Datenschutzbeauftragter
Datenschutzbeauftragter (DSGVO)
Die Europäische Datenschutzgrundverordnung ist seit 2018 die neue Grundlage für den Datenschutz. Sie wird kurz „DSGVO“ oder aus dem englischen „General Data Protection Regulation“ abgeleitet kurz „GDPR“ genannt. Die DSGVO löste den mehr als 20 Jahre alten bisherigen Rechtsrahmen des Datenschutzes ab. Das waren bisher die EU Datenschutzverordnung aus dem Jahre 1995 und die darauf basierenden nationalen Datenschutzgesetze, in Deutschland das BDSG. Die Unterstützung der Unternehmen erfolgt durch den qualifizierten Datenschutzbeauftragten.
Bisherige Gesetzeslandschaft erforderte Harmonisierung des Datenschutzrecht in der Europäischen Union
- Datenschutzrichtlinie 95/46/EG, aber nationalstaatliche Gesetzgebung
- Bund: BDSG
- Länder: LDSGs (16x!)
- Kirchen: KDO; DSG-EKD (vgl. Art. 140 GG iVm Art. 137 WRV)
- Sozialleistungsträger: SGB I & X
- Telekommunikationsanbieter: TKG
- Telemedienanbieter: TMG
- Wettbewerb: UWG (Geschäftsgeheimnisse/Werbung)
- Recht am eigenen Bild: KUG
- Strafrecht: §§ 201 f./§§ 202a ff./§ 203/§§ 303a ff. StGB
Entstehung des Gesetzgebungsverfahrens DSGVO
- Entwurf der Europäischen Kommission vom 25. Januar 2012
- Entwurf des Europäischen Parlaments vom 12. März 2014
- Entwurf des Rates der Europäischen Union vom 15. Juni 2015
- Trilog-Entwurf vom 15. Dezember 2015
- Ratsentscheidung April 2016
- Parlamentsentscheidung Mai 2016
- Inkrafttreten Mitte 2018
Ein langer Weg, aber jetzt gilt die DSGVO in der gesamten EU und wird nicht durch Landesrecht eingeschränkt
Rechtmäßigkeit der Verarbeitung
- Kernvorschrift Art. 6 DSGVO
- Einwilligung für einen oder mehrere festgelegte Zwecke
- Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen
- Erfüllung einer rechtlichen Verpflichtung
- lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person
- Wahrnehmung einer Aufgabe im öffentlichen Interesse oder in Ausübung öffentlicher Gewalt berechtigte Interessen des Verantwortlichen oder eines Dritten, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person überwiegen
- Art. 9 DSGVO – Besondere Kategorien personenbezogener Daten
- Soweit besonders geschützte Daten verarbeitet werden, muss für diese Datenverarbeitung eine Datenschutz-Folgenabschätzung durchgeführt werden.
- Art. 40 ff. DSGVO – Übermittlung in Drittländer
Rechenschaftspflichten
- Neue „Accountability“ (Art. 5 Abs. 2 DSGVO ) schafft umfassende Regelungen zur Verantwortlichkeit beim Umgang mit Daten (vgl. auch Art. 12 DSGVO)
- Dokumentation der Einhaltung der Vorgaben der DSGVO & Beweis darüber
- Erhöhter Bußgeldrahmen mit Bußgeldern von bis zu zwanzig (20) Millionen Euro oder 4% des weltweiten Jahresumsatzes
- Pflicht zur Meldung von sog. Datenschutzverstößen, insbesondere unberechtigte Zugriffe oder der Verlust personenbezogener Daten, binnen 72 Stunden
- Erhöhte Anforderungen an die Datenschutzorganisation durch (jeweils durch Bußgeld abgesichert):
- Die Ernennung eines Datenschutzbeauftragten ist verpflichtend, sofern…
- Führen einer Verarbeitungsübersicht (Dokumentation der Verarbeitungsvorgänge) ist verpflichtend für alle verantwortlichen Stellen und Auftragsdatenverarbeiter
- Jede Auftragsdatenverarbeitungbedarf eines Vertrages, welcher u.a. die Weisungen und insbesondere technische und organisatorische Maßnahmen festlegt (ähnlich wie bisher §11BDSG).
- Privacy by Design / Privacy Impact Assessments
Datenschutzbeauftragter -> Bestellpflicht -> Art. 35 DSGVO
- Öffentliche Stellen
- Wenn der Kern des Geschäfts die regelmäßige oder systematische Beobachtung von Betroffenen in großem Umfang ist
- oder in großem Umfang sensitive Daten verarbeitet werden
- Nationales Recht –wie in Deutschland –kann eine Pflicht zur Ernennung vorsehen (Öffnungsklausel, Art. 35 Abs. 4)
- Datenverarbeiter, deren Kerntätigkeit aus der Verarbeitung besonderer Kategorien von Daten gemäß Artikel 9 und 9a der EU-DS-GVO in großem Umfang besteht
Datenschutzbeauftragter -> Bestellung -> Art. 35 DSGVO
- Ernennung durch mehre Unternehmen möglich, sofern „leichte Erreichbarkeit von jedem Standort“
- Berufliche Qualifikation und Fachwissen
- Beschäftigter oder Dienstleistungsvertrag
- Veröffentlichung der Kontaktdaten des DSB
- Meldung an die Aufsichtsbehörde
- (keine Regelung zur Befristung)
Datenschutzbeauftragter -> Stellung -> Art. 35 DSGVO
- Ordnungsgemäße und frühzeitige Einbindung
- Unterstützungspflicht: Erforderliche Ressourcen
- Zugang zu Daten und Verarbeitungsvorgängen
- Erhalt der Fachkenntnisse
- Ratgeber für Betroffene
- Weisungsfreiheit bzgl. der Aufgaben
- Abberufungsschutzschutz und Benachteiligungsverbot
- Unmittelbarer Bericht an die höchste Managementebene
Datenschutz-Folgenabschätzung -> Art. 33 DSGVO
- Verarbeitungsvorgänge mit hohen Risiken für die Rechte und Freiheiten von Betroffenen. Bsp.: Automatisierte Entscheidungen, massenhafte Verarbeitung sensitiver Daten, massenhaft systematische Beobachtung öffentlich zugänglicher Bereiche
- Vorherige unternehmensinterne Überprüfung zur Abschätzung möglicher Folgen und Risiken für die Betroffenen
- Konkretisierung der Kontrolle durch nationale Aufsichtsbehörden möglich
- Nach ErwGr Nr. 70 entfällt damit Pflicht zur Meldung sonstiger Verfahren
- Erleichterung für viele Mitgliedstaaten/Erschwernis für deutsche Unternehmen
- Ultima Ratio: Untersagung der Verarbeitung durch Behörde, wenn Beseitigung nicht möglich und DV nicht im Einklang mit GVO
Auftragsdatenverarbeitung in der DSGVO - Verantwortlicher und Auftragsverarbeiter
- Art. 22 bis 37 DSGVO regeln die Pflichten von für die Verarbeitung Verantwortlichen und Auftragsverarbeitern
- Dies betrifft etwa geeignete technische und organisatorische Maßnahmen (Art. 22 DSGVO), Datenschutz durch Technik und datenschutzfreundliche Voreinstellungen (Art. 23 DSGVO), gemeinsam für Verarbeitungen Verantwortliche (Art. 24 DSGVO), Auftragsverarbeitung (Art. 26 bis Art. 29 DSGVO).
- Zudem sind in diesem Kapitel auch die Datensicherheit (Art. 30 DSGVO) und Meldungen an Aufsichtsbehörden (Art. 31 DSGVO) und an betroffene Personen (Art. 32 DSGVO) geregelt.
- Von besonderer Bedeutung: Art. 33 DSGVO vorgesehene Datenschutz-Folgenabschätzung sowie die anschließend vorgeschriebene Konsultation der Aufsichtsbehörde für den Fall, dass eine Verarbeitung hohe Risiken für betroffene Personen mit sich bringt.
Drittstaatstransfer
- Die Art. 40 bis Art. 45 DSGVO regeln die Datenübermittlung in Drittländer
- Aus dem BDSG bzw. der EU-Datenschutzrichtlinie bekannte Mechanismen:
- Die Übermittlung personenbezogener Daten in Drittländer (oder internationale Organisationen) ist nur dann zulässig, wenn der Verantwortliche die in Kapitel 5 der DSGVO niedergelegten Bestimmungen einhält (Art. 40 DSGVO)
- Nach Art. 41 DSGVO können Angemessenheitsbeschlüsse (sog. Adäquanzentscheidungen) der EU-Kommission zum vorliegen eines angemessenen Schutzniveaus eine Übermittlung rechtfertigen. Diese Übermittlungen bedürfen dann keiner besonderen Genehmigung
- Art. 42 DSGVO sieht vor, dass Datenübermittlungen auch auf der Basis geeigneter Garantien zulässig sein können, etwa aufgrund von verbindlichen unternehmensinternen Datenschutzvorschriften (BCRs, vgl. Art. 43 DSGVO) oder Standarddatenschutzklauseln (vgl. §87 Abs. 2 DSGVO)
- Art. 44 DSGVO regelt Ausnahmen für Sonderfälle
- Löst den bisherigen §4c Abs. 1 BDSG ab
DSGVO -> One Stop Shop
- Eine federführende Aufsichtsbehörde am Sitz der Hauptniederlassung des Unternehmens
- Betroffene können sich allerdings bei Beschwerden stets an ihre lokale Aufsichtsbehörde in der jeweiligen Landessprache wenden
- Einbindung von Aufsichtsbehörden in ebenfalls betroffenen Mitgliedstaaten im Rahmen eines Kohärenzverfahrens
- Bei Unstimmigkeiten entscheidet das neu zu schaffende „European Data Protection Board“
- Gremium setzt sich aus Vertretern der nationalen Aufsichtsbehörden zusammen. Dabei ist für Deutschland eine Aufsichtsbehörde zu benennen, welche die anderen in diesem Gremium vertritt.
Privacy by Default & Privacy by Design -> DSGVO Art. 23
- Bisher: Prinzip der Datenvermeidung und Datensparsamkeit. Jetzt: Umfassende Anforderungen an Produktentwicklung
- Datenschutz durch Technik, d.h. Produkte und Services sind so zu erstellen, dass diese standardmäßig nur diejenigen personenbezogenen Daten verarbeiten, welche für den jeweiligen Zweck erforderlich sind.
- Bußgeldbewehrt
- Konkrete technisch-organisatorische Maßnahmen:
- Standardeinstellungen und Verfahren dürfen nur zweckbedingt benötigte personenbezogene Daten verarbeiten
- Ausgerichtet an: Menge der erhobenen Daten, Umfang der Verarbeitung, Speicherdauer und Zugriff auf die Daten.
- Empfehlung: DSB bereits im frühem Projektstadium bei Produktentwicklung und -einführung einbinden
Betroffenenrechte - Transparenz, Integrität und Vertraulichkeit
Recht auf Vergessenwerden
- „Google-Spain“-Entscheidung des EuGH (C-131/12): Sperrverpflichtung von Suchmaschinenbetreibern, die über die Löschplichten der eigentlichen Webseitenbetreiber hinausgeht. (= Löschverpflichtung nach Art. 17 Abs. 1 DSGVO)
- Art. 17 Abs. 2 DSGVO: „Hat der für die Verarbeitung Verantwortliche die personenbezogenen Daten öffentlich gemacht und ist er gemäß Absatz 1 zu deren Löschung verpflichtet, so trifft er unter Berücksichtigung der verfügbaren Technologie und der Implementierungskosten angemessene Maßnahmen, auch technischer Art, um für die Datenverarbeitung Verantwortliche, die die Daten verarbeiten, darüber zu informieren, dass eine betroffene Person von ihnen die Löschung aller Links zu diesen personenbezogenen Daten oder von Kopien oder Replikationen dieser Daten verlangt hat.“
Recht auf Datenübertragbarkeit
- Art. 18 Abs. 2 DSGVO: Auskunftsanspruch mit gesetzlich festgelegter, besonderer Form. „Die betroffene Person hat das Recht, die sie betreffenden personenbezogenen Daten, die sie einem für die Verarbeitung Verantwortlichen bereitgestellt hat, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten […]“
- Ursprünglich den Umzug von social-media-Profilen zu konkurrierenden Anbietern gedacht, nunmehr aber alle automatisierten Verarbeitungen auf Grundlage von Einwilligung und Vertrag
- Direkttransfer nach Art. 18 Abs. 2a DSGVO macht den Anspruch vor allem für den Wechsel des Cloudspeicher-Anbieters bei großen Datenmengen interessant
Recht auf Einschränkung
- Früher: Recht auf Sperrung (§ 35 BDSG-Alt), wenn Löschung aus rechtlichen oder tatsächlichen Gründen unmöglich war. Jetzt: Art. 17a DSGVO
- „Einschränkung“ bedeutet, dass die Daten (abgesehen von Ihrer Speicherung) nur noch unter besonders engen Voraussetzungen und besonderen Zweckbestimmungen verarbeitet werden dürfen.
- Anspruch nach Art. 17a Abs. 1 DSGVO besteht nur, solange die Richtigkeit der Daten bestritten wird (lit. a), wenn die Verarbeitung von vornherein unzulässig war aber ein Löschwiderspruch eingegangen ist (lit. ab), nach Zweckerreichnung sofern der Betroffene die Daten noch zur Geltendmachung von Rechtsansprüchen benötigt (lit. b) oder wenn ein Widerspruch nach Art. 19 Abs. 1 DSGVO eingelegt wurde (lit. c).
Transparenzrechte
- Information bei Direkterhebung (Art. 14 DSGVO) bzw. außerhalb der Direkterhebung (Art. 14a DSGVO)
- Kontaktinformationen der verantwortlichen Stelle nebst Vertreter und ggf. Datenschutzbeauftragtem (lit. a)
- Zwecke und Rechtsgrundlagen der Verarbeitung (lit. b)
- berechtigte Interessen im Sinne von Art. 6 Abs. 1 lit. f DSGVO (lit. c)
- Empfänger oder Kategorien von Empfängern (lit. d)
- Drittlandsbezug nebst Angemessenheitsbeschluss der Kommission (lit. e)
- Speicherdauer oder Kriterien zur Festlegung derselben (lit. a)
- Bestehen der Rechte auf Auskunft, Berichtigung, Löschung, Einschränkung, Widerspruch und Datenübertragbarkeit (lit. e)
- Bestehen des Rechts auf Widerruf der Einwilligung für Fälle der Artt. 6 Abs. 1 lit. f und 9 Abs. 2 lit. a DSGVO-E (lit. ea)
- Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde (lit. f)
- gesetzliche oder vertragliche Erforderlichkeit und mögliche Folgen einer Nichtbereitstellung (lit. g)
- Durchführung automatisierter Entscheidungsfindung einschließlich Profilingnebst aussagekräftiger Informationen über die verwendete Logik (lit. h)
Datenpannen - „Augen zu und durch“ funktioniert nicht -> „Die EU-DSGVO gilt!“
- Kernvorschriften: Art. 30 f. DSGVO
- Keine Unterscheidung mehr in Risiko-und sonstige Daten
- Meldepflicht trifft öffentliche und private Stellen gleichermaßen
- nicht mehr nur unrechtmäßige Kenntnisnahme durch Dritte, sondern auch Verfügbarkeits- und Integritätsverletzungen (ähnlich §109a Abs. 1 TKG)
- Meldung an die Aufsichtsbehörde möglichst binnen 72 Stunden
- Meldung an Betroffene kann entfallen, wenn
- kein hohes Risiko für die persönlichen Rechte und Freiheiten
- geeignete technische und organisatorische Sicherheitsvorkehrungen (insb. Verschlüsselung) ergriffen wurden
- hohes Risiko durch nachfolgende Maßnahmen aller Wahrscheinlichkeit nach eingedämmt wurde oder
- die Meldung mit einem unverhältnismäßigen Aufwand verbunden wäre, dann öffentliche Bekanntmachung
Vertretung
- Art. 76 Abs. 2 DSGVO gestattet ein Verbandsklagerecht, wie es jüngst ins UKlaG aufgenommen wurde
- Art. 76 Abs. 1 DSGVO gewährt den Betroffenen darüber hinaus auch die Möglichkeit, Einrichtungen, Organisationen oder Vereinigungen konkret mit der Durchsetzung ihrer Betroffenenrechte zu beauftragten.
- Beschwerderecht bei der Aufsichtsbehörde (Art. 73 DSGVO)
- justizielle Rechte (Art. 74 f. DSGVO)
- Inanspruchnahme wegen Schadensersatzes (Art. 77 DSGVO)
Haftung und Sanktionen
- Schadensersatz, Kernvorschrift: Art. 77 DSGVO
- Ersatz des materiellen bzw. immateriellen Schadens
- Haftung für vermutetes Verschulden (Art. 77 Abs. 3 DSGVO)
- Auftragsverarbeiter können sich gem. Art. 77 Abs. 2 S. 2 DSGVO insbesondere dann vom Vorwurf des Verschuldens entlasten, wenn sie ihren speziellen gesetzlich auferlegten Pflichten nachgekommen sind oder unter Beachtung der rechtmäßig erteilten Anweisungen des Auftraggebers gehandelt haben
- gesamtschuldnerische Haftung nebst Innenausgleich nach Art. 77 Abs. 4 und 5 DSGVO
- Die §§ 280 ff. BGB für die vertragliche sowie die §§ 823 ff. BGB für die deliktische Haftung bleiben parallel bestehen
- Bußgelder, Kernvorschrift: Art. 79 DSGVO
- „wirksam, verhältnismäßig und abschreckend“
- Bußgeldrahmen:
- 10.000.000 EUR oder bis zu 2% des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs (es zählt der höhere Betrag) nach Art. 79 Abs. 3 DSGVO
- 20.000.000 EUR oder bis zu 4% des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs (es zählt der höhere Betrag) nach Art. 79 Abs. 3a DSGVO