Datenschutzgrundverordnung

Sie sind gerade mit der Umsetzung der DSGVO beschäftigt? Beachten Sie auch unsere Antworten auf häufig gestellte Fragen mit Mustern und Vorlagen!

Was hat sich im Datenschutz geändert?

Seit dem 25. Mai 2018 gilt die Datenschutz-Grundverordnung. Das Regelwerk hat die EG-Datenschutzrichtlinie 95/46 und die nationalen Vorschriften wie das Bundesdatenschutzgesetz in weiten Teilen abgelöst.

Was ist der Zweck der Datenschutz-Grundverordnung?

Beim Datenschutz geht es um den Schutz personenbezogener Daten. Davon sind alle Informationen betroffen, die sich auf eine bestimmte oder bestimmbare natürliche Person beziehen, wie Name, Geburtsdatum oder IP-Adresse. Der Anwendungsbereich der Datenschutz-Grundverordnung ist sehr weit gefasst. Es geht um den Schutz dieser Daten als Ausfluss des allgemeinen Persönlichkeitsrechts einer jeden Person.
Die Datenschutz-Grundverordnung reguliert jede Verarbeitung personenbezogener Daten. „Verarbeitung“ umfasst alle Vorgänge vom Erheben, Erfassen, Organisieren, der Speicherung, der Verwendung und Übermittlung bis hin zur Löschung.

Was sind die Grundsätze der Datenschutz-Grundverordnung?

Kapitel 2 der DSGVO beinhaltet die Grundsätze, die bei einer Verarbeitung personenbezogener Daten zu beachten sind:

1. Verbot mit Erlaubnisvorbehalt

Da die Verarbeitung personenbezogener Daten in das verfassungsrechtlich geschützte allgemeine Persönlichkeitsrecht eingreift, ist eine Datenverarbeitung grundsätzlich verboten. Nur, wenn sie zum Beispiel gesetzlich erlaubt, für die Erfüllung eines Vertrages mit der betroffenen Person erforderlich ist oder auf einer konkreten, nachweisbaren Einwilligung der betroffenen Person beruht, ist sie erlaubt.

2. Rechtmäßigkeit

Die Verarbeitung ist dann rechtmäßig, wenn sie auf einer entsprechenden Grundlage beruht (Rechtsgrundlage, Einwilligung usw.) und der Zwecke der Verarbeitung von der Rechtsgrundlage bzw. der Einwilligung umfasst ist.

3. Transparenz

Für die betroffene Person muss nachvollziehbar sein, wer welche Daten zu welchem Zweck verarbeitet. Daher gibt es umfangreiche Betroffenenrechte (zum Beispiel Informationspflichten, Auskunftsrechte, Recht auf Berichtigung der Daten, Widerspruchsrecht, Beschwerderecht).

4. Zweckbindung

Die Daten dürfen nur für die festgelegten Zwecke verarbeitet werden. Ausnahmen sind vorgesehen für sogenannte kompatible Zwecke, also Zweckänderungen, die aber mit dem ursprünglichen Zweck eng zusammenhängen.

5. Datenminimierung/Erforderlichkeit

Es dürfen nur die personenbezogenen Daten verarbeitet werden, die für die Zweckerreichung notwendig sind. Dies gilt sowohl für Umfang der Daten als auch Umfang der Verarbeitung.

6. Richtigkeit

Die Daten müssen sachlich richtig und auf dem neuesten Stand sein, anderenfalls müssen sie berichtigt oder gelöscht werden.

7. Speicherbegrenzung

Die Daten sollen in einer identifizierbaren Form nur so lange gespeichert werden, bis der Zweck, für den sie verarbeitet werden, erfüllt ist. Außerdem sind alle Möglichkeiten zur Anonymisierung von Daten zu nutzen.

8. Integrität und Vertraulichkeit

Die Datenschutz-Grundverordnung verknüpft sehr stark den Datenschutz mit der Technik. Die IT-Verfahren müssen somit schon von Anfang an darauf ausgerichtet sein, unbefugten Zugriff, unrechtmäßige Verarbeitung oder Zerstörung der Daten zu verhindern ("Data Protection by Design").

9. Rechenschaftspflicht

Die verantwortliche Stelle, also das Unternehmen oder die Institution sind verantwortlich für den Datenschutz und seine Beachtung. Dazu ist ein Datenschutzmanagement notwendig – natürlich abhängig von der Größe des Unternehmens, der personenbezogenen Daten, die verarbeitet werden und der Menge und der Art der Daten.
Zumindest muss aber auch in kleineren und mittleren Unternehmen ein Mindestmaß an Dokumentation vorhanden sein, um die Einhaltung des Datenschutzes nachweisen zu können. Denn die Verletzung der Datenschutzpflichten zieht empfindliche Bußgelder nach sich: Bis zu 20 Millionen Euro oder vier Prozent des weltweiten Umsatzes können von den Aufsichtsbehörden verhängt werden.

In welchen Fällen ist die Verarbeitung rechtmäßig?

Die Datenschutzgrundverordnung führt den bisher geltenden Grundsatz des Verbots mit Erlaubnisvorbehalt fort. Datenverarbeitungen sind demnach generell verboten, es sei denn es liegt ein gesetzlicher Erlaubnistatbestand oder eine Einwilligung der betroffenen Person vor. Versinnbildlicht schließt die DSGVO zunächst alle Tore, um dann einzelne wieder zu öffnen. Die Einwilligung wird demnach auch unter der DSGVO eine wichtige Rolle für die Zulässigkeit der Datenverarbeitung sein.

1. Einwilligung

Die betroffene Person muss über den Umfang der Daten, die verarbeitet werden sollen, sowie den Zweck, zu dem sie verarbeitet werden, ausreichend und informiert werden.
Die Einwilligung muss nicht mehr schriftlich erteilt werden. Ihre Erteilung muss aber nachweisbar sein. Insofern ist eine Protokollierung elektronischer Einwilligungen sinnvoll.
Die Einwilligungserklärung muss in leicht zugänglicher und verständlicher Form und in einer klaren und einfachen Sprache vorhanden sein.
Bei der Einholung einer Einwilligung muss die betroffene Person darauf hingewiesen werden, dass sie ihre Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen kann.
Die Gegenleistung darf nicht an die Einwilligung in die Verarbeitung von Daten gekoppelt werden, die für die Vertragsausführung nicht erforderlich sind.
Eine auf der Website voreingestellte Einwilligung in Form eines Häkchens („Ich willige in die Verarbeitung meiner Daten ein“) ist keine Einwilligung. Die betroffene Person muss handeln und aktiv ihr Einverständnis ausdrücken.
Sie darf nicht in den AGB oder in der Datenschutzerklärung „versteckt“ werden, sondern ist getrennt von anderen Inhalten darzustellen und einzuholen.
Wenn die Einwilligung zusammen mit anderen Erklärungen erfolgt, muss sie besonders hervorgehoben sein (z. B. drucktechnisch oder als Kasten).
Achtung: Bei Kindern, die das 16. Lebensjahr noch nicht vollendet haben, müssen die Erziehungsberechtigten einwilligen.

a) Freiwilligkeit

Die Verarbeitung von personenbezogenen Daten für einen oder mehrere festgelegte Zwecke ist zulässig, wenn die betroffene Person hierin ausdrücklich eingewilligt hat. Grundsätzlich gilt das bisher bekannte Prinzip, dass eine Einwilligung freiwillig und ohne jeden Zwang abgegeben werden muss. Nach den Erwägungsgründen, welche der DSGVO angehängt sind und ihrer Auslegung dienen, gilt eine Einwilligung dann nicht als freiwillig abgegeben, wenn zwischen den Parteien ein klares Ungleichgewicht besteht und es deshalb unwahrscheinlich ist, dass die Einwilligung ohne Zwang abgegeben wurde.

b) Informiertheit

Für das weitere Erfordernis der Informiertheit greift die DSGVO auf bisher bekannte Grundsätze zurück. Danach genügen Blankoeinwilligungen nicht den Ansprüchen. Vielmehr muss die betroffene Person deutlich verstehen, welche personenbezogenen Daten zu welchem Zweck und von wem verarbeitet werden. Die verantwortliche Stelle muss ausdrücklich genannt werden. Dient eine Verarbeitung mehreren Zwecken, müssen alle Zwecke ausdrücklich genannt und die Einwilligung für sämtliche Zwecke eingeholt werden.

c) Eindeutigkeit

Das Einverständnis in die Verarbeitung muss außerdem eindeutig zum Ausdruck kommen. Dieser Grundsatz bedeutet das Ende von Opt-Out-Wahlmöglichkeiten – Stillschweigen, Inaktivität oder vorangekreuzte Kästchen gehören damit also der Vergangenheit an und werden von der Opt-In-Lösung abgelöst.

d) Kopplungsverbot

Die DSGVO führt das sogenannte Kopplungsverbot ein. Danach dürfen Verantwortliche Verträge oder die Erbringung von Dienstleistungen nicht davon abhängig machen, dass die betroffene Person in die Verarbeitung ihrer personenbezogenen Daten, die für die Erfüllung des Vertrages nicht erforderlich sind, einwilligt. Umstritten ist, ob das Kopplungsverbot auch dort Anwendung findet, wo Nutzern entgeltfreie – weil zum Beispiel werbefinanzierte – Inhalte und Dienstleistungen angeboten werden. Wird eine vertragliche Leistung entgeltfrei angeboten unter Bereitstellung personenbezogener Daten als Gegenleistung (= Dienstleistung gegen Daten) und kann der angebotene Dienst nur auf diese Weise wirtschaftlich angeboten werden, wird teilweise die Ansicht vertreten, dass das Kopplungsverbot nicht greift. Die Klärung dieser Streitfrage bleibt abzuwarten. Bis zur rechtsverbindlichen Entscheidung der Frage, ist es jedoch ratsam, sich an dem Wortlaut der DSGVO zu orientieren.

e) Form

Die DSGVO sieht keine bestimmte Form für die Erteilung einer Einwilligung vor. Sie kann schriftlich, elektronisch oder mündlich erfolgen. Wichtig ist, dass eine unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutig bestätigenden Handlung, mit der die betroffene Person ihr sein Einverständnis zur Datenverarbeitung signalisiert, erkennbar ist. Welche Form sich unter der DSGVO als praktikabel erweisen wird, ist zum heutigen Zeitpunkt noch nicht geklärt. Allerdings – und dies dämpft die Freude über die Lockerung der Formvorschrift erheblich – sollte in jedem Fall berücksichtigt werden, dass Datenverarbeiter zwingend der Nachweispflicht aus Art. 5 Abs. 2 DSGVO unterliegen. Danach sind sie verpflichtet, die Einhaltung der Rechtmäßigkeit der Datenverarbeitung nachzuweisen. In der Praxis wird es im Ergebnis daher wohl weiterhin empfehlenswert sein, Einwilligungen in Schriftform oder auf andere bewährte Weisen einzuholen, wie beispielsweise mittels dem Double Opt-in-Verfahren. Nur so kann die Eindeutigkeit der Einwilligung dokumentiert werden.

f) Hinweis auf Widerrufsmöglichkeit

Altbekannt und keine Überraschung ist das Erfordernis des Hinweises auf die Widerrufsmöglichkeit. Die betroffene Person muss ausdrücklich auf ihr Recht hingewiesen werden, dass sie ihre Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen kann. Dieser Hinweis ist ebenso wie die Einwilligungserklärung selbst in einfacher, verständlicher Sprache zu verfassen und leicht zugänglich zu machen. Der Hinweis auf das Widerrufsrecht muss vor Abgabe der Einwilligung erteilt werden. 

g) Müssen bereits vorliegende Einwilligungen erneut eingeholt werden?

Die Aufsichtsbehörden in Deutschland haben sich darauf verständigt, dass Einwilligungen grundsätzlich nicht erneuert werden müssen, wenn sie nach der bisherigen Rechtslage rechtmäßig eingeholt wurden. Dafür erforderlich ist, dass 
  • das Kopplungsverbot berücksichtigt wurde,
  • der Grundsatz der Freiwilligkeit beachtet wurde und
  • der Hinweis auf den jederzeitigen Widerruf erfolgte.

2. Vertrag

Daten, die zur Erfüllung eines Vertrags oder einer vorvertraglichen Maßnahme benötigt werden, dürfen verarbeitet werden.

3. Rechtliche Verpflichtung

Der Verantwortliche muss eine rechtliche Verpflichtung erfüllen und benötigt dafür Daten (z. B. Erhebung der Religionszugehörigkeit im Beschäftigungsverhältnis wegen der Kirchensteuer, Aufbewahrung von Rechnungen gemäß Umsatzsteuergesetz).

4. Berechtigte Interessen

Die Verarbeitung ist für die Wahrung berechtigter Interessen des Verantwortlichen oder eines Dritten erforderlich, und die Interessen oder Grundrechte der betroffenen Person überwiegen diesen Interessen nicht.

5. Zweckänderung

Unter bestimmten Voraussetzungen können personenbezogene Daten auch weiterverarbeitet werden, wenn die Verarbeitung nicht mehr dem ursprünglichen Zweck entspricht. Hierfür muss der neue Zweck mit dem alten kompatibel, darf also für die betroffene Person nicht überraschend sein. Hierfür muss aber der Verantwortliche eine genaue – dokumentierte – Prüfung anhand der in Art. 6 Abs. 4 DSGVO festgelegten Kriterien durchführen:
  • Feststellung, ob eine Verbindung zwischen den Zwecken besteht
  • der Zusammenhang der Erhebung der Daten, insbesondere hinsichtlich des Verhältnisses zwischen der betroffenen Person und dem Verantwortlichen 
  • die Art der personenbezogenen Daten (z. B. besonders sensible Daten)
  • die möglichen Folgen der beabsichtigten Weiterverarbeitung für die betroffenen Personen
  • vorhandene Verschlüsselungen oder Pseudonymisierungen der Daten.
Ergibt die Prüfung, dass der Zweck nicht kompatibel ist, ist eine darauf gestützte Verarbeitung unzulässig, es sei denn, der Verantwortliche holt für den neuen Zweck wiederum eine Einwilligung ein.

6. Weitere Rechtsgrundlagen

Die DSGVO, aber auch das neue Bundesdatenschutzgesetz (BDSG), enthalten spezielle Erlaubnistatbestände, nach denen Datenverarbeitung auch zulässig ist. Hierzu gehören insbesondere Regelungen zur Videoüberwachung und zum Beschäftigtendatenschutz.

Was sind die Anforderungen an ein Datenschutzmanagement?

Planung und Konzeption

Die Risiken, die sich aus der Datenverarbeitung in dem Unternehmen ergeben, müssen hinsichtlich Art, Umfang, der Umstände und der Zwecke der Verarbeitung sowie der Eintrittswahrscheinlichkeit von Verletzungen und Schäden beachtet werden. Insbesondere geht es um die Risiken für die persönlichen Rechte und Freiheiten der betroffenen Personen.
Das Unternehmen muss zunächst seine „Datenschutzpolitik“ beschreiben, also festlegen:
  • die Zuständigkeiten für den Datenschutz im Unternehmen
    • hierzu gehört auch die Einbindung und Aufgabenstellung des betrieblichen Datenschutzbeauftragten
  • die Sensibilisierung und Schulung der Mitarbeiter
  • Verpflichtung auf das Datengeheimnis
    • das ist zwar gesetzlich nicht mehr vorgeschrieben, aber anzuraten; alternativ muss sichergestellt werden, dass die Mitarbeiter, die personenbezogenen Daten verarbeiten, dies nur entsprechend ihrer Aufgabenerfüllung tun. Für Auftragsverarbeiter ist vorgeschrieben, dass sie ihre Mitarbeiter auf die Vertraulichkeit verpflichten müssen.
  • die Durchführung von Kontrollen, ob die getroffenen Regelungen/Anweisungen auch eingehalten werden
  • den Einsatz datenschutzfreundlicher Technologien
  • den Stand der Technik als Anforderung an die IT-Sicherheit
  • die Führung des Verzeichnisses von Verarbeitungstätigkeiten
  • den Prozess zum Abschluss von Auftragsverarbeitungen oder – bei gemeinsamer Verantwortlichkeit – zum Abschluss entsprechender Vereinbarungen
  • den Prozess zur Umsetzung der Betroffenenrechte und der Transparenz der Datenverarbeitung
  • den Prozess zur Durchführung einer Risikobewertung
  • den Prozess zur Durchführung von Datenschutz-Folgenabschätzungen und einer eventuellen Meldung an die Aufsichtsbehörde
  • den Prozess zur Meldung von Verletzungen des Datenschutzes (Datenpannen).
Es sollte geprüft werden, ob es im Unternehmen Anknüpfungspunkte für ein Datenschutzmanagement gibt. Herfür bieten sich z. B. bereits bestehende Compliance-Richtlinien oder ein Qualitätsmanagement sowie ein IT-Sicherheits- oder ein Risikomanagement an.

Umsetzung

Hiervon umfasst ist die Konkretisierung der oben genannten Maßnahmen in der Praxis. Dazu gehört eine ausreichende Dokumentation sowie die geeigneten technisch-organisatorischen Maßnahmen. 

Erfolgskontrolle und Überwachung

Die Planung und Konzeption sowie ihre Umsetzung müssen stetig auf ihre Wirksamkeit hin kontrolliert werden.

Optimierung und Verbesserung

Wird bei der Kontrolle festgestellt, dass Anpassungen notwendig sind, müssen sie vorgenommen werden. Hierzu gehört auch die Erfüllung des angemessenen Stands der Technik bei den technischen IT-Sicherheitsmaßnahmen, denn die DS-GVO verlangt die Anpassung an entsprechende technische Entwicklungen.

Welche Schutzziele sind einzuhalten?

1. Vertraulichkeit durch

  • Maßnahmen, die geeignet sind, Unbefugten den Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, zu verwehren (Zutrittskontrolle)
  • Maßnahmen, die geeignet sind zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können (Zugangskontrolle)
  • Maßnahmen, die gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können (Zugriffskontrolle)
  • Maßnahmen, die gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können (Trennungsgebot).

2. Integrität durch

  • Maßnahmen, die gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist (Weitergabekontrolle)
  • Maßnahmen, die gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind (Eingabekontrolle/Verarbeitungskontrolle)
  • Maßnahmen, die gewährleisten, dass die Verfahrensweisen bei der Verarbeitung personenbezogener Daten in einer Weise dokumentiert werden, dass sie in zumutbarer Weise nachvollzogen werden können (Dokumentationskontrolle)
  • Maßnahmen, die gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können (Auftragskontrolle)

3. Verfügbarkeit und Belastbarkeit (Widerstandsfähigkeit/Resilienz von Systemen/Diensten) durch          

  • Maßnahmen, die gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind (Verfügbarkeitskontrolle).
  • Maßnahmen die gewährleisten, dass technische Systeme, bei Störungen bzw. Teil-Ausfällen nicht vollständig versagen, sondern wesentliche Systemdienstleistungen aufrechterhalten werden

4. Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung (Art. 32 Abs. 1 lit. d DSGVO; Art. 25 Abs. 1 DSGVO).

Wie ist der Schutzbedarf festzustellen?

Hierfür werden üblicherweise die drei Schutzklassen "normal", "hoch" und "sehr hoch" verwendet. Diese Zuweisung zu den Schutzklassen muss nicht nur für personenbezogene Daten gelten, sondern kann für alle unternehmensrelevanten Informationen verwendet werden.
Die Klassifizierung "normal“ gilt z. B. für alle internen Datenverarbeitungen bzw. für Daten, die aus allgemein zugänglichen Quellen stammen. Das Risiko für den Betroffenen ist tolerabel.
"Hoch" ist ein Schutzbedarf für Daten, die einen gewissen Vertraulichkeitsgrad erfüllen müssen, weil eine – erhebliche - Beeinträchtigung der Rechte des Betroffenen möglich ist.
Ein "sehr hohes" Schutzniveau ist zu gewährleisten, wenn eine besonders bedeutende Beeinträchtigung zu befürchten ist.
Die Risikobewertung muss also abwägen, wie wahrscheinlich ein Schadenseintritt ist und welchen Schaden er mit welchen Auswirkungen beim Betroffenen anrichten könnte.
Welche Maßnahmen müssen ergriffen werden?
Die technischen und organisatorischen Maßnahmen müssen im Verhältnis zum Risiko stehen. Hierbei sind folgende Punkte zu berücksichtigen:
  • Geeignetheit der Maßnahmen
  • Stand der Technik
  • Kosten der Implementierung
  • Aufwand
Die DSGVO definierte einige Maßnahmen wie
  • Pseudonymisierung,
  • Verschlüsselung,
  • die Fähigkeit, Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste auf Dauer sicherzustellen,
  • die Verfügbarkeit und den Zugang zu personenbezogenen Daten bei einem physischen oder technischen Zwischenfall schnell wiederherzustellen,
  • ein Verfahren einzurichten, das eine regelmäßige Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technisch-organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung gewährleistet,
  • die Sicherstellung, dass die Mitarbeiter, die personenbezogenen Daten verarbeiten, dies nur entsprechend ihrer Aufgabenerfüllung auf Anweisung des Verantwortlichen tun.
Im Rahmen der Rechenschaftspflicht nach Art 5 DSGVO müssen die Risikobewertung und die daraufhin passend ergriffenen Maßnahmen dokumentiert werden.
Die Landesdatenschutzbeauftragte für Niedersachsen bietet eine Muss-Liste als Mustervorlage für die Datenschutzfolgeabschätzung an.

Darf ich Daten in ein Drittland außerhalb der EU übermitteln?

Informationen dazu finden Sie in hier: Datenübermittlung in die USA und in Drittstaaten.

Wie bestellt man eine*n betriebliche*n Datenschutzbeauftragte*n?

Betriebliche Datenschutzbeauftragte sind zwingend zu bestellen, wenn
  • die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen,
  • die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der umfangreichen Verarbeitung besonderer Kategorien von Daten gemäß Artikel 9 (z.B. Gesundheitsdaten) oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 besteht oder
  • die Verarbeitung von einer Behörde oder öffentlichen Stelle durchgeführt wird, mit Ausnahme von Gerichten, soweit sie im Rahmen ihrer justiziellen Tätigkeit handeln.
Unabhängig davon besteht eine Bestellpflicht im Bundesdatenschutzgesetz (BDSG) , wenn mindestens zwanzig Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind.
Detaillierte Informationen finden Sie in hier: Betriebliche Datenschutzbeauftragte.

Was ist ein Verzeichnis von Verarbeitungstätigkeiten?

Das Verzeichnis von Verarbeitungstätigkeiten nach Art. 30 DSGVO löst das bisherige Verfahrensverzeichnis nach § 4g Abs. 2 und 2a BDSG ab. Es enthält eine Auflistung alle Verarbeitungstätigkeiten mit personenbezogenen Daten, egal, ob sie automatisiert oder nichtautomatisiert erhoben worden sind. 
Es ist von allen Verantwortlichen und Auftragsverarbeitern zu führen, es sei denn, sie beschäftigen weniger als 250 Mitarbeiter. Auch unter dieser Grenze ist ein Verzeichnis zu führen, wenn
  • die Verarbeitung ein Risiko für die Rechte und Freiheiten der betroffenen Personen birgt,
  • die Verarbeitung erfolgt nicht nur gelegentlich oder
  • eine Verarbeitung besonderer Datenkategorien gemäß Art. 9 Abs. 1 DSGVO bzw. die Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten im Sinne des Art. 10 DSGVO erfolgt.
Weitere Informationen über Voraussetzungen und Inhalt des Verzeichnissen finden Sie im Kurzpapier Nr. 1 der DSK, das im Menü rechts verlinkt ist. Die Landesbeauftragte für Datenschutz in Niedersachsen bietet ein Musterverzeichnis mit Bearbeitungshinweisen an.

Welche Regeln gelten für die Betroffenenrechte?

Die DSGVO stärkt spürbar die Rechte der betroffenen Personen, also derjenigen, deren personenbezogene Daten verarbeitet werden. Sie enthält umfangreiche Informationspflichten bei der Datenerhebung, Auskunftsrechte, Rechte auf Berichtigung, Löschung, Einschränkung der Verarbeitung und Datenübertragbarkeit, Widerspruchsrechte sowie das Recht, nicht einer automatisierten Einzelentscheidung unterworfen zu sein. Der Anspruch richtet sich in der Regel gegen den Verantwortlichen. Er ist verpflichtet, der betroffenen Personen die Ausübung ihrer Rechte (Art. 12 Abs. 2 DSGVO) zu erleichtern. Das verantwortliche Unternehmen muss auf Anträge des Betroffenen nach den Art. 15 bis 22 innerhalb eines Monats antworten. Zwar gibt es Möglichkeiten der Fristverlängerung, allerdings müssen die Gründe dafür ebenfalls in der Monatsfrist mitgeteilt werden, so dass in jedem Fall schnell reagiert werden muss. Kommt das Unternehmen einem Antrag der betroffenen Person nicht nach, droht ein Bußgeld. Der Verantwortliche im Unternehmen muss also Prozesse implementieren, die eine fristgerechte und korrekte Bearbeitung der Anträge der betroffenen Personen gewährleisten.

Art. 12 DSGVO – Transparente Information, Kommunikation und Modalitäten für die Ausübung der Betroffenenrechte

Bereits zu Beginn der Verarbeitung besteht nach dem Grundsatz der Transparenz eine Pflicht zur umfassenden Information gegenüber der betroffenen Person. Nach Art. 12 hat der Verantwortliche geeignete Maßnahmen zu treffen, um der betroffenen Person alle die Datenverarbeitung betreffenden Informationen in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln. Die Informationen werden schriftlich oder in anderer Form, insbesondere auch elektronisch, übermittelt; ausnahmsweise auch mündlich, sofern die betroffene Person dies verlangt und die Identität der betroffenen Person nachgewiesen wurde.
Geht ein Antrag (beispielsweise auf Auskunft) einer betroffenen Person bei dem Verantwortlichen ein, kann dieser entweder tätig werden und Maßnahmen ergreifen z. B. eine Auskunft erteilen (Art. 12 Abs. 3) oder davon absehen. Wird der Verantwortliche aber nicht tätig (Art. 12 Abs. 4), hat er neben den Gründen hierfür die betroffene Person auch über die Möglichkeit zu unterrichten, bei einer Aufsichtsbehörde Beschwerde oder bei Gericht einen entsprechenden Rechtsbehelf einzulegen. Wird der Verantwortliche tätig, muss er auf den Antrag der betroffenen Person grundsätzlich unverzüglich reagieren (Art. 12 Abs. 3), in jedem Fall aber innerhalb eines Monats nach Eingang des Antrags. Diese Frist kann um weitere zwei Monate verlängert werden, wenn dies unter Berücksichtigung der Komplexität und der Anzahl von Anträgen erforderlich ist. Allerdings muss dann die betroffene Person innerhalb eines Monats über die Fristverlängerung unter Nennung der Gründe für die Verzögerung unterrichtet werden (Art. 12 Abs. 3). Die Auskunftserteilung erfolgt unentgeltlich. Bei offenkundig unbegründeten oder - insbesondere im Fall von häufiger Wiederholung - exzessiven Anträgen einer betroffenen Person kann ein angemessenes Entgelt verlangt werden oder eine Weigerung erfolgen, aufgrund des Antrags tätig zu werden; der Verantwortliche hat hierfür aber die Nachweispflicht (Art. 12 Abs. 5).

Art. 13 DSGVO – Informationspflicht bei Datenerhebung beim Betroffenen

Grundsätzlich können personenbezogene Daten entweder direkt bei der betroffenen Person (Art. 13) oder bei einer dritten (Art. 14) erhoben werden. „Direkterhebung“ meint jede Erhebung personenbezogener Daten mit Kenntnis oder unter Mitwirkung der betroffenen Person. Werden die Daten bei der betroffenen Person erhoben, so muss der Verantwortliche zum Zeitpunkt der Datenerhebung (Art. 13 Abs. 1) die betroffene Person umfassend über die Verarbeitung informieren und Folgendes mitzuteilen:
  • Name und Kontaktdaten des Verantwortlichen sowie ggf. seines Vertreters,
  • Kontaktdaten des Datenschutzbeauftragten,
  • Zwecke der Verarbeitung und Rechtsgrundlage,
  • wenn die Verarbeitung auf Art. 6 Abs. 1 f beruht: berechtigtes Interesse des Verantwortlichen,
  • ggf. Empfänger oder Kategorien von Empfängern,
  • Absicht der Übermittlung in ein Drittland/internationale Organisation sowie das Vorhandensein oder Fehlen eines Angemessenheitsbeschlusses der Kommission,
  • Dauer der Datenspeicherung,
  • Bestehen eines Rechts auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Widerspruchsrecht und Recht auf Datenübertragbarkeit,
  • Recht auf Widerruf einer Einwilligung (bei Verarbeitung mit Art. 6 Abs. 1 a o. Art. 9 Abs. 2 a),
  • Bestehen eines Beschwerderechts gegenüber einer Aufsichtsbehörde,
  • Information, ob die Bereitstellung der personenbezogenen Daten gesetzlich vorgeschrieben oder für einen Vertragsabschluss erforderlich ist und welche möglichen Folgen die Nichtbereitstellung hätte,
  • das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling (Art. 22).
Beabsichtigt der Verantwortliche, die personenbezogenen Daten für einen anderen Zweck weiter zu verarbeiten, als zu dem für den die personenbezogenen Daten erhoben wurden, so erfordert dies vorab eine erneute Information des Betroffenen. Über diesen anderen Zweck und alle anderen maßgeblichen Informationen nach Art. 13 Abs. 2 (Prüfung, ob eine solche Zweckänderung im Rahmen von Art. 6 Abs. 4 überhaupt zulässig ist).
Ausnahmen: Nach Art. 13 Abs. 4 entfällt die Information bei Direkterhebung, wenn und soweit die betroffene Person bereits über die Information verfügt. Weitere geringfügige Ausnahmen hierzu enthält auch § 32 des neuen BDSG-neu, welches am 25. Mai 2018 in Kraft tritt. Hier hat der Gesetzgeber von den Öffnungsklauseln Gebrauch gemacht und weitere Eingrenzungen aufgenommen.

Art. 14 DSGVO – Informationspflicht, wenn Datenerhebung nicht beim Betroffenen erfolgt

Erfolgt die Datenerhebung nicht beim Betroffenen, sind die Informationspflichten weitgehend parallel zu Art. 13 Abs. 1 und 2 geregelt. Abweichungen sind folgende:
  • Es müssen die Kategorien personenbezogener Daten, die verarbeitet werden, genannt werden, zum Beispiel Kundendaten, Mitarbeiterdaten.
  • Es muss genannt werden, aus welcher Quelle die personenbezogenen Daten stammen und ggf. ob sie aus öffentlich zugänglichen Quellen stammen.
  • Außerdem muss nicht über die Pflicht zur Bereitstellung der Daten informiert werden, also ob es sich um eine freiwillige Angabe handelt oder nicht.
Des Weiteren gibt es im Unterschied zu Art. 13 detailliertere Regelungen zum Zeitpunkt der Informationserteilung (Art. 14 Abs. 3) und zu den Ausschlusstatbeständen nach Art. 14 Abs. 5, wenn die Informationspflicht entfällt.
Auch hier sind weitere Ausnahmen in den §§ 29, 33 des BDSG-neu zu finden. Auch zur Videoüberwachung gibt es in § 4 Abs. 2 des BDSG-neu Ausnahmen.
Grundsätzlich sollte das verantwortliche Unternehmen sicherstellen können, dass diese Datenschutzinformationen den oben genannten Anforderungen entsprechen und insbesondere ein Nachweis über die Mitteilung der Informationen geführt werden kann.

Art. 15 DSGVO – Auskunftsrecht

Das Auskunftsrecht der betroffenen Person über beim Verantwortlichen gespeicherte personenbezogene Daten ist das zentrale Recht, um bei Bedarf gezielt weitere Rechte, z. B. Recht auf Berichtigung, Löschung etc. geltend zu machen. Die betroffene Person kann von dem Verantwortlichen eine Bestätigung darüber verlangen, ob dort sie betreffende personenbezogene Daten verarbeitet werden. Ist dies der Fall, so hat die betroffene Person bezüglich dieser personenbezogenen Daten ein Recht auf Auskunft über:
  • Verarbeitungszwecke,
  • Kategorien personenbezogener Daten, die verarbeitet werden,
  • Empfänger oder Kategorien von Empfängern, denen die personenbezogenen Daten offengelegt werden, insbesondere Drittländer,
  • soweit möglich über die geplante Speicherdauer, ansonsten Kriterien für die Festlegung der Dauer,
  • Informationen über die Rechte auf Berichtigung, Löschung, Einschränkung der Verarbeitung sowie über ein Widerspruchsrecht gegen die Verarbeitung,
  • über das Beschwerderecht bei der Aufsichtsbehörde,
  • über die Herkunft der Daten, soweit diese nicht von der betroffenen Person selbst erhoben wurden,
  • soweit zutreffend über das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling,
  • wenn Übermittlung an Drittländer/internationale Organisation, dann Unterrichtung über die geeigneten Garantien gemäß Art. 46
Form der Auskunftserteilung: je nach Sachverhalt schriftlich, elektronisch oder mündlich, möglichst in Form einer Kopie der personenbezogenen Daten (Art. 15 Abs. 3). Der Verantwortliche hat sicherzustellen, dass die Auskunft nur der betroffenen Person oder einer von ihr bevollmächtigten Person erteilt wird und die Rechte und Freiheiten anderer Personen nicht beeinträchtigt werden. Als datenschutzfreundlichste Variante wird in Erwägungsgrund Nr. 63 Satz 4 ein Fernzugriff der betroffenen Person auf ihre eigenen Daten über ein sicheres System bezeichnet. Auch hier sieht das BDSG-neu Erleichterungen bzw. Modifizierungen vor (§§ 29, 30, 34).

Art. 16 DSGVO – Recht auf Berichtigung

Die betroffene Person hat das Recht, von dem Verantwortlichen unverzüglich die Berichtigung der sie betreffenden personenbezogenen Daten zu verlangen, wenn sie unrichtig sind. Unter Berücksichtigung der Zwecke der Verarbeitung hat die betroffene Person das Recht, die Vervollständigung unvollständiger personenbezogener Daten – auch mittels einer ergänzenden Erklärung – zu verlangen.

Art. 17 DSGVO – Recht auf Löschung, Recht auf Vergessenwerden

Die betroffene Person hat das Recht, von dem Verantwortlichen zu verlangen, dass sie betreffende Daten unverzüglich gelöscht werden, wenn folgende Gründe vorliegen (Art. 17 Abs. 1):
  • Daten sind für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig,
  • die betroffene Person widerruft ihre Einwilligung (Art. 6 Abs. 1 a oder Art. 9 Abs. 2 a), und es fehlt an einer anderweitigen Rechtsgrundlage für die Verarbeitung,
  • die betroffene Person legt Widerspruch gegen die Verarbeitung ein und es liegen keine vorrangigen, berechtigten Gründe für die weitere Verarbeitung vor,
  • die personenbezogenen Daten wurden unrechtmäßig verarbeitet,
  • die Löschung der personenbezogenen Daten ist aufgrund eines spezielleren Gesetzes erforderlich, d. h. zur Erfüllung einer rechtlichen Verpflichtung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten, dem der Verantwortliche unterliegt,
  • die personenbezogenen Daten wurden in Bezug auf direkt gegenüber einem Kind angebotene Dienste der Informationsgesellschaft erhoben.
Hier geht es um die Idee des „digitalen Radiergummis“, wobei dies nicht nur für den Online-Bereich gilt. Hat der Verantwortliche die personenbezogenen Daten öffentlich gemacht und ist er zur Löschung verpflichtet (Art. 17 Abs. 1), muss er nach Art. 17 Abs. 2 unter Berücksichtigung der verfügbaren Technologien und der Implementierungskosten angemessene Maßnahmen, auch technischer Art, treffen, um andere für die Datenverarbeitung Verantwortliche, die die personenbezogenen Daten verarbeiten, darüber zu informieren, dass eine betroffene Person von ihm die Löschung aller Links zu diesen personenbezogene Daten oder von Kopien oder Replikationen dieser personenbezogenen Daten verlangt hat. Ein Verantwortlicher muss also andere Verantwortliche darüber informieren, dass der Betroffenen die Löschung etwa aller Links oder Kopien verlangt.
Ausnahmen (Art. 17 Abs. 3): Es besteht für den Verantwortlichen keine Pflicht zur Löschung, wenn die weitere Speicherung der personenbezogenen Daten aus einem der folgenden Gründe erforderlich ist:
  • Ausübung des Rechts auf freie Meinungsäußerung und Information,
  • Erfüllung einer rechtlichen Verpflichtung (z. B. gesetzliche Aufbewahrungspflichten), die die Verarbeitung nach dem Recht der Union oder der Mitgliedstaaten erfordert oder zur Wahrung einer im öffentlichen Interesse liegenden Aufgabe oder in Ausübung öffentlicher Gewalt, die den Verantwortlichen übertragen wurde,
  • Gründe des öffentlichen Interesses im Bereich der öffentlichen Gesundheit,
  • im öffentliche Interesse liegende Archivzwecke, wissenschaftliche oder historische Forschungszwecke oder statistische Zwecke,
  • Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen

Art. 18 DSGVO – Recht auf Einschränkung der Verarbeitung

Unter „Einschränkung der Verarbeitung“ sind nach den Erwägungsgründen Methoden zur Beschränkung der Verarbeitung personenbezogener Daten zu verstehen, z. B. dass ausgewählte personenbezogene Daten vorübergehend auf ein anderes Verarbeitungssystem übertragen werden, dass sie für Nutzer gesperrt werden oder dass veröffentlichte Daten vorübergehend von einer Webseite entfernt werden. Die betroffene Person hat das Recht, von dem Verantwortlichen diese Einschränkung der Verarbeitung zu verlangen, wenn die nachfolgend aufgezählten Voraussetzungen vorliegen:
  • Die Richtigkeit der personenbezogenen Daten wird von der betroffenen Person bestritten, und zwar für eine Dauer, die es dem Verantwortlichen ermöglicht, die Richtigkeit der Daten zu überprüfen,
  • die Verarbeitung ist unrechtmäßig und die betroffene Person lehnt die Löschung der Daten ab und verlangt stattdessen eine Einschränkung der Verarbeitung,
  • der Verantwortliche benötigt die personenbezogenen Daten nicht länger für die Zwecke der Verarbeitung, die betroffene Person benötigt diese jedoch zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen,
  • die betroffene Person hat Widerspruch gegen eine auf berechtigte Interessen des Verantwortlichen gestützte Verarbeitung eingelegt, und es steht noch nicht fest, ob die berechtigten Gründe des Verantwortlichen gegenüber denen der betroffenen Person überwiegen.
Wurde die Verarbeitung auf Antrag des Betroffenen eingeschränkt, so dürfen diese personenbezogenen Daten – mit Ausnahme ihrer Speicherung – nur mit Einwilligung der betroffenen Person oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen oder zum Schutz der Rechte einer natürlichen oder juristischen Person oder aus Gründen eines wichtigen öffentlichen Interesses der Union oder eines Mitgliedstaates verarbeitet werden. Außerdem muss der Verantwortliche die betroffene Person vor Aufhebung der Einschränkung unterrichten (Art. 18 Abs. 3).

Art. 20 DSGVO – Recht auf Datenübertragbarkeit

Eine betroffene Person, die einem Verantwortlichen sie betreffende personenbezogene Daten bereitgestellt hat, hat das Recht, diese Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten. Darüber hinaus ist die betroffene Person berechtigt, diese Daten einem anderen Verantwortlichen ohne Behinderung durch den Verantwortlichen, dem die personenbezogenen Daten ursprünglich bereitgestellt wurden, zu übermitteln. Dies gilt allerdings nur, sofern die Verarbeitung
  • auf einer Einwilligung oder einem Vertrag beruht und
  • mit Hilfe automatisierter Verfahren erfolgt.
Der Betroffene kann also erwirken, dass die personenbezogenen Daten direkt von einem Verantwortlichen übermittelt werden, soweit dies technisch möglich ist.
Ausnahmen gelten, wenn die Verarbeitung zur Wahrnehmung einer Aufgabe erfolgt, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde. Ferner dürfen die Rechte und Freiheiten anderer Personen durch die Ausübung nicht beeinträchtigt werden.

Art. 21 DSGVO – Recht auf Widerspruch

Die betroffene Person kann einer Verarbeitung durch den Verantwortlichen jederzeit widersprechen, wenn die Verarbeitung auf Art. 6 Abs. 1 e oder f (Aufgabe im öffentlichen Interesse oder in Ausübung öffentlicher Gewalt, oder zur Wahrung berechtigter Interessen des Verantwortlichen) erfolgt ist. Dies gilt auch für ein darauf gestütztes Profiling. Eine fortdauernde Verarbeitung durch den Verantwortlichen ist nicht zulässig, außer er kann
  • zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, die die Interessen, Rechte und Freiheiten der betroffenen Person überwiegen, oder
  • die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.
Im Fall der Direktwerbung findet keine Interessenabwägung statt. Ein Widerspruch führt zu einem sofortigen Verarbeitungsstopp. Bei einer Verarbeitung zu wissenschaftlichen oder historischen Forschungszwecken oder zu statistischen Zwecken führt der Widerspruch ebenfalls zu einem Verarbeitungsstopp, es sei denn, die Verarbeitung ist zur Erfüllung einer im öffentlichen Interesse liegenden Aufgabe erforderlich (Art. 21 Abs. 6).
Auf sein Widerspruchsrecht muss der Betroffene spätestens zum Zeitpunkt der ersten Kommunikation ausdrücklich sowie in einer verständlichen und von anderen Informationen getrennter Form hingewiesen werden.
§ 36 BDSG-neu schränkt das Widerspruchsrecht gegenüber öffentlichen Stellen ein, bei einem zwingenden öffentlichen Interesse oder einer zur Verarbeitung verpflichtenden Rechtsvorschrift ein.

Art. 22 DSGVO – Automatisierte Entscheidung im Einzelfall

Die betroffene Person hat das Recht, nicht einer ausschließlich auf einer automatisierten Verarbeitung – einschließlich Profiling – beruhenden Entscheidung unterworfen zu werden, die ihr gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt. Dabei hat die betroffene Person insbesondere das Recht auf Eingreifen einer Person aufseiten des Verantwortlichen, auf Darlegung des eigenen Standpunkts und auch auf Anfechtung der Entscheidung. Das Recht, nicht einer ausschließlich auf einer automatisierten Verarbeitung beruhenden Entscheidung unterworfen zu werden, gilt nicht, wenn die Entscheidung
  • für den Abschluss oder die Erfüllung eines Vertrages zwischen der betroffenen Person und dem Verantwortlichen erforderlich ist,
  • aufgrund von Rechtsvorschriften der Union oder der Mitgliedstaaten, denen der Verantwortliche unterliegt, zulässig ist und diese Rechtsvorschriften angemessene Maßnahmen zur Wahrung der Rechte und Freiheiten sowie der berechtigten Interessen der betroffenen Person enthalten oder
  • mit ausdrücklicher Einwilligung der betroffenen Person erfolgt.