Einleitung #
Das Datenschutzrecht ist wie viele andere Rechtsgebiete auch nicht in einem einzigen Regelwerk zusammengefasst, sondern besteht aus einer Vielzahl von Normen, die sich sowohl auf internationaler als auch nationaler Ebene finden. Im Folgenden werden die gesetzlichen Grundlagen des Datenschutzrechts auf europarechtlicher und nationaler Ebene dargestellt.
Europarechtliche Ebene
Auf europarechtlicher Ebene bilden sowohl die Europäische Menschenrechtskonvention (EMRK) als auch die Grundrechtecharta der EU (GrCh) eine wichtige Grundlage für das Datenschutzrecht.
Art. 8 EMRK normiert das Recht auf Achtung der Privatheit des Einzelnen. Der Schutzbereich wird vom Europäischen Gerichtshof für Menschenrechte (EGMR) sehr weit gefasst, sodass auch der Schutz personenbezogener Daten und das Fernmeldegeheiminis darunterfallen. Daher stellt jede Erhebung, Speicherung, Weitergabe oder sonstige Verarbeitung personenbezogener Daten einen Eingriff in Art. 8 EMRK dar und bedarf einer Rechtfertigungsgrundlage. Diese findet sich in Art. 8 Abs. 2 EMRK. Danach bedarf jeder Eingriff einer gesetzlichen Grundlage und muss zusätzlich einen der in der Vorschrift genannten Zwecke erfüllen (z.B. Aufrechterhaltung der Ordnung oder Verhütung von Straftaten). Die getroffenen Maßnahmen sind einer Verhältnismäßigkeitsprüfung zu unterziehen, in der die Rechte des Betroffenen gegen die öffentlichen Belange abgewogen werden. Dazu gehört auch, dass die gesetzliche Grundlage hinreichend bestimmt ist. Der Betroffene muss verstehen können, wie und zu welchem Zweck in seine Rechte eingegriffen wird.
Auf primärrechtlicher Ebene der EU finden sich die datenschutzrechtlichen Grundlagen in Art. 7 GRCh und Art. 8 GRCh. Während Art. 7 GRCh an Art. 8 Abs. 1 EMRK anknüpft und ebenfalls ein allgemeines Recht des Einzelnen auf Achtung seiner Privatheit normiert, geht Art. 8 GRCh einen Schritt weiter und normiert konkret den Schutz des Einzelnen in Bezug auf seine personenbezogenen Daten. Gem. Art. 8 Abs. 2 GRCh bedarf die Verarbeitung von personenbezogenen Daten der Einwilligung der betroffenen Person oder muss auf einer gesetzlich geregelten legitimen Grundlage beruhen. Zudem hat jede Person das Recht, Auskunft über die sie betreffenden erhobenen Daten zu erhalten und bei Bedarf eine Berichtigung dieser Daten zu erwirken.
Mit der DSGVO, welche seit dem 25.05.2018 in Kraft ist, hat die EU eine Verordnung geschaffen, welche in bisher weltweit einmaliger Weise den Datenschutz in mehreren Ländern einheitlich regelt. Aufgrund von Art. 288 Abs. 2 AEUV ist die DSGVO in den Mitgliedsstaaten der EU unmittelbar anwendbar. Sie genießt grundsätzlich Anwendungsvorrang gegenüber nationalen Regelungen. Durch sog. Öffnungsklauseln bleibt es den Mitgliedstaaten jedoch gestattet, an manchen Stellen konkretisierende Regelungen zu treffen. Die DSGVO soll dem Einzelnen dabei helfen, die Hoheit über die eigenen Daten zurückzugewinnen und darüber mitbestimmen zu können, welche persönlichen Daten preisgegeben werden.
Nationale Ebene
Verfassungsrecht
Verfassungsrechtliche Grundlage für das Datenschutzrecht in Deutschland ist unter anderem das Recht auf informationelle Selbstbestimmung, welches sich aus dem allgemeinen Persönlichkeitsrecht gem. Art. 2 Abs. 1 GG i.V.m. Art. 1 Abs. 1 GG ableitet. Dieses Recht schützt den Einzelnen unter anderem davor, dass ohne sein Einverständnis persönliche Daten verwendet und verarbeitet werden. Das Bundesverfassungsgericht fordert daher, dass bereits vor Beginn der Verarbeitung von personenbezogenen Daten eine eindeutige Zweckbindung besteht, es also klar feststeht, wofür die erhobenen Daten verwendet werden sollen. Eine anlasslose Speicherung der Daten hält das Gericht für verfassungswidrig (Stichwort: „Vorratsdatenspeicherung“). Auch müssen nach Vorstellung des Bundesverfassungsgerichts die Regelungen so ausgestaltet sein, dass sie über einen klaren Wortlaut verfügen und das Bestimmtheitsgebot beachtet ist. Als jüngste Ausprägung im Bereich des Datenschutzrechts hat das Bundesverfassungsgericht auf verfassungsrechtlicher Ebene das Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme (sog. IT-Grundrecht) geschaffen. Dieses Recht leitet sich ebenfalls aus dem Allgemeinen Persönlichkeitsrecht (Art. 2 I GG i.V.m. Art. 1 I GG) ab und schützt den Einzelnen vor der unbefugten Ausspähung oder Manipulation seiner Daten durch den Staat, welche der Betroffene auf informationstechnischen Systemen gespeichert hat (z.B. auf einem Smartphone, PC oder Tablet). Ein weiterer Baustein des Datenschutzrecht ist Art. 10 GG. Dieser schützt die Kommunikation des Einzelnen sowie deren Inhalt und ist in seinem Anwendungsbereich lex specialis (d.h. vorrangig anwendbar) zum Recht auf informationelle Selbstbestimmung.
Bundesrecht
Das Bundesdatenschutzgesetz (BDSG), welches ebenfalls seit dem 25.05.2018 in einer vollständig überarbeiteten Fassung gilt, regelt zusätzlich zur DSGVO den Datenschutz auf Bundesebene. Es kommt gegenüber der DSGVO jedoch nur subsidiär (d.h. nachrangig) zur Anwendung. Dies ist in § 1 Abs. 5 BDSG geregelt. Danach kommen die Vorschriften des BDSG nur dann zur Anwendung, wenn die DSGVO nicht unmittelbar gilt. Auch gegenüber anderen datenschutzrechtlichen Vorschriften des Bundes, gilt das BDSG nur nachrangig, vgl. § 1 Abs. 2 BDSG. Das heißt, dass die bereichsspezifischen Datenschutzregelungen, welche sich auch im Sozialrecht finden, den allgemeinen Regelungen des BDSG vorgehen, wenn die Sachverhalte dort abschließend geregelt sind. Wegen dieses Anwendungsvorrangs enthält das BDSG hauptsächlich Vorschriften, bei denen die DSGVO die Mitgliedsstaaten zur Schaffung eigener Regelungen ermächtigt hat.
Gemäß Art. 6 Abs. 2 und 3 DSGVO haben die Mitgliedsstaaten der EU vor allem bei der Verarbeitung von personenbezogenen Daten im öffentlichen Bereich (z.B. durch Behörden) einen großen Gestaltungsspielraum. Durch die vorgenannte Öffnungsklausel ist es ihnen möglich die Rechtsgrundlagen für die Verarbeitung in diesem Bereich zu konkretisieren. Deutschland hat davon in mehreren Bereichen Gebrauch gemacht. Bereichsspezifische Regelungen finden sich unter anderem in den Büchern des Sozialgesetzbuchs (sog. „Sozialdatenschutz“) oder in der Abgabenordnung.
Landesrecht
Neben der DSGVO, dem BDSG und den bereichsspezifischen datenschutzrechtlichen Regelungen gelten in Deutschland noch die Landesdatenschutzgesetze (LDSG) der sechszehn Bundesländer. Diese regeln die Verarbeitung von personenbezogenen Daten durch die jeweiligen öffentlichen Stellen des Bundeslandes. Zusätzlich treffen die Landesdatenschutzgesetze Regelungen zu den Befugnissen der Landesdatenschutzbeauftragten.
Zusammenspiel der einzelnen Vorschriften
Die Rechtmäßigkeit der Verarbeitung von personenbezogenen Daten ist aufgrund des Anwendungsvorrangs immer zuerst nach der DSGVO zu beurteilen. Ist hier ein Regelungsspielraum gegeben, ist zu prüfen, ob in bereichsspezifischen Vorschriften Konkretisierungen getroffen wurden. Falls sich dort keine Regelungen finden oder diese nicht abschließend sind, kann zur Ergänzung das BDSG herangezogen werden. Die Landesdatenschutzgesetze der Bundesländer gelten bei der Verarbeitung von personenbezogenen Daten durch öffentliche Stellen der Länder, vgl. § 1 Abs. 1 Nr. 2 BDSG.
Datenschutz nach der DSGVO und dem BDSG #
Bei der Verarbeitung personenbezogener Daten findet im Wesentlichen die DSGVO Anwendung. An manchen Stellen erlaubt die DSGVO eigene Regelungen durch die Mitgliedsstaaten. Diese werden in Deutschland durch bereichsspezifische Gesetze, das BDSG oder die Landesdatenschutzgesetze geregelt. Im Folgenden werden die in der DSGVO geltenden Grundsätze dargestellt und an geeigneter Stelle auf ergänzende Regelungen im BDSG hingewiesen.
DSGVO #
Für die DSGVO lassen sich drei Anwendungsbereiche unterscheiden: der sachliche, der räumliche und der persönliche Anwendungsbereich.
Der sachliche Anwendungsbereich wird in Art. 2 Abs. 1 DSGVO definiert: Danach findet die DSGVO Anwendung bei der ganz oder teilweise automatisierten Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen. Gem. Art. 4 Nr. 1 DSGVO sind „personenbezogene Daten“ alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Dazu gehören beispielsweise Name, Geburtsdatum, Geschlecht, Konfession oder die Adresse. Auch biometrische oder genetische Daten sowie Daten über die körperliche und geistige Gesundheit zählen hierzu. Dagegen sind Daten von juristischen Personen (z.B. Unternehmen) nicht vom Schutz der DSGVO umfasst. Die erhobenen Daten müssen zumindest mittelbar Rückschlüsse auf die betroffene Person zulassen. Werden die Daten dagegen vollständig anonymisiert erhoben, findet die DSGVO keine Anwendung. Der Begriff „Verarbeitung“ wird in Art. 4 Nr. 2 DSGVO definiert und meint unter anderem das Erheben, Erfassen, Organisieren, Ordnen, Speichern, Anpassen oder Verändern von Daten. „Automatisiert“ ist eine Verarbeitung, wenn sie mittels eines Computersystems ohne menschliches Zutun erfolgt (z.B. Scannen eines Dokuments, Speichern einer Datei auf dem PC). Das Anlegen einer handschriftlichen Liste fällt dagegen grundsätzlich nicht in den Anwendungsbereich der DSGVO, solange diese nicht in einem strukturierten Dateisystem gespeichert wird (z.B. Ablage in einem Online-Archiv).
Der räumliche Anwendungsbereich ist gem. Art. 3 Abs. 1 DSGVO für alle Verarbeitungsvorgänge von personenbezogenen Daten im Rahmen einer Tätigkeit im EU-Raum eröffnet. Unerheblich ist, an welchem Ort die Datenverarbeitung tatsächlich erfolgt.
Der persönliche Anwendungsbereich ergibt sich mittelbar aus Art. 1 Abs. 1, Art. 4 Nr. 1 DSGVO. Danach schützt die DSGVO die Interessen von natürlichen Personen bei der Verarbeitung ihrer personenbezogenen Daten. Juristische Personen sind von diesem Schutz nicht umfasst. Sie können aber nach der DSGVO als Verantwortlicher i.S.v. Art. 4 Nr. 7 DSGVO oder als Auftragsverarbeiter i.S.v. Art. 4 Nr. 8 DSGVO zur Einhaltung der Vorschriften verpflichtet sein.
BDSG #
Das BDSG findet gem. § 1 Abs. 1 S. 1BDSG Anwendung bei der Verarbeitung personenbezogener Daten durch öffentliche Stellen des Bundes oder der Länder, soweit der Datenschutz nicht durch Landesgesetz geregelt ist und sie Bundesrecht ausführen oder als Organe der Rechtspflege tätig werden. Darüber hinaus gilt das BDSG für nichtöffentliche Stellen, wenn diese ganz oder teilweise automatisiert personenbezogene Daten verarbeiten oder nichtautomatisiert verarbeitete personenbezogene Daten in einem Dateisystem speichern, vgl. § 1 Abs. 1 S. 2 BDSG. Wie bereits oben erwähnt, ist allerdings zu beachten, dass das BDSG gegenüber der DSGVO und anderen nationalen datenschutzrechtlichen Vorschriften nur subsidiär zur Anwendung gelangt, vgl. § 1 Abs. 2 S. 1, Abs. 5 BDSG.
Grundsätze für die Verarbeitung personenbezogener Daten #
Die Grundsätze für eine ordnungsgemäße Datenverarbeitung sind in Art. 5 DSGVO geregelt:
Gemäß Art. 5 Abs. 1 lit. a) DSGVO müssen personenbezogene Daten auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise (sog. Transparenzgebot) verarbeitet werden. Eine rechtmäßige Verarbeitung liegt nur dann vor, wenn eine der in Art. 6 Abs. 1 DSGVO genannten Bedingungen erfüllt ist (z.B. Einwilligung der betroffenen Person). Aufgrund des Transparenzgebots muss für die betroffene Person jederzeit erkennbar sein, wer welche Daten zu welchem Zweck verarbeitet. Um dies zu gewährleisten, ist der Verantwortliche verpflichtet der betroffenen Person Informationen über die Verarbeitungstätigkeiten zur Verfügung zu stellen. Zudem hat die betroffene Person gegenüber dem Verantwortlichen umfangreiche Rechte, wie beispielsweise das Auskunftsrecht, das Recht auf Berichtigung oder das Widerspruchsrecht, vgl. Art. 12 ff. DSGVO.
Die Datenverarbeitung muss gem. Art. 5 Abs. 1 lit. b) DSGVO zweckgebunden erfolgen. Bevor personenbezogene Daten erhoben werden, muss daher bereits ein eindeutiger und legitimer Zweck definiert worden sein, wofür die erhobenen Daten genutzt werden sollen. Eine Erhebung von Daten auf Vorrat ist nicht gestattet. Möchte der Verarbeiter den Zweck für die Verarbeitung nachträglich ändern, ist dies nur mit Einwilligung der betroffenen Person oder in den gesetzlich geregelten Fällen des Art. 6 Abs. 4 DSGVO zulässig.
Bei der Verarbeitung von personenbezogenen Daten ist zudem darauf zu achten, dass die Menge der personenbezogenen Daten sich auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt, vgl. Art. 5 Abs. 1 lit. c) DSGVO. Dieser Grundsatz der Datenminimierung muss vom Verantwortlichen jederzeit befolgt werden. Das umfasst unter anderem die Pflicht personenbezogene Daten umgehend zu löschen, sobald diese nicht mehr zu Verarbeitungszwecken benötigt werden, vgl. Art. 17 DSGVO. Auch sind vom Verantwortlichen möglichst datenschutzfreundliche Voreinstellungen zu wählen (sog. privacy by default), damit nur solche personenbezogenen Daten erhoben und verarbeitet werden, die für die Verarbeitung zwingend notwendig sind, vgl. Art. 25 Abs. 2 DSGVO.
Die verarbeiteten Daten müssen zudem sachlich richtig sein, vgl. Art. 5 Abs. 1 lit. d) DSGVO. Ansonsten hat die betroffene Person das Recht auf Berichtigung oder Löschung der unrichtigen Daten, vgl. Art. 16 und 17 DSGVO.
Auch die Sicherheit der verarbeiteten Daten muss gem. Art. 5 Abs. 1 lit. f) DSGVO in einem ausreichenden Maße gewährleistet sein. Die betroffene Person muss darauf vertrauen können, dass mit den von ihr zur Verfügung gestellten Daten sorgsam umgegangen wird und die Daten vor unbefugter oder unrechtmäßiger Verarbeitung, vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder Schädigung in ausreichendem Maße geschützt sind. Welche Maßnahmen hierzu von dem Verantwortlichen unter anderem zu treffen sind, wird in Art. 32 DSGVO weiter konkretisiert.
Für die Einhaltung der vorgenannten Grundsätze hat der Verantwortliche zu sorgen und muss daher gem. Art. 5 Abs. 2 DSGVO Rechenschaft über die Einhaltung dieser Grundsätze ablegen. Das heißt, dass alle datenschutzrechtlich relevanten Vorgänge nachvollziehbar und belegbar sein müssen. Der Verantwortliche ist daher gem. Art. 30 DSGVO verpflichtet, ein Verzeichnis aller Verarbeitungstätigkeiten zu führen.
Verzeichnis der Verarbeitungstätigkeiten #
Gem. Art. 30 DSGVO ist sowohl der Verantwortliche als auch der Auftragsverarbeiter und ggf. deren Vertreter verpflichtet, ein Verzeichnis der Datenverarbeitungstätigkeiten zu erstellen. Das Verzeichnis kann in schriftlicher oder elektronischer Form geführt werden. Die Mindestinhalte für das Verzeichnis sind in Art. 30 Abs. 1 S. 2 DSGVO festgeschrieben. Dazu gehören unter anderem die Identifikationsdaten der Verantwortlichen, die Zwecke der Verarbeitung, Kategorien betroffener Personen und Empfänger und Löschungsfristen der verschiedenen Datenkategorien. Die Dokumentationspflicht hat auf der einen Seite die Funktion sicherzustellen, dass die nach der DSGVO Verpflichteten die Vorschriften der DSGVO einhalten. Auf der anderen Seite dient sie den Verpflichteten als Beweisgrundlage, falls es zum Streit über die Ordnungsgemäßheit der Verarbeitung kommen sollte. Zusätzlich erhöht die Dokumentationspflicht die Transparenz für betroffene Personen, da diese die Möglichkeit haben, einzelne Schritte des Verarbeitungsvorgangs genauer nachzuvollziehen.
Um kleinere und mittlere Unternehmen sowie Einrichtungen mit weniger als 250 Mitarbeitern nicht mit einem übermäßigen Verwaltungsaufwand zu belasten sind sie gem. Art. 30 Abs. 5 DSGVO grundsätzlich von der Führung eines Verarbeitungsverzeichnisses befreit, es sei denn, die vorgenommene Verarbeitung birgt ein Risiko für die Rechte und Freiheiten der betroffenen Personen, die Verarbeitung erfolgt nicht nur gelegentlich oder es erfolgt eine Verarbeitung besonderer Datenkategorien gem. Art. 9 DSGVO oder Art. 10 DSGVO.
Datenschutzbeauftragter #
Datenschutzbeauftragte nehmen eine wichtige Funktion im Bereich des Datenschutzes wahr. Sie dienen sowohl betroffenen Personen als auch Beschäftigten innerhalb eines Unternehmens oder einer Einrichtung als Ansprechpartner in datenschutzrechtlichen Fragestellungen. Zudem kooperieren sie auch mit der jeweils zuständigen Aufsichtsbehörde. Die DSGVO und auch das BDSG legen fest, in welchen Fällen die Benennung eines Datenschutzbeauftragten zu erfolgen hat:
Nach Art. 37 Abs. 1 DSGVO müssen Behörden und öffentliche Stellen – ausgenommen sind Gerichte im Rahmen ihrer justiziellen Tätigkeit – stets einen Datenschutzbeauftragten benennen. Nichtöffentliche Stellen sind zur Benennung eines Datenschutzbeauftragten verpflichtet, sofern deren Kerntätigkeit besondere datenschutzrechtliche Gefahrenpotenziale aufweist, vgl. Art. 37 Abs. 1 lit. b) und c) DSGVO. Dies ist der Fall, wenn die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systemische Überwachung von betroffenen Personen erforderlich machen oder die Kerntätigkeit in der umfangreichen Verarbeitung besonders schützenswerter Kategorien von Daten gem. Art. 9 DSGVO oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gem. Art. 10 DSGVO besteht. Darüber hinaus ist es auch möglich einen Datenschutzbeauftragten auf freiwilliger Basis zu benennen, vgl. Art. 37 Abs. 4 DSGVO.
Zu den Aufgaben eines Datenschutzbeauftragten gehören gem. Art. 39 Abs. 1 lit. a) bis e) DSGVO die Unterrichtung und Beratung des Verantwortlichen bzw. des Auftragsverarbeiters, die Überwachung der Einhaltung der DSGVO-Vorschriften, die Beratung im Zusammenhang mit einer Datenschutzfolgenabschätzung und die Zusammenarbeit mit der Aufsichtsbehörde. Darüber hinaus können dem Datenschutzbeauftragten noch weitere Aufgaben zugeteilt werden, vgl. Art. 38 Abs. 6 DSGVO. Der Datenschutzbeauftragte ist bei der Erfüllung seiner Aufgaben und Pflichten unabhängig. Dieser Grundsatz ist in Art. 38 Abs. 3 DSGVO festgehalten, wonach der Datenschutzbeauftragte weisungsunabhängig bzgl. der Ausübung seiner Aufgaben handelt und wegen der Erfüllung seiner Aufgaben nicht abberufen oder benachteiligt werden darf. Damit geht auch ein besonderer Kündigungsschutz einher, wenn der Datenschutzbeauftragte beim Verantwortlichen beschäftigt ist. Während seiner Amtszeit und bis zu einem Jahr nach Beendigung der Tätigkeit als Datenschutzbeauftragter, kann dieser nur aus wichtigem Grund (§ 626 BGB) gekündigt werden.
Im BDSG findet sich die Regelung zum Datenschutzbeauftragten in § 38 BDSG. Die Vorschrift ist als Ergänzung zu Art. 37 DSGVO zu verstehen und legt fest, unter welchen zusätzlichen Voraussetzungen ein Datenschutzbeauftragter für nichtöffentliche Stellen auf nationaler Ebene zu bestellen ist. Danach müssen der Verantwortliche bzw. der Auftragsverarbeiter einen Datenschutzbeauftragten benennen, wenn sie in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigten. Es kommt dabei nicht darauf an, in welchem Umfang die Mitarbeiter bei dem Verantwortlichen oder Auftragsverarbeiter beschäftigt sind. Aushilfen oder Teilzeitkräfte werden genauso gezählt wie Vollzeitkräfte. Unabhängig von der Anzahl der beschäftigten Personen ist darüber hinaus ein Datenschutzbeauftragter zu bestellen, wenn Verarbeitungen vorgenommen werden die einer Datenschutz-Folgenabschätzung gem. Art. 35 DSGVO unterliegen oder personenbezogene Daten geschäftsmäßig zum Zweck der (anonymisierten) Übermittlung oder zum Zweck der Markt- oder Meinungsforschung übermittelt werden.
Auftragsdatenverarbeitung #
Die Auftragsverarbeitung ist in der DSGVO in Art. 28 DSGVO geregelt. Im BDSG findet sich die Regelung in § 62 BDSG. Die Möglichkeit der Auftragsverarbeitung wurde vom Gesetzgeber geschaffen, um das Auslagern von Datenverarbeitungsprozessen zu ermöglichen und dabei Kosten und Ressourcen zu sparen. Gem. Art. 4 Nr. 8 DSGVO ist ein Auftragsverarbeiter eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet. Die Auftragsverarbeitung ist als ein Über-/Unterordnungsverhältnis ausgestaltet. Das heißt, dass der Verantwortliche allein über die Mittel und Zwecke der Datenverarbeitung entscheidet, während der Auftragsverarbeiter an die Weisungen und Vorgaben des Verantwortlichen bezüglich der konkreten Verarbeitung der Daten gebunden ist. Zudem bleibt der Verantwortliche gegenüber den betroffenen Personen direkter Ansprechpartner.
Die Verarbeitung durch den Auftragsverarbeiter hat auf Grundlage eines Vertrags zu erfolgen. Art. 28 Abs. 3 DSGVO legt fest, welche Mindestanforderungen bei dem Abschluss eines Auftragsverarbeitungsvertrag erfüllt sein müssen. Dazu gehören unter anderem der Gegenstand und die Dauer der Verarbeitung, Art der personenbezogenen Daten und Kategorien von betroffenen Personen, Umfang der Weisungsbefugnisse. Bei einem Verstoß gegen die Vorgaben aus Art. 28 DSGVO kann die zuständige Aufsichtsbehörde ein Bußgeld verhängen. Verantwortlicher und Auftragsverarbeiter haften dabei im Außenverhältnis als Gesamtschuldner, vgl. Art. 82 Abs. 1 DSGVO. Im Innenverhältnis kann der Verantwortliche seine Haftung jedoch nicht komplett auf den Auftragsverarbeiter abwälzen. Dieser haftet gem. Art. 82 Abs. 2 S. 2 DSGVO nur dann, wenn er seinen auferlegten Pflichten als Auftragsverarbeiter nicht nachgekommen ist oder entgegen der Weisungen des Verantwortlichen gehandelt hat. Überschreitet ein Auftragsverarbeiter seine Kompetenzen und bestimmt die Zwecke und Mittel der Verarbeitung eigenmächtig selbst, so gilt er in Bezug auf diese Verarbeitung als Verantwortlicher, vgl. Art. 28 Abs. 10 DSGVO.
Möchte der Auftragsverarbeiter seinerseits Subunternehmer einsetzen, bedarf er hierzu der vorherigen Genehmigung des Verantwortlichen, Art. 28 Abs. 2 DSGVO. Dabei ist gem. Art. 28 Abs. 4 DSGVO sicherzustellen, dass auch beim Subunternehmer die geeigneten technischen und organisatorischen Maßnahmen vorliegen, damit die Verarbeitung im Einklang mit den geltenden Regelungen der DSGVO erfolgen kann.
Betroffenenrechte #
In den Art. 12 -23 DSGVO sind die Betroffenenrechte geregelt. Jeder soll grundsätzlich selbst entscheiden können, wem er seine personenbezogenen Daten zur Verfügung stellt und in welchem Umfang diese Daten verarbeitet werden. Folgende Rechte stehen den betroffenen Personen laut der DSGVO zu:
· Recht auf Information (Art. 13 und 14 DSGVO)
· Recht auf Auskunft (Art. 15 DSGVO)
· Recht auf Berichtigung (Art. 16 DSGVO)
· Recht auf Löschung (Art. 17 DSGVO)
· Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)
· Recht auf Datenübertragbarkeit (Art. 20 DSGVO)
· Recht auf Widerspruch (Art. 21 DSGVO)
· Recht auf Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO)
· Recht keiner automatisierten Entscheidung unterworfen zu werden (Art. 22 DSGVO)
· Beschwerderecht bei der Aufsichtsbehörde (Art. 77 DSGVO i.V.m. § 19 BDSG)
Der Verantwortliche ist verpflichtet, dem Betroffenen die angeforderten Informationen und notwendigen Mitteilungen, welche sich auf die Bearbeitung beziehen, in präziser, transparenter, verständlicher und leicht zugänglicher Form sowie in einer klaren und einfachen Sprache zu übermitteln, vgl. Art. 12 Abs. 1 DSGVO. Auch muss der Verantwortliche die Informationen gemäß Art. 12 Abs. 3 DSGVO dem Betroffenen innerhalb eines Monats zur Verfügung stellen. Eine Fristverlängerung von bis zu zwei Monaten ist auf Seiten des Verantwortlichen möglich, wenn dies unter Berücksichtigung der Komplexität und der Anzahl von Anträgen erforderlich ist. Über eine Fristverlängerung ist die betroffene Person rechtzeitig zu informieren. Der Verantwortliche muss zudem sicherstellen, dass er die verlangten Informationen nur gegenüber der Person preisgibt, welche die Auskunft verlangt. Bei Zweifeln an der Identität der antragstellenden Person kann der Verantwortliche zusätzliche Informationen einfordern, die zur zweifelsfreien Feststellung der Identität der betroffenen Person erforderlich sind, vgl. Art. 12 Abs. 6 DSGVO.
Die Betroffenenrechte können in bestimmten Fällen eingeschränkt werden. Art 23 Abs. 1 DSGVO nennt insgesamt zehn Gründe, welche eine Einschränkung der Betroffenenrechte rechtfertigen können. Dazu gehört zum Beispiel die nationale Sicherheit, die Landesverteidigung, der Schutz der betroffenen Person oder der Rechte und Freiheiten anderer Personen oder auch die Durchsetzung zivilrechtlicher Ansprüche. Dabei darf die Beschränkung den Wesensgehalt der Grundrechte und Grundfreiheiten nicht entgegenstehen.
Pflichten bei der Verletzung von Datenschutzrechten #
Eine meldepflichtige Datenpanne liegt gem. Art. 33 Abs. 1 DSGVO vor, wenn eine Verletzung des Schutzes personenbezogener Daten vorliegt und sich hieraus voraussichtlich ein Risiko für die Rechte und Freiheiten natürlicher Personen ergibt. Wann eine Verletzung des Schutzes personenbezogener Daten vorliegt, wird in Art. 4 Nr. 12 DSGVO legaldefiniert:
„… eine Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden;“
Nach Ansicht des europäischen Datenschutzausschusses (EDSA) ist die Datensicherheit verletzt, wenn die Verletzung aufgrund eines Sicherheitsdefizits bei den getroffenen technischen und organisatorischen Maßnahmen auftritt und dadurch die Integrität und Vertraulichkeit der personenbezogenen Daten gem. Art. 5 Abs. 1 lit. f) DSGVO nicht mehr gewährleistet ist. Aufgrund dieses Sicherheitsdefizits muss es beim Verantwortlichen zu einer Vernichtung, einem Verlust, einer Veränderung, zur unbefugten Offenlegung oder zum unbefugten Zugang personenbezogener Daten gekommen sein. Damit eine Meldepflicht gem. Art. 33 DSGVO besteht, muss auch ein Verletzungserfolg eingetreten sein. Dies ist dann der Fall, wenn ein tatsächlicher Zugriff auf die Daten erfolgt ist. Darüber hinaus muss auch ein Risiko für die Rechte und Freiheiten natürlicher Personen bestehen. Dies ist vom Verantwortlichen je nach Einzelfall zu bewerten. Um den Verantwortlichen die Bewertung zu erleichtern, ob eine meldepflichtige Datenpanne vorliegt, hat der EDSA Leitlinien zu Beispielen für die Meldung von Verletzungen des Schutzes personenbezogener Daten herausgegeben. Danach kann das Risiko von der Zahl der Betroffenen, Art und Umfang der Daten oder auch von der Art der Verletzung abhängen. Waren die Daten bei Verlust ausreichend verschlüsselt und verfügt der Verantwortliche über ein Back-Up der Daten, so besteht in der Regel kein Risiko.
Bei Vorliegen einer Datenpanne hat der Verantwortliche gem. Art. 33 Abs. 1 S. 1 DSGVO bis zu 72 Stunden Zeit diese gegenüber der zuständigen Aufsichtsbehörde zu melden. Die Frist beginnt bereits zu laufen, sobald eine bei dem Verantwortlichen beschäftigte Person Kenntnis von den erheblichen Tatsachen bzgl. der Datenpanne erhalten hat. Inhaltlich muss die Meldung den Vorgaben des Art. 33 Abs. 3 DSGVO entsprechen. Dazu gehören unter anderem die Beschreibung der Art der Verletzung, die ungefähre Anzahl der betroffenen Personen, Name und Kontaktdaten des Datenschutzbeauftragten und eine Beschreibung der wahrscheinlichen Folgen der Verletzung. Falls bei einem Auftragsverarbeiter eine Verletzung des Schutzes personenbezogener Daten bekannt wird, ist er verpflichtet diese unverzüglich gegenüber dem Verantwortlichen zu melden, vgl. Art. 33 Abs. 2 DSGVO. Zu einer eigenen Risikobewertung ist Auftragsverarbeiter nicht befugt. Ergibt die Risikobewertung des Verantwortlichen, dass voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten der betroffenen Personen besteht, so hat er diese unverzüglich von der Verletzung zu unterrichten, vgl. Art. 34 Abs. 1 DSGVO.
Sanktionen und Haftung #
Die Kontrolle zur Einhaltung der DSGVO übernehmen die Aufsichtsbehörden, vgl. Art. 57 Abs. 1 lit. a) DSGVO. Gemäß § 51 DSGVO sind die Mitgliedstaaten verpflichtet, entsprechende Aufsichtsbehörden zu schaffen. In Deutschland übernehmen diese Rolle die Datenschutzbeauftragten der Länder sowie die Bundesbeauftragte für Datenschutz und Informationsfreiheit (BfDI). Den Behörden kommt eine Doppelrolle zu: einerseits kontrollieren sie die Einhaltung datenschutzrechtlicher Vorgaben und sanktionieren ggf. auftretende Verstöße, andererseits sind sie Anlaufstelle für die nach der DSGVO Verpflichteten und Betroffenen. Zuständig ist grundsätzlich die Aufsichtsbehörde, an dem das Unternehmen seinen Sitz bzw. seine Niederlassung hat. Bei grenzüberschreitenden Verarbeitungen richtet sich die Zuständigkeit nach Art. 56 DSGVO. Den Aufsichtsbehörden wurden umfassende Rechte eingeräumt, welche in Art. 58 DSGVO aufgelistet sind. Darunter findet sich auch die Befugnis Geldbußen zu verhängen. Die Höhe des Bußgelds wird von der zuständigen Aufsichtsbehörde festgelegt. Dabei ist zu berücksichtigen, dass das verhängte Bußgeld wirksam, verhältnismäßig und abschreckend sein muss. Die Bußgelder können bei gravierenden Verstößen gem. Art. 83 Abs. 5 DSGVO bis zu 20 Millionen Euro bzw. 4 % des gesamten weltweiten Jahresumsatzes betragen. Bei weniger gravierenden Verstößen (Art. 83 Abs. 4 DSGVO) kann das Bußgeld bis zu 10 Millionen Euro bzw. 2 % des gesamten weltweiten Jahresumsatzes betragen.
Zusätzlich zu der Verhängung von Bußgeldern, haftet der Verantwortliche gegenüber betroffenen Personen gem. Art 82 DSGVO für immaterielle und materielle Schäden, wenn er einen Verstoß gegen die Bestimmungen der DSGVO begeht. In welchen Fällen Betroffene Entschädigung bekommen können, wird nicht einheitlich beurteilt. Umstritten ist beispielsweise die Frage, ob betroffene Personen einen Schaden erlitten haben müssen, um einen Anspruch auf Entschädigung zu haben. Einige Gerichte machen auch eine Erheblichkeitsschwelle der Verletzung oder ein Verschulden des Verantwortlichen zur Voraussetzung für einen Entschädigungsanspruch.
Auf nationaler Ebene legen die §§ 41 ff. BDSG bei Verstößen nach Art. 83 Abs. 4 bis 6 DSGVO Straf- und Bußgeldvorschriften fest.
Technische und organisatorische Maßnahmen zur sicheren Datenverarbeitung #
Die DSGVO stellt an den Verantwortlichen Anforderungen bei der Verarbeitung von Daten. So schreibt Art. 25 Abs. 1 DSGVO vor, dass der Verantwortliche sowohl zum Zeitpunkt der Festlegung der Mittel für die Verarbeitung als auch zum Zeitpunkt der eigentlichen Verarbeitung geeignete technische und organisatorische Maßnahmen trifft. Bei der Umsetzung der konkreten Mittel kann der Verantwortliche grundsätzlich frei entscheiden, solange diese dem Stand der Technik entsprechen.
Verantwortliche sind nach der DSGVO zudem verpflichtet ihre Datenverarbeitungen durch geeignete technische und organisatorische Maßnahmen (sog. TOM) zum Schutz der Rechte und Freiheiten von Betroffenen abzusichern, vgl. Art. 24 Abs. 1 DSGVO. Bei der Auswahl der konkreten Mittel billigt die DSGVO den Verantwortlichen einen gewissen Spielraum zu. Für den Verantwortlichen ist es jedoch nicht immer einfach einzuschätzen, welche Maßnahmen wirklich geeignet sind oder wann ein dem Risiko angemessenes Schutzniveau erreicht ist. Wichtigste Vorschrift für die Umsetzung der sog. TOM ist Art. 32 DSGVO. Durch sie wird sowohl der Verantwortliche als auch der Auftragsverarbeiter zur Herstellung einer möglichst großen Datensicherheit verpflichtet. Dabei zählt Art. 32 Abs. 1 DSGVO exemplarisch Maßnahmen auf die zur Erreichung einer möglichst großen Datensicherheit geeignet sind. Dazu gehören unter anderem
· die Pseudonymisierung und Verschlüsselung personenbezogener Daten,
· die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen nach einem physischen oder technischen Zwischenfall rasch wiederherzustellen
· ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.
Bei besonders risikoträchtigen Verarbeitungen kann es zudem erforderlich sein, im Vorfeld eine Datenschutz-Folgenabschätzung vorzunehmen, vgl. Art. 35 DSGVO. Bei der Datenschutz-Folgenabschätzung prüft der Datenschutzbeauftragte vorab, ob das gewählte Verfahren zur Verarbeitung besondere Risiken für die Rechte und Freiheiten der betroffenen Personen birgt. Er gibt gegenüber dem Verantwortlichen eine Stellungnahme über die Rechtmäßigkeit der Verarbeitung ab und benennt zudem zu ergreifende Maßnahmen, welche für die Minimierung des Risikos erforderlich sind.
Die Implementierung von TOM sollte von Unternehmen und Einrichtungen unbedingt beachtet werden, ansonsten drohen empfindliche Bußgelder, vgl. Art. 83 Abs. 4 lit. a) DSGVO.
Zusätzlich zu den Vorschriften der DSGVO legt § 64 BDSG Anforderungen an die Sicherheit der Datenverarbeitung fest.