Art. 84 DSGVO)

53

Art. 77 DSGVO regelt das Recht betroffener Personen, sich bei einer Aufsichtsbehörde zu beschweren. Entscheidungen der Aufsichtsbehörde über solche Beschwerden können nach Art. 78 DSGVO gerichtlich überprüft werden. Auch ge-

Abbildung 4: Überblick und Aufbau der DSGVO (Kap. 8–11)

gen Verantwortliche und Auftragsverarbeiter steht der Rechtsweg offen, Art. 79 DSGVO.

54

Art. 80 DSGVO sieht für mögliche Datenschutzverstöße ein Verbandsklagerecht vor. Haftung und Schadensersatz sind in Art. 82 DSGVO geregelt.75

55

Art. 83 DSGVO sieht für an Verstößen gegen die Verordnung beteiligte Personen Bußgelder von bis zu 20 Millionen Euro vor.76 Für Unternehmen ist der Bußgeldrahmen sogar noch höher. Es drohen bis zu vier Prozent des globalen konzernweiten Umsatzes des Vorjahres.77 Dabei sind anders als in § 43 BDSG Verstöße gegen ausgesprochen viele Vorschriften der DSGVO sanktionsbewehrt.78

8. Besondere Datenverarbeitungssituationen (Kapitel 9, Art. 85 bis Art. 91 DSGVO)

56

Das neunte Kapitel der DSGVO enthält Vorschriften für besondere Verarbeitungssituationen, etwa zur Verarbeitung personenbezogener Daten und zur Freiheit der Meinungsäußerung sowie der Informationsfreiheit gemäß Art. 85 DSGVO, oder für den Zugang der Öffentlichkeit zu amtlichen Dokumenten, Art. 86 DSGVO.

57

Für die Praxis dürfte dabei die Öffnungsklausel des Art. 88 DSGVO besonders maßgeblich sein.79 Sie erlaubt es den einzelnen Mitgliedstaaten, den Datenschutz im Beschäftigungsverhältnis durch einzelstaatliches Recht zu regeln (wie etwa durch den derzeit bereits geltenden § 32 Abs. 1 BDSG).80 Auch Betriebsvereinbarungen und andere Kollektivvereinbarungen, etwa Tarifverträge, können danach den Umgang mit personenbezogenen Daten im Beschäftigungskontext erlauben, wenn sie geeignete und besondere Maßnahmen zur Wahrung der menschlichen Würde, der berechtigten Interessen und der Grundrechte der betroffenen Person umfassen, Art. 88 Abs. 2 DSGVO. Am 1.2.2017 hatte die Bundesregierung einen Gesetzentwurf für ein Ausführungsgesetz vorgestellt (BDSG-Entwurf), welcher auch von der Öffnungsklausel des Art. 88 DSGVO Gebrauch machen soll. Der geplante § 26 BDSG-Entwurf soll weitgehend an den bisherigen § 32 BDSG anknüpfen und darüber hinaus noch weitere Regelungen vorsehen, etwa zur Betriebsvereinbarungen und Einwilligungen im Beschäftigungsverhältnis.

9. Delegierte Rechtsakte und Durchführungsrechtsakte (Kapitel 10, Art. 92 und 93 DSGVO)

58

Art. 92 und Art. 93 DSGVO regeln Befugnisse der Kommission zum Erlass delegierter Rechtsakte und von Durchführungsrechtsakten. Dieser Teil der Verordnung betrifft die Rechte der EU-Kommission und ist für die praktische Umsetzung der DSGVO im Unternehmen noch nicht relevant.

10. Schlussbestimmungen (Kapitel 11, Art. 94 bis Art. 99 DSGVO)

59

Das elfte Kapitel der DSGVO enthält Schlussbestimmungen, wie zur Aufhebung der Datenschutzrichtlinie gemäß Art. 91 DSGVO oder zum Zeitpunkt des Inkrafttretens der Verordnung, Art. 99 DSGVO. Für den Praktiker ist dabei wichtig, dass die DSGVO ab dem 25.5.2018 verbindlich gilt. Bis spätestens dahin müssen Unternehmen die Anforderungen der Verordnung vollständig umgesetzt haben.

60

Fazit:

•    Umfang der DSGVO:

◦   99 Artikel,

◦   11 Kapitel,

◦   173 Erwägungsgründe.

•    Viele neue strukturelle, prozessuale und rechtliche Anforderungen für Unternehmen.

42

Vgl. zu den Zielen der DSGVO Rn. 8 ff.

43

Vgl. zum sachlichen und räumlichen Anwendungsbereich der DSGVO Rn. 21 ff.

44

Vgl. Art. 3 Abs. 1 DSGVO.

45

Vgl. Art. 3 Abs. 2 lit. a) und b) DSGVO.

46

Vgl. zu den Begriffsbestimmungen der DSGVO Rn. 15 ff.

47

Vgl. zu den Grundsätzen der Verordnung Rn. 61 ff.

48

Vgl. zu den Erlaubnistatbeständen der Verordnung Rn. 244 ff.

49

Vgl. zur Verarbeitung besonderer Kategorien von Daten Rn. 297 ff.

50

Vgl. zum Begriff der genetischen Daten Art. 4 Nr. 13 DSGVO.

51

Vgl. zum Begriff der biometrischen Daten Art. 4 Nr. 14 DSGVO.

52

Vgl. zur Einwilligung Rn. 283 ff.

53

Vgl. auch Art. 5 Abs. 2 und Art. 24 Abs. 1 DSGVO zur Rechenschaftspflicht.

54

Vgl. Art. 7 Abs. 3 Satz 3 DSGVO.

55

Vgl. Art. 8 Abs. 1 Satz 3 DSGVO.

56

Vgl. zu den Betroffenenrechten Rn. 161 ff.

57

Vgl. zum Begriff der Einschränkung der Verarbeitung Art. 4 Nr. 3 DSGVO.

58

Vgl. zum Begriff des Profiling Art. 4 Nr. 4 DSGVO.

59

Vgl. zur Sicherstellung geeigneter technischer und organisatorischer Maßnahmen Rn. 100 ff.

60

Vgl. zum Datenschutz durch Technik und datenschutzfreundliche Voreinstellungen Rn. 134 ff.

61

Vgl. zur Organisation der Pflichtenaufteilung bei gemeinsam für Verarbeitungen Verantwortlichen Rn. 194 ff.

62

Vgl. zur Auftragsverarbeitung Rn. 203 ff.

63

Vgl. zur Datensicherheit Rn. 145 ff.

64

Vgl. zum Begriff der Aufsichtsbehörden Art. 4 Nr. 21 DSGVO.

65

Vgl. zu den Meldepflichten nach Art. 33 und 34 DSGVO Rn. 128 ff.

66

Vgl. zur Datenschutz-Folgenabschätzung Rn. 118 ff.

67

Vgl. zu den Rechten und Pflichten des Datenschutzbeauftragten Rn. 151 ff.

68

Vgl. zur Übermittlung personenbezogener Daten in Drittländer Rn. 212 ff.

69

Vgl. zum Begriff der internationalen Organisation Art. 4 Nr. 26 DSGVO.

70

Vgl. Art. 44 DSGVO.

71

Vgl. zum Begriff der verbindlichen internen Datenschutzvorschriften Art. 4 Nr. 20 DSGVO.

72

Vgl. Art. 47 DSGVO.

73

Vgl. Art. 46 Abs. 2 lit. c) DSGVO.

74

Vgl. zu den Aufsichtsbehörden Rn. 236 ff.

75

Vgl. zu Haftung und Schadensersatz Rn. 91 ff.

76

Vgl. zu den Bußgeldern Rn. 94 ff.

77

Vgl.

Faust/Spittka/Wybitul

, ZD 2016, 105 ff.

78

Vgl. hierzu Art. 83 Abs. 4 bis 6 DSGVO.

79

Vgl. zum Beschäftigtendatenschutz Rn. 310 ff.

80

Vgl.

Wybitul/Pötters

, RDV 2016, 10 ff.;

Gola/Pötters/Thüsing

, RDV 2016, 55 ff.

III. Grundsätze der DSGVO

61

Dieses Kapitel beschreibt die wesentlichen Prinzipien der DSGVO. Es zeigt auch, warum gerade diese Prinzipien für den Anwender in der Praxis ausgesprochen wichtig sind. Zudem ist die Kenntnis der hier beschriebenen Grundsätze des Art. 5 DSGVO eine wichtige Basis für das Verständnis der wesentlichen Strukturen und Anforderungen der Verordnung.

1. Bedeutung der Grundsätze der DSGVO für die Praxis

62

Die wesentlichen Grundsätze des neuen EU-Datenschutzrechts sind in Art. 5 DSGVO geregelt. Ein klares Verständnis der in Art. 5 DSGVO normierten Vorgaben ist für die Auslegung und Anwendung der Vorschriften der gesamten Verordnung notwendig.

63

Art. 5 DSGVO gibt die folgenden Grundsätze vor:

•    Rechtmäßigkeit (Verbot mit Erlaubnisvorbehalt),81

•    Verarbeitung nach Treu und Glauben (Fairnessgrundsatz),82

•    Transparenz,83

•    Zweckbindung,84

•    Datenminimierung,85

•    Richtigkeit,86

•    Speicherbegrenzung,87

•    Integrität und Vertraulichkeit,88

•    Rechenschaftspflicht.89

64

Nach Art. 83 Abs. 5 lit. a) DSGVO drohen bei der fehlenden oder mangelhaften Umsetzung der Grundprinzipien der DSGVO Bußgelder von bis zu vier Prozent des globalen Umsatzes des Konzerns bzw. des Unternehmens. Daher sind die Grundprinzipien der Verordnung etwa auch aus Compliance-Sicht eine maßgebliche Anforderung an Unternehmen.

2. Die einzelnen Prinzipien der DSGVO

65

Die in Art. 5 Abs. 1 DSGVO geregelten Grundsätze fassen nicht nur die allgemeine Programmatik der Verordnung zusammen. Richtigerweise sind sie darüber hinaus auch zur Auslegung der unbestimmten Rechtsbegriffe der DSGVO heranzuziehen. Dies gilt insbesondere für die nähere Bestimmung des etwa in Art. 6 und Art. 9 DSGVO vorausgesetzten Kriteriums der Erforderlichkeit.

a) Rechtmäßigkeit (Verbot mit Erlaubnisvorbehalt) (Art. 5 Abs. 1 lit. a) DSGVO)

66

Die Verarbeitung personenbezogener Daten muss rechtmäßig sein, Art. 5 Abs. 1 lit. a) DSGVO. Nach Art. 6 Abs. 1 DSGVO ist eine Verarbeitung nur dann rechtmäßig, wenn die Voraussetzungen eines der nach der Verordnung zulässigen Erlaubnistatbestände vorliegen. Beispielsweise enthalten Art. 6 und Art. 9 DSGVO eine Reihe von Erlaubnistatbeständen. Ebenso wie bislang nach § 4 Abs. 1 BDSG ist die Verarbeitung personenbezogener Daten verboten, wenn nicht die Voraussetzungen einer Erlaubnisnorm erfüllt sind. An dem Grundprinzip dieses „Verbots mit Erlaubnisvorbehalt“ ändert die Verordnung somit nichts.

b) Treu und Glauben (Fairness) (Art. 5 Abs. 1 lit. a) DSGVO)

67

Verantwortliche müssen personenbezogene Daten nach Treu und Glauben verarbeiten, Art. 5 Abs. 1 DSGVO. Hiermit ist nicht der deutsche, in § 242 BGB festgeschriebene, zivilrechtliche Grundsatz von Treu und Glauben gemeint. Die englische Fassung der DSGVO spricht an dieser Stelle vom Grundsatz der „Fairness“. Der datenschutzrechtliche Grundsatz von Treu und Glauben entspricht unter anderem dem bereits bislang im BDSG maßgeblichen Verhältnismäßigkeitsgrundsatz. Danach muss die Verarbeitung personenbezogener Daten zunächst zur Verwirklichung eines legitimen Zwecks geeignet sein.90 Die Verarbeitung muss ferner das mildeste aller gleich effektiven Mittel zur Verwirklichung dieses Zwecks darstellen.91 Zudem muss die Verarbeitung auf der Basis einer angemessenen Interessenabwägung zwischen dem verfolgten Zweck und den mit der Verarbeitung verbundenen Folgen für die betroffene Person stehen. Das Prinzip von Treu und Glauben steht somit auch in einem engen Zusammenhang mit dem Grundsatz der Datenminimierung des Art. 5 Abs. 1 lit. c) DSGVO.92 Letztlich werden Verantwortliche im Rahmen des Fairnessgrundsatzes –  ähnlich wie nach der bisherigen Rechtsprechung –  unangemessene Verarbeitungen unterlassen müssen.

c) Transparenz (Art. 5 Abs. 1 lit. a) DSGVO)

68

Personenbezogene Daten müssen in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden, Art. 5 Abs. 1 lit. a) DSGVO. Diese Person soll nach Möglichkeit wissen, wie und von wem ihre personenbezogenen Daten verarbeitet werden. Für die betroffene Person sollte erkennbar sein, dass die betreffenden personenbezogenen Daten erhoben, verwendet, eingesehen oder anderweitig verarbeitet werden sowie in welchem Umfang die Daten verarbeitet werden und künftig noch verarbeitet werden sollen.93 Dieser Transparenzgrundsatz prägt insbesondere die Vorschriften zur Information gegenüber der betroffenen Person in Art. 12 ff. DSGVO. Beispielsweise sehen Art. 13 und Art. 14 DSGVO umfassende Informationspflichten bei der Erhebung personenbezogener Daten vor.

69

Praxistipp: Datenschützer in Unternehmen sollten die Informationspflichten Verantwortlicher und die Auskunftsrechte Betroffener gut kennen. Dies hat mehrere Gründe: Zunächst gehen die Anforderungen der Verordnung an die vom Verantwortlichen zu gewährleistende Transparenz deutlich über die bisherigen Vorgaben des BDSG hinaus. Zudem werden Verstöße gegen die Transparenzvorschriften nach Art. 83 Abs. 5 DSGVO mit Bußgeldern von bis zu vier Prozent des Unternehmensumsatzes geahndet. Vor allem aber müssen Unternehmen bis zur unmittelbaren Geltung der Verordnung Prozesse und Verantwortlichkeiten so aufgesetzt haben, dass sie die Informationspflichten der DSGVO erfüllen.

d) Zweckbindung (Art. 5 Abs. 1 lit. b) DSGVO)

70

Personenbezogene Daten dürfen nur für festgelegte, eindeutige und rechtmäßige Zwecke verwendet werden, Art. 5 Abs. 1 lit. b) DSGVO. Der vom Verantwortlichen verfolgte Zweck einer Verarbeitung personenbezogener Daten entscheidet über die Zulässigkeit dieser Datenverarbeitung. Unter anderem setzt eine zulässige Verarbeitung somit eine Bewertung der Zweck-Mittel-Relation voraus, die zugunsten der Interessen des für die Verarbeitung Verantwortlichen ausfällt. Zudem dürfen personenbezogene Daten grundsätzlich nur für diejenigen Zwecke verwendet werden, für die sie erhoben wurden. Eine Verarbeitung dieser Daten für einen anderen Zweck (sogenannte „Zweckänderung“) ist nur unter engen Voraussetzungen zulässig, vgl. Art. 6 Abs. 4 DSGVO. Die wirksame und durchgehende Umsetzung der Anforderungen des Zweckbindungsgrundsatzes stellt Unternehmen und andere Verantwortliche vor einige Anforderungen. So müssen sie vor der Erhebung personenbezogener Daten deren Verarbeitungszwecke klar festlegen.94 Über diese Zwecke müssen sie die betroffenen Personen unterrichten.95 Für die gesamte Dauer der Verarbeitung personenbezogener Daten müssen Verantwortliche in der Lage sein, die Zwecke im Rahmen der Geltendmachung von Auskunftsansprüchen zu benennen.96 Sind die personenbezogenen Daten für die Verwirklichung der Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr erforderlich, so muss der Verantwortliche sie unverzüglich löschen.97 Darüber hinaus sind die Zwecke einer Verarbeitung auch gemäß Art. 30 Abs. 1 lit. b) im Verarbeitungsverzeichnis zu dokumentieren. Für die sichere Umsetzung der Anforderungen des Zweckbindungsgrundsatzes ist es daher zweckmäßig, personenbezogene Daten auf eine Weise zu verarbeiten, dass der Zweck ihrer Verarbeitung stets dokumentiert und feststellbar ist. Hier kommt auf IT-Abteilungen einiger Umsetzungsaufwand zu.

e) Datenminimierung (Art. 5 Abs. 1 lit. c) DSGVO)

71

Personenbezogene Daten müssen dem Zweck angemessen und sachlich relevant sein. Zudem muss die Datenverarbeitung auf das für den Zweck der Verarbeitung notwendige Maß beschränkt sein, Art. 5 Abs. 1 lit. c) DSGVO. Unternehmen dürfen somit nur so viele Daten verarbeiten, wie es der Zweck der jeweiligen Datenverarbeitung erfordert. Auch die Intensität der Datenverarbeitung muss auf das für die Zweckerreichung notwendige Maß beschränkt sein.

f) Richtigkeit (Art. 5 Abs. 1 lit. d) DSGVO)

72

Personenbezogene Daten müssen sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein, Art. 5 Abs. 1 lit. d) DSGVO. Wenn personenbezogene Daten unrichtig oder veraltet sind, muss der Verantwortliche alle angemessenen Maßnahmen ergreifen, um diese Daten zu korrigieren beziehungsweise zu aktualisieren oder zu löschen.

g) Speicherbegrenzung (Art. 5 Abs. 1 lit. e) DSGVO)

73

Verantwortliche dürfen personenbezogene Daten nur verarbeiten, solange dies für die Verwirklichung der mit ihrer Verarbeitung verfolgten Zwecke erforderlich ist, Art. 5 Abs. 1 lit. e) DSGVO. Dieser Grundsatz der Speicherbegrenzung wird insbesondere durch die in Art. 17 DSGVO festgelegten Löschpflichten noch konkretisiert. Dabei müssen Unternehmen den Grundsatz der Richtigkeit beachten und Daten auch dann löschen (oder korrigieren), wenn sie unrichtig oder veraltet sind. Um sicherzustellen, dass die Daten nicht länger als nötig gespeichert werden, sollte der Verantwortliche Fristen beziehungsweise Prozesse für ihre regelmäßige Überprüfung oder Löschung vorsehen.

h) Integrität und Vertraulichkeit (Art. 5 Abs. 1 lit. f) DSGVO)

74

Verantwortliche und Auftragsverarbeiter müssen personenbezogene Daten in einer Weise verarbeiten, die einen angemessenen Schutz der Daten gewährleistet. Die im Rahmen von Art. 5 Abs. 1 lit. f) DSGVO vorgeschriebene Datensicherheit umfasst auch den Schutz vor unbefugter oder unrechtmäßiger Verarbeitung, zufälligem Verlust, zufälliger Zerstörung oder Schädigung durch geeignete technische und organisatorische Maßnahmen. Der Grundsatz der Vertraulichkeit und Integrität der Datenverarbeitung wird zunächst durch die in Art. 32 DSGVO vorgeschriebene Datensicherheit konkretisiert. Daneben regeln Art. 33 und Art. 34 DSGVO noch Melde- und Benachrichtigungspflichten bei Verletzungen des Schutzes personenbezogener Daten.

75

Die Vorgaben von Art. 5 Abs. 1 lit. f) und Art. 32 DSGVO treten an Stelle der bislang in § 9 BDSG und der Anlage zu § 9 Satz 1 BDSG geregelten technischen und organisatorischen Maßnahmen.

i) Rechenschaftspflicht (Art. 5 Abs. 2 DSGVO)

76

Der für die Verarbeitung Verantwortliche ist für die Einhaltung der Prinzipien des Art. 5 Abs. 1 DSGVO verantwortlich und muss deren Einhaltung nachweisen können. Das in Art. 5 Abs. 2 DSGVO geregelte Rechenschaftsprinzip ist eine wesentliche Veränderung gegenüber der bisherigen Rechtslage. Der Grundsatz der Rechenschaftspflicht wird durch die Regelung des Art. 24 Abs. 1 Satz 1 DSGVO ergänzt. Nach dieser Vorschrift muss der Verantwortliche nicht nur sicherstellen, dass er personenbezogene Daten in Übereinstimmung mit der Verordnung verarbeitet, sondern er muss auch den Nachweis hierfür erbringen können.

77

Praxistipp: Im Ergebnis führt der Grundsatz der Rechenschaftspflicht zu erheblichen zusätzlichen Dokumentations- und Nachweispflichten in der Praxis. Unternehmen müssen nicht nur sicherstellen, die einzelnen Anforderungen der DSGVO zu erfüllen, sondern dies jeweils auch nachweisen können. Bei der Planung von Prozessen und Strukturen zum Erfüllen der Anforderungen der Verordnung sollte die entsprechende Dokumentation gleich mit geplant werden. Andernfalls drohen Bußgelder oder verlorene Zivilprozesse. Es ist beispielweise durchaus wahrscheinlich, dass Arbeitsgerichte bei fehlender Datenschutzdokumentation künftig Beweisverwertungsverbote annehmen werden, wenn Arbeitgeber nicht darlegen können, dass sie Beweismittel datenschutzkonform erhoben haben. Für die Praxis kann es sehr empfehlenswert sein, das Verarbeitungsverzeichnis so anzulegen, dass es nicht allein die nach Art. 30 DSGVO vorgeschriebenen Angaben enthält, sondern auch als weitergehende Anwendung einsetzbar ist, um die Dokumentationspflichten nach dem Rechenschaftsgrundsatz effektiv umzusetzen.

78

Fazit:

Art. 5 Abs. 1 DSGVO als Zentralnorm mit Auflistung folgender Grundprinzipien:

•    Rechtmäßigkeit (Verbot mit Erlaubnisvorbehalt),