Rechtspolitik | Unternehmensleitfaden Die Datenschutz-Grundverordnung
Bundesverband der Deutschen Industrie e. V. Abteilung Recht, Wettbewerb und Verbraucher
Rechtspolitik | Unternehmensleitfaden Die Datenschutz-Grundverordnung
3
Inhaltsverzeichnis 1. Vorwort..................................................................................................................................................................................5 2. Die Datenschutz-Grundverordnung auf einen Blick..................................................................................................6 3. Countdown bis 2018........................................................................................................................................................10 4. Extraterritorialer Anwendungsbereich........................................................................................................................13 5. Grundregeln bleiben unverändert................................................................................................................................16 6. Datensicherheit als Grundprinzip ................................................................................................................................24 7. Rechte der betroffenen Personen................................................................................................................................27 8. Einwilligung und Schutz von Kindern..........................................................................................................................29 9. Datenschutzerklärungen................................................................................................................................................34 10. Auftragsverarbeiter..........................................................................................................................................................36 11. Übermittlungen aus der EU heraus..............................................................................................................................37 12. Sanktionen..........................................................................................................................................................................39 13. Herausforderung für die Praxis.....................................................................................................................................40
4
Bundesverband der Deutschen Industrie e. V. Abteilung Recht, Wettbewerb und Verbraucher
Rechtspolitik | Unternehmensleitfaden Die Datenschutz-Grundverordnung
Bundesverband der Deutschen Industrie e. V. Abteilung Recht, Wettbewerb und Verbraucher
Rechtspolitik | Unternehmensleitfaden Die Datenschutz-Grundverordnung
1. Vorwort Die EU-Datenschutz-Grundverordnung (DS-GVO) wird das Europäische Datenschutzrecht so tiefgreifend verändern, wie kein anderes Ereignis in den vergangenen 20 Jahren. Die neuen Regelungen gelten ab dem 25. Mai 2018 in allen EU-Mitgliedstaaten. Mit der DS-GVO wird das Datenschutzrecht in der Europäischen Union (EU) modernisiert und vereinheitlicht. Ein einheitlicher Datenschutz beseitigt Wettbewerbsverzerrungen zwischen europäischen Unternehmen und ihren Konkurrenten aus den anderen Teilen der Welt. Für viele Unternehmen wird es eine Herausforderung sein, den umfangreichen Anforderungskatalog der Verordnung zu erfüllen. Der zweijährige Einführungszeitraum ist knapp bemessen. Daher sind Unternehmen gut beraten, bereits frühzeitig mit den Vorbereitungen zur Umsetzung zu beginnen. Jedes Unternehmen verarbeitet personenbezogene Daten – und wenn es nur die Daten der eigenen Mitarbeiter sind. Damit ist jedes Unternehmen jedenfalls in der EU von der DS-GVO betroffen – und zwar unabhängig von der Branche. Die DS-GVO gilt gleichermaßen in der Stahlindustrie, dem Gesundheitswesen, dem Finanz- und Versicherungssektor, dem Bergbau und der Autoindustrie, nur um einige zu nennen. Compliance-Programme können dabei helfen, die bevorstehenden Regeländerungen zu managen. Unternehmen sollten dabei aber nicht nur die direkten Anforderungen der Verordnung im Blick zu haben: Die Einführung der DS-GVO ist zugleich eine willkommene Gelegenheit, den Umgang mit personenbezogenen Daten im gesamten Unternehmen auf den Prüfstand zu stellen und ggf. zu verbessern. Denn die neuen Regelungen betreffen sowohl die Kunden- als auch die Mitarbeiterseite. Erhöhte Aufmerksamkeit hat das kartellrechtsgleiche Sanktionsregime der DS-GVO auf sich gezogen. Die Strafandrohung von bis zu 4 Prozent des jährlichen weltweiten Umsatzes oder 20 Millionen Euro bewirkt, dass der Datenschutz im Unternehmen zukünftig einen noch höheren Stellenwert genießt. Hier gilt es, frühzeitig umfangreiche datenschutzrechtliche Vorkehrungen zu treffen und diese zu implementieren, um das Risiko empfindlicher Bußgeldzahlungen und persönlicher Haftung zu minimieren. Diese Broschüre bietet einen umfassenden Überblick über die wichtigsten Änderungen, die im Rahmen der DS-GVO auf Unternehmen zukommen. Sie soll dabei helfen, die vielfältigen Herausforderungen, die mit der Umsetzung des Regelwerks verbunden sind, zu meistern und die dadurch entstehenden Chancen optimal zu nutzen.
Iris Plöger Mitglied der Hauptgeschäftsführung Bundesverband der Deutschen Industrie e.V.
Dr. Daniel Pauly Partner und Leiter Telekommunikation, Medien, Technologie (Deutschland) Linklaters LLP (Frankfurt am Main)
5
6
Bundesverband der Deutschen Industrie e. V. Abteilung Recht, Wettbewerb und Verbraucher
Rechtspolitik | Unternehmensleitfaden Die Datenschutz-Grundverordnung
2. Die Datenschutz-Grundverordnung auf einen Blick Der Countdown bis 2018
Extraterritorialer Anwendungsbereich
–– Die DS-GVO gilt ab dem 25. Mai 2018 in allen Mitgliedstaaten der EU.
–– Die DS-GVO findet auf Unternehmen mit Sitz in der EU Anwendung.
–– Nach aktuellem Zeitplan der EU-Kommission soll neben der DS-GVO zeitgleich die ePrivacy-Verordnung gültig werden. Die ePrivacy Verordnung wird – nach einem ersten Entwurf vom Januar 2017 – spezielle Regelungen für die Verarbeitung personenbezogener Daten im Zusammenhang mit elektronischen Kommunikationsdiensten vorsehen.
–– Sie findet auch auf Unternehmen außerhalb der EU Anwendung, sofern diese Waren und Dienstleistungen auf dem europäischen Markt anbieten oder das Verhalten betroffener Personen – etwa mithilfe von Cookies – beobachten (Marktortprinzip).
–– Ziel der DS-GVO ist die Vereinheitlichung des Datenschutzrechts in der EU. Allerdings enthält sie zahlreiche Öffnungsklauseln für nationale Alleingänge. Zudem ist es wahrscheinlich, dass es in den einzelnen Mitgliedstaaten Unterschiede in der Interpretation und der Durchsetzung der DS-GVO geben wird. –– Der deutsche Gesetzgeber erarbeitet derzeit ein Gesetz zur Anpassung des Bundesdatenschutzgesetzes an die DS-GVO. –– Unternehmen, die innerhalb der EU grenzüberschreitend Daten verarbeiten, sollen hauptsächlich von der Aufsichtsbehörde ihres Unternehmenshauptsitzes reguliert werden (One Stop-Shop). –– Die Entwicklung des Vereinigten Königreiches ist im Blick zu halten: Möglicherweise gilt das Vereinigten Königreich nach dem Brexit nicht mehr als „sicherer Hafen“, sondern als Drittland, sodass jegliche Übermittlungen an einen Empfänger im Vereinigten Königreich am Maßstab der DS-GVO (Kapitel V. Übermittlungen personenbezogener Daten an Drittländer oder an internationale Organisationen) zu beurteilen sind.
–– Die von der DS-GVO betroffenen Unternehmen müssen einen Vertreter in der EU bestimmen. Dieser ist im Zweifel für Verstöße gegen die DS-GVO haftbar.
Grundregeln bleiben unverändert –– Die DS-GVO behält die datenschutzrechtlichen Grundprinzipien – insbesondere die Regelungssystematik des Verbots mit Erlaubnisvorbehalt – bei und führt die Regelungen der Verarbeitung personenbezogener Daten fort. –– Die DS-GVO findet sowohl bei Verantwortlichen als auch bei Auftragsverarbeitern auf die Verarbeitung personenbezogener Daten Anwendung. Ein Auftragsverarbeiter handelt lediglich auf Weisung des Verantwortlichen. –– Jede Verarbeitung personenbezogener Daten muss sechs Grundsätzen sowie Verarbeitungsbedingungen entsprechen, die denen der Datenschutzrichtlinie ähnlich sind. Allerdings gibt es auch hier einige bedeutende Veränderungen. –– Der Begriff der „besonderen Kategorien“ personenbezogener Daten wurde beibehalten und um „genetische“ und „biometrische“ Daten erweitert. In bestimmten Mitgliedstaaten – darunter auch Deutschland – wird es schwerer werden, Daten über Straftaten zu verarbeiten.
Bundesverband der Deutschen Industrie e. V. Abteilung Recht, Wettbewerb und Verbraucher
Rechtspolitik | Unternehmensleitfaden Die Datenschutz-Grundverordnung
Datensicherheit als Grundprinzip
Rechte der betroffenen Personen
–– Nach der DS-GVO sind personenbezogene Daten zu schützen. Diese Pflicht wird durch allgemeine Bedingungen konkretisiert. Es können aber auch verstärkte Maßnahmen, beispielsweise die Verschlüsselung von Daten, notwendig werden.
–– Die DS-GVO bewahrt größtenteils die bestehenden Rechte. Dazu zählen das Auskunftsrecht, das Recht auf Berichtigung fehlerhafter Daten und das Recht der Anfechtung von automatisierten Entscheidungen. Die DS-GVO hält auch am Widerspruchsrecht für Zwecke des Direktmarketings fest. Das Recht auf Einschränkung der Verarbeitung wird aufgegriffen und teilweise erweitert.
–– Verantwortliche müssen Datenschutzverletzungen an die zuständigen Aufsichtsbehörden melden, es sei denn die Datenschutzverletzung führt voraussichtlich nicht zu einem Risiko für die Rechte natürlicher Personen. Die Meldung muss binnen 72 Stunden erfolgen. Auch die Benachrichtigung der betroffenen Personen kann erforderlich werden. –– Die Grundsätze der DS-GVO müssen nicht nur befolgt, sondern deren Einhaltung auch dokumentiert und nachgewiesen werden.
–– Darüber hinaus gibt es bedeutende neue Rechte für natürliche Personen. Dazu gehören das „Recht auf Vergessenwerden“ sowie das Recht auf Datenübertragbarkeit. Diese neuen Rechtsbegriffe sind komplex. Bisher ist noch nicht klar ersichtlich, welche praktischen Auswirkungen diese haben.
–– Bei Verarbeitungsvorgängen, die ein hohes Risiko bergen, muss der Verantwortliche eine Datenschutz-Folgenabschätzung durchführen sowie in bestimmten Fällen die Aufsichtsbehörde vor der Verarbeitung konsultieren. Dies sollte bei der Planung von Projekten einkalkuliert werden.
Einwilligung und Kinder
–– Der Nachweis für die Einhaltung dieser Grundsätze und weiterer Verpflichtungen kann durch Unterzeichnung eines Verhaltenskodexes oder eine Zertifizierung erfolgen.
–– Einwilligungen müssen nach wie vor ausdrücklich erklärt werden.
–– Die Einholung der Einwilligung von einer natürlichen Person ist lediglich eine von mehreren Möglichkeiten, die Verarbeitung von personenbezogenen Daten zu legitimieren.
–– Natürliche Personen können ihre Einwilligung zu jeder Zeit widerrufen. –– Bei der Nutzung von „Diensten der Informationsgesellschaft“ (v. a. Online-Dienste) sind Einwilligungen von Kindern nur gültig, sofern die Erziehungsberechtigten eine entsprechende Erlaubnis erteilen. Dies gilt für Kinder bis zu einem Alter von 16 Jahren. Die Mitgliedstaaten können diese Altersgrenze auf 13 Jahre herabsetzen. –– Kinder unterliegen einem erweiterten Schutz. Ihnen wird ein stärkeres „Recht auf Vergessenwerden“ zugesprochen. Die Fälle, in denen der Verantwortliche aus „berechtigtem Interesse“ eine rechtmäßige Datenverarbeitung vornehmen darf, können begrenzt werden.
7
8
Bundesverband der Deutschen Industrie e. V. Abteilung Recht, Wettbewerb und Verbraucher
Rechtspolitik | Unternehmensleitfaden Die Datenschutz-Grundverordnung
Datenschutzerklärung
Datenübermittlung aus der EU heraus
–– Durch die DS-GVO erhöht sich der Umfang an Informationen, die eine Datenschutzerklärung zu enthalten hat. Diese Erklärungen müssen in knapper Form dargestellt werden und verständlich sein.
–– Die Übermittlung personenbezogener Daten in das außereuropäische Ausland (Drittländer oder internationale Organisationen) ist nach der DS-GVO grundsätzlich verboten, sofern nicht bestimmte Bedingungen erfüllt werden. Diese Bedingungen sind weitgehend mit denen der Datenschutzrichtlinie identisch.
–– Die DS-GVO schreibt die Verwendung standardisierter Symbole nicht ausdrücklich vor. Die EU-Kommission könnte jedoch eine zwingende Verwendung einführen.
–– Die vollständige Einhaltung dieser Regelungen wird weiterhin schwierig sein. Es bleibt abzuwarten, ob die neuen, begrenzten Ausnahmefälle in der Praxis Vorteile bringen.
Auftragsverarbeiter –– Mit der DS-GVO erweitert sich die Liste der Anforderungen, die in einem Vertrag über die Auftragsverarbeitung reflektiert sein müssen. –– Einige Aspekte der DS-GVO sind direkt auf Auftragsverarbeiter anwendbar. Dies kann eine bedeutende Änderung für diejenigen Verarbeiter darstellen, die eine direkte Regulierung durch die Datenschutzrichtlinie bisher vermieden haben.
–– Anfragen ausländischer Behörden sind nach wie vor geeignet, die Adressaten solcher Anfragen vor ein Dilemma zu stellen: Soll der Anfrage Folge geleistet oder Datenschutzrecht beachtet werden? Ist der potentielle Schaden größer, wenn die Anfrage ignoriert oder Datenschutzrecht gebrochen wird?
Sanktionen –– Im Schadenersatzfall haften Auftragsverarbeiter (ggf. gemeinsam mit dem Auftraggeber) gesamtschuldnerisch.
–– Eine gravierende Veränderung gibt es bei den Sanktionszahlungen. Aufsichtsbehörden können Strafzahlungen in Höhe von bis zu 4 Prozent des weltweiten Jahresumsatzes des Unternehmens oder bis zu 20 Millionen Euro verhängen. –– Den Aufsichtsbehörden werden weitere umfangreiche Befugnisse zugestanden. Sie können Überprüfungen durchführen sowie Warnungen und temporäre oder permanente Datenverarbeitungsverbote erlassen. –– Natürlichen Personen ist es möglich, Unternehmen auf Schadenersatz hinsichtlich erlittener materieller Schäden sowie immaterieller Schäden zu verklagen.
Bundesverband der Deutschen Industrie e. V. Abteilung Recht, Wettbewerb und Verbraucher
Rechtspolitik | Unternehmensleitfaden Die Datenschutz-Grundverordnung
9
10
Bundesverband der Deutschen Industrie e. V. Abteilung Recht, Wettbewerb und Verbraucher
Rechtspolitik | Unternehmensleitfaden Die Datenschutz-Grundverordnung
3. Countdown bis 2018 Die DS-GVO läutet die größte Veränderung im Europäischen Datenschutzrecht seit 20 Jahren ein.
Als Verordnung ist die DS-GVO direkt in allen Mitgliedstaaten anwendbar, ohne dass es einer Umsetzung in nationales Recht bedarf. Dennoch werden die Mitgliedstaaten begleitende Gesetze erlassen oder anpassen müssen, um nationale Aufsichtsbehörden einzuführen und Gebrauch von den in der Verordnung eröffneten Regelungsspielräumen zu machen (s. Überblick über die nationalen Regelungsspielräume).
Jedoch können federführende Aufsichtsbehörden auf Anfrage von lokalen Aufsichtsbehörden zustimmen, dass bestimmte Fälle auf lokaler Ebene geregelt werden. Dies kann z.B. der Fall sein, wenn lediglich die Niederlassung in diesem Mitgliedstaat oder im Wesentlichen natürliche Personen in diesem Mitgliedstaat betroffen sind. Die federführende Aufsichtsbehörde kann eine solche Anfrage auch ablehnen, muss ihre Handlungen dann jedoch eng mit den betroffenen örtlichen Aufsichtsbehörden koordinieren. Diese können gegen die Entscheidung der federführenden Aufsichtsbehörde Beschwerde beim Ausschuss einlegen (Art. 56, 60).
3.1 Aufsichtsbehörden
3.3 Vollharmonisierung verfehlt
In jedem EU-Mitgliedstaat wird es eine nationale Aufsichtsbehörde geben. Die Aufsichtsbehörde ist unabhängig, ihre Mitglieder werden für eine Amtszeit von mindestens vier Jahren ernannt (Art. 51-54). Die Mitgliedstaaten können auch mehrere Aufsichtsbehörden errichten, wie derzeit in Deutschland.
Ein weiteres Ziel der Reformen ist es, den Europäischen Binnenmarkt durch die Schaffung eines einheitlichen Datenschutzrahmens zu stärken. Die Datenschutzrichtlinie – Vorläufer der DS-GVO – musste entsprechend ihrer Rechtsnatur von jedem Mitgliedstaat in nationales Recht umgesetzt werden. Dies erfolgte jeweils leicht unterschiedlich, was zu unterschiedlichen Datenschutzniveaus führte. Dieses Problem vermeidet die Verordnung, indem sie ohne vorherige nationale Gesetzeseinführung in allen Mitgliedstaaten unmittelbar anwendbar ist. Dies stellt einen wichtigen Schritt in die richtige Richtung dar, jedoch werden bedeutende nationale Unterschiede bestehen bleiben. Einige ergeben sich daraus, dass den Mitgliedstaaten an bestimmten Stellen Raum für Abweichungen von der Verordnung eröffnet wird. Zudem sind einige Aspekte der DS-GVO eng mit nationalem Recht verknüpft.
Die DS-GVO wurde am 4. Mai 2016 im Amtsblatt der EU veröffentlicht. Sie trat am 25. Mai 2016 in Kraft. Ihre Vorschriften werden ab dem 25. Mai 2018 in allen Mitgliedstaaten gelten.
Daneben wird es einen Europäischen Datenschutzausschuss (Ausschuss) geben. Dieser besteht aus je einem Vertreter der Aufsichtsbehörde jedes Mitgliedstaates (Art. 68-79). Der Ausschuss wird die bisherige Art. 29 Datenschutzgruppe ersetzen. Jedoch wird er eine stärkere Rolle bei dem Erlass von Richtlinien und der Koordination der Durchsetzung der Verordnung nicht zuletzt durch das sogenannte Kohärenzverfahren haben. 3.2 One Stop-Shop Ein Unternehmen, das grenzüberschreitend Daten verarbeitet, soll primär von derjenigen nationalen Aufsichtsbehörde reguliert werden, auf deren Territorium sich seine Hauptniederlassung befindet (federführende Aufsichtsbehörde, Art. 56).
Unterschiedliche soziale und kulturelle Einstellungen zum Datenschutz sind ebenso von Bedeutung. Viele Aspekte der Verordnung basieren im Grundsatz darauf, dass sie die große Bandbreite der Datenverarbeitung sowie dem rasanten technologischen Wandel gerecht werden soll. Eine derartige grundsätzliche Regelung ist zwar flexibel, anpassungsfähig
Bundesverband der Deutschen Industrie e. V. Abteilung Recht, Wettbewerb und Verbraucher
Rechtspolitik | Unternehmensleitfaden Die Datenschutz-Grundverordnung
und schwer zu umgehen. Gleichzeitig ist sie aber von Natur aus nicht immer eindeutig. Ihre Interpretation hängt teilweise von kulturellen Ansichten zu Privatsphäre und subjektiven Werturteilen ab. Was in Stockholm als „fair“ bezeichnet wird, muss in Madrid nicht auch als „fair“ angesehen werden. Während die Fragen innerhalb der EU die gleichen sein werden, werden die Antworten dies nicht immer sein.
3.5 Anwendung der Erwägungsgründe
Letztlich werden die vielfältigen Quellen und Ansichten der Aufsichtsbehörden wohl zu deutlichen Unterschieden bei der Durchsetzung führen. Es besteht eine große Diskrepanz zwischen theoretischen Befugnissen der nationalen Behörden und der Anwendung dieser Befugnisse in der Praxis. 3.4 Interpretations- und Orientierungshilfen Obwohl die DS-GVO veröffentlicht ist, herrscht in der Praxis aufgrund der zahlreichen Generalklauseln und unbestimmten Rechtsbegriffen noch immer Unsicherheit. Daher werden die Vorgaben des noch zu etablierenden europäischen Datenschutzausschusses entscheidungsrelevant sein. Im Jahr 2016 wurden von der Art. 29 Datenschutzgruppe bereits Richtlinien zu den folgenden Bereichen verabschiedet: –– Recht auf Datenportabilität; –– Datenschutzbeauftragte; und –– Identifizierung der federführenden Behörde. Für das Jahr 2017 wurden in einem Aktionsplan die folgenden Schwerpunktbereiche für die Art. 29 Datenschutzgruppe identifiziert: –– –– –– ––
Einwilligung und Profiling; Transparenz; Datentransfer in Drittstaaten; und Benachrichtigungen bei Datenschutzverletzungen.
11
Schließlich erscheint die Aufnahme von materiell-rechtlichen Verpflichtungen in die Erwägungsgründe (ErwGr) problematisch. Die Einwilligungsregelungen sind in den Artikeln beispielsweise relativ kurz und klar gefasst, werden aber durch eine Vielzahl von zusätzlichen Bedingungen in den ErwGr ergänzt (ErwGr 32, 42, 43), wie etwa das Verbot der Einwilligung durch bereits angekreuzte Kästchen. Noch ist nicht ganz klar, welche Auswirkungen diese zusätzlichen Bedingungen haben werden. Die ErwGr einer Verordnung entfalten zwar rechtlich keine bindende Wirkung. Sie können aber zur Auslegung einer Regelung herangezogen werden (solange dies nicht dem Wortlaut widerspricht), ohne selbst als eigenständige Regelung zu gelten. Manche ErwGr testen die Grenzen dieser Grundsätze aus. Hat ein Unternehmen seine Niederlassung beispielsweise außerhalb der EU, muss diese in den meisten Fällen einen Vertreter in der EU benennen. Nach den ErwGr (ErwGr 80) soll dieser Vertreter Durchsetzungsverfahren direkt unterworfen werden. Eine entsprechende Regelung findet sich aber nicht in den Artikeln der DS-GVO. Bedeutet das Fehlen eines wirksamen Artikels, dass keine direkte Haftung des Vertreters besteht? Eine solche Frage könnte letztlich beim Europäischen Gerichtshof zur Entscheidung landen.
12
Bundesverband der Deutschen Industrie e. V. Abteilung Recht, Wettbewerb und Verbraucher
Rechtspolitik | Unternehmensleitfaden Die Datenschutz-Grundverordnung
3.6 Anbieten von Waren oder Dienstleistungen an natürliche Personen durch Unternehmen in der EU
Einige Verarbeitungshandlungen sind vom nationalen Recht der Mitgliedstaaten abhängig. Darunter beispielsweise:
Mitgliedstaaten können Gesetze erlassen, um bestimmte Regelungen der DS-GVO anzupassen. Von dem Gestaltungsspielraum wird der deutsche Gesetzgeber durch eine Neufassung eines Allgemeinen Bundesdatenschutzgesetzes (ABDSG) Gebrauch machen. In folgenden Bereichen sind abweichende Regelungen möglich:
–– Verarbeitungsbedingungen – Eine Rechtfertigung für das Verarbeiten personenbezogener Daten kann sich ergeben, wenn dies zur Erfüllung einer Verpflichtung notwendig ist, die nach Unionsrecht oder Recht der Mitgliedstaaten besteht.
–– Kinder – Mitgliedstaaten können die Altersgrenze für rechtmäßige Einwilligungen von Kindern von 16 auf 13 Jahre herabsetzen. –– Datenschutzbeauftragte – Mitgliedstaaten können die Ernennung eines Datenschutzbeauftragten vorschreiben. –– Arbeitnehmerschutz – Mitgliedstaaten können weitere Beschränkungen für die Verarbeitung von Arbeitnehmerdaten beschließen. –– Nationale Sicherheit – Mitgliedstaaten können Gesetze zur Einschränkung von Rechten der DS-GVO in den Bereichen der nationalen Sicherheit, Straftaten und Gerichtsverfahren erlassen. –– Informationsfreiheit – Mitgliedstaaten können die DS-GVO anpassen, sodass der Datenschutz auf das Recht der Informationsfreiheit abgestimmt wird. Dies kann als notwendig erachtet werden, um Schutz für geheimhaltungspflichtige Informationen zu gewährleisten und um die Verarbeitung von Identifikationsnummern zu begrenzen.
–– Straftaten – Die Verarbeitung von Informationen über Straftaten ist nur dann erlaubt, wenn eine Ermächtigung durch EU-Recht oder Recht der Mitgliedstaaten (oder einer offiziellen Behörde) besteht. –– „Recht auf Vergessenwerden“ – Das „Recht auf Vergessenwerden“ ist nicht anwendbar, wenn die Datenverarbeitung notwendig für die Einhaltung von EU-Recht oder das Recht der Mitgliedstaaten ist. –– Übermittlungen an Drittländer – Besteht ein öffentliches Interesse, das im EU-Recht oder Recht der Mitgliedstaaten anerkannt ist, ist die Übermittlung personenbezogener Daten an ein Drittland zulässig. Mitgliedstaaten können weitere Beschränkungen für Übermittlungen an Drittländer beschließen. Diese nationalen Abweichungen sowie das Zusammenspiel der Gesetze der Mitgliedstaaten haben zur Folge, dass die DS-GVO das Datenschutzrecht europaweit nicht vollständig harmonisiert.
Bundesverband der Deutschen Industrie e. V. Abteilung Recht, Wettbewerb und Verbraucher
Rechtspolitik | Unternehmensleitfaden Die Datenschutz-Grundverordnung
13
4. Extraterritorialer Anwendungsbereich 4.1 Anwendungsbereich der Verordnung – Niederlassung
4.2 Anwendungsbereich der Verordnung – Extraterritorialer Bezug
Die Verordnung findet in erster Linie Anwendung auf Unternehmen mit Niederlassung innerhalb der Union. Der Begriff der Niederlassung meint hier die effektive und tatsächliche Ausübung einer Tätigkeit durch eine feste Einrichtung in der Union (ErwGr 22). Die Rechtsform der Einrichtung ist dabei nicht maßgeblich; es kann sich um eine Zweigstelle oder eine Tochtergesellschaft handeln.
Eine der bedeutendsten Veränderungen ist die Erweiterung des Anwendungsbereichs des europäischen Datenschutzrechts auch auf Unternehmen außerhalb der EU. Verantwortliche und Auftragsverarbeiter werden von der Verordnung erfasst, wenn –– sie gegen Entgelt oder unentgeltlich Waren oder Dienstleistungen an Personen in der Union anbieten; oder –– das Verhalten von Personen in der Union beobachten (Art. 3 Abs. 2). Was diese Regelung im Detail bedeutet, ist bislang noch unklar. Die ErwGr beziehen sich auf natürliche Personen, deren Internetaktivitäten nachvollzogen werden. Vertretbarer Weise könnten dies dann auch auf Unternehmen zutreffen, die Profile ihrer Kunden erstellen, um ihnen personalisierte Werbung anzubieten. Im Ergebnis erscheint es allerdings wahrscheinlicher, dass nur derart einschränkende Handlungen erfasst sein sollen, wie das Nachvollziehen von Internetaktivität über mehrere Seiten oder das Benutzen von Apps, um den Aufenthaltsort einer natürlichen Person zu bestimmen. Die Verordnung ist in beiden Fällen aber nur auf die Verarbeitung personenbezogener Daten von Personen anwendbar, die sich in der EU befinden. Wie bereits unter der Datenschutzrichtlinie ist die Nationalität oder der Wohnsitz der Personen irrelevant.
14
Bundesverband der Deutschen Industrie e. V. Abteilung Recht, Wettbewerb und Verbraucher
4.3 Anbieten von Waren oder Dienstleistungen an natürliche Personen durch Unternehmen in der EU Die schlichte Zugänglichkeit einer Webseite für Personen in der Union oder der Gebrauch der Sprache eines EU-Mitgliedstaates (wenn diese dieselbe wie die Sprache ihres Heimatlandes ist) allein sorgt nicht dafür, dass die Verordnung anzuwenden ist. Dagegen sind folgende Faktoren starke Indikatoren dafür, dass Waren oder Dienstleistungen an Personen in der Union angeboten werden und ein Unternehmen daher in den Geltungsbereich der neuen Verordnung fällt: Sprache – Gebrauch der Sprache eines Mitgliedstaates und diese Sprache ist nicht relevant für Kunden im Heimatland (z.B. Ungarisch bei einer US Webseite).
Rechtspolitik | Unternehmensleitfaden Die Datenschutz-Grundverordnung
Es wird die Kreditkartenzahlung mit Rechnungsadresse in der EU akzeptiert;
Es werden Waren oder Dienstleistungen elektronisch an Personen übermittelt, die sich in der EU aufhalten könnten;
Die Werbung in Internet oder E-Mail ist zwar nicht an Personen in der EU gerichtet, kann aber von diesen gesehen werden; oder
Die Telefonnummern auf der Webseite haben eine internationale Vorwahl. Währung – Es wird die Währung eines Mitgliedstaates verwendet und diese Währung wird im Heimatland normalerweise nicht gebraucht (z.B. Preisanzeige in Euro).
Name der Domain – Die Webseite hat eine Top Level Domain eines Mitgliedstaates (z.B. der Gebrauch der „.de“ Top Level Domain).
Lieferung in die EU – Es werden Waren in einen Mitgliedstaat geliefert (z.B. Produkte an eine spanische Adresse verschickt).
Kundenbasis – Das Unternehmen hat eine große Anzahl von Kunden in der EU.
Gezielte Werbung – Es werden zielgerichtet Personen in einem EU-Mitgliedstaat beworben (z.B. Zahlung für Werbung in einer Zeitung).
Im Gegensatz dazu sind die folgenden Indikatoren schwächer:
Im Rahmen einer Untersuchung sind sowohl firmeninterne Erwägungen wie auch diese objektiven äußeren Faktoren relevant. Hier ist zu fragen: Beabsichtigt das Unternehmen offensichtlich das Angebot von Dienstleistungen an Personen in der EU (ErwGr 23)?]
Bundesverband der Deutschen Industrie e. V. Abteilung Recht, Wettbewerb und Verbraucher
Rechtspolitik | Unternehmensleitfaden Die Datenschutz-Grundverordnung
4.4 Extraterritoriale Anwendung auf Auftragsverarbeiter
4.5 Benennung eines Vertreters in der EU
Eine weitere wichtige Frage ist, wie sich diese extraterritorialen Regelungen auf Auftragsverarbeiter auswirken. Es gibt einige Fälle, in denen ausländische Auftragsverarbeiter offensichtlich erfasst sind. Dies wäre der Fall, wenn beispielsweise ein US-amerikanisches Unternehmen einem Verbraucher in Europa Cloud-Services anbietet. Jedoch handelt ein ausländischer Auftragsverarbeiter in den meisten Fällen nach den Weisungen des Verantwortlichen, würde also nicht selbst aus eigenem Antrieb mit natürlichen Personen in der EU zu tun haben. Die DS-GVO kann in solchen Fällen trotzdem Anwendung finden, sofern: –– ein ausländischer Auftragsverarbeiter mit einem Verantwortlichen oder einem anderen Auftragsverarbeiter mit Niederlassung in der EU zu tun hat. Dies ist der Fall, da der Auftragsverarbeiter personenbezogene Daten „im Rahmen der Tätigkeiten“ eines Verantwortlichen oder eines Auftragsverarbeiters in der Union verarbeitet (Art. 3 Abs. 1). Mit anderen Worten: jede Leistung an eine Einheit in der EU bringt den ausländischen Auftragsverarbeiter in den Anwendungsbereich der DS-GVO; oder –– die Datenverarbeitung steht damit im Zusammenhang, betroffenen Personen in der EU Waren oder Dienstleistungen anzubieten oder das Verhalten von betroffenen Personen in der EU zu beobachten (Art. 3 Abs. 2). Daher kann in manchen Fällen die DS-GVO auf ausländische Unternehmen Anwendung finden, auch wenn solche Unternehmen nur mit Einheiten außerhalb der Union zu tun haben. Ob die DS-GVO in derartig erweiterten Fällen in der Praxis tatsächlich angewendet wird, bleibt abzuwarten. Es zeigt sich jedoch, dass der Anwendungsbereich der DS-GVO potentiell sehr weitgehend ist.
15
Ist die DS-GVO extraterritorial, hat der Verantwortliche oder der Auftragsverarbeiter einen Vertreter in der EU zu benennen (Art. 27 Abs. 1). Der Vertreter muss in einem der Mitgliedstaaten niedergelassen sein, in denen sich die betroffenen Personen befinden, deren personenbezogene Daten im Zusammenhang mit den ihnen angebotenen Waren oder Dienstleistungen verarbeitet werden oder deren Verhalten beobachtet wird. Es besteht eine Ausnahme von der Pflicht zur Benennung eines Vertreters. Diese gilt, wenn die Verarbeitung nur gelegentlich erfolgt, nicht zu einem Risiko für die betroffene Person führt und nicht die umfangreiche Verarbeitung besonderer Arten personenbezogener Daten einschließt. Diese Regelung stellt für die betreffenden Unternehmen eine Herausforderung dar. Der Vertreter wird sich mit der zuständigen Aufsichtsbehörde abstimmen müssen. Im Falle eines Verstoßes gegen die DS-GVO übernimmt er die Haftung, die ein erhebliches Ausmaß annehmen kann. Derzeit ist noch unklar, wie eine solche Vertretung in der Praxis aussehen wird. Unternehmen könnten eine Konzerngesellschaft dazu verpflichten, die Rolle des Vertreters zu übernehmen oder hierfür extra eine Zweckgesellschaft in der EU einrichten. In einem solchen Fall sollte die Konzerngesellschaft gründlich prüfen, ob es tatsächlich in ihrem Interesse ist, eine derartige risikobehaftete Rolle zu übernehmen. Ebenso könnten Drittanbieter die Rolle des Vertreters übernehmen. Vor den Hintergrund der bestehenden Risiken wird hierfür wahrscheinlich eine entsprechend hohe Risikoprämie fällig.
16
Bundesverband der Deutschen Industrie e. V. Abteilung Recht, Wettbewerb und Verbraucher
Rechtspolitik | Unternehmensleitfaden Die Datenschutz-Grundverordnung
5. Grundregeln bleiben unverändert Mehr als 20 Jahre sind seit Inkrafttreten der Datenschutzrichtlinie vergangen. In dieser Zeit haben sich die technischen Bedingungen und Voraussetzungen grundlegend geändert.
Die Digitalisierung und der Aufstieg des Internets, etwa durch die Entstehung von Suchmaschinen, sozialen Netzwerken, Smartphones, Big Data und Cloud-Computing stellen das Datenschutzrecht ständig vor neue Herausforderungen: –– Viele Daten werden nicht mehr in einer strukturierten Datenbank gespeichert. Vielmehr besteht die Speicherung aus unstrukturierten elektronischen Informationen wie E-Mails, Nachrichten oder Fotos. Klassisches Datenschutzrecht hierauf anzuwenden, ist schwierig. –– Die Datenmenge hat massiv zugenommen. In den letzten beiden Jahren wurden mehr Daten produziert, als in der gesamten Menschheitsgeschichte zuvor. –– Grenzüberschreitender Datenverkehr: Das Internet macht es möglich, dass Informationen unbegrenzt und in Echtzeit rund um die Welt fließen. Die DS-GVO will sich diesen Herausforderungen stellen, indem sie einen starken und einheitlichen Regelungsrahmen bietet. Dabei werden die Grundregeln der bisherigen Datenschutzrichtlinie nicht fundamental verändert, sondern das Recht weiterentwickelt. Zum Teil werden diese zusätzlichen Vorschriften in einigen Mitgliedstaaten bereits angewendet. In Deutschland gibt es beispielsweise bereits eine Verpflichtung zur Bestellung von Datenschutzbeauftragten, das Konzept pseudonymisierter Daten und strenge Anforderungen für Verträge mit Auftragsverarbeitern. In anderen Mitgliedstaaten werden diese Vorschriften dagegen neu sein.
Diese Konzepte entsprechen in etwa denen der bisher geltenden Datenschutzrichtlinie. Die DS-GVO behält insbesondere die sehr weite Definition von „personenbezogenen Daten“ und „Verarbeitung“ bei. Die Verordnung gilt nur für personenbezogene Daten, wenn diese ganz oder teilweise automatisiert verarbeitet werden, sowie für personenbezogene Daten, die nichtautomatisiert verarbeitet werden, soweit diese in einem Dateisystem gespeichert sind oder gespeichert werden sollen (Art. 2 Abs. 1). Sie gilt nicht für Ad-hoc-Papieraufzeichnungen. Es wird auch an dem Konzept festgehalten, dass die Verarbeitung von einem Verantwortlichen ausgeht, der den Zweck und die Mittel der Verarbeitung festlegt, oder von einem Auftragsverarbeiter, der nach Weisung des Verantwortlichen handelt. Diese Unterscheidung wurde kritisiert, da es insbesondere bei komplexen Beziehungen schwierig sein kann, herauszufinden, ob jemand als Verantwortlicher oder Auftragsverarbeiter handelt. Dennoch hält die Verordnung an dieser Zweiteilung fest. 5.2 Verarbeitungsbedingungen Ein Verantwortlicher muss bei der Verarbeitung personenbezogener Daten alle sechs Grundregeln einhalten (s. die sechs Verarbeitungsgrundsätze). Darüber hinaus muss der Verantwortliche mindestens eine Verarbeitungsbedingung erfüllen. Werden besondere Arten personenbezogener Daten verarbeitet, muss zudem auch mindestens eine Bedingung für die Verarbeitung besonderer Arten personenbezogener Daten einschlägig sein.
5.1 Grundregeln Die Verordnung ist auf die Verarbeitung personenbezogener Daten durch Verantwortliche oder Auftragsverarbeiter anwendbar.
Die Grundregeln sind denen der Datenschutzrichtlinie sehr ähnlich. Dennoch gibt es einige erhebliche Änderungen wie die Restriktionen bei der Einholung von Einwilligungen (s. Einwilligung und Schutz von Kindern) und andere Änderungen (s. unten).
Bundesverband der Deutschen Industrie e. V. Abteilung Recht, Wettbewerb und Verbraucher
Rechtspolitik | Unternehmensleitfaden Die Datenschutz-Grundverordnung
5.3 Informationen über Straftaten
5.4 Außerhalb des Geltungsbereichs
Informationen über strafrechtliche Verurteilungen dürfen nur nach EU-Recht oder dem Recht der Mitgliedstaaten sowie unter behördlicher Aufsicht verarbeitet werden (Art. 10). Es gibt keine weiteren Erlaubnistatbestände. Selbst die Einwilligung eines Betroffenen rechtfertigt unter der DS-GVO keine Verarbeitung dieser Informationen.
Manche Arten der Datenverarbeitung fallen nicht in den Anwendungsbereich der DS-GVO. Die DS-GVO findet keine Anwendung bei der Verarbeitung:
Dies stellt eine bedeutende Veränderung für einige Mitgliedstaaten dar, die Informationen über Straftaten bislang wie besondere Arten personenbezogener Daten behandelten. Die offensichtlichste Veränderung ergibt sich für Arbeitgeber, die zur Überprüfung ihrer Arbeitnehmer Einsicht in deren polizeiliche Führungszeugnisse nehmen. Eine solche Überprüfung wird nur möglich bleiben, wenn dies ausdrücklich durch ein Gesetz bestimmt wird.
17
–– durch eine natürliche Person zur ausschließlichen Ausübung persönlicher oder familiärer Tätigkeiten. Die private Nutzung von sozialen Netzwerken ist ausdrücklich ausgenommen. Allerdings sind Verantwortliche oder Auftragsverarbeiter, die solche sozialen Netzwerke zur Verfügung stellen, vom Anwendungsbereich der DS-GVO erfasst; –– durch Exekutivbehörden zur Verhütung und Ermittlung von Straftaten und zum Schutz der öffentlichen Sicherheit. Diese Einrichtungen sind der Datenschutz-Richtlinie für Polizei und Strafjustiz (2016/680) unterworfen; –– von Tätigkeiten, die nicht unter den Anwendungsbereich des EU-Rechts fallen (z.B. nationale Sicherheit); –– zum Zweck der Außen- und Sicherheitspolitik der EU; und –– durch Organe der EU. Diese Organe unterliegen der Verordnung über die Verarbeitung personenbezogener Daten durch Organe und Einrichtungen der Gemeinschaft (45/2001).
18
Bundesverband der Deutschen Industrie e. V. Abteilung Recht, Wettbewerb und Verbraucher
5.5 Bestehende Grundsätze 5.5.1 Personenbezogene Daten Personenbezogene Daten sind: alle Informationen, die sich beziehen auf eine identifizierte oder identifizierbare natürliche Person. Der Begriff der personenbezogenen Daten ist weit gefasst und erfasst ein breites Spektrum an Informationen. Die Richtlinie erklärt ausdrücklich, dass eine Person auch durch eine Online-Kennung, wie die IP-Adresse oder Cookie-Kennung, identifizierbar ist. Dies ist jedoch häufig auch gemäß der Datenschutzrichtlinie bereits der Fall.
5.5.2 Besondere Kategorien personenbezogener Daten –– Besondere Kategorien personenbezogener Daten sind personenbezogene Daten, aus denen ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder Gewerkschaftszugehörigkeit hervorgehen sowie genetische Daten, biometrische Daten, Gesundheitsdaten und Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person.
Rechtspolitik | Unternehmensleitfaden Die Datenschutz-Grundverordnung
5.5.3 Verantwortlicher –– Ein Verantwortlicher ist eine Person, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. –– Kurz gefasst: Der Verantwortliche entscheidet „wofür“ und „wie“ personenbezogene Daten verarbeitet werden.
5.5.4 Auftragsverarbeiter –– Ein Auftragsverarbeiter ist eine Person, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet. –– Das könnte beispielsweise ein Unternehmen sein, das Gehaltsabrechnungen verarbeitet oder ein Cloud-Anbieter, der Datenspeicherplatz zur Verfügung stellt. Bei komplexeren Zusammenhängen kann es in der Praxis schwierig sein, herauszufinden, ob jemand als Verantwortlicher oder als Auftragsverarbeiter handelt. Anders als bei der Datenschutzrichtlinie werden Auftragsverarbeiter für die Einhaltung bestimmter Bestandteile der DS-GVO direkt haftbar sein.
5.5.5 Betroffene Person –– Die Einbindung von genetischen und biometrischen Daten ist neu.
Die betroffene Person ist die natürliche Person, auf die sich die personenbezogenen Daten beziehen.
–– Informationen über strafrechtliche Verurteilungen und Straftaten werden getrennt behandelt und unterliegen strengerer Kontrolle. 5.5.6 Verarbeitung –– Verarbeitung ist ein sehr weit gefasster Begriff und umfasst nahezu alles was mit personenbezogenen Daten gemacht werden kann. Darunter fallen Erhebung, Verwendung, Speicherung und Vernichtung von Daten. –– Auch die Offenlegung der Daten stellt eine Form der Verarbeitung dar.
Bundesverband der Deutschen Industrie e. V. Abteilung Recht, Wettbewerb und Verbraucher
5.6 Neue Grundsätze 5.6.1 Umfangreiche Datenverarbeitung Bedeutung: Es gibt bislang nur begrenzt Hinweise darauf, was unter einer umfangreichen Datenverarbeitung zu verstehen ist. Nach der DS-GVO sollen darunter solche Verarbeitungsvorgänge fallen, die große Mengen personenbezogener Daten auf regionaler, nationaler und supranationaler Ebene verarbeiten und eine große Zahl von Personen betreffen können. Die Verarbeitung von personenbezogenen Daten über Patienten oder Mandanten durch einen einzelnen Arzt oder Rechtsanwalt wird davon allerdings nicht umfasst. Relevanz: Diese Grundsätze stellen die Weiche, um festzulegen, ob Regelungen der DS-GVO anzuwenden sind. Z.B.: (a) Unternehmen müssen einen Datenschutzbeauftragten ernennen, wenn sie sensible Daten in „großem Umfang“ verarbeiten oder wenn ihre Kerntätigkeit eine Überwachung in „großem Umfang“ erfordert; (b) Unternehmen mit Niederlassung außerhalb der EU, die aber von der DS-GVO erfasst werden, müssen einen Vertreter ernennen, wenn sie sensible Daten in „großem Umfang“ verarbeiten; und (c) Datenschutz-Folgeabschätzungen müssen durchgeführt werden, wenn besondere Arten personenbezogener Daten verarbeitet werden oder wenn öffentliche Bereiche in „großem Umfang“ überwacht werden.
Rechtspolitik | Unternehmensleitfaden Die Datenschutz-Grundverordnung
5.6.2 Risiken für betroffene Personen Bedeutung: Es besteht ein „Risiko“ für betroffene Personen, wenn die Verarbeitung zu physischen, materiellen oder immateriellen Schäden führen könnte. Dies ist insbesondere der Fall, wenn die Verarbeitung zu Diskriminierung, Identitätsdiebstahl, Rufschädigung oder unbefugter Aufhebung der Pseudonymisierung führt. Davon umfasst ist jede Verarbeitung besonderer Arten personenbezogener Daten oder personenbezogener Daten von Kindern oder anderen schutzbedürftigen Personen oder Verarbeitungen, bei denen große Mengen an personenbezogenen Daten verarbeitet werden. Relevanz: Der Begriff des Risikos ist ein wichtiger Anhaltspunkt für die Ermittlung konkret zu ergreifender Maßnahmen und taucht an einigen Stellen in der DS-GVO auf. Z.B.: (a) Die Verletzung des Schutzes von personenbezogenen Daten müssen einer Aufsichtsbehörde nicht angezeigt werden, sofern voraussichtlich kein „Risiko“ für die Rechte der betroffenen Personen besteht; (b) Unternehmen, die weniger als 250 Mitarbeiter beschäftigen, sind nicht gehalten, Verzeichnisse der Verarbeitungstätigkeiten zu führen, sofern nicht ein „Risiko“ für die Rechte der betroffenen Personen besteht; und (c) stellt dies einen Faktor dar, aufgrund dessen zu bestimmen ist, ob Unternehmen, die außerhalb der EU niedergelassen sind, aber von der DS-GVO erfasst werden, einen Vertreter in der EU ernennen müssen.
19
20
Bundesverband der Deutschen Industrie e. V. Abteilung Recht, Wettbewerb und Verbraucher
5.6.3 Hohe Risiken für betroffene Personen Bedeutung: Es gibt wenige Anhaltspunkte, ab wann eine Verarbeitung ein hohes Risiko für natürliche Personen darstellt. In Bezug auf eine Datenschutz-Folgenabschätzung, könnte eine Verarbeitung ein hohes Risiko darstellen, wenn die Verarbeitung Betroffene daran hindert, ein Recht auszuüben, eine Nutzung oder Dienstleistung eines Vertrags in Anspruch zu nehmen oder wenn systematisch in großem Umfang Daten verarbeitet werden. Die Art. 29 Datenschutzgruppe hat erklärt, zeitnah Leitlinien zu diesem Grundsatz zu veröffentlichen. Relevanz: Dieser Grundsatz löst eine Anzahl von weiteren Verpflichtungen unter der DS-GVO aus. Z.B.: (a) betroffene Personen müssen über Verletzungen informiert werden, wenn diese voraussichtlich ein „hohes Risiko“ für die Rechte der Personen darstellen; und (b) Datenschutz-Folgenabschätzungen müssen durchgeführt werden, wenn die Verarbeitung voraussichtlich ein „hohes Risiko“ für die Rechte der Betroffenen darstellt.
5.6.4 Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen Bedeutung: Der allgemeine Pflichtenkreis des Verantwortlichen wird in Art. 25 durch spezifische Pflichten zum Datenschutz durch Technikgestaltung (privacy by design) sowie durch datenschutzfreundliche Voreinstellungen (privacy by default) erweitert. Der Verantwortliche muss durch technische und organisatorische Maßnahmen sicherstellen, dass die Datenschutzgrundsätze der DS-GVO wirksam umgesetzt werden. Dabei müssen Voreinstellungen, insbesondere bei Telemedien, so ausgestaltet sein, dass nur diejenigen Daten verarbeitet werden, die für den jeweiligen Verarbeitungszweck erforderlich sind. Relevanz: Die Umsetzung der Anforderungen unterliegt der Überwachungsverantwortung der Aufsichtsbehörden. Dabei wird den Aufsichtsbehörden umfangreiche Untersuchungs- und Abhilfebefugnisse zugesprochen. So kann die Behörde dem Verantwortlichen konkrete Anweisungen auferlegen, ausnahmsweise aber auch ohne vorherige Anweisung eine Geldbuße verhängen.
Rechtspolitik | Unternehmensleitfaden Die Datenschutz-Grundverordnung
5.7 Verarbeitungsgrundsätze und -bedingungen 5.7.1 Die sechs Verarbeitungsgrundsätze Ein Verantwortlicher muss nach Art. 5 sicherstellen und nachweisen können, dass die Verarbeitung personenbezogener Daten mit den folgenden sechs Grundsätzen der DS-GVO im Einklang steht: –– Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz – Personenbezogene Daten müssen auf rechtmäßige Weise, nach Treu und Glauben und in einer nachvollziehbaren Weise verarbeitet werden. Das Transparenzgebot wird nach der neuen Regelungssystematik als eigene Grundregel des datenschutzkonformen Umgangs mit personenbezogenen Daten eingeordnet und von der Art. 29 Datenschutzgruppe als eigener Schwerpunktbereich für das Jahr 2017 festgelegt. –– Zweckbindung – Personenbezogene Daten müssen für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise verarbeitet werden (mit Ausnahmen im öffentlichen Interesse, für wissenschaftliche, historische oder statistische Zwecke); –– Datenminimierung – Personenbezogene Daten müssen dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein; –– Richtigkeit – Personenbezogene Daten müssen sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein. Unrichtige Daten müssen unverzüglich gelöscht oder berichtigt werden; –– Speicherbegrenzung – Personenbezogene Daten müssen in einer Form gespeichert werden, die die Identifizierung der betroffenen Person nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist (mit Ausnahmen im öffentlichen Interesse, für wissenschaftliche, historische oder statistische Zwecke); und –– Integrität und Vertraulichkeit – Personenbezogene Daten müssen in einer Weise verarbeitet werden, die eine angemessene Sicherheit der Daten gewährleistet.
Bundesverband der Deutschen Industrie e. V. Abteilung Recht, Wettbewerb und Verbraucher
5.7.2 Verarbeitungsbedingungen (Art. 6 Abs. 1) Die Verarbeitung personenbezogener Daten ist nur rechtmäßig, wenn mindestens eine der folgenden Bedingungen erfüllt ist: –– Einwilligung – Der Betroffene hat seine Einwilligung für die Verarbeitung zu einem bestimmten Zweck erteilt. Im Vergleich zum Bundesdatenschutzgesetz wird es unter der DS-GVO jedenfalls nicht leichter, eine wirksame Einwilligung einzuholen; –– Erforderlichkeit zur Vertragserfüllung – Die Verarbeitung ist für die Erfüllung eines Vertrags mit der betroffenen Person oder zur Durchführung vorvertraglicher Maßnahmen erforderlich; –– Gesetzliche Verpflichtung – Die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt. Nur rechtliche Verpflichtungen basierend auf EU-Recht oder dem Recht der Mitgliedstaaten genügen diesen Anforderungen. Die Regelung muss dabei nicht kraft Gesetzes gelten (z.B. sind gewohnheitsrechtliche Regelungen ausreichend); –– Schutz lebenswichtiger Interessen – Die Verarbeitung ist erforderlich, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen. Dies ist normalerweise beschränkt auf die Verarbeitung, die für medizinische Notfälle erforderlich ist; –– Öffentliches Interesse – Die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde. Dieser Zweck muss sich aus dem Recht eines Mitgliedstaates oder EU-Recht ergeben; –– Berechtigte Interessen – Die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person überwiegen, die den Schutz personenbezogener Daten erfordern (Interessenabwägung). Dies gilt insbesondere wenn es sich bei der betroffenen Person um ein Kind handelt. Behörden können sich nicht auf diese Bedingung stützen.
Rechtspolitik | Unternehmensleitfaden Die Datenschutz-Grundverordnung
21
22
Bundesverband der Deutschen Industrie e. V. Abteilung Recht, Wettbewerb und Verbraucher
Rechtspolitik | Unternehmensleitfaden Die Datenschutz-Grundverordnung
5.7.3 Verarbeitungsbedingungen – Besondere Arten personenbezogener Daten (Art. 9)
oder dem Recht eines Mitgliedstaates ergibt, erforderlich;
Die Verordnung unterwirft die Verarbeitung besonderer Kategorien personenbezogener Daten (Art. 9 Abs. 1) einer strengen Kontrolle. Die Verarbeitung dieser personenbezogenen Daten ist untersagt, es sei denn mindestens eine der folgenden Bedingungen ist erfüllt (Art. 9 Abs. 2):
–– Gesundheitsvorsorge – Die Verarbeitung ist für Zwecke der Gesundheitsvorsorge erforderlich und unterliegt angemessenen Schutzmaßnahmen;
–– Ausdrückliche Einwilligung – Die betroffene Person hat ausdrücklich eingewilligt. Allerdings können EU-Recht oder das Recht der Mitgliedstaaten die Fälle begrenzen, in denen eine Einwilligung möglich ist; –– Rechtliche Verpflichtung betreffend das Arbeitsrecht - Die Verarbeitung ist erforderlich, um einer rechtlichen Verpflichtung aus dem Arbeitsrecht und dem Recht der sozialen Sicherheit oder einer Kollektivvereinbarung nachzukommen; –– Lebenswichtige Interessen – Die Verarbeitung ist zum Schutz lebenswichtiger Interessen der betroffenen Person oder einer anderen natürlichen Person erforderlich. Davon ist typischerweise die Verarbeitung zu medizinischen Zwecken erfasst; –– Gemeinnützige Organisationen – Die Verarbeitung erfolgt aufgrund geeigneter Garantien durch eine gemeinnützige Organisation ohne Gewinnerzielungsabsicht. Sie bezieht sich nur auf Mitglieder oder Personen, die regelmäßig Kontakte mit ihr unterhalten, wobei die personenbezogenen Daten nicht ohne Einwilligung der betroffenen Person nach außen hin offengelegt werden; –– Öffentliche Informationen – Die Verarbeitung bezieht sich auf personenbezogene Daten, die die betroffene Person offensichtlich öffentlich gemacht hat; –– Rechtsansprüche – Die Verarbeitung ist zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen oder bei Handlungen der Gerichte im Rahmen ihrer justiziellen Tätigkeit erforderlich; –– Erhebliches öffentliches Interesse – Die Verarbeitung ist aus Gründen eines erheblichen öffentlichen Interesses, das sich aus dem EU-Recht
–– Öffentliche Gesundheit – Die Verarbeitung ist aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit auf der Grundlage des EU-Rechts oder des Rechts eines Mitgliedstaates erforderlich; –– Archivzwecke – Die Verarbeitung ist für Archivzwecke, wissenschaftliche oder historische Forschungszwecke oder statistische Zwecke erforderlich und basiert auf EU-Recht oder dem Recht eines Mitgliedstaates. Die Mitgliedstaaten können im Zusammenhang mit genetischen, biometrischen oder Gesundheitsdaten zusätzliche Bedingungen einführen.
Bundesverband der Deutschen Industrie e. V. Abteilung Recht, Wettbewerb und Verbraucher
Rechtspolitik | Unternehmensleitfaden Die Datenschutz-Grundverordnung
23
24
Bundesverband der Deutschen Industrie e. V. Abteilung Recht, Wettbewerb und Verbraucher
Rechtspolitik | Unternehmensleitfaden Die Datenschutz-Grundverordnung
6. Datensicherheit als Grundprinzip 6.1 Datensicherheit hat für die meisten Unternehmen Priorität Cyber-Attacken sind mittlerweile alltäglich und verursachen zum Teil immense Schäden. Deswegen verstärken Unternehmen weltweit ihre Bemühungen, ihre Systeme vor derartigen Angriffen zu schützen. Die neuen Verpflichtungen zur Datensicherheit unter der DS-GVO und die parallelen Verpflichtungen unter der Netz- und Informationssicherheitsrichtlinie spiegeln den auf Datensicherheit gelegten Fokus wider. Dennoch sollten sich alle großen Unternehmen als potentielle Ziele von Cyber-Attacken betrachten und Schritte unternehmen, um ihre Systeme auch ungeachtet dieser Vorschriften zu schützen. 6.2 Neue Sicherheitsverpflichtungen – optional oder nicht? Die DS-GVO übernimmt die umfassenden Sicherheitsverpflichtungen der Richtlinie. Sie verlangt von Verantwortlichen und Auftragsverarbeitern geeignete technische und organisatorische Maßnahmen zu treffen, um ihre Systeme zu schützen. Dazu werden als konkrete Maßnahmen beispielhaft aufgezählt (Art. 32):
befinden, wofür ihre Dienste genutzt werden. Z.B. wissen Cloud Provider nicht immer, welche Arten von Daten ihre Kunden auf ihren Systemen speichern. Oft ist ihnen nicht erlaubt, diese einzusehen. Mit Blick auf Sicherheitsvorkehrungen müssen Auftragsverarbeiter vom „worst case scenario“ ausgehen, d. h. Kunden ihre Dienste nutzen, um hochsensible und personenbezogene Daten zu speichern. Es ist zudem zu beachten, dass sich diese Verpflichtungen nicht nur auf die Datensicherheit beziehen, sondern auch umfassend auf Belange der Unternehmenskontinuität. 6.3 Meldung von Verstößen Eine der markantesten Neuerungen wird in vielen EU Mitgliedstaaten die Verpflichtung sein, Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde und in bestimmten Fällen auch an die betroffenen Personen zu melden (Art. 33, 34). Die Einführung einer Meldepflicht wurde weitgehend erwartet. Fernmeldediensteanbieter unterliegen dieser Verpflichtung bereits seit 2011. Meldepflichten sind auch in anderen EU Mitgliedstaaten wie z.B. Deutschland (§ 42a BDSG) und in Drittländern wie z.B. in den USA gebräuchlich.
–– Pseudonymisierung und Verschlüsselung personenbezogener Daten; –– Maßnahmen zur Gewährleistung der Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der IT-Systeme; –– Wiederherstellung der Verfügbarkeit der personenbezogenen Daten und des Zugangs zu diesen im Falle eines physischen oder technischen Zwischenfalls; –– Einführung eines Verfahrens zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.
Ob die Aufsichtsbehörden in der Praxis für die abzusehende Welle von Meldungen gerüstet sind, bleibt abzuwarten; ebenso, ob Verstöße tatsächlich binnen 72 Stunden gemeldet werden. Die Bearbeitung durch die Aufsichtsbehörden nimmt viel Zeit in Anspruch. Diese werden auch nur ungern bruchstückhafte Informationen zu Verstößen entgegennehmen. Dies kann aber in der Praxis der Fall sein, wenn der Verantwortliche zeitgleich eine Datenschutzverletzung beheben sowie eine umfassende Meldung an die Aufsichtsbehörde übermitteln muss.
Dies sind keine zwingenden Verpflichtungen. Sie sind lediglich „unter anderem“ anwendbar, was darauf hindeutet, dass sie nicht in allen Fällen zu beachten sind. Dennoch ergeben sich rückblickend oft Verstöße gegen die Datensicherheit. Unternehmen, die diese Maßnahmen nicht einführen, werden diese Unterlassung begründen müssen.
Die Meldung eines Datenschutzverstoßes kann auch der erste Schritt hin zu einer hohen Sanktionszahlung sein. Datensicherheit ist für Aufsichtsbehörden stets von Priorität gewesen. Das Melden von Verstößen schafft keinen Schutz vor Sanktionen (und verhinderte in der Vergangenheit keine Auferlegung von Strafzahlungen).
Die Sicherheitsverpflichtungen sind auch auf Auftragsverarbeiter anwendbar. Diese stehen oft vor der Herausforderung, sich darüber in Unkenntnis zu
Letztendlich müssen alle Sicherheitsvorfälle dokumentiert werden, ungeachtet der Frage, ob diese der Aufsichtsbehörde zu melden sind.
Bundesverband der Deutschen Industrie e. V. Abteilung Recht, Wettbewerb und Verbraucher
Rechtspolitik | Unternehmensleitfaden Die Datenschutz-Grundverordnung
6.4 Ablauf der Meldepflicht
Die Verletzung wird bekannt
Stellt die Verletzung ein „Risiko“ dar?
Die Verletzung muss der Aufsichtsbehörde gemeldet werden
Stellt die Verletzung ein „hohes Risiko“ dar?
Eine Verletzung des Schutzes personenbezogener Daten ist eine Verletzung der Sicherheit. Diese führt, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden. Es sollte geprüft werden, ob die Verletzung des Schutzes personenbezogener Daten voraussichtlich zu einem Risiko für natürliche Personen führt. Wenn die Verletzung zu einem Risiko für natürliche Personen führt, muss die Aufsichtsbehörde von der Verletzung des Schutzes personenbezogener Daten unverzüglich unterrichtet werden. Falls möglich, binnen höchstens 72 Stunden, nachdem die Verletzung festgestellt wurde. Diese Unterrichtung sollte detaillierte Informationen zu der Verletzung enthalten. Können die Details zum Vorgang nicht sofort zur Verfügung gestellt werden, kann dies auch in Etappen geschehen. Hier ist zu prüfen, ob die Verletzung zu einem hohen Risiko für natürliche Personen führt. Der Verstoß wird kein hohes Risiko darstellen, wenn die Daten verschlüsselt sind oder andere Schutzmaßnahmen ergriffen wurden.
Die betroffenen Personen benachrichtigen
Hat die Verletzung ein hohes Risiko für natürliche Personen zur Folge, müssen die betroffenen Personen unverzüglich (es gibt keine festgelegte Frist) über die Einzelheiten der Verletzung benachrichtigt werden. Ist die Benachrichtigung mit einem unverhältnismäßigen Aufwand verbunden, kann eine öffentliche Bekanntmachung oder eine ähnliche Maßnahme erfolgen (z.B. eine Zeitungsanzeige).
Quelle: BDI
25
26
Bundesverband der Deutschen Industrie e. V. Abteilung Recht, Wettbewerb und Verbraucher
6.5 Datenschutz-Folgenabschätzung Viele Unternehmen nehmen Datenschutz-Folgenabschätzungen – im Grundsatz vergleichbar mit den bisherigen Vorabkontrollen nach § 4d Abs. 5 BDSG – bereits jetzt in ihren Produktentwicklungszyklus auf. Die DS-GVO schreibt diese zwingend für alle neuen Aktivitäten vor, die „hohe Risiken“ für natürliche Personen zur Folge haben können. Bei der Durchführung einer Datenschutz-Folgenabschätzung sind folgende Punkte hervorzuheben: –– Hohes Risiko – Eine Folgenabschätzung ist erforderlich, wenn die Verarbeitung ein „hohes Risiko“ zur Folge hat. Die Verordnung veranschaulicht anhand einiger Beispiele, wann die Verarbeitung zu hohen Risiken führt. Ein hohes Risiko besteht bei systematischem und extensivem Profiling, das Rechtswirkungen gegenüber natürlichen Personen entfaltet. Ebenso bei umfangreichen Verarbeitungen besonderer Arten von personenbezogenen Daten und systematischer umfangreicher Überwachung öffentlich zugänglicher Bereiche (z.B. Videoüberwachung). Die Aufsichtsbehörde kann aber auch andere Datenverarbeitungen als „hohes Risiko“ bewerten. Diese Beispiele legen nahe, dass Folgenabschätzungen nur in begrenzten Fällen nötig sein werden. Die Art. 29 Datenschutzgruppe wird, was diesen Punkt betrifft, für weitere Orientierung sorgen, sodass sich die Schwelle erhöhen oder senken könnte. –– Folgenabschätzung – Wird eine Folgenabschätzung benötigt, muss der Rat des Datenschutzbeauftragten eingeholt werden (sofern ein solcher benannt werden musste). Es kann auch notwendig sein, betroffene Personen oder ihre Vertreter zu konsultieren. Ihre Datenschutz-Folgenabschätzung muss dokumentiert werden und die folgenden Informationen beinhalten: –– eine Beschreibung der Verarbeitungsvorgänge, einschließlich der Zwecke der Verarbeitung und der von dem Verantwortlichen verfolgten berechtigten Interessen; –– eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge; –– eine Bewertung der Risiken für die betroffenen Personen; und –– die zur Bewältigung der Risiken geplanten Maßnahmen.
Rechtspolitik | Unternehmensleitfaden Die Datenschutz-Grundverordnung
–– Konsultation der Aufsichtsbehörde – Die Aufsichtsbehörde muss konsultiert werden, wenn aus der Datenschutz-Folgenabschätzung hervorgeht, dass die Verarbeitung ein hohes Risiko zur Folge hätte, „sofern der Verantwortliche keine Maßnahmen zur Eindämmung des Risikos trifft“ (Art. 36 Abs. 1). Der Wortlaut der Vorschrift ist bemerkenswert. Er scheint nahe zu legen, dass mildernde Maßnahmen nicht erforderlich seien, wenn die Aufsichtsbehörde konsultiert wird. Gestützt auf die ErwGr ist hier aber wohl eher eine am Sinn und Zweck der Vorschrift orientierte Auslegung geboten, und eine Konsultation nur erforderlich, wenn das Risiko gerade nicht abgemildert werden kann (ErwGr 94). Die Aufsichtsbehörde wird prüfen, ob die Datenverarbeitung mit der Verordnung kompatibel ist. –– Timing – Die Konsultation der Aufsichtsbehörde kann einige Zeit in Anspruch nehmen. Die Aufsichtsbehörde hat bis zu 14 Wochen Zeit, die Datenverarbeitung zu überprüfen. Sie soll zwar innerhalb von acht Wochen reagieren, aber kann diese Frist um weitere sechs Wochen verlängern, wenn eine Verlängerung aufgrund der Komplexität der Datenverarbeitung nötig wird. Viele Aufsichtsbehörden verfügen zudem nur über begrenzte Ressourcen. Gehen viele Konsultationsanfragen ein, ist kaum vorstellbar, dass diese zeitnah oder überhaupt bearbeitet werden können.
Bundesverband der Deutschen Industrie e. V. Abteilung Recht, Wettbewerb und Verbraucher
Rechtspolitik | Unternehmensleitfaden Die Datenschutz-Grundverordnung
27
7. Rechte der betroffenen Personen 7.1 Widerspruchsrecht Die betroffene Person hat das Recht, einer Datenverarbeitung unter bestimmten Voraussetzungen zu widersprechen (Art. 21). 7.1.1 Wann findet das Widerspruchsrecht Anwendung? Dem Widerspruch ist zu entsprechen, wenn sich die Verarbeitung auf eine der folgenden Verarbeitungsbedingungen stützt: –– öffentliches Interesse; oder –– Wahrung berechtigter Interessen. 7.1.2 Welche Ausnahmen gibt es? Dem Widerspruch ist nicht zu entsprechen, wenn: –– die Verarbeitung der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen dient, oder –– zwingende schutzwürdige Gründe die Interessen der betroffenen Person überwiegen. 7.1.3 Was sind die Folgen? Im Fall eines berechtigten Widerspruchs muss die Datenverarbeitung unterbleiben.
7.2.1 Wann findet das „Recht auf Vergessenwerden“ Anwendung? Dem Ersuchen ist zu entsprechen, wenn: –– die betroffene Person der Verarbeitung widersprochen hat und keine vorrangigen berechtigten Gründe für die Verarbeitung vorliegen; –– die personenbezogenen Daten für die Zwecke, für die sie erhoben oder verarbeitet wurden, nicht mehr notwendig sind; –– die betroffene Person ihre Einwilligung widerruft und es an einer anderweitigen Rechtsgrundlage für die Verarbeitung fehlt; –– die personenbezogenen Daten unrechtmäßig verarbeitet werden; –– die Löschung der personenbezogenen Daten zur Erfüllung einer rechtlichen Verpflichtung nach dem EU-Recht oder dem Recht der Mitgliedstaaten erforderlich ist; oder –– die personenbezogenen Daten in Bezug auf an Kinder angebotene Online-Dienste erhoben wurden. 7.2.2 Welche Ausnahmen gibt es? Dem Ersuchen ist nicht zu entsprechen, wenn die Verarbeitung erforderlich ist:
7.2 Recht auf Löschung/„Recht auf Vergessenwerden“
–– zur Ausübung des Rechts auf freie Meinungsäußerung und Information; –– zur Erfüllung einer rechtlichen Verpflichtung nach dem Recht der Union oder der Mitgliedstaaten; –– zur Wahrnehmung einer Aufgabe im öffentlichen Interesse oder in Ausübung öffentlicher Gewalt; –– aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit; –– für im öffentlichen Interesse liegende Archivzwecke, wissenschaftliche oder historische Forschungszwecke oder statistische Zwecke; oder –– zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.
Die betroffene Person hat in bestimmten Fällen das Recht, eine unverzügliche Löschung der sie betreffenden personenbezogenen Daten zu verlangen (Art. 17).
7.2.3 Was sind die Folgen? Im Fall eines berechtigten Löschungsanspruchs müssen die personenbezogenen Daten gelöscht werden.
7.1.4 Anmerkung Das Widerspruchsrecht ähnelt dem bestehenden Recht aus der Datenschutzrichtlinie. Jedoch kehrt die DS-GVO die Beweislast um, sodass der Verantwortliche nachweisen muss, dass berechtigte Gründe für die Verarbeitung der personenbezogenen Daten bestehen. Die betroffene Person muss nicht nachweisen, dass zwingende Gründe bestehen, die Verarbeitung zu beenden.
Wurden personenbezogenen Daten öffentlich gemacht, müssen angemessene Maßnahmen getroffen werden, um Dritte über das Löschungsverlangen zu informieren.
28
Bundesverband der Deutschen Industrie e. V. Abteilung Recht, Wettbewerb und Verbraucher
7.2.4 Anmerkung Das Konzept des „Rechts auf Vergessenwerden“ war einer der Eckpfeiler des ursprünglichen Kommissionsvorschlags. Dieses Konzept in einen klaren Rechtssatz umzuwandeln, erwies sich jedoch als schwierig. Letztlich ist die Rechtsvorschrift relativ komplex – sowohl hinsichtlich der Ausübung, als auch mit Blick auf die bestehenden Ausnahmen. So müssen die personenbezogenen Daten z.B. nicht gelöscht werden, wenn die Verarbeitung zur Ausübung des Rechts auf freie Meinungsäußerung oder Information erforderlich ist. Dieses Aufeinandertreffen fundamentaler Rechte wird eine Bewertung im Einzelfall erfordern. In der Praxis wird die Rechtsvorschrift in erster Linie auf die grundsätzlich unzulässige Verarbeitung anzuwenden sein. Darüber hinaus besteht die generelle Verpflichtung, personenbezogene Daten nicht länger als erforderlich zu speichern. 7.3 Recht auf Einschränkung der Verarbeitung Die betroffene Person hat das Recht, dass unter bestimmten Voraussetzungen von dem Verantwortlichen die Datenverarbeitung eingeschränkt wird (Art. 18). 7.3.1 Wann ist das Recht anwendbar? Dem Ersuchen ist zu entsprechen, wenn: –– die betroffene Person Widerspruch gegen die Verarbeitung eingelegt hat, und solange noch nicht feststeht, ob die berechtigten Gründe des Verantwortlichen gegenüber denen der betroffenen Person überwiegen; –– der Verantwortliche die personenbezogenen Daten für die Zwecke der Verarbeitung nicht länger benötigt, die betroffene Person sie jedoch zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen benötigt; –– die Verarbeitung unrechtmäßig ist und die betroffene Person die Einschränkung anstelle der Löschung der personenbezogenen Daten wünscht; –– die Richtigkeit der personenbezogenen Daten bestritten wird und der Verantwortliche dies überprüft.
Rechtspolitik | Unternehmensleitfaden Die Datenschutz-Grundverordnung
7.3.2 Welche Ausnahmen gibt es? Keine. 7.3.3 Was sind die Folgen? Wurde die Verarbeitung eingeschränkt, dürfen die personenbezogenen Daten nur mit Einwilligung der betroffenen Person, zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen, zum Schutz der Rechte oder Freiheiten Dritter oder aus Gründen des wichtigen öffentlichen Interesses verarbeitet werden. 7.3.4 Anmerkung Dieses Recht ist eine Stufe unter dem Recht auf Löschung anzusiedeln. Es erlaubt es den Verantwortlichen, personenbezogene Daten zu isolieren, sodass diese nur für begrenzte Zwecke wie z.B. zum Umgang mit Rechtsansprüchen genutzt werden. Verantwortliche werden sicherstellen müssen, dass ihre Systeme eingeschränkte Daten identifizieren und den Zugang zu diesen Daten begrenzen können.
Bundesverband der Deutschen Industrie e. V. Abteilung Recht, Wettbewerb und Verbraucher
Rechtspolitik | Unternehmensleitfaden Die Datenschutz-Grundverordnung
29
8. Einwilligung und Schutz von Kindern Unter der DS-GVO wird es für einige EU-Mitgliedstaaten deutlich schwerer, wirksame Einwilligungen einzuholen.
Die Verordnung stellt hohe Anforderungen für Einwilligungen auf (s. Kasten: Einwilligung – Mission Impossible?). Eine Einwilligung einzuholen wird nur angebracht sein, wenn die betroffene Person eine echte Wahl in der Sache hat, z.B. entscheiden kann, ob Werbematerial versandt wird.
Betroffene Unternehmen sollten in Betracht ziehen, von ihren bestehenden Kunden oder Angestellten eine neue Einwilligung einzuholen, die auch unter der DS-GVO wirksam ist. Dies ist jedoch mit hohem Aufwand verbunden und wird wohl in einigen Fällen auch nicht zu einer erneuten Einwilligung führen.
In anderen Fällen sollte eine alternative Verarbeitungsbedingung in Betracht gezogen werden, wie z.B. die Wahrnehmung berechtigter Interessen (s. Verarbeitungsbedingungen).
8.2 Einwilligung und Marketing
Entscheidet man sich für die Einwilligung, sollte geprüft werden, ob die Anforderungen aus der Verordnung eingehalten werden. So sollte z.B. sichergestellt sein, dass keine vorgefertigten Kästchen genutzt werden und eine schriftliche Einwilligung separat von anderen Erklärungen eingeholt wird. Außerdem sollten Verfahren vorgesehen werden, die den Widerruf einer Einwilligung ermöglichen. 8.1 Bestehende, alte Einwilligungen Wurde im Einklang mit den Anforderungen der Datenschutzrichtlinie eine Einwilligung gegeben, bleibt diese unter Geltung der DS-GVO wirksam, wenn sie auch deren Anforderungen entspricht (ErwGr 171). Dies wird mit Blick auf die verschärften Anforderungen der DS-GVO nicht allzu häufig der Fall sein. Der Meinung des Düsseldorfer Kreises zufolge, einem informellen Gremium der Datenschutzaufsichtsbehörden für den nicht-öffentlichen Bereich, besteht Bestandsschutz für bisher erteilte Einwilligungen nur unter bestimmten Voraussetzungen. Die neuen Informationspflichten bei Erhebung von personenbezogener Daten können dagegen nachgeholt werden, ohne dass dadurch die Wirksamkeit der Einwilligung berührt wird (Art. 13).
Die ePrivacy-Richtlinie schafft zusätzliche Sonderregeln und Beschränkungen bei der Vermarktung per Telefon, E-Mail oder Fax. Z.B. kann nur dann direkt Werbung per E-Mail an jemanden gesendet werden, wenn die Person ihre Einwilligung erteilt hat oder, wenn bereits ein Kundenverhältnis besteht und die sog. „ähnliche Waren oder Dienstleistungen-Ausnahme‘‘ greift. Die ePrivacy-Richtlinie definiert die Einwilligung derzeit über einen Verweis auf die Datenschutzrichtlinie. Dies ist durch einen Verweis auf die DS-GVO seit Mai 2016 überholt. Einwilligungen für Werbemails einzuholen wird dadurch deutlich erschwert. Nach dem im Januar 2017 von der EU-Kommission veröffentlichten Entwurf zur ePrivacy-Novelle soll Direktmarketing grundsätzlich nur noch nach einem ausdrücklichen Zustimmungsverfahren (Opt-In) zulässig sein, falls nicht bereits eine Kundenbeziehung besteht. Es ist möglich, dass weitere Aufsichtsbehörden das deutsche „double Opt-In“-Modell vertreten werden, um zu beweisen, dass tatsächlich eine Einwilligung von der betroffenen Person erteilt wurde. Nach diesem Modell erhält die betroffene Person nach Einwilligung eine E-Mail mit einem Link, um die Einwilligung durch Klick nochmals zu bestätigen.
30
Bundesverband der Deutschen Industrie e. V. Abteilung Recht, Wettbewerb und Verbraucher
8.3 Nicht alle Einwilligungen sind gleich gestaltet – Bankgeheimnis Das Erfordernis einer Einwilligung stellt sich nicht nur im Datenschutzrecht, sondern auch in vielen anderen Rechtsgebieten. Unterliegt man etwa dem Bankgeheimnis, ist es sehr wahrscheinlich, dass eine Einwilligung benötigt wird, um Kundeninformationen offenzulegen. Denn in diesem Bereich bestehen keine alternativen Bedingungen, auf die Bezug genommen werden kann (z.B. haben die meisten Gesetze zum Bankgeheimnis keine Bedingung wie die Wahrnehmung berechtigter Interessen, um das Offenlegen bei Fehlen einer Einwilligung zu ermöglichen). Dies eröffnet bemerkenswerte Konstellationen: So ist möglich, dass eine Einwilligung aus dem Blickwinkel der Prinzipien des Bankgeheimnisses wirksam ist, diese jedoch die datenschutzrechtlichen Anforderungen nicht erfüllt, z.B. weil die Einwilligung auf die Durchführung des Vertrages mit der Bank bezogen ist oder weil sie widerrufen wird. 8.4 Zusätzlicher Schutz für Kinder Die Verordnung schützt Kinder in besonderer Weise. Kinder und Jugendliche bis zu einem Alter von 16 Jahren können nur mit dem Einverständnis der Eltern in die Verarbeitung ihrer personenbezogenen Daten bei Online-Diensten einwilligen. Allerdings können die Mitgliedstaaten diese Altersgrenze auf 13 Jahre herabsetzen (Art. 8).
Rechtspolitik | Unternehmensleitfaden Die Datenschutz-Grundverordnung
Die Verordnung hindert nicht daran, sich auf andere Verarbeitungsbedingungen als die der Einwilligung zu stützen, auch wenn dies im Einzelfall schwierig sein mag. Insbesondere wird es nur schwer möglich sein, sich auf die berechtigten Interessen zu berufen, wenn es um Kinder geht (Art. 6 Abs. 1 lit. f). Die Verordnung legt ausdrücklich fest, dass eine Einwilligung nicht notwendig ist, wenn es um Präventiv- oder Beratungsdienste für Kinder geht (ErwGr 38). Diese Einschränkung ist nicht anzuwenden, wenn offline von einem Kind eine Einwilligung eingeholt werden soll. Aufgrund der strengen Vorgaben für Einwilligungen ist es dann gleichwohl empfehlenswert, das Einverständnis der Eltern einzuholen. Die Verordnung enthält einige weitere Vorschriften, die ausdrücklich Kinder schützen: –– Datenschutzbestimmungen müssen klar und verständlich gefasst sein, wenn sie sich an Kinder richten (ErwGr 58); –– Maßnahmen wie Profiling und automatisierte Entscheidungen sollten Kinder nicht betreffen (ErwGr 71); und –– das „Recht auf Vergessenwerden“ ist bei Kindern besonders wichtig. Darüber hinaus betreffen ggf. auch zusätzlich nationale Regelungen der Mitgliedstaaten die Verarbeitung personenbezogener Daten von Kindern.
Bundesverband der Deutschen Industrie e. V. Abteilung Recht, Wettbewerb und Verbraucher
8.5 Einwilligung – Mission Impossible? Die Einwilligung ist die freiwillige, für den konkreten Fall, in informierter Weise und unmissverständlich abgegebene Bekundung der Wünsche der betroffenen Person. Der Verantwortliche muss darüber Aufzeichnungen führen, um nachweisen können, dass die betroffene Person tatsächlich eingewilligt hat. Darüber hinaus ist folgendes zu beachten (Art. 7 und ErwGr 32, 42 und 43): –– Klare und einfache Sprache – Eine vorformulierte Einwilligungserklärung muss in verständlicher, klarer und einfacher Sprache zur Verfügung gestellt werden und darf keine missverständlichen Klauseln enthalten. –– Leicht zugängliche Form – Die schriftliche Einwilligungserklärung muss ohne weiteres wahrnehmbar sein. –– Trennung – Erfolgt die Einwilligung durch eine schriftliche Erklärung, muss sie klar von anderen Sachverhalten zu unterscheiden sein. –– Bestätigende Handlung – Die Einwilligung soll durch eine eindeutige bestätigende Handlung erfolgen. Stillschweigen, bereits angekreuzte Kästchen oder Untätigkeit genügen nicht. –– Keinen Zwang – Eine Einwilligung ist nicht wirksam, wenn die betroffenen Personen keine echte oder freie Wahl haben oder Nachteile entstehen, wenn sie die Einwilligung verweigern oder widerrufen. –– Kein Ungleichgewicht – Eine Einwilligung ist nicht gültig, wenn ein klares Ungleichgewicht zwischen der betroffenen Person und dem Verantwortlichen besteht, insbesondere wenn es sich bei dem Verantwortlichen um eine Behörde handelt. –– Ungebündelte Einwilligung – Die Einwilligung kann nicht „gebündelt“ werden. Finden verschiedene Verarbeitungsvorgänge statt, ist die Einwilligung nicht wirksam, wenn die Einwilligung nicht gesondert zu diesen Verarbeitungsvorgängen erteilt werden kann. –– Nicht an einen Vertrag gekoppelt – Die Einwilligung ist nicht gültig, wenn sie zur Bedingung für die Erfüllung eines Vertrages gemacht wird.
Rechtspolitik | Unternehmensleitfaden Die Datenschutz-Grundverordnung
–– Widerrufbar – Die betroffene Person hat das Recht, ihre Einwilligung jederzeit für die Zukunft zu widerrufen und muss vor Abgabe der Einwilligung hiervon in Kenntnis gesetzt werden. Der Widerruf der Einwilligung muss so einfach wie ihre Erteilung sein. Schließlich muss die Einwilligung ausdrücklich erteilt werden, wenn besondere Arten personenbezogener Daten verarbeitet werden oder Daten aus der EU heraus übermittelt werden. Dies zieht einige Formalitäten nach sich, z.B. muss das Kästchen, das der Betroffene anklickt, den Begriff „Einwilligung“ beinhalten. Eine ausdrückliche Einwilligung kann nicht durch schlüssiges Verhalten erfolgen.
31
34
Bundesverband der Deutschen Industrie e. V. Abteilung Recht, Wettbewerb und Verbraucher
Rechtspolitik | Unternehmensleitfaden Die Datenschutz-Grundverordnung
9. Datenschutzerklärungen 9.1 Ein ungelöstes Paradoxon
9.3 Vertrauen und Abstufung
Datenschutzerklärungen sind eines der großen ungelösten Paradoxa des Datenschutzrechts. Einerseits ist es ein fundamentales Prinzip des Datenschutzrechts, betroffenen Personen die Nutzung ihrer Daten offen zu legen. Ohne diese Informationen können sie nicht wirksam in den Gebrauch ihrer Daten einwilligen oder ihre Rechte nicht ausüben.
Die Lösung liegt darin, sorgfältig zu überlegen, wie die Informationen übermittelt werden. Dies ist keine reine datenschutzrechtliche Frage. Wenn man der betroffenen Person in klarer und einfacher Sprache nicht mitteilen kann, was mit ihren personenbezogenen Daten passiert, wird diese mit großer Wahrscheinlichkeit ihre Einwilligung verweigern oder widersprechen. Folgendes ist deshalb zu beachten:
Andererseits liest (fast) niemand Datenschutzerklärungen. Studien belegen, dass ein durchschnittlicher Internetnutzer 76 Tage brauchen würde, um alle die ihn innerhalb eines Jahres betreffenden Datenschutzerklärungen zu lesen. Dies überrascht kaum. Viele Datenschutzerklärungen sind zu lang und zu komplex. 9.2 Vorgaben der DS-GVO Die Vorschriften der DS-GVO tragen nicht dazu bei, diese Gegensätze zu mildern. Das Gegenteil ist der Fall. Verantwortliche müssen: –– sicherstellen, dass ihre Datenschutzerklärungen in präziser, transparenter, verständlicher und leicht zugänglicher Sprache und Form gehalten sind; und –– deutlich mehr Informationen in ihren Datenschutzerklärungen aufnehmen. Mit anderen Worten bedeutet dies, dass Datenschutzerklärungen künftig beides sein müssen: kürzer und länger.
–– Abstufung – Stellen Sie eine kurze Zusammenfassung der wichtigsten oder ungewöhnlichsten Zwecke und Nutzungshandlungen der personenbezogenen Daten zur Verfügung sowie für die Details zusätzlich einen Link zu der vollumfänglichen Datenschutzerklärung. –– So früh wie nötig, so spät wie möglich – Erwägen Sie die Verwendung zusätzlicher Bestimmungen für bestimmte Interaktionen mit den Betroffenen. Wenn beispielsweise die Inanspruchnahme neuer Dienste bedeutet, dass die personenbezogenen Daten für weitere Zwecke verarbeitet werden, muss dies den Betroffenen Personen angezeigt werden, wenn sie die neuen Dienste in Anspruch nehmen wollen, nicht früher. –– Einfache Sprache – Vermeiden Sie Fachbegriffe und Juristenjargon. Der Durchschnittsbürger versteht wahrscheinlich keine technischen Begriffe wie „personenbezogene Daten“, „Verantwortlicher“ und „Auftragsverarbeiter“. Deshalb sollten Begriffe und Sprache so gewählt werden, dass sie für jedermann verständlich sind. –– Privacy Dashboards – Ziehen Sie die Verwendung von Privacy Dashboards in Erwägung. Dies gibt Betroffenen die Möglichkeit, Informationen über die Nutzung ihrer Daten einzusehen. –– Visuelle Unterstützung – Die Verwendung von Symbolen, Schaubildern, Videos oder Animationen können dabei unterstützen zu zeigen, wie und wofür die personenbezogenen Daten genutzt werden.
Bundesverband der Deutschen Industrie e. V. Abteilung Recht, Wettbewerb und Verbraucher
Rechtspolitik | Unternehmensleitfaden Die Datenschutz-Grundverordnung
9.4 Praxistauglichkeit und Ausnahmen
Werden die personenbezogenen Daten von einer dritten Partei zur Verfügung gestellt, besteht keine Pflicht, eine Datenschutzerklärung vorzusehen, wenn:
Bei der Erhebung personenbezogener Daten muss dem Betroffenen eine Datenschutzerklärung zur Verfügung stehen. Wenn Sie die personenbezogenen Daten von einem Dritten erhalten oder an einen Dritten offenlegen, muss die Datenschutzerklärung zur Verfügung gestellt werden: –– innerhalb einer angemessenen Frist nach Erlangung der personenbezogenen Daten, längstens jedoch innerhalb eines Monats; –– falls die personenbezogenen Daten zur Kommunikation mit der betroffenen Person verwendet werden, spätestens zum Zeitpunkt der ersten Mitteilung an diese; und –– falls die personenbezogenen Daten an einen Dritten offengelegt werden, spätestens zum Zeitpunkt der Offenlegung.
35
–– die betroffene Person bereits über die nötigen Informationen verfügt; –– die Erteilung dieser Informationen unmöglich wäre oder einen unverhältnismäßigen Aufwand erfordert, insbesondere wenn die Verarbeitung für Archivzwecke, wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke erfolgt; –– die Erlangung oder Offenlegung durch Rechtsvorschriften der EU oder der Mitgliedstaaten geregelt ist und es geeignete Maßnahmen zum Schutz der betroffenen Person gibt; oder –– die personenbezogenen Daten dem Berufsgeheimnis unterliegen. Werden personenbezogene Daten für neue Zwecke verarbeitet, muss die betroffene Person erneut informiert werden.
36
Bundesverband der Deutschen Industrie e. V. Abteilung Recht, Wettbewerb und Verbraucher
Rechtspolitik | Unternehmensleitfaden Die Datenschutz-Grundverordnung
10. Auftragsverarbeiter 10.1 Neue Aspekte in Verhandlungen mit Auftragsverarbeitern Die DS-GVO wird auch auf Auftragsverarbeiter unmittelbar Anwendung finden. Dies stellt eine bedeutende Veränderung dar, da Auftragsverarbeiter noch unter der Datenschutzrichtlinie von den Regelungen ausgenommen waren (obwohl zahlreiche Mitgliedstaaten Auftragsverarbeitern auf dem Wege des nationalen Rechts Verpflichtungen auferlegt haben). Die neuen Verpflichtungen für Auftragsverarbeiter werden zusammen mit der signifikanten Erhöhung der Sanktionen unter der DS-GVO die Verhandlungspositionen zwischen Kunden und Dienstanbietern verändern. Datenschutz ist nicht länger ein „Problem des Kunden“. Dienstanbieter werden künftig einen weitaus größeren Anteil bei der Suche nach einer regelkonformen Lösung übernehmen. Die Dienstleister werden versuchen, diese Verantwortung wieder an die Kunden zurück zu übertragen, indem sie beispielsweise für den Fall einer Sanktionierung aufgrund von Fehlern des Kunden Freistellungsklauseln im Vertrag vereinbaren wollen. 10.2 Veränderungen der Datenverarbeitungsverträge Die DS-GVO hält nicht nur am Erfordernis einer schriftlichen Vereinbarung mit dem Auftragsverarbeiter fest, sondern erweitert auch die Verpflichtungen, denen Auftragsverarbeiter unterliegen. Die Auswirkungen werden von Jurisdiktion zu Jurisdiktion variieren. So ist die Bedeutung für deutsche Verantwortliche begrenzt, da einige dieser Verpflichtungen bereits nach deutschem Recht vorgeschrieben sind. Der Verordnungsgeber geht davon aus, dass die EU-Kommission oder Aufsichtsbehörden Mustervorlagen herausgeben werden. Diese können genutzt werden, um die neuen Anforderungen zu erfüllen.
Die Verpflichtung, einen ordnungsgemäßen Datenverarbeitungsvertrag auszuarbeiten, trifft wahrscheinlich beide Seiten – sowohl Verantwortliche als auch Auftragsverarbeiter. Die gemeinsame Verantwortung wird zumindest den Verhandlungsprozess über die Aufnahme dieser Vorschriften in das Vertragswerk einfacher gestalten. Über die neuen vertraglichen Bedingungen hinaus besteht für Verantwortliche die Pflicht, Auftragsverarbeiter sorgfältig zu überprüfen und auszuwählen, um sicherzustellen, dass diese alle Anforderungen der Verordnung einhalten (Art. 28 Abs. 1). Diese Verpflichtung ist um einiges weiter gefasst, als unter der bisher geltenden Datenschutzrichtlinie. Diese verlangte lediglich von den Verantwortlichen nachzuweisen, dass ihre Auftragsverarbeiter eine angemessene Datensicherheit gewährleisten. 10.3 Bereitstellung besonderer Arten personenbezogener Daten an Auftragsverarbeiter Auftragsverarbeitungsvorgänge haben häufig (ggf. auch versehentlich) besondere Arten personenbezogener Daten zum Gegenstand. Unter der Datenschutzrichtlinie war nicht eindeutig festgeschrieben, ob es einem Verantwortlichen erlaubt ist, besondere Arten personenbezogener Daten an einen Auftragsverarbeiter offen zu legen, ohne eine einschlägige Verarbeitungsbedingung zu erfüllen. In vielen Fällen ist dies sehr schwierig, wenn nicht unmöglich. So ist es beispielsweise sehr unwahrscheinlich, dass Outsourcings erfolgen, wenn es zuvor der ausdrücklich erteilten Einwilligung aller betroffenen Person bedarf. Einige Mitgliedstaaten, darunter Deutschland, setzten die Datenschutzrichtlinie in der Form um, dass Offenlegungen an Auftragsverarbeiter privilegiert sind und keine Verarbeitungsbedingung erfüllt werden muss. Hingegen gibt es keine ähnliche Vorschrift in der DS-GVO und daher auch keine klare Grundlage für Offenlegungen besonderer Arten personenbezogener Daten an Auftragsverarbeiter. In einigen Jurisdiktionen wird dies zu gravierenden Compliance-Problemen führen, falls Auftragsverarbeiter, wie beispielsweise Cloud Provider, im Gesundheitsbereich oder zu Forschungszwecken genutzt werden.
Bundesverband der Deutschen Industrie e. V. Abteilung Recht, Wettbewerb und Verbraucher
Rechtspolitik | Unternehmensleitfaden Die Datenschutz-Grundverordnung
37
11. Übermittlungen aus der EU heraus 11.1 Die Beschränkungen von Datenübermittlungen in sogenannte Drittländer sind einer der schwierigsten Aspekte des Europäischen Datenschutzrechts Die fortschreitende Digitalisierung und die damit verbundene Übermittlung von personenbezogenen Daten über nationale Grenzen hinweg stellen den Datenschutz vor immer neue Herausforderungen. Die DS-GVO läutet keine radikalen Veränderungen ein, wie beispielsweise die Einführung einer flexiblen allgemeinen Rechenschaftspflicht. Stattdessen behält sie weitgehend die derzeitigen Regeln bei und verbietet grundsätzlich Übermittlungen personenbezogener Daten in Drittländer, es sei denn die EU-Kommission hat die Angemessenheit des Datenschutzstandards im Empfängerland mit einem „Angemessenheitsbeschluss“ festgestellt, wie etwa im Fall des „EU-US Privacy Shield“. Liegt kein solcher Beschluss vor, können anstelle von staatlichen Datenschutzregelungen auch sog. geeignete Garantien treten, wie etwa (s. Rechtfertigungen für Übermittlungen aus der Union heraus): –– Standardvertragsklauseln – Diese bedürfen keiner „Autorisierung“ der Aufsichtsbehörde. Dennoch ist es möglich, dass einige Aufsichtsbehörden weiterhin über ihren Gebrauch informiert werden wollen. –– Verbindliche unternehmensinterne Datenschutzvorschriften (Binding Corporate Rules - BCRs) – Verbindliche interne Datenschutzvorschriften werden auf eine umfassende gesetzliche Grundlage gestellt. Derzeit werden sie im BDSG stiefmütterlich behandelt und sind in anderen EU-Mitgliedstaaten lediglich faktisches Recht, das sich aus der aufsichtsbehördlichen Praxis ableitet. –– Genehmigte Verhaltensregeln oder Zertifizierungen – Diese Maßnahmen bieten eine neue Rechtfertigung für Übermittlungen. –– Geringfügige Übermittlungen - Es gibt eine neue, enge Ausnahme für geringfügige Übermittlungen (s. unten). 11.2 Weiterübermittlungen Eine weitere bedeutende Änderung ist, dass die DS-GVO nicht nur die ursprüngliche Übermittlung an ein Drittland regelt, sondern auch Weiterübermittlungen. Unter der Datenschutzrichtlinie war dies Sache des ausländischen Rechts und / oder der dem Importeur vertraglich auferlegten Verpflichtungen.
Die Ausweitung dieser Beschränkungen auf Weiterübermittlungen führt allerdings auch zu einer Reihe neuer Komplikationen. So stellt sich die Frage, wer haftet, wenn eine Weiterübermittlung gegen die Verordnung verstößt. Dies wird wahrscheinlich der ursprüngliche Exporteur übernehmen müssen, da in den meisten Fällen der Importeur nicht der Verordnung unterliegen wird. Jedoch mutet es unbillig an, da dieser nur beschränkte Kontrollmöglichkeiten gegenüber dem Importeur haben wird, insbesondere wenn der Importeur als Verantwortlicher handelt. 11.3 Ausnahme für geringfügige Übermittlungen Die DS-GVO erlaubt in sehr begrenzten Fällen geringfügige Übermittlungen personenbezogener Daten aus der Union in Drittländer. Es war beabsichtigt, einmalige oder gelegentliche Übermittlungen personenbezogener Daten zu legitimieren, z.B. wenn ein Arbeitnehmer seinen Laptop mit in den Urlaub nimmt oder einer Person außerhalb der Union eine E-Mail schreibt. Die Ausnahme für geringfügige Übermittlungen wird jedoch nur selten zur Anwendung kommen. Die Kriterien für die Übermittlung werden in der Praxis nur in sehr seltenen Fällen greifen (der Vollständigkeit halber: die Ausnahme findet auch bei Behörden keine Anwendung). So ist es beispielsweise sehr unwahrscheinlich, dass Unternehmen jedes Mal ihre Aufsichtsbehörde informieren werden, wenn einer ihrer Mitarbeiter eine E-Mail an jemanden in einem Drittland sendet. Ebenso unwahrscheinlich ist es, dass sie eine Benachrichtigung an ihre Kunden verschicken, um diese darüber zu informieren, dass ein Mitarbeiter seinen Laptop mit in den Urlaub nimmt (keine Sorge, die Festplatte ist verschlüsselt!). In der Praxis wird dies wohl ein sehr schwieriger Bereich bleiben. Es ist anzunehmen, dass einige Aufsichtsbehörden bei Verstößen gegen diese Regelung weiterhin bewusst wegsehen. Unternehmen sollten dennoch ihren Fokus darauf legen, ihre Datenübermittlungen in Einklang mit der Verordnung zu bringen, insbesondere was systematische oder sensible Übermittlungen betrifft.
38
Bundesverband der Deutschen Industrie e. V. Abteilung Recht, Wettbewerb und Verbraucher
Rechtspolitik | Unternehmensleitfaden Die Datenschutz-Grundverordnung
Anforderungen an die Ausnahme für geringfügige Übermittlungen
Es kann keine andere Rechtfertigung herangezogen werden.
Die Übermittlung erfolgt nicht wiederholt.
Nur eine begrenzte Zahl von Personen ist betroffen.
Es gibt ein zwingendes berechtigtes Interesse, das nicht von den Interessen der betroffenen Person überwogen wird. Die Risiken wurden beurteilt und geeignete Garantien in Bezug auf den Schutz personenbezogener Daten vorgesehen.
Die Aufsichtsbehörde und die betroffene Person wurden über die Übermittlung unterrichtet. Quelle: BDI
11.4 Ausländische Behörden und Auskunft über Gerichtsverfahren Ein beständiges Problemfeld sind Anfragen ausländischer Behörden nach personenbezogenen Daten oder ausländische Rechtsstreitigkeiten. Viele Verantwortliche stecken hier in einer Zwickmühle. Sie versuchen die Balance zu halten zwischen ihrer Verpflichtung zum Datenschutz und dem Risiko empfindlicher Sanktionen durch ausländische Behörden oder Gerichte. Die DS-GVO verschärft das Problem durch die Regelung in Art. 48: „Jegliches Urteil eines Gerichts eines Drittlands und jegliche Entscheidung einer Verwaltungsbehörde eines Drittlands, mit denen von einem Verantwortlichen oder einem Auftragsverarbeiter die Übermittlung oder Offenlegung personenbezogener Daten verlangt wird, dürfen unbeschadet anderer Gründe für die Übermittlung gemäß diesem Kapitel jedenfalls nur dann anerkannt oder vollstreckbar werden, wenn sie auf eine in Kraft befindliche
internationale Übereinkunft wie etwa ein Rechtshilfeabkommen zwischen dem ersuchenden Drittland und der Union oder einem Mitgliedstaat gestützt sind.“ Die Bedeutung dieser Vorschrift ist keineswegs klar. Obgleich sie scheinbar ein nationales Gericht davon abhält, eine Anfrage auf Offenlegung anzuerkennen, wenn sie nicht auf ein geeignetes Übereinkommen gestützt wird. Darüber hinaus gibt es kein vollumfängliches Verbot für Übermittlungen als Antwort auf ausländische Anfragen. So sollte es beispielsweise möglich sein, personenbezogene Daten zu übermitteln, wenn ein wichtiges öffentliches Interesse besteht. Oder in Fällen, wenn es darum geht, Rechtsansprüche zu begründen, auszuüben oder zu verteidigen (ErwGr 115). Abzuwarten bleibt, ob einzelne Aufsichtsbehörden eine offensivere Herangehensweise in Bezug auf Art. 48 einnehmen.
Bundesverband der Deutschen Industrie e. V. Abteilung Recht, Wettbewerb und Verbraucher
Rechtspolitik | Unternehmensleitfaden Die Datenschutz-Grundverordnung
39
12. Sanktionen 12.1 Geldbußen
12.2 Andere Sanktionen
Eines der Ziele der DS-GVO war es, den Datenschutz zur Chefsache zu machen. Die DS-GVO führt ein kartellrechtliches Sanktionsregime mit Geldbußen von bis zu 4 Prozent des weltweit erzielten Jahresumsatzes oder 20 Millionen Euro ein; je nachdem, welcher der beiden Beträge höher ist (Art. 83 Abs. 5). Diese Bußgelder werden bei Verstößen gegen viele Vorschriften der Verordnung – einschließlich Missachtung der sechs Verarbeitungsgrundsätze oder Durchführung einer Verarbeitung ohne Erfüllung einer Verarbeitungsbedingung – verhängt.
Die Aufsichtsbehörden werden über ein breites Spektrum an Eingriffsmöglichkeiten und Sanktionen verfügen (Art. 58). Dies beinhaltet Untersuchungsbefugnisse, wie beispielsweise die Möglichkeit, Informationen von Verantwortlichen und Auftragsverarbeitern zu verlangen und Audits durchzuführen.
Eine begrenzte Zahl von Verstößen fällt in eine niedrigere Kategorie und ist Gegenstand von Geldbußen in Höhe von bis zu 2 Prozent des weltweit erzielten Jahresumsatzes oder 10 Millionen Euro; je nachdem, welcher der Beträge höher ist (Art. 83 Abs. 4). Das Nichtmelden einer Verletzung des Schutzes personenbezogener Daten oder ein nicht adäquater Auftragsverarbeitungsvertrag fallen in diese niedrigere Kategorie. Bei der Entscheidung über das Verhängen einer Geldbuße und deren Höhe hat die Aufsichtsbehörde ein breites Spektrum an Faktoren zu berücksichtigen. Dies schließt die Schwere des Verstoßes, die Frage, ob der Verstoß vorsätzlich oder fahrlässig erfolgte, die unternommenen Maßnahmen um dem Verstoß abzuhelfen, die durch den Verstoß erlangten finanziellen Vorteile und den Umfang der Zusammenarbeit mit der Aufsichtsbehörde ein. Verantwortliche und Auftragsverarbeiter können sich an die Gerichte wenden, um Geldbußen oder andere Sanktionen anzufechten, die ihnen auferlegt wurden.
Sie werden auch Abhilfebefugnisse haben, die es ihnen gestatten, Warnungen oder Verwarnungen auszusprechen, um die Rechte betroffener Personen durchzusetzen und ein vorübergehendes oder endgültiges Verbot der Verarbeitung zu verhängen. 12.3 Ansprüche natürlicher Personen Natürliche Personen werden nach der DS-GVO das Recht haben, Schadenersatzansprüche gegen den Verantwortlichen oder den Auftragsverarbeiter vor Gericht geltend zu machen (Art. 82). Sie können materiellen oder immateriellen Schadenersatz (z.B. Schmerzensgeld) verlangen. Wenn mehr als ein Verantwortlicher und/oder Auftragsverarbeiter involviert ist, haften diese gesamtschuldnerisch für den Schaden. In speziellen Fällen können gemeinnützige Organisationen ohne Gewinnerzielungsabsicht beauftragt werden und im Namen der betroffenen Person eine Beschwerde einreichen und ihre Rechte wahrnehmen (Art. 80).
40
Bundesverband der Deutschen Industrie e. V. Abteilung Recht, Wettbewerb und Verbraucher
Rechtspolitik | Unternehmensleitfaden Die Datenschutz-Grundverordnung
13. Herausforderung für die Praxis 13. Risiken richtig einschätzen Die neue Verordnung findet auf jede Verarbeitung personenbezogener Daten Anwendung. Damit kommt die DS-GVO mit praktisch allen Bereichen des Geschäftslebens in Berührung. Das stellt angesichts der flexiblen und prinzipienbasierten Herangehensweise der Verordnung und den drastischen Veränderungen im Bereich der Sanktionen eine Herausforderung für die Unternehmen dar. Zumindest anfänglich besteht die Gefahr, dass die Neuerungen zu einer sehr konservativen Herangehensweise an das Thema führen, die Innovationsprozesse in Unternehmen abkühlt. Hier sind drei zentrale Punkte zu beachten: –– Unsicherheit – Während einiges aus der Verordnung schon vertraut sein mag, gibt es auch eine Vielzahl neuer Vorschriften. Es wird Zeit brauchen, um vollumfänglich zu verstehen, was sie genau bedeuten. Hier kann das Hinzuziehen externer Berater hilfreich sein. –– Werturteile – In vielen Fällen wird ein subjektives Urteil darüber gefällt werden müssen, ob die Verarbeitung rechtmäßig ist. Verfolgen Unternehmen beispielsweise berechtigte Interessen und überwiegen diese die Interessen der betroffenen Person? Ist das Ungleichgewicht zwischen Unternehmen und der betroffenen Person so groß, dass eine Einwilligung der betroffenen Person unwirksam wäre? Wichtig ist, den maßgeblichen Mitarbeitern hierfür praktikable Richtlinien an die Hand zu geben. –– Formeller Verstoß – In manchen Fällen werden wahrscheinlich Dinge getan, die gegen die neue Verordnung verstoßen. So ist schwer vorstellbar, dass es insbesondere großen Unternehmen gelingt, sämtliche Verarbeitungstätigkeiten lückenlos zu dokumentieren. 13.2 Fragenkatalog für die Umsetzung Die Einführung der DS-GVO wird einen weitaus größeren Fokus auf Datenschutz im Unternehmen legen. Für Unternehmen wird es zu einer großen Herausforderung, das Regelwerk umzusetzen und das Risiko von Sanktionen zu minimieren. Datenschutzexperten in Unternehmen sollten sich daher insbesondere die folgenden Fragen stellen: –– Implementierung – Wie sollen die neuen Anforderungen der DS-GVO umgesetzt werden? Soll bei der Implementierung auf bestehende Dokumente aufgebaut werden oder die Neuregelung zum Anlass genommen werden, die Datenschutzlandschaft von Grund auf neu aufzustellen?
–– Ressourcen – Welche personellen Ressourcen sind in quantitativer und qualitativer Hinsicht vorhanden? Können die regulatorischen Anforderungen rechtzeitig umgesetzt werden? Welche Prioritäten werden bei der Umsetzung gesetzt? –– Dimension der Verarbeitung – Wie viele personenbezogene Daten verarbeiten Sie und wie sensibel sind diese? Handelt es sich um ein großes Social Media Unternehmen, eine Bank oder bieten Sie medizinische Dienste an, ist es sehr wahrscheinlich, dass Sie eine große Menge privater Informationen über Ihre Kunden besitzen. Die Aufsichtsbehörde wird hier wahrscheinlich sehr genau hinschauen. Derartige Unternehmen werden viel in Ihre Compliance-Strukturen investieren müssen. Werden dagegen Industriegüter produziert, werden wahrscheinlich kaum bedeutende Mengen personenbezogener Daten verarbeitet (außer vielleicht in Bezug auf Ihre Mitarbeiter). Diese Unternehmen müssen gleichwohl ebenfalls Schritte unternehmen, um mit der Verordnung im Einklang zu sein, aber dies wird nicht zwingend absoluten Vorrang haben. –– Rahmen für die Entscheidungsfindung – Welchen Problemen sehen Sie sich in der Praxis gegenüber? Ist es sinnvoll, eine Strategie oder zumindest formlose Leitlinien zu entwickeln, um die Probleme zu managen? Sind die Mitarbeiter geschult, um eine Wertentscheidung treffen zu können? Welche Faktoren müssen Mitarbeiter bedenken? Wieviel Freiraum ist notwendig, um diese Entscheidungen zu treffen? Wie sieht der Ablauf aus, um diese Entscheidungen zu entwickeln oder zumindest zu diskutieren, um eine einheitliche Position einzunehmen? –– Bewusstsein – Wie werden Sie den Überblick über die Verordnung behalten und über die Durchsetzungsaktionen Ihrer Aufsichtsbehörde? Welche Herangehensweise wählen andere und zu welchem Maß sollte diese eine Richtschnur für die eigene Regelbefolgung sein? –– Regulatorisches Engagement – Welche Kontakte haben Sie zu Ihrer Aufsichtsbehörde? Besprechen Sie Ihre Herangehensweise an Fragen der Compliance regelmäßig mit der Aufsichtsbehörde und prüfen Sie inwieweit Sie bereit sind, deren Empfehlungen nachzukommen. –– Verwandte Bereiche – Mit welchen Fachbereichen müssen die Implementierungsanstrengungen verknüpft werden (z.B. IT-Sicherheit, berufliche Verschwiegenheitspflichten, Lauterkeitsrecht, AGBRecht und/oder Verbraucherschutzrecht)?
Bundesverband der Deutschen Industrie e. V. Abteilung Recht, Wettbewerb und Verbraucher
Rechtspolitik | Unternehmensleitfaden Die Datenschutz-Grundverordnung
41
42
Bundesverband der Deutschen Industrie e. V. Abteilung Recht, Wettbewerb und Verbraucher
Rechtspolitik | Unternehmensleitfaden Die Datenschutz-Grundverordnung
Impressum Herausgeber Bundesverband der Deutschen Industrie e. V. (BDI) Breite Straße 29 10178 Berlin T: +49 30 2028-0 www.bdi.eu Linklaters LLP (Frankfurt am Main) Taunusanlage 8 60329 Frankfurt am Main www.linklaters.com Redaktion Dr. Daniel Pauly Partner und Leiter Telekommunikation, Medien, Technologie (Deutschland) Linklaters LLP (Frankfurt am Main) Dr. Heiko Willems, Abteilungsleiter Recht, Wettbewerb und Verbraucherpolitik (BDI) Marek Jansen, Referent Recht, Wettbewerb und Verbraucherpolitik (BDI) Konzeption & Umsetzung Sarah Pöhlmann, Referentin Abteilung Marketing, Online und Veranstaltungen Layout Tilman Schmolke www.europrint-medien.de Druck Das Druckteam Berlin www.druckteam-berlin.de Verlag Industrie-Förderung GmbH, Berlin Bildnachweis Cover: © 112185177 / monsitj / Fotolia.com Seite 4: © 115457793 / dvoinik / Fotolia.com Seite 9: © 76993341 / alice_photo / Fotolia.com Seite 23: © 118640357 / Mysty / Fotolia.com Seite 32: © 136283864 / kiri / Fotolia.com Seite 41: © 141563439 / Africa Studio / Fotolia.com Stand Mai 2017 BDI-Publikations-Nr. 0054
Weiterführende Informationen liefert der Kommentar zur Datenschutz-Grundverordnung von Prof. Dr. Boris P. Paal und RA Dr. Daniel Pauly, erschienen im Verlag C.H. Beck.