Seit 2018 EU-Datenschutz-Grundverordnung
EU-Datenschutz-Grundverordnung
Seit dem 25. Mai 2018 findet die EU-Datenschutz-Grundverordnung (kurz „DSGVO“ oder englisch „GDPR“) Anwendung und muss beachtet werden. Auf dieser Seite wollen wir Sie über die wichtigsten Anforderungen informieren.
Fünf Jahre, fünf Geschichten über die DSGVO (zu lesen unter News)
Was ist bei Datenschutz-Grundverordnung zu beachten?
Was sind die Grundprinzipien der DSGVO (ein Überblick)?
Auch künftig wird es grundsätzlich kein Konzernprivileg geben, wie es zunächst in der Grundverordnung geplant war. So findet sich in der finalen Fassung der DSGVO keine Privilegierung, sondern nur in den Erwägungsgründen:
“Verantwortliche, die Teil einer Unternehmensgruppe oder einer Gruppe von Einrichtungen sind, die einer zentralen Stelle zugeordnet sind können ein berechtigtes Interesse haben, personenbezogene Daten innerhalb der Unternehmensgruppe für interne Verwaltungszwecke, einschließlich der Verarbeitung personenbezogener Daten von Kunden und Beschäftigten, zu übermitteln. Die Grundprinzipien für die Übermittlung personenbezogener Daten innerhalb von Unternehmensgruppen an ein Unternehmen in einem Drittland bleiben unberührt.” [Erwägungsgrund 48]
Die Erwägungsgründe gehören aber formal nicht zum Gesetzestext, sondern dienen nur als Auslegungshilfe (vgl. Gesetzesbegründung). Doch auch wenn es keine Privilegierung gibt, kann aufgrund der Erwägungsgründe eine Argumentation zum vereinfachten konzerninternen Datentransfer aufgebaut werden. So müssen Aufsichtsbehörden (oder auch Gerichte) selbst triftige Gründe anführen, ein berechtigtes Interesse im Konzern zurückzuweisen. Hierfür ist es aber zwingend erforderlich, dass Konzerne wirksame Maßnahmen zur Gewährleistung eines einheitlichen Datenschutzniveaus ergreifen. Ratsam ist eine analoge Vorgehensweise wie aktuell, indem der Arbeitsbericht der ad-hoc-Arbeitsgruppe „Konzerninterner Datentransfer“ des „Düsseldorfer Kreises“ umgesetzt wird.
Wann ist eine Datenverarbeitung zulässig?
- Einwilligung des Betroffenen
- Erfüllung eines Vertrags zwischen verantwortlicher Stelle und Betroffenen,
- Erfüllung einer rechtlichen Verpflichtung,
- Schutz lebenswichtiger Interessen des Betroffenen,
- Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt,
- Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen.
Was ist bei der Verarbeitung von besonderen Kategorien personenbezogener Daten zu beachten?
- rassische oder ethnische Herkunft,
- politische Meinungen,
- religiöse oder weltanschauliche Überzeugungen,
- Gewerkschaftszugehörigkeit,
- Gesundheitsdaten,
- Sexualleben.
- Einwilligung
- Zwecke der Gesundheitsvorsorge, Arbeitsmedizin etc.
- im öffentlichen Interesse liegende Wissenschaft und Archivzwecke
- zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen
- Öffnungsklausel für genetische, biometrische oder gesundheitliche Daten
- Schutz lebenswichtiger Interessen
- Daten sind offenkundig durch den Betroffenen öffentlich gemacht
Welche Rechte haben Betroffene?
Ziel der Grundverordnung ist es auch, die Rechte der Betroffenen zu stärken. Hierbei wurden die Rechte der Betroffenen gegenüber dem BDSG ausgebaut.
Die Datenschutz-Grundverordnung sieht teilweise erheblich über die bisherigen Pflichten des BDSG zur Benachrichtigung und Unterrichtung hinausgehende Informationspflichten vor. So müssen beispielsweise künftig neben der Identität der verantwortlichen Stelle auch Kontaktdaten des Verantwortlichen und des Datenschutzbeauftragten angegeben werden. Auch die zugrunde liegende Rechtsgrundlage und die Kategorien von Empfängern müssen mitgeteilt werden. Ebenfalls neu ist beispielsweise die Information zur Übermittlung an ein Drittland, über die Speicherfristen, zu den Betroffenenrechten, über Widerspruchsrechte bei Einwilligungen sowie über Beschwerderechte. Werden Daten nicht beim Betroffenen selbst erhoben, kommen weitere Informationspflichten hinzu.
Ähnlich wie im BDSG kann diese Information unterbleiben, wenn der Betroffene bereits Kenntnis über die besagten Informationen hat. Neu sind aber Vorgaben zu Fristen und zur Form der Information.
Die Rechte auf Auskunft, Löschung („Recht auf Vergessen“), Sperrung („Einschränkung“), Berichtigung oder Widerspruch sind sehr ähnlich im Vergleich zu den aktuellen Regelungen. Neu ist das sog. „Recht auf Datenübertragbarkeit“. Betroffene haben das Recht, „die sie betreffenden personenbezogenen Daten, die sie einem für die Verarbeitung Verantwortlichen bereitgestellt haben, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten“ und „diese Daten einem anderen für die Verarbeitung Verantwortlichen ohne Behinderung durch den für die Verarbeitung Verantwortlichen, dem die Daten bereitgestellt wurden, zu übermitteln.“ Relevanz kann dies beispielsweise beim Wechsel von Internetdiensten haben, wie beispielsweise sozialen Netzwerken, von Providern (Mail, Telekom etc.) oder von Versorgern (Strom, Gas usw.).
Umfassend neu sind die sog. Informationspflichten gemäß Artikel 13 und 14 DSGVO: Werden personenbezogene Daten bei der betroffenen Person erhoben, so sind der betroffenen Person umfassende Informationen zum Zeitpunkt der Datenerhebung mitzuteilen. So sind bspw. Informationen zu den Zwecken, der Rechtsgrundlage, der Datenweitergabe oder den Speicherfristen zu geben. Werden personenbezogene Daten nicht direkt bei der betroffenen Person erhoben, so sind der betroffenen Person über die Informationen zusätzlich noch weitere Informationen innerhalb einer angemessenen Frist nach Erlangung der personenbezogenen Daten, längstens jedoch innerhalb eines Monats, mitzuteilen. Die UIMC hat dies übrigens u. a. in der Datenschutzerklärung umgesetzt.
Was gilt bei der Bestellung eines Datenschutzbeauftragten?
Die Grundverordnung sieht die Funktion des Datenschutzbeauftragten als obligatorisch an, wenn
- es sich um eine Behörde oder öffentliche Stelle handelt oder
- die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der Durchführung von Verarbeitungsvorgängen besteht,
- die eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen oder
- besondere Kategorien von Daten oder Daten über strafrechtliche Verurteilungen und Straftaten enthalten.
Des Weiteren gibt es eine sog. „Öffnungsklausel“, nach der die Nationalstaaten abweichende Regelungen treffen können. In Deutschland bleibt die bestehende Situation, so dass die Bestellung eines Datenschutzbeauftragten ab 20 Mitarbeitern in der personenbezogenen Datenverarbeitung erforderlich ist [siehe auch Datenschutzbeauftragung].
Was ist ein Verzeichnis von Verarbeitungstätigkeiten?
Was ist eine Datenschutz-Folgenabschätzung?
Die neue Datenschutz-Folgenabschätzung ähnelt der Vorabkontrolle, doch gibt es kaum Ausnahmenregelungen mehr, so dass diese öfter durchzuführen ist. Hierbei ist bei der Durchführung der Rat des Datenschutzbeauftragten einzuholen. Diese ist zu dokumentieren, was auch gilt, wenn eine Datenschutz-Folgenabschätzung nicht erforderlich erscheint. Die Aufsichtsbehörden haben zum Teil eine Liste jener Verarbeitungsvorgänge erstellt und veröffentlicht, für die eine Datenschutz-Folgenabschätzung durchzuführen ist. Auch gibt es nun inhaltliche Vorgaben an die Dokumentation.
Wenn das Ergebnis der Datenschutz-Folgenabschätzung ist, dass bei der Datenverarbeitung ein hohes Risiko für die Betroffenen besteht, dann ist vor Beginn der Verarbeitung die Aufsichtsbehörde zu konsultieren. Dies gilt aber nur dann, wenn der Verantwortliche keine Maßnahmen zur Eindämmung des Risikos getroffen hat. Nach dem Wortlaut der Grundverordnung kann das Unternehmen der Konsultationspflicht dadurch entgehen, wenn ausreichende Maßnahmen zum Schutz der Betroffenen ergriffen wurden [mehr unter Datenschutz-Folgenabschätzung].
Sind Schulungen verpflichtend?
Was gilt bei der Auftragsdatenverarbeitung für den Auftraggeber?
Der für die Verarbeitung Verantwortliche ist für die Einhaltung der wesentlichen datenschutzrechtlichen Vorschriften verantwortlich. Der Dienstleister („Auftragsverarbeiter“) ist sorgfältig auszuwählen, wobei der Fokus auf die getroffenen technischen und organisatorischen Schutzmaßnahmen und die Gewährleistung der Rechte der betroffenen Personen zu legen ist. Des Weiteren bleibt die Weisungsgebundenheit des Auftragsverarbeiters erhalten. Für die Begründung eines Auftragsverarbeitungsverhältnisses ist ein Vertrag notwendig. Dieser Vertrag ist nicht zwingend schriftlich abzuschließen; dies bleibt jedoch empfehlenswert. Zulässig ist aber eine Vereinbarung in einem elektronischen Format (Textform ist demnach ausreichend). Die Kommission kann hierzu „Standardvertragsklauseln“ erarbeiten.
Was gilt bei der Auftragsverarbeitung für den Auftragnehmer (Auftragsverarbeiter)?
Die Haftung des Auftragsverarbeiters gegenüber den betroffenen Personen und den Aufsichtsbehörden ist in der Datenschutz-Grundverordnung verschärft worden. Anders als aktuell haften Auftraggeber und Auftragsverarbeiter gemeinsam für Datenschutzverstöße gegenüber den betroffenen Personen. Eine Haftung scheidet nur aus, wenn einer der Vertragsparteien nachweisen kann, dass er für den eingetretenen Schaden nicht verantwortlich ist. Neu ist, dass der Auftragsverarbeiter als für die Verarbeitung Verantwortlicher gilt, sofern er Daten entgegen den erteilten Weisungen verarbeitet.
Aber auch in anderen Punkten nimmt die Datenschutz-Grundverordnung den Auftragsverarbeiter stärker in die Verantwortung. Künftig muss auch der Auftragsverarbeiter ein Verzeichnis von Verarbeitungstätigkeiten (vgl. Verfahrensübersicht) führen, welche er für den Verantwortlichen durchführt. Auch ist er per Grundverordnung verpflichtet, den Auftraggeber unverzüglich zu informieren, wenn er Kenntnis von einer Datenpanne bekommt, und hat einen Datenschutzbeauftragten zu bestellen.
Was ist die Datenverarbeitung in „Joint Control“?
Die Haftung des Auftragsverarbeiters gegenüber den betroffenen Personen und den Aufsichtsbehörden ist in der Datenschutz-Grundverordnung verschärft worden. Anders als aktuell haften Auftraggeber und Auftragsverarbeiter gemeinsam für Datenschutzverstöße gegenüber den betroffenen Personen. Eine Haftung scheidet nur aus, wenn einer der Vertragsparteien nachweisen kann, dass er für den eingetretenen Schaden nicht verantwortlich ist. Neu ist, dass der Auftragsverarbeiter als für die Verarbeitung Verantwortlicher gilt, sofern er Daten entgegen den erteilten Weisungen verarbeitet.
Aber auch in anderen Punkten nimmt die Datenschutz-Grundverordnung den Auftragsverarbeiter stärker in die Verantwortung. Künftig muss auch der Auftragsverarbeiter ein Verzeichnis von Verarbeitungstätigkeiten (vgl. Verfahrensübersicht) führen, welche er für den Verantwortlichen durchführt. Auch ist er per Grundverordnung verpflichtet, den Auftraggeber unverzüglich zu informieren, wenn er Kenntnis von einer Datenpanne bekommt, und hat einen Datenschutzbeauftragten zu bestellen.
Was ist bei der Datenverarbeitung im Konzern zu beachten?
Auch künftig wird es grundsätzlich kein Konzernprivileg geben, wie es zunächst in der Grundverordnung geplant war. So findet sich in der finalen Fassung der DSGVO keine Privilegierung, sondern nur in den Erwägungsgründen:
“Verantwortliche, die Teil einer Unternehmensgruppe oder einer Gruppe von Einrichtungen sind, die einer zentralen Stelle zugeordnet sind können ein berechtigtes Interesse haben, personenbezogene Daten innerhalb der Unternehmensgruppe für interne Verwaltungszwecke, einschließlich der Verarbeitung personenbezogener Daten von Kunden und Beschäftigten, zu übermitteln. Die Grundprinzipien für die Übermittlung personenbezogener Daten innerhalb von Unternehmensgruppen an ein Unternehmen in einem Drittland bleiben unberührt.” [Erwägungsgrund 48]
Die Erwägungsgründe gehören aber formal nicht zum Gesetzestext, sondern dienen nur als Auslegungshilfe (vgl. Gesetzesbegründung). Doch auch wenn es keine Privilegierung gibt, kann aufgrund der Erwägungsgründe eine Argumentation zum vereinfachten konzerninternen Datentransfer aufgebaut werden. So müssen Aufsichtsbehörden (oder auch Gerichte) selbst triftige Gründe anführen, ein berechtigtes Interesse im Konzern zurückzuweisen. Hierfür ist es aber zwingend erforderlich, dass Konzerne wirksame Maßnahmen zur Gewährleistung eines einheitlichen Datenschutzniveaus ergreifen. Ratsam ist eine analoge Vorgehensweise wie aktuell, indem der Arbeitsbericht der ad-hoc-Arbeitsgruppe „Konzerninterner Datentransfer“ des „Düsseldorfer Kreises“ umgesetzt wird.
Was gilt bei Datenpannen?
Die Anforderungen an eine Dokumentation und Meldung von Datenpannen wurden erweitert. Zum einen ist künftig eine Meldung nicht nur bei „besonders sensiblen“ Daten erforderlich. Des Weiteren sind nicht nur Datenpannen betroffen, die eine „unrechtmäßige Kenntnisnahme von Daten durch einen Dritten“ zur Folge haben, sondern auch interne Datenpannen.
Aber nicht alle Datenpannen sind zu melden; vielmehr ist auch weiterhin eine Abwägung erforderlich, ob besondere Risiken bestehen. Zum anderen sind künftig alle Datenschutzverletzungen zu dokumentieren; demnach auch jene, die keine Meldung an die Aufsichtsbehörde erfordern.
Was ist die Aufgabe der Aufsichtsbehörden?
Kernaufgabe der Aufsichtsbehörden ist unter der DSGVO die Überwachung und Durchsetzung der Vorschriften zum Schutz personenbezogener Daten sein. Die Aufgaben der Aufsichtsbehörden wurden aber auch erweitert, wie z. B. die Genehmigung von Drittlandtransfers oder Einbindung bei Datenschutz-Folgeabschätzungen. Die Einführung des sog. „One-Stop-Shop“ stellt eine wichtige Änderung für multinationale Unternehmen dar. Dieses kann sowohl den Betroffenen als auch Unternehmen die Kommunikation mit den Aufsichtsbehörden erleichtern. Dies soll zu einer weitgehend vereinheitlichten Rechtsanwendung führen.
Durch den „One-Stop-Shop“ wird bei grenzüberschreitenden Datenverarbeitungen nur noch eine Aufsichtsbehörde am Sitz der „Hauptniederlassung” zuständig sein (für alle Unternehmen einer Unternehmensgruppe), also der zentrale Verwaltungssitz in der EU. Das Prinzip des „One-Stop-Shop“ wird aber durch verschiedene Ausnahmeregelungen relativiert, wie z. B. dann, wenn Entscheidungen über die Zwecke und Mittel der Verarbeitung in einer anderen Niederlassung getroffen und umgesetzt werden. Ähnlich ist es, wenn eine Beschwerde nur eine bestimmte Niederlassung betrifft. In den Fällen des „One-Stop-Shop“, bei denen es zu keiner Einigung kommt, wird das Kohärenzverfahren eingeleitet. In diesem wird der Streit durch einen verbindlichen Beschluss des Europäischen Datenschutzausschusses beigelegt.
Welche Sanktionen und Strafen gelten bei der DSGVO?
In der DSGVO erfahren die Sanktionen eine Verschärfung gegenüber dem aktuell geltenden Recht. So können bei Verstößen Geldbußen – je nach Verstoß – von bis zu 10 oder 20 Millionen EUR oder von bis zu 2 oder 4% des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt werden. Entscheidend ist der jeweils höhere Betrag.
Auch werden zukünftig sämtliche Verstöße gegen die Grundverordnung sanktioniert und nicht nur gegen spezielle gesetzliche Vorgaben, was beispielsweise im alten BDSG aktuell der Fall war. Die definierten Bedingungen für die Bestimmung der Geldbuße im Einzelfall relativieren diesen umfassenden Strafrahmen. So müssen Aufsichtsbehörden die Geldbußen danach festsetzen, dass sie „wirksam, verhältnismäßig und abschreckend“ sind. Hierzu zählen u. a.
„a) Art, Schwere und Dauer des Verstoßes unter Berücksichtigung der Art, des Umfangs oder des Zwecks der betreffenden Verarbeitung sowie der Zahl der von der Verarbeitung betroffenen Personen und des Ausmaßes des von ihnen erlittenen Schadens;
b) Vorsätzlichkeit oder Fahrlässigkeit des Verstoßes;
c) jegliche von dem Verantwortlichen oder dem Auftragsverarbeiter getroffenen Maßnahmen zur Minderung des den betroffenen Personen entstandenen Schadens; […]. (Art. 83 Abs. 2 DSGVO)
Ferner erhalten die Betroffenen die Wahl, Beschwerden entweder bei einer naheliegenden Behörde oder einem Gericht, ggf. auch mit Unterstützung einer entsprechenden Organisation, geltend zu machen. Sollte die angerufene Behörde dabei nicht innerhalb von drei Monaten tätig werden, kann außerdem ein Gericht die „Untätigkeit“ überprüfen. Ferner können Betroffene einen immateriellen Schadensersatzanspruch in Geld beanspruchen. Eines häufig sehr schwer zu beziffernden materiellen Schadens bedarf es somit nicht mehr. Gleichwohl muss es möglich sein, die Höhe des (ebenfalls schwer bezifferbaren) immateriellen Schadens in das Ermessen des jeweiligen Gerichts zu stellen, welches diesen regelmäßig und in angemessener Höhe zuspricht.
Was ist bei den technischen und organisatorischen Maßnahmen (IT-Sicherheit/Informationssicherheit) zu beachten?
Die IT-Sicherheit hat durch die Datenschutz-Grundverordnung einen wesentlich höheren Stellenwert erhalten. Dies zeigt sich einerseits daran, dass die Pflicht, geeignete technische und organisatorische Maßnahmen umzusetzen, als Grundsatz in die DSGVO aufgenommen wurde. Andererseits werden auch Prinzipien wie „Privacy by Design“ und „Privacy by Default“ eingeführt. Auch ist eine Pflicht zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der getroffenen Maßnahmen eingeführt worden.
„Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Sicherheitsmaßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten; […]“ (Art. 32 DSGVO)
Es sind bei der Abwägung neben der Art der Daten auch Zweck der Verarbeitung und der Stand der Technik zu berücksichtigen. Auch muss das ausgehende Risiko zur Beeinträchtigung von Persönlichkeits- und Freiheitsrechten berücksichtigt werden. Die Abschätzung des Risikos ist Vorbereitung und Ergebnis einer Datenschutz-Folgenabschätzung.
Neu ist die Forderung von speziellen Techniken wie die Pseudonymisierung und die Verschlüsselung von personenbezogenen Daten. Auch werden künftig Sicherheitsziele statt Kontrollmaßnahmen in den Fokus gestellt: Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste. Dies ist eine Terminologie, die aus der Informationssicherheit und den Best-Practice-Normen (z. B. ISO 27001) entnommen sind und demnach auch zeitgemäßer sind.
Ferner gilt, dass „ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung“ einzurichten ist (Art. 32 Abs. 1 DSGVO). Somit sind regelmäßig Audits, Revisionen oder gar Penetrationstests durchzuführen. Dies ist auch schon heute die Herangehensweise der UIMC.
Was gilt im Hinblick auf die Dokumentation?
Nachdem in der Vergangenheit eine Dokumentation zwar empfehlenswert, aber nicht explizit gefordert war, wird eine solche an vielen Stellen der Grundverordnung jetzt verbindlich vorgeschrieben. Insbesondere die sog. Rechenschaftspflicht ist hierbei aufzuführen:
„Der Verantwortliche ist für die Einhaltung des Absatzes 1 [Grundsätze für die Verarbeitung inkl. technischer und organisatorischer Maßnahmen, Art. 5 DSGVO; Anm.] verantwortlich und muss dessen Einhaltung nachweisen können (“Rechenschaftspflicht”).“ (Art. 32 Abs. 1 DSGVO)
Um Haftungsrisiken zu senken, sollten Unternehmen nicht nur ein Datenschutzhandbuch erstellen, sondern auch ein Audit-System aufbauen.
Des Weiteren enthält die Datenschutz-Grundverordnung folgende Dokumentationspflichten:
- Dokumentation von Verarbeitungsvorgängen der für die Verarbeitung Verantwortlichen und Auftragsverarbeiter (Art. 30 DSGVO)
- Dokumentation von Sicherheitsvorfällen (Art. 33 Abs. 5 DSGVO)
- Datenschutz-Folgenabschätzung (Art. 35 DSGVO)
- Dokumentation geeigneter Drittlandgarantien (Art. 46 DSGVO)
Welche Kontrollanforderungen und Nachweispflichten gelten für Unternehmen?
Durch die Grundverordnung werden an verschiedenen Stellen verschärfte Nachweispflichten eingeführt. Somit bekommen Datenschutz-Überprüfungen eine stärkere Bedeutung. Datenschutz-Audits (Datenschutz-Checkup) oder gar Zertifizierungen sollen den Datenschutz fördern; eine Vorgehensweise, die die UIMC schon seit jeher praktiziert hat. Auch die Haftungsrisiken (wie z. B. durch Bußgeld, Schadensersatz, Abmahnungen) werden durch die Datenschutz-Grundverordnung verschärft.
Neben den altbekannten Datenschutzgrundsätzen wie Transparenz, Zweckgebundenheit oder Datensparsamkeit werden künftig Forderungen nach einer Rechenschaftspflicht gestellt. So muss der für die Verarbeitung Verantwortliche die Einhaltung der Datenschutz-Grundsätze nachweisen können. Auch finden sich in verschiedenen Artikel die Anforderungen, Vorgaben zu „gewährleisten“, sich zu „vergewissern“ oder diese „sicherzustellen“. Grundlage für solche Datenschutz-Audits sollen festgelegte Verhaltensregelungen („Kriterien“) und Zertifizierungsverfahren sein.
Ferner wird explizit gefordert, dass eine Datenschutz-Folgenabschätzung durchzuführen ist, wenn „die Form der Verarbeitung ein hohes Risiko für die persönlichen Rechte und Freiheiten zur Folge hat, insbesondere wenn dabei neue Technologien Verwendung finden.“
Gibt es Zertifizierungen gemäß DSGVO?
Wie schon unter den Kontrollanforderungen und Nachweispflichten dargestellt, sollen auf Basis der Grundverorderungen Verhaltensregelungen (Artikel 40 f.) und Zertifizierungsverfahren (Artikel 42) etabliert werden. Diese können klar haftungsmindernd wirken, wie im Erwägungsgrund Nr. 81 dargestellt:
„[…] Die Einhaltung genehmigter Verhaltensregeln oder eines genehmigten Zertifizierungsverfahrens durch einen Auftragsverarbeiter kann als Faktor herangezogen werden, um die Erfüllung der Pflichten des Verantwortlichen nachzuweisen.[…]“.
Was ist im Rahmen der Werbung zu beachten?
Grundsätzlich gibt es, anders als aktuell im BDSG, keine konkreten Erlaubnistatbestände zur Werbung. Vielmehr gelten hier die „allgemeinen“ Grundsätze (siehe oben). Hiernach muss die Verarbeitung zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich sein. Zudem dürfen die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, nicht überwiegen. Bei der personalisierten Werbung liegt regelmäßig dann ein berechtigtes Interesse vor, wenn eigene Produkte beworben werden sollen, was auch in den Erwägungsgründen dargestellt wird („Die Verarbeitung personenbezogener Daten zum Zwecke der Direktwerbung kann als eine einem berechtigten Interesse dienende Verarbeitung betrachtet werden.“).
Der Begriff der Werbung (genauer „Direktwerbung“) wird ausschließlich in Artikel 21 DS-GVO verwendet:
„(2) Werden personenbezogene Daten verarbeitet, um Direktwerbung zu betreiben, so hat die betroffene Person das Recht, jederzeit Widerspruch gegen die Verarbeitung sie betreffender personenbezogener Daten zum Zwecke derartiger Werbung einzulegen; dies gilt auch für das Profiling, soweit es mit solcher Direktwerbung in Verbindung steht.
(3) Widerspricht die betroffene Person der Verarbeitung für Zwecke der Direktwerbung, so werden die personenbezogenen Daten nicht mehr für diese Zwecke verarbeitet.“
Eine Abwägung zwischen dem berechtigten Interesse der verantwortlichen Stelle und dem schutzwürdigen Interesse des Betroffenen ist oftmals problematisch. Das schutzwürdige Interesse wird mindestens dann überwiegen, wenn der Betroffene der Datenverarbeitung zum Zwecke der Werbung widersprochen hat. Die Abwägung sollte an ähnlichen Maßstäben wie bisher vorgenommen werden: Art des Betroffenen (B2B oder B2C), Anspracheweg (Post, Telefon, E-Mail), bisheriger Kontakt (Kunde, Interessent, Kalt-Akquise) und Inhalt der Ansprache (ähnliches Produkt oder gänzlich anderes).
So wird der rechtliche Rahmen des § 7 UWG („unzumutbare Belästigung“) sicherlich auch künftig bleiben, so dass eine Ansprache per Mail nur mittels Einwilligung (idealerweise Double-Opt-In) zulässig ist.
In finaler Konsequenz wird die Interessenabwägung oftmals unterschiedlich von Betroffenen und Werbenden beurteilt werden, so dass es zu rechtlichen Auseinandersetzungen kommen wird (auch hier wird u. U. „Treu und Glauben“ berücksichtigt; siehe oben). Daher wird eine gewisse Rechtsunsicherheit bestehen und die Rechtsprechung abzuwarten sein, inwiefern die Werbemöglichkeiten durch die EU-Datenschutz-Grundverordnung ausgeweitet werden kann. Daher scheint das werbende Unternehmen gut darin beraten, die Abwägungsgründe gut zu dokumentieren.
Lorem ipsum dolor sit amet, consectetur adipiscing elit. Ut elit tellus, luctus nec ullamcorper mattis, pulvinar dapibus leo.
Haben Sie konkrete Fragen zur Datenschutz-Grundverordnung?
Dann wenden Sie sich an uns. Gerne klärt ein erfahrener Berater erste Fragen bereits am Telefon und zeigt Ihnen Umsetzungsmöglichkeiten auf.
Immer gut informiert
Newsletter
Bleiben Sie mit unserem Info-Brief auf dem Laufenden.
Abonnieren Sie den Newsletter und verpassen Sie keinen unserer Artikel.
Sie benötigen Beratung zum Datenschutz, eine Schulung des Datenschutzbeauftragten der Firma oder einen externen Datenschutzbeauftragten?
Melden Sie sich bei uns und lassen Sie sich unverbindlich und kostenfrei beraten.