DSGVO

Photo by Yura Fresh on Unsplash

 

This image has an empty alt attribute; its file name is traffic-light-green.png
 
 
 

EU-Verordnung

Adressat: Die DSGVO gilt ausweislich des Art. 4 Abs. 1 DSGVO für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für jegliche nichtautomatisierte Verarbeitung personenbezogener Daten in einem Dateisystem und richtet sich mithin an all diejenigen, die zu nicht rein privaten Zwecken Daten – sei es von Beschäftigten oder von Dritten – verarbeiten.

Relevante Normen: Art. 4, Art. 24, Art. 25, Art. 28, Art. 32, Art. 33, Art. 34, Art. 35, Art. 37, Art. 38, Art. 39, Art. 40, Art. 42, Art. 57, Art. 58, Art. 83

 

Regelungsgehalt

Allgemeines:

Die Datenschutzgrundverordnung (DSGVO) hat zum Ziel, das Datenschutzniveau innerhalb der EU zu harmonisieren, d.h. zu vereinheitlichen. Damit soll der freie Datenverkehr innerhalb der EU gewährleistet werden. Unternehmen müssen seit Inkrafttreten der Datenschutzgrundverordnung am 25. Mai 2018 (Art. 99 Abs. 2 DSGVO) nur noch diese befolgen. Mit dem Inkrafttreten der DSGVO sind die einzelnen nationalen Datenschutzgesetze in den Mitgliedsländern abgelöst. Das liegt daran, dass Verordnungen der europäischen Union unmittelbare Geltung in den einzelnen Mitgliedsstaaten entfalten (Art. 288 AEUV) und diese den Datenschutzgesetzen der Mitgliedstaaten vorgehen.[1]

Die DSGVO sieht verschiedene Neuerungen auch in Hinblick auf die IT-Sicherheit vor. Die Vorschriften über die IT-Sicherheit finden sich in der Datenschutzgrundverordnung an unterschiedlichen Stellen.

Insbesondere die folgenden Vorschriften der DSGVO sind für die IT- und Datensicherheit von Bedeutung. Bei der Auslegung der Datenschutzgrundverordnung ist zu berücksichtigen, dass diese unabhängig vom mitgliedstaatlichen Recht auszulegen ist, wodurch sich selbst bei gleicher Wortwahl zu etwaigen deutschen Gesetzen Unterschiede hinsichtlich der Bedeutung ergeben können.

Art. 4:

Der Schutz von personenbezogenen Daten ist nach der Legaldefinition der Datenschutzgrundverordnung aus Art. 4 Nr. 12 DSGVO verletzt, wenn die IT- bzw. Datensicherheit mit der Folge nicht eingehalten wurde, dass die Datenintegrität und -verfügbarkeit beeinträchtigt wurde. Hierbei kommt es nicht auf ein Verschulden an.

Art. 23:

Nach Art. 23 Abs. 1 DSGVO können datenschutzrechtliche Grundsätze wie das Erfordernis der transparenten Datenverarbeitung, Informationspflichten und Auskunftsrechte des Betroffenen, Datenberichtigungsansprüche und das Recht auf Vergessenwerden beschränkt werden, sofern dies zum Schutz der nationalen Sicherheit, Landesverteidigung und Verhütung, Untersuchung, Aufdeckung oder Verfolgung von Straftaten und anderer enumerativ aufgezählter Ziele erforderlich ist. Eine solche Beschränkung ist allerdings nur zulässig, wenn die Grundrechte und Grundfreiheiten des Einzelnen dem Wesen nach berücksichtigt werden und die Maßnahme notwendig und verhältnismäßig ist.

Sofern eine solche Maßnahme durch den Gesetzgeber getroffen wird, muss dieser auch die IT-Sicherheit berücksichtigen und geltende Sicherheitsmaßnahmen vorschreiben.

Art. 24:

Art. 24 DSGVO muss als Generalauftrag verstanden werden. Dem für die Datenverarbeitung Verantwortlichen wird auferlegt, für alle Verarbeitungsvorgänge ausreichende Compliance-Maßnahmen zu treffen, um die Anforderungen der DS-GVO an Datenschutz und letztendlich IT-Sicherheit zu gewährleisten. Zentraler Kernaspekt des Auftrags ist die Sicherstellung von Datensicherheit, wobei diese in einem angemessenen Verhältnis zur Verarbeitungstätigkeit stehen muss. Den Verantwortlichen im Sinne dieser Vorschrift bestimmt Art. 4 Nr. 7 DS‑GVO als denjenigen, der anhand einer Würdigung der faktischen Gegebenheiten allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Maßgeblich ist demnach die Entscheidungsgewalt.[2]

Art. 25:

Eine Neuheit der DS-GVO zu bisherigem Datenschutzrecht ist die Kodifizierung der Grundprinzipien des Privacy by Design und Privacy by Default. Dieser Ansatz des Datenschutzes durch Technikgestaltung bedeutet sowohl, dass der Verantwortliche bereits vor der Aufnahme der Datenverarbeitung geeignete technische organisatorische Maßnahmen (TOM) ergreift, um die Datenschutzgrundsätze der DSGVO wirksam umzusetzen, als auch, dass diese bei der konkreten Verarbeitungssituation weiterhin vorliegen müssen (Privacy by Design). Hierdurch sollen bereits bei der Entwicklung von Produkten, Diensten und Anwendungen, mit deren Hilfe Daten verarbeitet werden, datenschutzrechtliche Erwägungen Berücksichtigung finden.[3] Technische Systeme sind gem. Art. 25 Abs. 2 DSGVO so einzurichten, dass voreingestellt grundsätzlich nur solche Daten verarbeitet werden, deren Verarbeitung für den bestimmungsgemäßen Verarbeitungszweck unbedingt notwendig sind (Privacy by Default). Dieser Grundsatz trägt dem Prinzip der Datensparsamkeit aus Art. 5 Abs. 1 lit. c DSGVO Rechnung.

Art. 28:

Für viele Unternehmen wird Art. 28 DSGVO eine der wichtigsten Regelungen der DSGVO darstellen. Gegenstand des Artikels ist die – vormals Auftragsdatenverarbeitung genannte – Auftragsverarbeitung. Diese wird immer dann relevant, wenn Daten nicht innerhalb eines Unternehmens bzw. Betriebs, sondern von einem spezialisierten Drittunternehmen, bspw. einem Cloud-Anbieter, verarbeitet werden. Der große Vorteil der Auftragsverarbeitung ist, dass – bei Einhaltung aller Anforderungen des Art. 28 DSGVO – der Auftragsverarbeiter kein Dritter im Sinne des Datenschutzrechts ist und es keiner gesonderten Einwilligung des Betroffenen bedarf.

Art. 30:

Art. 30 DSGVO normiert wie und welche Verarbeitungsaktivitäten durch die datenverarbeitende Stelle bzw. den Auftragsverarbeiter aufzuzeichnen sind. In diesem Zusammenhang sollen, sofern dies möglich ist, auch allgemeine Beschreibungen der technischen und organisatorischen Maßnahmen der IT-Sicherheit aufgenommen werden. Hierbei ist beispielsweise aufzuführen, ob Verschlüsselungssoftware eingesetzt wurde. Art. 30 Abs. 1 DSGVO entspricht der mit der Datenschutzgrundverordnung abgelösten Regelung des § 4e S. 1 BDSG (a.F.). Anders als im bisherigen Recht besteht allerdings die Möglichkeit einer teilweisen Befreiung von der Pflicht zur Verfahrensverzeichnissen für kleinere Unternehmen (weniger als 250 Mitarbeiter, Art. 30 Abs. 5 DSGVO).

Art. 32:

In Konkretisierung des Art. 24 DSGVO sieht Art. 32 DSGVO vor, dass sowohl der Verantwortliche als auch der Auftragsverarbeiter bestimmte TOMs ergreifen müssen, um ein angemessenes Schutzniveau zu gewährleisten. Bei der Auswahl der TOMs spielen zahlreiche Faktoren eine Rolle. Hierzu zählen dem Wortlaut nach, wie oben angegeben, in erster Linie der Stand der Technik und die Schwere des Risikos für die Rechte und Freiheiten des von der Datenverarbeitung Betroffenen. Zu berücksichtigen sind ferner die Umstände und Zwecke der Verarbeitung. Gleiches gilt für die Implementierungskosten. Nichtsdestotrotz steht das gesetzgeberische Ziel der Garantie eines angemessenen Schutzniveaus für die Daten des Betroffenen im Vordergrund.[4] Folglich dürften allein wirtschaftliche Erwägungen nicht einen unzureichenden Schutz rechtfertigen.[5] Art. 32 DSGVO sieht verschiedene nicht abschließende Maßnahmen vor, die seitens des Verantwortlichen und des Auftragsverarbeiters zu ergreifen sind. Beispielsweise seien hier erwähnt:

  • Pseudonymisierung und Verschlüsselung der Daten
  • Sicherstellung von Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Daten
  • Einrichtung von System zur raschen Wiederherstellung der Verfügbarkeit nach einem physischen oder technischen Zwischenfall

Art. 32 DSGVO muss im Kontext mit Art. 25 DSGVO gelesen werden. Letzterer normiert die Prinzipien von „Privacy by Design“ und „Privacy by Default“.[6] Art. 25 DSGVO setzt bereits im Vorfeld der Datenverarbeitung an, wohingegen Art. 32 DSGVO im Anschluss daran die Sicherungspflichten für den Zeitraum des Verarbeitungsvorganges regelt.[7] Die Schutzmaßnahmen, die in Art. 32 Abs. 1 DSGVO beispielhaft aufgezählt werden, sind keinesfalls abschließend zu verstehen (Wortlaut: „unter anderem“). Vielmehr will der Gesetzgeber dem Verantwortlichen/Auftragsverarbeiter einige Maßnahmen an die Hand geben, denen er besondere Bedeutung beimisst.[8]

Der Verordnungsgeber konkretisiert in Art. 32 Abs. 1 lit. b und c DSGVO die Anforderungen an die Zuverlässigkeit der verarbeitenden Systeme. Deren Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit soll „auf Dauer“ sichergestellt werden, damit der Zugang zu den Daten nach einem IT-Sicherheitsvorfall „rasch“ wiederhergestellt werden kann. Die Anforderungen an die IT-Performance und die Back-Up-Prozesse sind mithin vergleichsweise hoch.[9] Zuletzt stellt Art. 32 Abs. 1 lit. d DSGVO die Verpflichtung auf, regelmäßige Verifizierungen und Evaluierungen zu den ergriffenen Sicherheitsmaßnahmen durchzuführen. Ist hiernach ein Absinken unter die Marke eines angemessenen Sicherheitsniveaus zu befürchten, müssen die Maßnahmen entsprechend aufgestockt werden. Stellt sich umgekehrt heraus, dass die gesetzlichen Vorgaben übererfüllt werden, können die Verantwortlichen/Auftragsverarbeiter die Maßnahmen wiederum zurückschrauben.

Im Übrigen beinhaltet das Gebot der Gewährleistung eines angemessenen Schutzniveaus die nicht in Art. 32 DSGVO ausdrücklich normierte Pflicht, Sicherheitsverletzungen (zum Beispiel eine Systemstörung) frühzeitig zu erkennen.[10] Denn erst auf Grundlage dieser Erkenntnis können geeignete Gegenmaßnahmen eingeleitet werden.[11] Aus Erwägungsgrund 87 der DSGVO ergibt sich, dass grundsätzlich diejenigen TOMs angebracht sind, die eine sofortige Feststellung des Verletzungsereignisses erlauben. Bei risikogeneigten Verarbeitungen dürfte im Sinne eines angemessenen Schutzniveaus eine proaktive Benachrichtigung des Verantwortlichen/Auftragsverarbeiter von dem Verletzungsereignis angebracht sein.[12] Die technischen und organisatorischen Maßnahmen sind entsprechend anzupassen.[13]

Es bleibt noch auf die Verantwortung des Verantwortlichen/Auftragsverarbeiters für die ihm unterstellten natürlichen Personen hinzuweisen. Zur Sicherheit der Verarbeitung gehört nach Art. 32 Abs. 4 DSGVO, dass grundsätzlich nur auf Anweisung Daten verarbeitet werden dürfen.

Art. 33:

Art. 33 DSGVO normiert eine Meldepflicht des für die Verarbeitung Verantwortlichen, wenn eine Verletzung des Schutzes personenbezogener Daten vorliegt („data breach“) gegenüber den Aufsichtsbehörden. Zielsetzung ist, dass der Aufsichtsbehörde Reaktionsmöglichkeiten zur Verfügung stehen und sie den Verantwortlichen beratend unterstützen kann. Um mögliche Bußgelder zu umgehen ist es wichtig, dass eine Meldung fristgerecht, mithin unverzüglich und möglichst innerhalb von 72 Stunden nach Bekanntwerden des Vorfalls erfolgt. Wenn ein Auftragsverarbeiter die Verletzung personenbezogener Daten feststellt, hat er dies unverzüglich dem Verantwortlichen der Verarbeitung, also seinem Auftraggeber, zu melden, Art. 33 Abs. 2 DSGVO. Dieser muss anschließend nach Art. 33 Abs. 1 DSGVO diese Verletzung der Aufsichtsbehörde (vgl. Art. 51 DSGVO) melden.

Art. 33 Abs. 3 DSGVO listet die Informationen auf, die die Meldung an die staatliche Aufsicht enthalten muss. Diese einzelnen Informationen können auch zeitlich versetzt angegeben werden, wenn es nicht möglich ist, die Informationen zur gleichen Zeit bereit zu stellen.

In der Folge der Datenschutzverletzung hat der für die Verarbeitung Verantwortliche neben dieser, alle mit der Verletzung in Zusammenhang stehenden Fakten, wie beispielsweise die Auswirkung der Verletzung und die ergriffenen Abhilfemaßnahmen zu dokumentieren, Art. 33 Abs. 5 DSGVO. Auch diese Dokumentation ist den Behörden vorzulegen, damit diese überprüfen kann, ob der Verantwortliche der Verarbeitung die Datenschutzverletzung hinreichend beseitigt und die erforderlichen Maßnahmen getroffen hat. In diesem Zusammenhang wird jedoch die richtige Folgenabschätzung bzgl. der Auswirkung von Datenschutzverstößen für die betroffenen Unternehmen schwerlich zu treffen sein

Art. 34:

Führt der Sicherheitsvorfall voraussichtlich zu einem hohen Risiko für die persönlichen Rechte und Freiheiten der betroffenen Person, so besteht nach Art. 34 DSGVO neben der Informationspflicht gegenüber der Aufsichtsbehörde auch eine ähnlich ausgestaltete Pflicht gegenüber dem Betroffenen. Diesem soll es dadurch möglich sein, selbst erforderliche Schritte zur Minderung des Schadens vorzunehmen sowie weitere Verletzungen in Zukunft zu unterbinden. Art. 34 Abs. 2 DSGVO konkretisiert die Benachrichtigungspflicht dahingehend, dass dem Betroffenen die Art der Verletzung der personenbezogenen Daten unter Angabe der Informationen aus Art. 33 Abs. 3 lit. b, c und d DSGVO (Ansprechpartner, mögliche Folgen, ergriffene Maßnahmen) in klarer, verständlicher Form dargelegt werden muss. In dieser Vorschrift spiegelt sich das in der gesamten Verordnung implementierte Leitbild eines schutzbedürftigen und informierten Bürgers wider.

Als logische Konsequenz entfällt die Benachrichtigungspflicht gem. Art. 34 Abs. 3 DSGVO, wenn keine Gefahr für die Rechte des Betroffenen besteht, etwa weil durch den Verantwortlichen bereits im Voraus (Art. 34 Abs. 3 lit. a), oder im Anschluss (Art. 34 Abs. 3 lit. b) DSGVO an die Verletzung personenbezogener Daten Sicherheitsmaßnahmen getroffen wurden, die eine Verletzung der Rechte des Betroffenen unterbinden oder zumindest sehr unwahrscheinlich erscheinen lassen. Um trotz des hohen Schutzes des Betroffenen eine gerechte Berücksichtigung der verschiedenen Interessen der Beteiligten zu ermöglichen, bietet Art. 34 Abs. 3 lit. c DSGVO für Fälle, in denen die Erfüllung der Pflicht zur Benachrichtigung jedes einzelnen Betroffenen mit einem unverhältnismäßig hohen Aufwand für den Verantwortlichen verbunden wäre, eine Alternative – die öffentliche Bekanntmachung oder eine ähnliche Maßnahme.

Wie auch in Art. 33 DSGVO, widmet sich der letzte Absatz der Vorschrift – hier Art. 34 Abs. 4 DSGVO – den Befugnissen der Aufsichtsbehörden bei der Überwachung der Benachrichtigungspflichten. Die Aufsichtsbehörde ermittelt zunächst, ob der Betroffene informiert wurde. Ist dies nicht der Fall, kann sie entweder feststellen, ob eine Ausnahme zur Benachrichtigungspflicht gem. Art. 34 Abs. 3 DSGVO besteht oder sie kann andernfalls den Verantwortlichen auffordern, seiner Benachrichtigungspflicht nachzukommen.

Art. 35:

Die in Art. 35 DSGVO normierte Datenschutz-Folgenabschätzung verpflichtet den für die Datenverarbeitung Verantwortlichen bereits im Vorfeld der Verarbeitung eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge vorzunehmen, wenn zu erwarten ist, dass diese ein hohes Risiko für die Rechte und Freiheiten der Betroffenen Personen zur Folge hat. Dabei ist es keine Voraussetzung das ein Risiko mit einhundertprozentiger Wahrscheinlichkeit verhindert wird, sondern dieses vielmehr minimiert wird.

Es handelt sich um ein Instrument der eigenverantwortlichen Risikoanalyse, welche gegebenenfalls auch unter Berücksichtigung der Einschätzungen von Datenschutzbeauftragtem (Abs. 2) und der betroffenen Personen (Abs. 9) erfolgen kann bzw. muss. Die Aufsichtsbehörde kann gem. Abs. 4 und 5 sowohl positiv feststellen, welche Verarbeitungsvorgänge immer einer Folgenabschätzung bedürften, als auch negativ abzugrenzen, bei welchen Vorgängen das nicht notwendig ist.

Art. 37:

Art. 37 DSGVO regelt die grundlegenden Voraussetzungen der Bestellung eines Datenschutzbeauftragten sowie dessen Stellung und Aufgaben im Unternehmen. Kernanforderungen an die Stellung des Datenschutzbeauftragten sind hierbei eine besondere Fachkenntnis im Bereich des Datenschutzes sowie die Garantie der vollständigen Unabhängigkeit des Beauftragten gegenüber dem Verantwortlichen. Unerheblich ist hingegen, ob das Unternehmen einen internen Datenschutzbeauftragten bestimmt oder diese Tätigkeit an einen außenstehenden Dritten auslagert, sofern in beiden Fällen die von der DSGVO geforderten Anforderungen an den Beauftragten eingehalten werden.

Art. 38:

Eine Ergänzung und Präzisierung des Art. 37 DSGVO in Bezug auf die konkrete Stellung des Datenschutzbeauftragten nimmt Art. 38 DSGVO vor. Es ist insbesondere sicherzustellen, dass der Datenschutzbeauftragte

  • Frühzeitig in alle relevanten Fragen eingebunden wird,
  • die erforderlichen Ressourcen sowie Zugang zur Erfüllung seiner Aufgaben erhält,
  • keine Anweisungen bezüglich der Ausübung seiner Aufgaben erhält,
  • von allen betroffenen Personen zur Rate gezogen werden kann und
  • zur Wahrung der Geheimhaltung und der Vertraulichkeit verpflichtet wird.

Art. 39:

Eine genaue Beschreibung der Aufgaben des Datenschutzbeauftragten nimmt Art. 39 DSGVO vor. Diese umfassen insbesondere:

  • Unterrichtung und Beratung des Verantwortlichen bzw. Auftragsverarbeiters
  • Überwachung der Einhaltung aller geltenden Datenschutzvorschriften
  • Beratung und Überwachung der Durchführung der Datenschutz-Folgenabschätzung
  • Zusammenarbeit mit den Aufsichtsbehörden

Art. 40:

Art. 40 DSGVO ermöglicht Unternehmensverbänden, eigenständig Verhaltensregeln im Rahmen einer datenschutzrechtlichen Selbstregulierung aufzustellen. Im Zuge dessen sollen für die jeweilige Branche typische Dienstleistungen standardisierte Datenverarbeitungsregelungen getroffen werden. Die Einführung und Beteiligung an solchen Verhaltensregeln bieten sowohl Unternehmen als auch den Betroffenen große Vorteile. Für das Unternehmen steht hierbei, vergleichbar mit anderen Compliance-Regelungen, die Rechtmäßigkeit und DSGVO-Konformität des eigenen Verhaltens im Vordergrund; dies insbesondere dann, wenn die aufgestellten Verhaltensregeln seitens der zuständigen Aufsichtsbehörde genehmigt worden sind. Für Betroffene hingegen wird die Wahrnehmung ihrer Rechte erleichtert und die Transparenz anbieterübergreifend erhöht. Art. 40 Abs. 2 lit. h DSGVO nennt als Anwendungsbereich der Selbstregulierung ausdrücklich auch die von dem für die Datenverarbeitung Verantwortlichen zu treffenden Maßnahmen und Verfahren der Art. 24 und 25 DSGVO (siehe oben), sowie die Maßnahmen für die Sicherstellung der Sicherheit der Verarbeitung gem. Art. 32 DSGVO.

Art. 42:

In Anlehnung an Art. 40 DSGVO versucht auch Art. 42 DSGVO die Transparenz der Datenverarbeitung zu erhöhen. Hierfür sollen auf nationaler und europäischer Ebene Zertifizierungsverfahren eingeführt werden. Der Unterschied zu den eigenständigen Verhaltensregeln ist darin zu sehen, dass bereits die Anforderungen der Zertifizierung durch einen unabhängigen und sachkundigen Dritten festgelegt werden. Unternehmen soll es in Zukunft vermehrt möglich sein, ihre angebotenen Dienstleistungen auf Grund dieser aufgestellten Anforderungen evaluieren und zertifizieren zu lassen. Bei einer positiven Überprüfung ist das Unternehmen fortan berechtigt (für einen gewissen Zeitraum) ein jeweiliges Datenschutzsiegel zu führen. Neben möglichen rechtlichen Vorteilen sind auch finanzielle Vorteile auf Grund von Wettbewerbsvorteilen gegenüber nichtzertifizierten Mitbewerbern denkbar.

Art. 45:

Art. 45 DSGVO legt fest, dass eine mittelbare oder unmittelbare Übermittlung personenbezogener Daten an Drittstaaten oder internationale Organisationen nur zulässig ist, wenn der Verantwortliche und der Auftragsverarbeiter die in diesem Kapitel niedergelegten Bestimmungen einhalten und auch die sonstigen Bestimmungen dieser Verordnung eingehalten werden. Eine solche Übermittlung ist gem. Art. 45 Abs. 1 DSGVO auch dann rechtmäßig, wenn die Kommission nach genauer Prüfung festgestellt hat, dass in dem entsprechenden Drittstaat, Gebiet innerhalb dieses Drittstaates bzw. der internationalen Organisation ein angemessener Schutz der personenbezogenen Daten besteht.

Ob der Schutz angemessen ist, bemisst sich gem. Art. 45 Abs. 2 DSGVO insbesondere danach, ob eine Aufsichtsbehörde des Drittstaates / der internationalen Organisation die Datenschutzvorschriften wirksam überprüfen und ihre Einhaltung durch Sanktionen sicherstellen kann. Die entsprechende Aufsichtsbehörde muss darüber hinaus als Ansprechpartner für die Betroffenen sowie für die Aufsichtsbehörden der Mitgliedsstaaten zuständig sein. Nach dem Wortlaut des Art. 45 Abs. 2 lit. b DSGVO hat die Kommission bei der Prüfung der Angemessenheit das Vorhandensein von entsprechenden Aufsichtsbehörden jedoch nur zu berücksichtigen. Daraus ergibt sich die Problematik, dass in Ausnahmefällen eine Übermittlung auch an Drittstaaten / internationale Organisationen möglich sein kann, in denen der Schutz der übermittelten personenbezogenen Daten nicht durch eine Aufsichtsbehörde sichergestellt wird.

Art. 47:

Art. 47 Abs. 1 DSGVO stellt die Voraussetzungen für die Erteilung einer Genehmigung von unternehmensinternen Datenschutzvorschriften durch die Aufsichtsbehörde auf, wohingegen Abs. 2 die in den Datenschutzregeln mindestens zu enthaltenden Angaben auflistet.

Die internen Datenschutzvorschriften enthalten gem. Art. 47 Abs. 2 lit. d DSGVO mindestens die Anwendung der allgemeinen Datenschutzgrundsätze. Diese sind insbesondere Zweckbindung, Datensparsamkeit, begrenzte Speicherzeiten, Datenqualität, “Privacy by Design”, “Privacy by Default”, das Vorhandensein einer Rechtsgrundlage für die Verarbeitung, eine Differenzierung nach verschiedenen Arten der Daten, Maßnahmen zur Sicherstellung der Datensicherheit, sowie Anforderungen an die Datenweitergabe an Stellen, die nicht an diese unternehmensinternen Datenschutzvorschriften gebunden sind.

Art. 57:

Für die Überwachung der Einhaltung der Vorgaben der DSGVO sind die unabhängigen Datenschutzbehörden des Bundes und der Länder berufen. Deren Aufgabenbereich legt – unter anderem – Art. 57 DSGVO fest. Für kleine und mittelständische Unternehmen gilt hierbei der die Aufsichtsbehörden unmittelbar verpflichtende Art. 57 Abs. 1 lit. a DSGVO. Nach diesem ist es Aufgabe der jeweils zuständigen Behörde, die korrekte Anwendung der DSGVO auf Seiten der Verantwortlichen zu überwachen. Neben einer Beratungsfunktion obliegt ihr somit auch die konkrete Kontrolle – entweder aus eigener Initiative heraus oder durch Anzeige Dritter – einzelner Verantwortlicher. Anzumerken ist, dass die Verhängung von Sanktionen nur als ultima ratio in Betracht kommt und viele Verantwortliche oftmals gut beraten sind, bei Problemen oder im Vorfeld der Verarbeitung die Unterstützung seitens der Aufsichtsbehörden zu ersuchen.

Art. 58:

Um der vorgenannten Aufgabe zu genügen, stehen den Datenschutzbehörden flankierend verschiedenste Handlungsbefugnisse zu. Art. 58 DSGVO sieht hierbei insbesondere vor, dass die Datenschutzbehörden:

  • Informationen beim Verantwortlichen einholen können,
  • Datenschutzprüfungen durchführen und Zugang zu allen wesentlichen Daten, Datenverarbeitungsanlagen und Geschäftsräumen fordern dürfen und
  • bei Verstößen den Verantwortlichen bzw. Auftragsverarbeiter verwarnen, anweisen und notfalls die Verarbeitung beschränken, gänzlich zu verbieten oder eine Geldbuße gem. Art. 83 DSGVO zu verhängen.

Art. 83:

Insbesondere der im Gegensatz zum bisherigen Datenschutzrecht stark erhöhte Rahmen eines möglichen Bußgeldes erklärt die aktuelle Brisanz und Medienöffentlichkeit der DSGVO. Art. 83 DSGVO sieht für eine Vielzahl von Verstößen die Möglichkeit der Verhängung eines Bußgeldes vor und schließt bisher bestehende Lücken in der Sanktionskette. Abhängig von der Art des Verstoßes sieht die DSGVO nunmehr Bußgelder in Höhe von 10 Mio. Euro oder 10% des weltweiten Jahresumsatzes bzw. 20 Mio. Euro bzw. 4% des weltweiten Jahresumsatzes vor. Dieses kann sowohl gegenüber dem für die Verarbeitung Verantwortlichen als auch einem Auftragsverarbeiter verhängt werden. Der europäische Gesetzgeber sieht es ausweislich Erwägungsgrund 148 der DSGVO als notwendig an, dass der Großteil von Verstößen seitens der Aufsichtsbehörden mit Sanktionen zu ahnden sind. Lediglich für geringfügige Verstöße oder, falls die Geldbuße für eine natürliche Person eine unverhältnismäßige Härte darstellen würde, kann eine Verwarnung anstelle einer Geldbuße verhängt werden. Für Unternehmensformen wie beispielsweiße die GmbH oder AG bedeutet diese Vorgabe rückschließend, dass ein Absehen von einer Geldbuße nur in Fällen kleinster Verstöße vorgesehen ist. Im Übrigen ist darauf hinzuweisen, dass für die Berechnung der Geldbuße nicht ein einzelner Standort eines Unternehmens, sondern die übergeordnete Konzerngruppe herangezogen wird. Die Höhe des Bußgeldes richtet sich hierbei unter Anderem nach den folgenden Kriterien:

  • der Art, Schwere und Dauer des Verstoßes,
  • dem vorsätzlichen Charakter des Verstoßes,
  • den Maßnahmen zur Minderung des entstandenen Schadens,
  • dem Grad der Verantwortlichkeit oder jeglichem früheren Verstoß,
  • der Art und Weise, wie der Verstoß der Aufsichtsbehörde bekannt wurde,
  • der Einhaltung der gegen den Verantwortlichen oder Auftragsverarbeiter angeordneten Maßnahmen, der Einhaltung von Verhaltensregeln und
  • jedem anderen erschwerenden oder mildernden Umstand.

Art. 89:

Die Norm regelt die zentralen Vorgaben für den Forschungs- und Wissenschaftsbereich, die bei der Datenverarbeitung zu berücksichtigen sind. Dies schließt insbesondere geeignete Garantien ein, die Rechte und Freiheiten der Betroffenen sicherzustellen. Bei der Verarbeitung zu wissenschaftlichen und historischen Forschungszwecken oder Archivzwecken wird den Mitgliedsstaaten nach Abs. 2 und 3 offen gestellt, Ausnahmen von den allgemein geregelten Rechten der Art. 15 ff. DSGVO (Auskunftsrecht, Berichtigungsrecht, usw.) zuzulassen. Allerdings stellt Abs. 4 ausdrücklich klar, dass auch bei mehrfachen Verarbeitungszwecken, die Ausnahmen allein für die in Abs. 2 und 3 genannten Zwecke zulässig sind.

Art. 89 Abs. 2 und 3 DSGVO sind damit Ausfluss der Entscheidung einer Interessensabwägung zwischen dem Recht des Datensubjekts auf den Schutz seiner personenbezogenen Daten nach Art. 8 Abs. 1, 2 EU-Charta, [14] sein Recht auf Datenschutz nach Art. 1 des Übereinkommens zum Schutz des Menschen bei der automatisierten Verarbeitung personenbezogener Daten und dem öffentlichen Interesse an Archivierung, Forschung und Erkenntnisgewinnung zugunsten des Letzteren. Art. 89 DSGVO ist in seiner Gesamtheit dennoch nicht als eine sich zu Ungunsten des Datensubjektes auswirkende Regelung zu sehen, da Abs. 1 überhaupt erst Sicherheitsmaßnahmen (beispielsweise die Pseudonymisierung) zugunsten des Datensubjekts schafft.


[1] zum Vorrang des Unionsrechts EuGH, Urt. v. 15.07.1964, 6/64 – Costa ./. E. N. E. L.

[2] Kühling / Buchner, DS-GVO / BDSG, 2. Auflage, Art. 24 DS-GVO, Rn. 12.

[3] Ehmann / Selmayr, Datenschutzgrundverordnung, Art. 25, Rn. 9.

[4] Grages, in: Plath, BDSG/DS-GVO, 2. Aufl. 2016, Art. 32 DS-GVO, Rn. 3.

[5] Grages, in: Plath, BDSG/DS-GVO, 2. Aufl. 2016, Art. 32 DS-GVO, Rn. 3.

[6] Hierzu ausführlich: Kipker, DuD 39 (2015), 410; Härting, DS-GVO, 2016, S. 30 ff.

[7] Grages, in: Plath, BDSG/DS-GVO, 2. Aufl. 2016, Art. 32 DS-GVO, Rn. 5.

[8] Grages, in: Plath, BDSG/DS-GVO, 2. Aufl. 2016, Art. 32 DS-GVO, Rn. 5.

[9] Grages, in: Plath, BDSG/DS-GVO, 2. Aufl. 2016, Art. 32 DS-GVO, Rn. 6.

[10] Grages, in: Plath, BDSG/DS-GVO, 2. Aufl. 2016, Art. 32 DS-GVO, Rn. 8.

[11] Grages, in: Plath, BDSG/DS-GVO, 2. Aufl. 2016, Art. 32 DS-GVO, Rn. 8.

[12] Grages, in: Plath, BDSG/DS-GVO, 2. Aufl. 2016, Art. 32 DS-GVO, Rn. 8.

[13] Grages, in: Plath, BDSG/DS-GVO, 2. Aufl. 2016, Art. 32 DS-GVO, Rn. 8.

[14] Aufgrund der Regelung in Art. 6 Abs. 3 EU-Vertrag sind die Grund- und Menschenrechte der Charta der Grundrechte der europäischen Union Teil des Unionsrecht und sind für die Auslegung europäischer Gesetze heranzuziehen.

 
 

Photo by Yura Fresh on Unsplash

 

This image has an empty alt attribute; its file name is traffic-light-green.png
 
 
 

EU-Verordnung

Adressat: Die DSGVO gilt ausweislich des Art. 4 Abs. 1 DSGVO für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für jegliche nichtautomatisierte Verarbeitung personenbezogener Daten in einem Dateisystem und richtet sich mithin an all diejenigen, die zu nicht rein privaten Zwecken Daten – sei es von Beschäftigten oder von Dritten – verarbeiten.

Relevante Normen: Art. 4, Art. 24, Art. 25, Art. 28, Art. 32, Art. 33, Art. 34, Art. 35, Art. 37, Art. 38, Art. 39, Art. 40, Art. 42, Art. 57, Art. 58, Art. 83

 

Regelungsgehalt

Allgemeines:

Die Datenschutzgrundverordnung (DSGVO) hat zum Ziel, das Datenschutzniveau innerhalb der EU zu harmonisieren, d.h. zu vereinheitlichen. Damit soll der freie Datenverkehr innerhalb der EU gewährleistet werden. Unternehmen müssen seit Inkrafttreten der Datenschutzgrundverordnung am 25. Mai 2018 (Art. 99 Abs. 2 DSGVO) nur noch diese befolgen. Mit dem Inkrafttreten der DSGVO sind die einzelnen nationalen Datenschutzgesetze in den Mitgliedsländern abgelöst. Das liegt daran, dass Verordnungen der europäischen Union unmittelbare Geltung in den einzelnen Mitgliedsstaaten entfalten (Art. 288 AEUV) und diese den Datenschutzgesetzen der Mitgliedstaaten vorgehen.[1]

Die DSGVO sieht verschiedene Neuerungen auch in Hinblick auf die IT-Sicherheit vor. Die Vorschriften über die IT-Sicherheit finden sich in der Datenschutzgrundverordnung an unterschiedlichen Stellen.

Insbesondere die folgenden Vorschriften der DSGVO sind für die IT- und Datensicherheit von Bedeutung. Bei der Auslegung der Datenschutzgrundverordnung ist zu berücksichtigen, dass diese unabhängig vom mitgliedstaatlichen Recht auszulegen ist, wodurch sich selbst bei gleicher Wortwahl zu etwaigen deutschen Gesetzen Unterschiede hinsichtlich der Bedeutung ergeben können.

Art. 4:

Der Schutz von personenbezogenen Daten ist nach der Legaldefinition der Datenschutzgrundverordnung aus Art. 4 Nr. 12 DSGVO verletzt, wenn die IT- bzw. Datensicherheit mit der Folge nicht eingehalten wurde, dass die Datenintegrität und -verfügbarkeit beeinträchtigt wurde. Hierbei kommt es nicht auf ein Verschulden an.

Art. 23:

Nach Art. 23 Abs. 1 DSGVO können datenschutzrechtliche Grundsätze wie das Erfordernis der transparenten Datenverarbeitung, Informationspflichten und Auskunftsrechte des Betroffenen, Datenberichtigungsansprüche und das Recht auf Vergessenwerden beschränkt werden, sofern dies zum Schutz der nationalen Sicherheit, Landesverteidigung und Verhütung, Untersuchung, Aufdeckung oder Verfolgung von Straftaten und anderer enumerativ aufgezählter Ziele erforderlich ist. Eine solche Beschränkung ist allerdings nur zulässig, wenn die Grundrechte und Grundfreiheiten des Einzelnen dem Wesen nach berücksichtigt werden und die Maßnahme notwendig und verhältnismäßig ist.

Sofern eine solche Maßnahme durch den Gesetzgeber getroffen wird, muss dieser auch die IT-Sicherheit berücksichtigen und geltende Sicherheitsmaßnahmen vorschreiben.

Art. 24:

Art. 24 DSGVO muss als Generalauftrag verstanden werden. Dem für die Datenverarbeitung Verantwortlichen wird auferlegt, für alle Verarbeitungsvorgänge ausreichende Compliance-Maßnahmen zu treffen, um die Anforderungen der DS-GVO an Datenschutz und letztendlich IT-Sicherheit zu gewährleisten. Zentraler Kernaspekt des Auftrags ist die Sicherstellung von Datensicherheit, wobei diese in einem angemessenen Verhältnis zur Verarbeitungstätigkeit stehen muss. Den Verantwortlichen im Sinne dieser Vorschrift bestimmt Art. 4 Nr. 7 DS‑GVO als denjenigen, der anhand einer Würdigung der faktischen Gegebenheiten allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Maßgeblich ist demnach die Entscheidungsgewalt.[2]

Art. 25:

Eine Neuheit der DS-GVO zu bisherigem Datenschutzrecht ist die Kodifizierung der Grundprinzipien des Privacy by Design und Privacy by Default. Dieser Ansatz des Datenschutzes durch Technikgestaltung bedeutet sowohl, dass der Verantwortliche bereits vor der Aufnahme der Datenverarbeitung geeignete technische organisatorische Maßnahmen (TOM) ergreift, um die Datenschutzgrundsätze der DSGVO wirksam umzusetzen, als auch, dass diese bei der konkreten Verarbeitungssituation weiterhin vorliegen müssen (Privacy by Design). Hierdurch sollen bereits bei der Entwicklung von Produkten, Diensten und Anwendungen, mit deren Hilfe Daten verarbeitet werden, datenschutzrechtliche Erwägungen Berücksichtigung finden.[3] Technische Systeme sind gem. Art. 25 Abs. 2 DSGVO so einzurichten, dass voreingestellt grundsätzlich nur solche Daten verarbeitet werden, deren Verarbeitung für den bestimmungsgemäßen Verarbeitungszweck unbedingt notwendig sind (Privacy by Default). Dieser Grundsatz trägt dem Prinzip der Datensparsamkeit aus Art. 5 Abs. 1 lit. c DSGVO Rechnung.

Art. 28:

Für viele Unternehmen wird Art. 28 DSGVO eine der wichtigsten Regelungen der DSGVO darstellen. Gegenstand des Artikels ist die – vormals Auftragsdatenverarbeitung genannte – Auftragsverarbeitung. Diese wird immer dann relevant, wenn Daten nicht innerhalb eines Unternehmens bzw. Betriebs, sondern von einem spezialisierten Drittunternehmen, bspw. einem Cloud-Anbieter, verarbeitet werden. Der große Vorteil der Auftragsverarbeitung ist, dass – bei Einhaltung aller Anforderungen des Art. 28 DSGVO – der Auftragsverarbeiter kein Dritter im Sinne des Datenschutzrechts ist und es keiner gesonderten Einwilligung des Betroffenen bedarf.

Art. 30:

Art. 30 DSGVO normiert wie und welche Verarbeitungsaktivitäten durch die datenverarbeitende Stelle bzw. den Auftragsverarbeiter aufzuzeichnen sind. In diesem Zusammenhang sollen, sofern dies möglich ist, auch allgemeine Beschreibungen der technischen und organisatorischen Maßnahmen der IT-Sicherheit aufgenommen werden. Hierbei ist beispielsweise aufzuführen, ob Verschlüsselungssoftware eingesetzt wurde. Art. 30 Abs. 1 DSGVO entspricht der mit der Datenschutzgrundverordnung abgelösten Regelung des § 4e S. 1 BDSG (a.F.). Anders als im bisherigen Recht besteht allerdings die Möglichkeit einer teilweisen Befreiung von der Pflicht zur Verfahrensverzeichnissen für kleinere Unternehmen (weniger als 250 Mitarbeiter, Art. 30 Abs. 5 DSGVO).

Art. 32:

In Konkretisierung des Art. 24 DSGVO sieht Art. 32 DSGVO vor, dass sowohl der Verantwortliche als auch der Auftragsverarbeiter bestimmte TOMs ergreifen müssen, um ein angemessenes Schutzniveau zu gewährleisten. Bei der Auswahl der TOMs spielen zahlreiche Faktoren eine Rolle. Hierzu zählen dem Wortlaut nach, wie oben angegeben, in erster Linie der Stand der Technik und die Schwere des Risikos für die Rechte und Freiheiten des von der Datenverarbeitung Betroffenen. Zu berücksichtigen sind ferner die Umstände und Zwecke der Verarbeitung. Gleiches gilt für die Implementierungskosten. Nichtsdestotrotz steht das gesetzgeberische Ziel der Garantie eines angemessenen Schutzniveaus für die Daten des Betroffenen im Vordergrund.[4] Folglich dürften allein wirtschaftliche Erwägungen nicht einen unzureichenden Schutz rechtfertigen.[5] Art. 32 DSGVO sieht verschiedene nicht abschließende Maßnahmen vor, die seitens des Verantwortlichen und des Auftragsverarbeiters zu ergreifen sind. Beispielsweise seien hier erwähnt:

  • Pseudonymisierung und Verschlüsselung der Daten
  • Sicherstellung von Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Daten
  • Einrichtung von System zur raschen Wiederherstellung der Verfügbarkeit nach einem physischen oder technischen Zwischenfall

Art. 32 DSGVO muss im Kontext mit Art. 25 DSGVO gelesen werden. Letzterer normiert die Prinzipien von „Privacy by Design“ und „Privacy by Default“.[6] Art. 25 DSGVO setzt bereits im Vorfeld der Datenverarbeitung an, wohingegen Art. 32 DSGVO im Anschluss daran die Sicherungspflichten für den Zeitraum des Verarbeitungsvorganges regelt.[7] Die Schutzmaßnahmen, die in Art. 32 Abs. 1 DSGVO beispielhaft aufgezählt werden, sind keinesfalls abschließend zu verstehen (Wortlaut: „unter anderem“). Vielmehr will der Gesetzgeber dem Verantwortlichen/Auftragsverarbeiter einige Maßnahmen an die Hand geben, denen er besondere Bedeutung beimisst.[8]

Der Verordnungsgeber konkretisiert in Art. 32 Abs. 1 lit. b und c DSGVO die Anforderungen an die Zuverlässigkeit der verarbeitenden Systeme. Deren Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit soll „auf Dauer“ sichergestellt werden, damit der Zugang zu den Daten nach einem IT-Sicherheitsvorfall „rasch“ wiederhergestellt werden kann. Die Anforderungen an die IT-Performance und die Back-Up-Prozesse sind mithin vergleichsweise hoch.[9] Zuletzt stellt Art. 32 Abs. 1 lit. d DSGVO die Verpflichtung auf, regelmäßige Verifizierungen und Evaluierungen zu den ergriffenen Sicherheitsmaßnahmen durchzuführen. Ist hiernach ein Absinken unter die Marke eines angemessenen Sicherheitsniveaus zu befürchten, müssen die Maßnahmen entsprechend aufgestockt werden. Stellt sich umgekehrt heraus, dass die gesetzlichen Vorgaben übererfüllt werden, können die Verantwortlichen/Auftragsverarbeiter die Maßnahmen wiederum zurückschrauben.

Im Übrigen beinhaltet das Gebot der Gewährleistung eines angemessenen Schutzniveaus die nicht in Art. 32 DSGVO ausdrücklich normierte Pflicht, Sicherheitsverletzungen (zum Beispiel eine Systemstörung) frühzeitig zu erkennen.[10] Denn erst auf Grundlage dieser Erkenntnis können geeignete Gegenmaßnahmen eingeleitet werden.[11] Aus Erwägungsgrund 87 der DSGVO ergibt sich, dass grundsätzlich diejenigen TOMs angebracht sind, die eine sofortige Feststellung des Verletzungsereignisses erlauben. Bei risikogeneigten Verarbeitungen dürfte im Sinne eines angemessenen Schutzniveaus eine proaktive Benachrichtigung des Verantwortlichen/Auftragsverarbeiter von dem Verletzungsereignis angebracht sein.[12] Die technischen und organisatorischen Maßnahmen sind entsprechend anzupassen.[13]

Es bleibt noch auf die Verantwortung des Verantwortlichen/Auftragsverarbeiters für die ihm unterstellten natürlichen Personen hinzuweisen. Zur Sicherheit der Verarbeitung gehört nach Art. 32 Abs. 4 DSGVO, dass grundsätzlich nur auf Anweisung Daten verarbeitet werden dürfen.

Art. 33:

Art. 33 DSGVO normiert eine Meldepflicht des für die Verarbeitung Verantwortlichen, wenn eine Verletzung des Schutzes personenbezogener Daten vorliegt („data breach“) gegenüber den Aufsichtsbehörden. Zielsetzung ist, dass der Aufsichtsbehörde Reaktionsmöglichkeiten zur Verfügung stehen und sie den Verantwortlichen beratend unterstützen kann. Um mögliche Bußgelder zu umgehen ist es wichtig, dass eine Meldung fristgerecht, mithin unverzüglich und möglichst innerhalb von 72 Stunden nach Bekanntwerden des Vorfalls erfolgt. Wenn ein Auftragsverarbeiter die Verletzung personenbezogener Daten feststellt, hat er dies unverzüglich dem Verantwortlichen der Verarbeitung, also seinem Auftraggeber, zu melden, Art. 33 Abs. 2 DSGVO. Dieser muss anschließend nach Art. 33 Abs. 1 DSGVO diese Verletzung der Aufsichtsbehörde (vgl. Art. 51 DSGVO) melden.

Art. 33 Abs. 3 DSGVO listet die Informationen auf, die die Meldung an die staatliche Aufsicht enthalten muss. Diese einzelnen Informationen können auch zeitlich versetzt angegeben werden, wenn es nicht möglich ist, die Informationen zur gleichen Zeit bereit zu stellen.

In der Folge der Datenschutzverletzung hat der für die Verarbeitung Verantwortliche neben dieser, alle mit der Verletzung in Zusammenhang stehenden Fakten, wie beispielsweise die Auswirkung der Verletzung und die ergriffenen Abhilfemaßnahmen zu dokumentieren, Art. 33 Abs. 5 DSGVO. Auch diese Dokumentation ist den Behörden vorzulegen, damit diese überprüfen kann, ob der Verantwortliche der Verarbeitung die Datenschutzverletzung hinreichend beseitigt und die erforderlichen Maßnahmen getroffen hat. In diesem Zusammenhang wird jedoch die richtige Folgenabschätzung bzgl. der Auswirkung von Datenschutzverstößen für die betroffenen Unternehmen schwerlich zu treffen sein

Art. 34:

Führt der Sicherheitsvorfall voraussichtlich zu einem hohen Risiko für die persönlichen Rechte und Freiheiten der betroffenen Person, so besteht nach Art. 34 DSGVO neben der Informationspflicht gegenüber der Aufsichtsbehörde auch eine ähnlich ausgestaltete Pflicht gegenüber dem Betroffenen. Diesem soll es dadurch möglich sein, selbst erforderliche Schritte zur Minderung des Schadens vorzunehmen sowie weitere Verletzungen in Zukunft zu unterbinden. Art. 34 Abs. 2 DSGVO konkretisiert die Benachrichtigungspflicht dahingehend, dass dem Betroffenen die Art der Verletzung der personenbezogenen Daten unter Angabe der Informationen aus Art. 33 Abs. 3 lit. b, c und d DSGVO (Ansprechpartner, mögliche Folgen, ergriffene Maßnahmen) in klarer, verständlicher Form dargelegt werden muss. In dieser Vorschrift spiegelt sich das in der gesamten Verordnung implementierte Leitbild eines schutzbedürftigen und informierten Bürgers wider.

Als logische Konsequenz entfällt die Benachrichtigungspflicht gem. Art. 34 Abs. 3 DSGVO, wenn keine Gefahr für die Rechte des Betroffenen besteht, etwa weil durch den Verantwortlichen bereits im Voraus (Art. 34 Abs. 3 lit. a), oder im Anschluss (Art. 34 Abs. 3 lit. b) DSGVO an die Verletzung personenbezogener Daten Sicherheitsmaßnahmen getroffen wurden, die eine Verletzung der Rechte des Betroffenen unterbinden oder zumindest sehr unwahrscheinlich erscheinen lassen. Um trotz des hohen Schutzes des Betroffenen eine gerechte Berücksichtigung der verschiedenen Interessen der Beteiligten zu ermöglichen, bietet Art. 34 Abs. 3 lit. c DSGVO für Fälle, in denen die Erfüllung der Pflicht zur Benachrichtigung jedes einzelnen Betroffenen mit einem unverhältnismäßig hohen Aufwand für den Verantwortlichen verbunden wäre, eine Alternative – die öffentliche Bekanntmachung oder eine ähnliche Maßnahme.

Wie auch in Art. 33 DSGVO, widmet sich der letzte Absatz der Vorschrift – hier Art. 34 Abs. 4 DSGVO – den Befugnissen der Aufsichtsbehörden bei der Überwachung der Benachrichtigungspflichten. Die Aufsichtsbehörde ermittelt zunächst, ob der Betroffene informiert wurde. Ist dies nicht der Fall, kann sie entweder feststellen, ob eine Ausnahme zur Benachrichtigungspflicht gem. Art. 34 Abs. 3 DSGVO besteht oder sie kann andernfalls den Verantwortlichen auffordern, seiner Benachrichtigungspflicht nachzukommen.

Art. 35:

Die in Art. 35 DSGVO normierte Datenschutz-Folgenabschätzung verpflichtet den für die Datenverarbeitung Verantwortlichen bereits im Vorfeld der Verarbeitung eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge vorzunehmen, wenn zu erwarten ist, dass diese ein hohes Risiko für die Rechte und Freiheiten der Betroffenen Personen zur Folge hat. Dabei ist es keine Voraussetzung das ein Risiko mit einhundertprozentiger Wahrscheinlichkeit verhindert wird, sondern dieses vielmehr minimiert wird.

Es handelt sich um ein Instrument der eigenverantwortlichen Risikoanalyse, welche gegebenenfalls auch unter Berücksichtigung der Einschätzungen von Datenschutzbeauftragtem (Abs. 2) und der betroffenen Personen (Abs. 9) erfolgen kann bzw. muss. Die Aufsichtsbehörde kann gem. Abs. 4 und 5 sowohl positiv feststellen, welche Verarbeitungsvorgänge immer einer Folgenabschätzung bedürften, als auch negativ abzugrenzen, bei welchen Vorgängen das nicht notwendig ist.

Art. 37:

Art. 37 DSGVO regelt die grundlegenden Voraussetzungen der Bestellung eines Datenschutzbeauftragten sowie dessen Stellung und Aufgaben im Unternehmen. Kernanforderungen an die Stellung des Datenschutzbeauftragten sind hierbei eine besondere Fachkenntnis im Bereich des Datenschutzes sowie die Garantie der vollständigen Unabhängigkeit des Beauftragten gegenüber dem Verantwortlichen. Unerheblich ist hingegen, ob das Unternehmen einen internen Datenschutzbeauftragten bestimmt oder diese Tätigkeit an einen außenstehenden Dritten auslagert, sofern in beiden Fällen die von der DSGVO geforderten Anforderungen an den Beauftragten eingehalten werden.

Art. 38:

Eine Ergänzung und Präzisierung des Art. 37 DSGVO in Bezug auf die konkrete Stellung des Datenschutzbeauftragten nimmt Art. 38 DSGVO vor. Es ist insbesondere sicherzustellen, dass der Datenschutzbeauftragte

  • Frühzeitig in alle relevanten Fragen eingebunden wird,
  • die erforderlichen Ressourcen sowie Zugang zur Erfüllung seiner Aufgaben erhält,
  • keine Anweisungen bezüglich der Ausübung seiner Aufgaben erhält,
  • von allen betroffenen Personen zur Rate gezogen werden kann und
  • zur Wahrung der Geheimhaltung und der Vertraulichkeit verpflichtet wird.

Art. 39:

Eine genaue Beschreibung der Aufgaben des Datenschutzbeauftragten nimmt Art. 39 DSGVO vor. Diese umfassen insbesondere:

  • Unterrichtung und Beratung des Verantwortlichen bzw. Auftragsverarbeiters
  • Überwachung der Einhaltung aller geltenden Datenschutzvorschriften
  • Beratung und Überwachung der Durchführung der Datenschutz-Folgenabschätzung
  • Zusammenarbeit mit den Aufsichtsbehörden

Art. 40:

Art. 40 DSGVO ermöglicht Unternehmensverbänden, eigenständig Verhaltensregeln im Rahmen einer datenschutzrechtlichen Selbstregulierung aufzustellen. Im Zuge dessen sollen für die jeweilige Branche typische Dienstleistungen standardisierte Datenverarbeitungsregelungen getroffen werden. Die Einführung und Beteiligung an solchen Verhaltensregeln bieten sowohl Unternehmen als auch den Betroffenen große Vorteile. Für das Unternehmen steht hierbei, vergleichbar mit anderen Compliance-Regelungen, die Rechtmäßigkeit und DSGVO-Konformität des eigenen Verhaltens im Vordergrund; dies insbesondere dann, wenn die aufgestellten Verhaltensregeln seitens der zuständigen Aufsichtsbehörde genehmigt worden sind. Für Betroffene hingegen wird die Wahrnehmung ihrer Rechte erleichtert und die Transparenz anbieterübergreifend erhöht. Art. 40 Abs. 2 lit. h DSGVO nennt als Anwendungsbereich der Selbstregulierung ausdrücklich auch die von dem für die Datenverarbeitung Verantwortlichen zu treffenden Maßnahmen und Verfahren der Art. 24 und 25 DSGVO (siehe oben), sowie die Maßnahmen für die Sicherstellung der Sicherheit der Verarbeitung gem. Art. 32 DSGVO.

Art. 42:

In Anlehnung an Art. 40 DSGVO versucht auch Art. 42 DSGVO die Transparenz der Datenverarbeitung zu erhöhen. Hierfür sollen auf nationaler und europäischer Ebene Zertifizierungsverfahren eingeführt werden. Der Unterschied zu den eigenständigen Verhaltensregeln ist darin zu sehen, dass bereits die Anforderungen der Zertifizierung durch einen unabhängigen und sachkundigen Dritten festgelegt werden. Unternehmen soll es in Zukunft vermehrt möglich sein, ihre angebotenen Dienstleistungen auf Grund dieser aufgestellten Anforderungen evaluieren und zertifizieren zu lassen. Bei einer positiven Überprüfung ist das Unternehmen fortan berechtigt (für einen gewissen Zeitraum) ein jeweiliges Datenschutzsiegel zu führen. Neben möglichen rechtlichen Vorteilen sind auch finanzielle Vorteile auf Grund von Wettbewerbsvorteilen gegenüber nichtzertifizierten Mitbewerbern denkbar.

Art. 45:

Art. 45 DSGVO legt fest, dass eine mittelbare oder unmittelbare Übermittlung personenbezogener Daten an Drittstaaten oder internationale Organisationen nur zulässig ist, wenn der Verantwortliche und der Auftragsverarbeiter die in diesem Kapitel niedergelegten Bestimmungen einhalten und auch die sonstigen Bestimmungen dieser Verordnung eingehalten werden. Eine solche Übermittlung ist gem. Art. 45 Abs. 1 DSGVO auch dann rechtmäßig, wenn die Kommission nach genauer Prüfung festgestellt hat, dass in dem entsprechenden Drittstaat, Gebiet innerhalb dieses Drittstaates bzw. der internationalen Organisation ein angemessener Schutz der personenbezogenen Daten besteht.

Ob der Schutz angemessen ist, bemisst sich gem. Art. 45 Abs. 2 DSGVO insbesondere danach, ob eine Aufsichtsbehörde des Drittstaates / der internationalen Organisation die Datenschutzvorschriften wirksam überprüfen und ihre Einhaltung durch Sanktionen sicherstellen kann. Die entsprechende Aufsichtsbehörde muss darüber hinaus als Ansprechpartner für die Betroffenen sowie für die Aufsichtsbehörden der Mitgliedsstaaten zuständig sein. Nach dem Wortlaut des Art. 45 Abs. 2 lit. b DSGVO hat die Kommission bei der Prüfung der Angemessenheit das Vorhandensein von entsprechenden Aufsichtsbehörden jedoch nur zu berücksichtigen. Daraus ergibt sich die Problematik, dass in Ausnahmefällen eine Übermittlung auch an Drittstaaten / internationale Organisationen möglich sein kann, in denen der Schutz der übermittelten personenbezogenen Daten nicht durch eine Aufsichtsbehörde sichergestellt wird.

Art. 47:

Art. 47 Abs. 1 DSGVO stellt die Voraussetzungen für die Erteilung einer Genehmigung von unternehmensinternen Datenschutzvorschriften durch die Aufsichtsbehörde auf, wohingegen Abs. 2 die in den Datenschutzregeln mindestens zu enthaltenden Angaben auflistet.

Die internen Datenschutzvorschriften enthalten gem. Art. 47 Abs. 2 lit. d DSGVO mindestens die Anwendung der allgemeinen Datenschutzgrundsätze. Diese sind insbesondere Zweckbindung, Datensparsamkeit, begrenzte Speicherzeiten, Datenqualität, “Privacy by Design”, “Privacy by Default”, das Vorhandensein einer Rechtsgrundlage für die Verarbeitung, eine Differenzierung nach verschiedenen Arten der Daten, Maßnahmen zur Sicherstellung der Datensicherheit, sowie Anforderungen an die Datenweitergabe an Stellen, die nicht an diese unternehmensinternen Datenschutzvorschriften gebunden sind.

Art. 57:

Für die Überwachung der Einhaltung der Vorgaben der DSGVO sind die unabhängigen Datenschutzbehörden des Bundes und der Länder berufen. Deren Aufgabenbereich legt – unter anderem – Art. 57 DSGVO fest. Für kleine und mittelständische Unternehmen gilt hierbei der die Aufsichtsbehörden unmittelbar verpflichtende Art. 57 Abs. 1 lit. a DSGVO. Nach diesem ist es Aufgabe der jeweils zuständigen Behörde, die korrekte Anwendung der DSGVO auf Seiten der Verantwortlichen zu überwachen. Neben einer Beratungsfunktion obliegt ihr somit auch die konkrete Kontrolle – entweder aus eigener Initiative heraus oder durch Anzeige Dritter – einzelner Verantwortlicher. Anzumerken ist, dass die Verhängung von Sanktionen nur als ultima ratio in Betracht kommt und viele Verantwortliche oftmals gut beraten sind, bei Problemen oder im Vorfeld der Verarbeitung die Unterstützung seitens der Aufsichtsbehörden zu ersuchen.

Art. 58:

Um der vorgenannten Aufgabe zu genügen, stehen den Datenschutzbehörden flankierend verschiedenste Handlungsbefugnisse zu. Art. 58 DSGVO sieht hierbei insbesondere vor, dass die Datenschutzbehörden:

  • Informationen beim Verantwortlichen einholen können,
  • Datenschutzprüfungen durchführen und Zugang zu allen wesentlichen Daten, Datenverarbeitungsanlagen und Geschäftsräumen fordern dürfen und
  • bei Verstößen den Verantwortlichen bzw. Auftragsverarbeiter verwarnen, anweisen und notfalls die Verarbeitung beschränken, gänzlich zu verbieten oder eine Geldbuße gem. Art. 83 DSGVO zu verhängen.

Art. 83:

Insbesondere der im Gegensatz zum bisherigen Datenschutzrecht stark erhöhte Rahmen eines möglichen Bußgeldes erklärt die aktuelle Brisanz und Medienöffentlichkeit der DSGVO. Art. 83 DSGVO sieht für eine Vielzahl von Verstößen die Möglichkeit der Verhängung eines Bußgeldes vor und schließt bisher bestehende Lücken in der Sanktionskette. Abhängig von der Art des Verstoßes sieht die DSGVO nunmehr Bußgelder in Höhe von 10 Mio. Euro oder 10% des weltweiten Jahresumsatzes bzw. 20 Mio. Euro bzw. 4% des weltweiten Jahresumsatzes vor. Dieses kann sowohl gegenüber dem für die Verarbeitung Verantwortlichen als auch einem Auftragsverarbeiter verhängt werden. Der europäische Gesetzgeber sieht es ausweislich Erwägungsgrund 148 der DSGVO als notwendig an, dass der Großteil von Verstößen seitens der Aufsichtsbehörden mit Sanktionen zu ahnden sind. Lediglich für geringfügige Verstöße oder, falls die Geldbuße für eine natürliche Person eine unverhältnismäßige Härte darstellen würde, kann eine Verwarnung anstelle einer Geldbuße verhängt werden. Für Unternehmensformen wie beispielsweiße die GmbH oder AG bedeutet diese Vorgabe rückschließend, dass ein Absehen von einer Geldbuße nur in Fällen kleinster Verstöße vorgesehen ist. Im Übrigen ist darauf hinzuweisen, dass für die Berechnung der Geldbuße nicht ein einzelner Standort eines Unternehmens, sondern die übergeordnete Konzerngruppe herangezogen wird. Die Höhe des Bußgeldes richtet sich hierbei unter Anderem nach den folgenden Kriterien:

  • der Art, Schwere und Dauer des Verstoßes,
  • dem vorsätzlichen Charakter des Verstoßes,
  • den Maßnahmen zur Minderung des entstandenen Schadens,
  • dem Grad der Verantwortlichkeit oder jeglichem früheren Verstoß,
  • der Art und Weise, wie der Verstoß der Aufsichtsbehörde bekannt wurde,
  • der Einhaltung der gegen den Verantwortlichen oder Auftragsverarbeiter angeordneten Maßnahmen, der Einhaltung von Verhaltensregeln und
  • jedem anderen erschwerenden oder mildernden Umstand.

Art. 89:

Die Norm regelt die zentralen Vorgaben für den Forschungs- und Wissenschaftsbereich, die bei der Datenverarbeitung zu berücksichtigen sind. Dies schließt insbesondere geeignete Garantien ein, die Rechte und Freiheiten der Betroffenen sicherzustellen. Bei der Verarbeitung zu wissenschaftlichen und historischen Forschungszwecken oder Archivzwecken wird den Mitgliedsstaaten nach Abs. 2 und 3 offen gestellt, Ausnahmen von den allgemein geregelten Rechten der Art. 15 ff. DSGVO (Auskunftsrecht, Berichtigungsrecht, usw.) zuzulassen. Allerdings stellt Abs. 4 ausdrücklich klar, dass auch bei mehrfachen Verarbeitungszwecken, die Ausnahmen allein für die in Abs. 2 und 3 genannten Zwecke zulässig sind.

Art. 89 Abs. 2 und 3 DSGVO sind damit Ausfluss der Entscheidung einer Interessensabwägung zwischen dem Recht des Datensubjekts auf den Schutz seiner personenbezogenen Daten nach Art. 8 Abs. 1, 2 EU-Charta, [14] sein Recht auf Datenschutz nach Art. 1 des Übereinkommens zum Schutz des Menschen bei der automatisierten Verarbeitung personenbezogener Daten und dem öffentlichen Interesse an Archivierung, Forschung und Erkenntnisgewinnung zugunsten des Letzteren. Art. 89 DSGVO ist in seiner Gesamtheit dennoch nicht als eine sich zu Ungunsten des Datensubjektes auswirkende Regelung zu sehen, da Abs. 1 überhaupt erst Sicherheitsmaßnahmen (beispielsweise die Pseudonymisierung) zugunsten des Datensubjekts schafft.


[1] zum Vorrang des Unionsrechts EuGH, Urt. v. 15.07.1964, 6/64 – Costa ./. E. N. E. L.

[2] Kühling / Buchner, DS-GVO / BDSG, 2. Auflage, Art. 24 DS-GVO, Rn. 12.

[3] Ehmann / Selmayr, Datenschutzgrundverordnung, Art. 25, Rn. 9.

[4] Grages, in: Plath, BDSG/DS-GVO, 2. Aufl. 2016, Art. 32 DS-GVO, Rn. 3.

[5] Grages, in: Plath, BDSG/DS-GVO, 2. Aufl. 2016, Art. 32 DS-GVO, Rn. 3.

[6] Hierzu ausführlich: Kipker, DuD 39 (2015), 410; Härting, DS-GVO, 2016, S. 30 ff.

[7] Grages, in: Plath, BDSG/DS-GVO, 2. Aufl. 2016, Art. 32 DS-GVO, Rn. 5.

[8] Grages, in: Plath, BDSG/DS-GVO, 2. Aufl. 2016, Art. 32 DS-GVO, Rn. 5.

[9] Grages, in: Plath, BDSG/DS-GVO, 2. Aufl. 2016, Art. 32 DS-GVO, Rn. 6.

[10] Grages, in: Plath, BDSG/DS-GVO, 2. Aufl. 2016, Art. 32 DS-GVO, Rn. 8.

[11] Grages, in: Plath, BDSG/DS-GVO, 2. Aufl. 2016, Art. 32 DS-GVO, Rn. 8.

[12] Grages, in: Plath, BDSG/DS-GVO, 2. Aufl. 2016, Art. 32 DS-GVO, Rn. 8.

[13] Grages, in: Plath, BDSG/DS-GVO, 2. Aufl. 2016, Art. 32 DS-GVO, Rn. 8.

[14] Aufgrund der Regelung in Art. 6 Abs. 3 EU-Vertrag sind die Grund- und Menschenrechte der Charta der Grundrechte der europäischen Union Teil des Unionsrecht und sind für die Auslegung europäischer Gesetze heranzuziehen.

 
 

Ähnliche Einträge