Welche Pflichten haben Unternehmen die personenbezogene Daten verarbeiten DSGVO?

In unserem ausführlichen DSGVO-Guide geben wir Unternehmen praktische Hilfsmittel für die Umsetzung des Datenschutzrechts an die Hand. Neben vielen Tipps finden Sie bei uns auch Links zu Generatoren, Mustervorlagen und vertiefenden Artikeln.

Rechtsanwalt Niklas Plutte
Fachanwalt für gewerblichen Rechtsschutz

Rechtsanwalt Oliver Wolf, LL.M.
Fachanwalt für Urheber- und Medienrecht

Hinweis: Unsere DSGVO Checkliste geht von einem Unternehmen aus, in dem noch keine Datenschutzvorgaben umgesetzt wurden. Sie eignet sich aber ebenso gut zur Kontrolle und ggf. Ergänzung bereits umgesetzter Datenschutzkonzepte. Dieser Beitrag wurde nach bestem Wissen und Gewissen so zusammengestellt, dass Sie bei Umsetzung unserer Empfehlungen auf der sicheren Seite sind. Die Datenschutzgrundverordnung ist allerdings noch jung. Bei manchen Vorschriften ist unklar, wie sie zu verstehen sind. Offene Fragen wird die Rechtsprechung erst nach und nach beantworten. Daher können wir nicht versprechen, dass unsere Empfehlungen zu 100%iger Datenschutzkonformität führen. Nutzen Sie bei Fragen unsere kostenlose Ersteinschätzung.

I. Wichtige Grundbegriffe

Bevor Sie unsere Checkliste durcharbeiten, sollten Ihnen einige Grundbegriffe zum Datenschutzrecht bekannt sein, die wir nachfolgend kurz erläutern.

1. Personenbezogene Daten

Die DSGVO dient dem Schutz personenbezogener Daten. Gemeint sind alle Informationen, die sich auf eine bestimmte oder identifizierbare natürliche Person beziehen (Art. 4 Nr. 1 DSGVO). Nach dieser Definition und der Rechtsprechung des EuGH ist der Begriff weit zu verstehen. Erfasst alle Informationen, die irgendwie einem bestimmten Menschen zugeordnet werden können, ggf. auch erst mithilfe Dritter.

Der Begriff der personenbezogenen Daten ist nicht auf sensible oder private Informationen beschränkt, sondern umfasst potenziell alle Arten von Informationen sowohl objektiver als auch subjektiver Natur in Form von Stellungnahmen oder Beurteilungen unter der Voraussetzung, dass es sich um Informationen über die in Rede stehende Person handelt. Die letztgenannte Voraussetzung ist erfüllt, wenn die Information aufgrund ihres Inhalts, ihres Zwecks oder ihrer Auswirkungen mit einer bestimmten Person verknüpft ist (OLG München, Endurteil vom 04.10.2021, Az. 3 U 2906/20).

Personenbezogene Daten sind neben äußeren Merkmalen wie zum Beispiel der Augenfarbe auch innere Zustände (z.B. Meinungen und Handlungsmotive) sowie Beziehungen zu Dritten und der Umwelt (z.B. Verträge, Chatverläufe). Diese Daten sind selbst dann personenbezogen, wenn sie im Internet nur einem Pseudonym (= Nutzernamen) zugeordnet werden können, weil mithilfe des Internetproviders die wirkliche Identität des Nutzers herausgefunden werden kann. Daher sind auch IP-Adressen als personenbezogene Daten einzustufen (vgl. Kühling/Buchner/Klar, DSGVO Kommentar, Art. 4 Nr. 1 Rn. 28).

Weitere Beispiele:

• Name (Vorname, Nachname), sofern eine Person hierüber sicher identifiziert werden kann. Bei Namensgleichheit mehrerer Personen wird der Personenbezug ggf. über weitere Zusatzinformationen hergestellt, die eine konkrete Verbindung zu einer der von einer Namensgleichheit betroffenen Personen begründen. Eine solche Verbindung liegt vor, wenn die Person entweder direkt über die Information identifiziert wird oder durch Hinzuziehung weiterer Informationen oder Zwischenschritte jedenfalls identifizierbar ist, z.B. weil neben dem Namen auch Geburtsdatum und Wohnanschrift gespeichert sind (OLG Dresden, Urteil vom 14.10.2021, Az. 4 U 1278/21).
• Künstlername
• Augenfarbe
• (Praxis-) Anschrift, wobei eine pure Adresse kein personenbezogenes Datum darstellt. Denn die bloße Adresse ohne Bezugnahme auf eine Person – sei es durch namentliche Nennung, sei es durch die Bezugnahme auf ein diese Adresse betreffendes Eigentums-, Besitz- oder Mietverhältnis o.ä. – stellt keinen hinreichenden Personenbezug dar (LG Berlin, Urteil vom 27.01.2022, Az. 26 O 177/21)
• Fachrichtung eines Arztes (BGH, Urteil vom 15.02.2022, Az. VI ZR 692/20)
• Religion
• Telefonnummer
• Telefaxnummer
• E-Mailadresse
• Geburtsdatum
• Zahlungsdaten
• Fotos mit erkennbarer Person / Personen

• Elektronische Einwilligungen
• IP-Adresse (un)gekürzt
• Usernamen
• Chatverläufe
• Standortdaten
• Kennnummer
• Online-Identifier
• Zugeordnete Cookies
• Individuelle Vermerke zum Kunden (z.B. Zahlungsmoral)

Auch pseudonyme Informationen werden als personenbezogene Daten eingestuft werden, weil sie zwar nicht direkt, aber durch eine Transferleistung einer natürlichen Person zugeordnet werden können.

Ausgenommen vom Anwendungsbereich der DSGVO sind anonyme Informationen, die keiner Person zugeordnet werden können.

Die DSGVO unterscheidet grundsätzlich nicht nach Wert oder Art der Daten. Es gibt kein belangloses Datum (vgl. Kühling/Buchner/Klar, DSGVO Kommentar, Art. 4 Nr. 1 Rn. 9). Einzige Ausnahme, bei der es auf die Art des Datums ankommt, sind die besonderen Kategorien personenbezogener Daten nach Art. 9 und 10 DSGVO. Für deren Verarbeitung gelten schärfere Voraussetzungen.

2. Automatisierte Verarbeitung

Die DSGVO ist zu beachten, wenn eine automatisierte Verarbeitung personenbezogener Daten stattfindet oder wenn solche Daten bei einer nichtautomatisierten Verarbeitung in Dateisystemen gespeichert werden oder gespeichert werden sollen (Art. 2 Abs. 1 DSGVO).

Als Verarbeitung definiert Art. 4 Nr. 2 DSGVO

„jeden (…) Vorgang (…) im Zusammenhang mit personenbezogenen Daten“

und nennt zahlreiche Beispiele, z.B. die Erhebung, Speicherung, Verwendung oder Übermittlung personenbezogener Daten. Weitere Beispiele aus der Rechtsprechung:

• Offenlegung personenbezogener Daten durch Übermittlung per E-Mail. Der Begriff „Offenlegung“ erfasst alle Vorgänge, durch die der Verantwortliche personenbezogene Daten anderen Stellen in der Weise zugänglich macht, dass diese Kenntnis vom Informationsgehalt der betreffenden Daten erlangen können (LG Frankfurt, Urteil vom 01.11.2021, Az. 2-1 S 191/20, hier bejaht für Versand einer Rundmail).
• Physische Zerstörung einer Festplatte, die personenbezogene Daten des Betroffenen enthält (OLG Dresden, Urteil vom 31.08.2021, Az. 4 U 324/21).

Eine Differenzierung zwischen den verschiedenen Arten der Datenverarbeitung ist für die Anwendbarkeit der DSGVO im Ergebnis nicht nötig.

Automatisiert ist die Datenverarbeitung, wenn eine Datenverarbeitungsanlage zum Einsatz kommt, also insbesondere ein Computer oder sonstiges elektronisches Speichersystem. Für handschriftliche Notizen gilt die DSGVO dagegen nicht. Aber Vorsicht: werden handschriftliche Notizen in einem Akten- oder Archivsystem erfasst, gilt die DSGVO doch. Daneben gibt es einige prominente Streitfälle, die in der Rechtswissenschaft diskutiert werden (Beispiel: Anfertigen von Klingelschildern durch den Vermieter).

Nach oben

3. Ausnahmen von der DSGVO-Anwendbarkeit

Ausgenommen von der DSGVO (aber für Firmen kaum relevant) sind nach dem in Art. 2 Abs. 2 c) DSGVO geregelten Haushaltsprivileg Datenverarbeitungen durch natürliche Personen zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten. Persönliche Tätigkeiten in diesem Sinne sind Tätigkeiten, die der eigenen Selbstentfaltung und Freiheitsausübung in der Freizeit oder im privaten Raum – also zu persönlichen Zwecken – dienen und auf einen abgegrenzten Privatbereich des Verarbeiters beschränkt sind. Sobald der Datenumgang im Rahmen einer wirtschaftlichen oder geschäftlichen Tätigkeit erfolgt, ist Art. 2 Abs. 2 c) DSGVO nicht mehr anwendbar. Der Wortlaut der Norm ist nämlich sehr eng, indem er eine Verwendung „ausschließlich“ zu privaten oder familiären Zwecken verlangt und damit bereits eine gemischte Datensammlung von privaten als auch geschäftlichen Kontakte ausschließt (vgl. LG Frankfurt, Urteil vom 01.11.2021, Az. 2-01 S 191/20).

Besonderheiten gelten auch für die Presse. Wegen Art. 85 DSGVO bestehen für Presseunternehmen und deren Hilfsunternehmen über die Landespressegesetze bzw. Landesdatenschutzgesetze bei der Erhebung und Verarbeitung von personenbezogenen Daten kaum Datenschutzvorgaben (sog. „Medienprivileg„, vgl. BGH, Urteil vom 15.02.2022, Az. VI ZR 692/20 mit Bezug auf Art. 38 BayDSG).

In Bezug auf das Recht am eigenen Bild haben wir eigenständige FAQ zur Rechtslage unter Geltung der DSGVO bzw. dem KUG verfasst.

Abgesehen von den beschriebenen Ausnahmen fällt für Unternehmen praktisch jeder Umgang mit personenbezogenen Daten unter die DSGVO. Wer auf der sicheren Seite sein möchte, sollte im Zweifel stets von einer Anwendbarkeit der DSGVO ausgehen.

Nach oben

4. Beteiligte am Datenverarbeitungsprozess

Der Begriff der „personenbezogene Daten“ beinhaltet, dass eine Person existieren muss, der die Daten zuzuordnen sind. Diese Person wird von der DSGVO betroffene Person genannt.

Auf der „Gegenseite“ gibt es wiederum immer jemand, der die Verarbeitung der personenbezogenen Daten durchführt oder deren Verarbeitung zumindest in Auftrag gegeben hat. Dies ist der Verantwortliche, der alleine oder gemeinsam mit anderen Verantwortlichen über die Zwecke und Mittel der Verarbeitung entscheidet (Art. 4 Nr. 7 DSGVO). An ihn richten sich die meisten Vorschriften der DSGVO, die bei der Datenverarbeitung beachtet werden müssen.

Der Geschäftsführer einer GmbH ist neben der Gesellschaft „Verantwortlicher“ im Sinne der DSVGO (OLG Dresden, Urteil vom 30.11.2021, Az. 4 U 1158/21).

Der Verantwortliche muss die Datenverarbeitung nicht unbedingt selbst ausführen, sondern kann einen Auftragsverarbeiter damit beauftragen(Art. 4 Nr. 8 DSGVO). Auch der Auftragsverarbeiter unterliegt weitreichenden Verpflichtungen der DSGVO, oftmals denselben wie der Verantwortliche. Das entscheidende Abgrenzungsmerkmal des Auftragsverarbeiters ist, dass er den Weisungen des Verantwortlichen unterliegt, also selbst nicht über die Datenverarbeitung entscheidet, sondern diese nur für den Verantwortlichen durchführt (vgl. Kühling/Buchner/Hartung, DSGVO Kommentar, Art. 4 Nr. 8 Rn. 7).

Unternehmen treten gegenüber ihren Kunden in aller Regel als Verantwortliche auf. Dieser Artikel beleuchtet daher die Pflichten von Unternehmen als Verantwortlichen für die Verarbeitung von personenbezogenen Daten ihrer Kunden, Arbeitnehmer und sonstigen Dritten.

Überblick: Die DSGVO gilt

• für Verantwortliche und deren Auftragsverarbeiter, die
• personenbezogene Daten
• automatisiert verarbeiten (Hauptfall) oder nicht-automatisiert verarbeiten durch Speicherung in Dateisystemen (Sonderfall),
• sofern die Anwendbarkeit der DSGVO nicht ausnahmsweise ausgeschlossen ist.

Nach oben

II. DSGVO-Checkliste für Unternehmen

Im Folgenden finden Sie eine Checkliste der umsetzungsbedürftigen DSGVO-Anforderungen, jeweils mit einer kurzen Erläuterung der Anforderung und konkreten Handlungshinweisen. Für weitergehende Informationen zu den einzelnen Themen verweisen wir auf vertiefende Artikel, Links zu Generatoren und Mustervorlagen, die Ihnen die Umsetzung erleichtern werden.

Eine wesentliche Neuerung der DSGVO ist die umfassende Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO. Unterstellt die Datenschutzaufsichtsbehörde einem Unternehmen Datenschutzverstöße, muss das Unternehmen nachweisen, dass es die betroffenen personenbezogenen Daten rechtskonform verarbeitet und nicht umgekehrt (siehe auch Punkt 8 unserer Checkliste). Dokumentieren Sie daher die Umsetzung unserer Checkliste.

Nach oben

1. Rechtmäßige Datenverarbeitung

Der erste Schritt hin zu einem datenschutzkonformen Unternehmen ist es, sicherzustellen, dass alle Datenverarbeitungsvorgänge im Unternehmen rechtmäßig durchgeführt werden. Dies lässt sich systematisch in fünf Schritten gewährleisten.

a) Erfassen aller Datenverarbeitungsvorgänge

Ausgangspunkt ist die Frage, wo in Ihrem Unternehmen DSGVO-relevante Daten verarbeitet werden. Ein Datenschutzverarbeitungsvorgang ist im Ergebnis jeder Umgang mit personenbezogenen Daten. Verschaffen Sie sich daher zu Beginn einen Überblick über die verschiedenen Verarbeitungstätigkeiten in Ihrem Unternehmen.

Als Unternehmer werden Sie vor allem Daten von zwei verschiedenen Personengruppen verarbeiten:

• Kunden/Geschäftspartner (z.B. Erhebung von Kontakt- und Kontodaten, Übermittlung an Partnerunternehmen, Speichern von Einkaufsverhalten).
• Beschäftigte, insbesondere Arbeitnehmer (z.B. Erhebung von Kontakt- und Kontodaten, Speichern und Organisieren von Arbeitszeiten und Arbeitserträgen, Anfertigen und Veröffentlichen von Fotos auf der Firmenwebsite).
• Auch Bewerber, Websitebesucher und sonstige Dritte können von Datenverarbeitungen betroffen sein.

Naturgemäß gibt es je nach Unternehmen und Geschäftsfeld unzählige denkbare Verarbeitungsmöglichkeiten. Beachten Sie insbesondere, dass ein einheitlicher Lebensvorgang oft mehrere Datenverarbeitungsvorgänge enthält. Geben Sie beispielsweise die von einem Kunden diktierten Kontaktdaten in einen Computer ein, liegt gleichzeitig eine Erhebung und Speicherung der Daten vor.

Überblick: Beispiele für typische Verarbeitungstätigkeiten in Unternehmen

Kunden/Geschäftspartner:

• Vertragsdatenmanagement (Beispiele für betroffene Daten: Kontaktdaten, Kontodaten, bisher abgewickelte Einzelkäufe oder -dienstleistungen, Rechnungen)
• Auswertung des Kaufverhaltens (Beispiele für betroffene Daten: Besuche der Webseite, IP-Adressen, angesehene Produkte, gekaufte Produkte, Kaufmodalitäten, Kaufkategorien)
• Newsletter (Beispiele für betroffene Daten: E-Mailadresse, Name)
• Gewinnspiele (Beispiele für betroffene Daten: Name, Kontaktdaten)

Beschäftigte

• Lohnabrechnung (Beispiele für betroffene Daten: Name, Geburtsdatum, Kontaktdaten, Bankverbindung, Gehalt, Arbeitszeiten etc.)
• Arbeitszeiterfassung (Beispiele für betroffene Daten: Name, genaue Arbeitszeit, Arbeitsverhalten etc.)

☐ Notieren Sie in einem Verarbeitungsverzeichnis alle Datenverarbeitungsvorgänge, die in Ihrem Unternehmen stattfinden. Benennen Sie, welche personenbezogenen Daten verarbeitet werden und wie diese Daten verarbeitet werden.

Nach oben

b) Rechtsgrundlagen festlegen

Wenn Sie einen Überblick über alle Datenverarbeitungsvorgänge in Ihrem Unternehmen gewonnen haben, müssen Sie festlegen, auf welcher Rechtsgrundlage die Datenverarbeitung erfolgt. Dabei gelten für die Daten von Beschäftigten andere Grundsätze als für die Daten sonstiger Personen.

Daten von Beschäftigten

Die Verarbeitung von Beschäftigtendaten des eigenen Unternehmens richtet sich vorrangig nach § 26 BDSG und in erster Linie nicht nach der DSGVO. Das liegt daran, dass der europäische Gesetzgeber die Regelung dieses Gebiets weitgehend den Mitgliedstaaten überlassen hat (Art. 88 DSGVO).

Die Verarbeitung von personenbezogenen Daten der Beschäftigten ist insbesondere in drei Fällen zulässig:

• Die Datenverarbeitung ist zur Begründung, Durchführung oder Beendigung eines Beschäftigungsverhältnisses erforderlich (§ 26 Abs. 1 S. 1 BDSG). Diese Ermächtigungsgrundlage wird in den meisten Fällen einschlägig sein, weil darüber alle gängigen Maßnahmen der Mitarbeiterverwaltung erfasst sind.
• Zur Aufdeckung von Straftaten, deren der Beschäftigte verdächtigt wird (§ 26 Abs. 1 S. 2 BDSG).
• Es liegt eine Einwilligung des Beschäftigten vor (§ 26 Abs. 2 BDSG, Art. 4 Nr. 11 DSGVO). Eine Einwilligung ist für Datenverarbeitungen erforderlich, die nicht unmittelbar Gegenstand des Beschäftigtenverhältnisses sind, zum Beispiel das Hochladen von Fotos des Beschäftigten auf die Firmenwebsite.
• Soweit § 26 BDSG keine besondere Regelung trifft, können die Regeln der DSGVO zu den sonstigen Daten anwendbar sein (so die Datenschutzkonferenz der Datenschutzbehörden).

Sonstige Daten, insbesondere von Kunden

Die Verarbeitung von allen anderen Daten ist in der DSGVO geregelt. Nach der DSGVO ist die Verarbeitung von personenbezogenen Daten grundsätzlich untersagt, es sei denn, dass ein Erlaubnistatbestand eingreift (sog. Verbotsprinzip). Die allgemeinen Erlaubnistatbestände sind in Art. 6 DSGVO geregelt.

Eine Datenverarbeitung ist nur rechtmäßig, wenn mindestens ein Erlaubnistatbestand aus Art. 6 DSGVO einschlägig ist. Für die Datenverarbeitung im Unternehmen sind vor allem folgende Erlaubnistatbestände relevant:

• Es liegt eine Einwilligung der betroffenen Person zur konkreten Verarbeitung ihrer personenbezogenen Daten vor (Art. 6 Abs. 1 S. 1 lit. a DSGVO), , dazu näher unter c).
• Die Verarbeitung ist zur Erfüllung eines Vertrags mit der betroffenen Person oder zur Durchführung vorvertraglicher, von der betroffenen Person beantragter Maßnahmen erforderlich (Art. 6 Abs. 1 S. 1 lit. b DSGVO). Es geht hier um Fälle, in denen die Daten verarbeitet werden müssen, damit die vertraglich vereinbarte Leistung in der verabredeten Form erbracht werden kann.
• Der Verantwortliche ist zur Datenverarbeitung verpflichtet (Art. 6 Abs. 1 S. 1 lit. c DSGVO). Wenn das Gesetz den Verantwortlichen verpflichtet, bestimmte Daten in einer Art zu verarbeiten, muss diese Verarbeitung sinnhafterweise auch rechtmäßig sein.
• Das berechtigte Interesse des Verantwortlichen an der Datenverarbeitung überwiegt die Interessen und Rechte der betroffenen Person (Art. 6 Abs. 1 S. 1 lit. f DSGVO). Hier ist eine Interessenabwägung erforderlich. Es geht vor allem um Datenverarbeitungen, die für die betroffene Person erwartbar waren und ihr keine großen Nachteile verursachen, sondern ihr sogar auch einen Mehrwert bieten.
• Darüber hinaus lässt die DSGVO eine Datenverarbeitung auch zu, wenn dies zum Schutz lebenswichtiger Interessen oder zur Wahrnehmung öffentlicher Aufgaben erforderlich ist (Art. 6 Abs. 1 S. 1 lit. d und e). Diese Tatbestände spielen für Unternehmer in aller Regel aber keine Rolle.

Tipp: Die Einwilligung wird traditionell als Allheilmittel des Datenschutzrechts angesehen. Abgesehen davon, dass für die Erteilung der Einwilligung strenge Anforderungen gelten, kann das Einholen einer Einwilligung sogar rechtswidrig sein, wenn sie für den konkreten Verarbeitungsvorgang nicht erforderlich ist. Weiterer Nachteil einer Einwilligung ist, dass sie jederzeit widerrufen werden kann. Daher empfiehlt es sich, die Datenverarbeitung nach Möglichkeit auf einen anderen gesetzlichen Erlaubnistatbestand zu stützen und nur als letztes Mittel auf Einwilligungen zurückzugreifen.

Je nach Art der verarbeiteten Daten („Was“ wird verarbeitet?) oder der Art der Datenverarbeitung („Wie“ wird verarbeitet?) müssen zusätzliche oder schärfere Voraussetzungen erfüllt werden:

• bei besonderen Kategorien personenbezogener Daten (besonders sensible Daten, u.a. über die Gesundheit, die Sexualität oder die politische Einstellung) nach Art. 9 DSGVO.
• bei der Erhebung von Daten müssen die Zwecke, zu denen die Daten erhoben werden, eindeutig festgelegt werden (sog. Zweckbindung, Art. 5 Abs. 1 lit. b DSGVO).
• bei automatisierten Entscheidungen im Einzelfall, insbesondere Profiling (Art. 22 DSGVO).
• wenn die Daten zu einem anderen Zweck verarbeitet werden, als zu dem sie erhoben wurden (Zweckänderung, Art. 6 Abs. 4 DSGVO). Eine Zweckänderung ist nur zulässig, wenn der neue Zweck mit dem ursprünglichen Zweck vereinbar ist. Dies bestimmt sich insbesondere danach, ob die betroffene Person mit der Zweckänderung rechnen musste (siehe Erwägungsgrund 50 Satz 6 DSGVO).
• bei einer Videoüberwachung im öffentlichen Raum (§ 4 BDSG). Hier ist im Ergebnis auch eine Abwägung zwischen dem Interesse an der Überwachung und dem entgegenstehenden Interesse der betroffenen Personen erforderlich.

Überblick und Beispiele: Rechtsgrundlage für Datenverarbeitung

von Beschäftigten:

• erforderlich zur Durchführung des Beschäftigungsverhältnisses (z.B. Speichern von Konto- und Kontaktdaten, Weitergabe von Daten an Sozialversicherung, Erfassen von Aktivitäten in digitalen Arbeitsdokumenten etc.),
• dient der Aufdeckung von Straftaten (z.B. Videoüberwachung wegen Verdachts des Diebstahls, Auslesen von elektronischen Arbeitsvorgängen wegen Verdachts der Untreue etc.),
• Einwilligung, jedoch erhöhte Anforderungen an Freiwilligkeit (z.B. Fotos auf der Firmenhomepage, Teilnahme an unternehmensinternem Gewinnspiel etc.),

sonstige Daten, insbesondere Kunden und Geschäftspartner:

• erforderlich zur Vertragserfüllung (z.B. Speichern von Daten für Rechnungsstellung, Weitergabe von Daten an Paketdienst, Erhebung von Körpermaßen bei Modegeschäften etc.)
• gesetzliche Verpflichtung (z.B. steuer- und handelsrechtliche Aufbewahrungsverpflichtungen, Weitergabe von Daten an Strafverfolgungsbehörde etc.)
• überwiegendes berechtigtes Interesse → Abwägung (z.B. Information über Sonderangebote, Verarbeitung mit Google Analytics)
• Einwilligung (z.B. Newsletter, Veröffentlichung von Fotos etc.)

spezielle zusätzliche Regelungen:

• besondere Kategorien personenbezogener Daten (z.B. Sexualität, Gesundheit, Religion etc) → Art. 9 DSGVO
• Erhebung von Daten → Art. 5 Abs. 1 lit. b DSGVO
• automatisierte Entscheidungen (z.B. Profiling im Bewerbungsverfahren, Fingerabdruckscanner für Zugang zu bestimmten Bereichen) → Art. 22 DSGVO
• Zweckänderung (Verwendung von Kundendaten zu Werbezwecken, Weitergabe von Adressen von Beschäftigten an Polizei bei Suizidgefahr) → Art. 6 Abs. 4 DSGVO
• Videoüberwachung im öffentlichen Raum (z.B. Geldautomaten, Kassenbereich von Supermarkt) → § 4 BDSG

☐ Legen Sie die Rechtsgrundlagen für alle Verarbeitungen von personenbezogenen Daten Ihres Unternehmens fest. Prüfen Sie dazu, ob der Zweck der Datenverarbeitung von einem der Erlaubnistatbestände erfasst wird und ob ggf. zusätzliche Voraussetzungen erfüllt werden müssen.

Nach oben

c) Einwilligungen kontrollieren und wenn nötig neu einholen

Falls Ihnen bei der Prüfung eine oder mehrere Datenverarbeitungen aufgefallen sind, die entweder durch keinen Erlaubnistatbestand gedeckt sind oder auf eine Einwilligung gestützt werden, ist Vorsicht geboten. Prüfen Sie zunächst, ob bestehende alte Einwilligungen die Voraussetzungen der DSGVO erfüllen. Wenn dies nicht der Fall ist, müssen Sie die Einwilligungen neu einholen.

Hinweis: Eine Neueinholung von Einwilligungen stellt nicht die erste, sondern letzte Option dar und sollte nach Möglichkeit vermieden werden. Prüfen Sie insbesondere, ob die betroffene Datenverarbeitung auf ein berechtigtes Interesse nach Art. 6 Abs. 1 f) DSGVO gestützt werden kann. 

Die Anforderungen an eine wirksame Einwilligung lauten:

• Einwilligungsfähigkeit des Einwilligenden oder Zustimmung eines gesetzlichen Vertreters (Art. 8 DSGVO): Minderjährige dürfen in Deutschland ab 16 Jahren selbst einwilligen, davor bedarf es der Zustimmung der Eltern.
• Freiwilligkeit der Einwilligung (Art. 4 Nr. 11, Art. 7 Abs. 4 DSGVO): Die Einwilligung muss freiwillig erfolgen. Das ist nicht mehr der Fall, wenn der betroffenen Person Nachteile drohen, wenn sie die Einwilligung verweigert, insbesondere, wenn eine vertragliche Leistung von der Einwilligung abhängig gemacht wird (sog. Kopplungsverbot). Der betroffene Person muss eine echte Wahlmöglichkeit erhalten. Besonders hoch sind die Anforderungen bei Einwilligungen von Beschäftigten (§ 26 Abs. 2 BDSG).
• Informiertheit der Einwilligung (Art. 4 Nr. 11 DSGVO): Der Einwilligende muss zumindest wissen, wer der Verantwortliche ist und zu welchen Zwecken seine personenbezogenen Daten verarbeitet werden (siehe Erwägungsgrund 42 Satz 3 DSGVO).
• Bestimmtheit (Art. 6 Abs. 1 S. 1 lit a DSGVO): Die Einwilligung muss sich auf bestimmte Datenverarbeitungen beziehen. Nicht zulässig sind „Blanko-Einwilligungen“.
• Form: Grundsätzlich ist die Einwilligung formfrei und kann auch mündlich oder sogar durch konkludentes Handeln erteilt werden, also schlüssiges Verhalten (vgl. OLG Dresden, Urteil vom 31.08.2021, Az. 4 U 324/21) – Hauptsache, die Erklärung ist unmissverständlich. Weil der Verantwortliche aber beweisen muss, dass eine Einwilligung vorlag, empfiehlt es sich, Einwilligungen nach Möglichkeit in Textform oder Schriftform einzuholen (Art. 7 Abs. 1 DSGVO).
• Widerruf: Die betroffene Person kann die Einwilligung jederzeit widerrufen (Art. 7 Abs. 3 DSGVO). Ab diesem Zeitpunkt dürfen die personenbezogenen Daten nicht mehr verarbeitet werden. Über diesen Umstand muss die betroffene Person vor Erteilung der Einwilligung in Kenntnis gesetzt werden (Art. 7 Abs. 3 S. 3 DSGVO).

• Weiterführende Informationen zur Einwilligung
• Allgemein: FAQ des Hessischen Datenschutzbeauftragten zur DSGVO

Überblick: Checkliste für eine wirksame Einwilligung

I. Einwilligungsfähigkeit: Person mindestens 16 Jahre, sonst Einwilligung der Eltern erforderlich

II. Freiwilligkeit: wirkliche Wahlmöglichkeit, keine materiellen oder auch sozialen Nachteile bei Nichtabgabe, keine Kopplung mit vertraglicher Leistung

III. Informiertheit: Einwilligender kennt Zweck und Verantwortlichen der Datenverarbeitung

IV. Bestimmtheit: keine „Blanko-Einwilligung“, sondern bestimmter Vorgang

V. Form: grundsätzlich keine Vorgaben, aus Nachweiszwecken aber Schriftform zu empfehlen

VI. Widerrufsbelehrung

☐ Kontrollieren Sie Einwilligungen, die auf Basis des BDSG eingeholt wurden, auf Ihre DSGVO-Konformität. Holen Sie falls nötig neue Einwilligungen ein bzw. prüfen Sie, ob ein alternativer Erlaubnistatbestand des Art. 4 DSGVO eingreift.

Tipp: Nutzen Sie hierzu die folgende Mustervorlage (rot = individuell auszufüllen):

Hiermit willige ich, (Name), ein, dass meine folgenden personenbezogenen Daten:

• (Art personenbezogener Daten)
• (Art personenbezogener Daten)

in folgender Weise durch (Verantwortlicher) verarbeitet werden:

• (geplante Verarbeitungsform)
• (geplante Verarbeitungsform)

Die Datenverarbeitung erfolgt zu folgenden Zwecken:

• (Zweck der Verarbeitung)
• (Zweck der Verarbeitung)

Es besteht dabei die Gefahr, dass (ggf. besondere Risiken der Datenverarbeitung, z.B. bei Veröffentlichung).

Ich habe die Einwilligung freiwillig abgegeben und kann sie jederzeit mit Wirkung für die Zukunft widerrufen. Ab diesem Zeitpunkt dürfen meine Daten nicht mehr verarbeitet werden und müssen unverzüglich gelöscht werden. Die Rechtmäßigkeit der bis dahin erfolgten Verarbeitung bleibt unberührt.

Ich kann meine Widerrufserklärung auf dem gleichen Wege an (Verantwortlicher) richten, auf dem ich diese Einwilligung erteile.

(Unterschrift, Ort und Datum)

d) Datenschutzfreundliche Technikgestaltung & Voreinstellungen, Datenminimierung

Die DSGVO verpflichtet Unternehmen, ihre Strukturen so datenschutzfreundlich wie möglich zu organisieren. Dies äußert sich in zwei Anforderungen:

• Datenschutzfreundliche Technikgestaltung und Voreinstellungen (Art. 25 DSGVO): Wenn Sie für Ihre Kunden IT-Dienstleistungen erbringen, müssen Sie bereits bei der Entwicklung dieser Produkte den Datenschutz berücksichtigen. Das äußert sich zum einen darin, dass die verwendete Technik datenschützende Maßnahmen wie eine Pseudonymisierung oder wenn möglich gar Anonymisierung von personenbezogenen Daten umsetzt („Privacy by Design“). Zum anderen muss Ihr Produkt immer die datenschutzfreundlichste Option als Voreinstellung wählen („Privacy by Default“). So sollte beispielsweise die Option zur Verwendung von Nutzerdaten für die Systemoptimierung in einem Registrierungsformular nicht standardmäßig vorausgewählt sein.
• Datenminimierung (Art. 5 Abs. 1 lit. c DSGVO): Speichern Sie personenbezogene Daten nur in dem Maße und nur für den Zeitraum, der zur Zweckerreichung unbedingt erforderlich ist. Zum Beispiel sollten auf einem Formular mit einem Geschäftspartner nicht mehr Daten abgefragt werden als zur Vertragsdurchführung nötig. Sind Daten für die Zwecke, zu denen sie erhoben wurden, nicht mehr notwendig, müssen sie unverzüglich gelöscht werden (Art. 17 Abs. 1 lit. a DSGVO).

Eine Erläuterung mit Beispielen zur datenschutzfreundlichen Technikgestaltung finden Sie hier. Viele Beispiele zur Praktizierung des Prinzips der Datenminimierung bietet dieser Artikel.

☐ Kontrollieren Sie (sofern vorhanden) von Ihnen betriebene oder bereitgestellte IT-Systeme. Gestalten Sie diese so datenschutzfreundlich wie möglich, insbesondere indem Sie datenschutzfreundliche Voreinstellungen auswählen.

☐ Kontrollieren Sie von Ihnen gespeicherte personenbezogene Daten. Löschen Sie alle Daten, die Sie nicht mehr benötigen.

☐ Kontrollieren Sie Ihre Formulare. Erheben Sie nur die Daten, die Sie wirklich benötigen.

e) Datenschutzfolgeabschätzungen

Eine spezielle Pflicht regelt Art. 35 DSGVO: Bei besonders risikoreichen Datenverarbeitungen ist eine sog. Datenschutzfolgenabschätzung durchzuführen.

Eine besonders risikoreiche Datenverarbeitung liegt insbesondere dann vor, wenn:

• eine systematische und umfassende Bewertung persönlicher Aspekte der betroffenen Person stattfindet und diese auf einer automatisierten Verarbeitung basiert (Art. 35 Abs. 3 lit. a DSGVO),
• in großen Umfang besondere Kategorien personenbezogener Daten (Art. 9 DSGVO) oder Daten über strafrechtliche Verurteilungen und Straftaten verarbeitet werden (Art. 35 Abs. 3 lit. b DSGVO) oder
• eine systematische umfangreiche Überwachung öffentlich zugänglicher Bereiche erfolgt (Art. 35 Abs. 3 lit. c DSGVO).

Die deutsche Datenschutzkonferenz, das Gremium, in dem sich alle Datenschutzbehörden abstimmen, hat eine Liste veröffentlicht mit den Verarbeitungstätigkeiten, bei denen in jedem Fall eine Datenschutzfolgenabschätzung durchzuführen ist. Die DSK weist darauf hin, dass die Liste nicht vollständig ist. Es handelt sich aber zumindest um eine hilfreiche Richtlinie.

Kommen Sie bei der Datenschutzfolgenabschätzung zu dem Ergebnis, dass ein hohes Risiko besteht, sind Sie gem. Art. 36 Abs. 1 DSGVO verpflichtet, die Aufsichtsbehörde (= Landesbeauftragter für Datenschutz) zu konsultieren.

Ausführliche Anleitungen zur Vorgehensweise bei Datenschutzfolgenabschätzungen finden Sie hier.

☐ Führen Sie für Datenverarbeitungen, bei denen es erforderlich ist, eine Datenschutzfolgenabschätzung durch.

Überblick: Musteraufbau einer Datenschutzfolgenabschätzung

I. Systematische Beschreibung der besonders risikoreichen Datenverarbeitung

1. Art der Verarbeitung
2. Technische und organisatorische Gestaltung der Verarbeitung
3. Beteiligte (Mitarbeiter, Auftragsverarbeiter, Hersteller verwendeter Technik) und betroffene Personen
4. Zweck der Verarbeitung
5. Rechtsgrundlage der Verarbeitung

II. Risikobewertung

1. Risikoidentifikation: Welche Gefahren drohen der betroffenen Person potentiell?
2. Risikoanalyse: Wie wahrscheinlich ist ein Eintritt eines Schadens? Inwieweit ist die konkrete Datenverarbeitung die Ursache dafür? Bestünde das Risiko ohnehin auch, wenn die Verarbeitung nicht vorgenommen würde?

III. Erforderlichkeit der Datenverarbeitung

Ist die Verarbeitung angesichts ihres Zwecks und der bestehenden Risiken notwendig und verhältnismäßig?

IV. Abhilfemaßnahmen

Welche Maßnahmen werden getroffen, um die Risiken zu bewältigen? Hier sollten technische und organisatorische Maßnahmen genannt werden.

Nach oben

2. Informationspflichten: Datenschutzerklärungen/Datenschutzhinweise

Ein Merkmal der DSGVO sind die weitreichenden Informationspflichten, die den Verantwortlichen treffen. Nach Art. 13 und 14 DSGVO müssen bei der Erhebung von Daten die betroffenen Personen über einen Katalog von zwölf verschiedenen Informationen informiert werden. Das gilt grundsätzlich sogar dann, wenn die Daten gar nicht bei der betroffenen Person selbst erhoben werden, sondern von einem Dritten stammen. Hier kann gem. Art. 14 Abs. 4 DSGVO die Informationspflicht ausnahmsweise entfallen, wenn die betroffenen Person die Informationen bereits hat oder die Umsetzung der Informationspflicht nicht zumutbar ist.

Der Zeitpunkt, zu dem die Informationspflicht umgesetzt werden muss, unterscheidet sich danach, wo die personenbezogenen Daten erhoben werden:

• Werden die Daten bei der betroffenen Person erhoben, müssen die Informationen im Zeitpunkt der Erhebung mitgeteilt werden. Faktisch bedeutet dies, dass die Informationen vor der Datenerhebung erteilt werden müssen (vgl. Kühling/Buchner/Bäcker, DSGVO Kommentar, Art. 13 Rn. 56).
• Werden die Daten bei einem Dritten erhoben, sind die Informationen so bald wie möglich zu erteilen, spätestens nach einem Monat.

In der Praxis kann ein Großteil der Informationspflichten durch drei standardmäßige Formulare erfüllt werden:

• Datenschutzhinweise vor Vertragsschluss: Hier wird über die Verarbeitung von Daten informiert, die zur Durchführung eines abzuschließenden Vertrags nötig sind (oft als Kunden-Informationsschreiben bezeichnet). Dies sollte dem Kunden vor Vertragsschluss und Erhebung seiner Daten (insbesondere durch Ausfüllen eines Formulars) zur Kenntnis gebracht werden. Teilweise wird in der juristischen Literatur vertreten, es genüge, die Datenschutzhinweise nur auf der Website bereitzuhalten und bei Vertragsschluss darauf zu verweisen (vgl. Schaffland/Wiltfang, DSGVO Kommentar, Art. 13 Rn. 6). Auf der sicheren Seite sind Sie aber, wenn Sie die Datenschutzhinweise zum einen auf Ihrer Website bereithalten, zum anderen aber auch bei jedem Vertragsschluss ein Exemplar aushändigen (sei es gedruckt oder digital).
• Datenschutzerklärung auf der Website: Durch eine Datenschutzerklärung auf Ihrer Website werden Besucher über die Verarbeitung Ihrer personenbezogenen Daten beim Besuch des Webauftritts informiert. Die denkbaren Datenverarbeitungen auf einer Website reichen von Cookies über Kontaktformulare bis zu Newslettern. Die Datenschutzerklärung muss von jederzeit von allen Unterseiten Ihrer Website aus mit einem Klick erreichbar sein. Gängig und empfehlenswert ist es, einen Link im Footer jeder Webseite Ihres Internetauftritts zu platzieren. Ebenfalls ratsam ist es, von allen Social-Media-Profilen Ihres Unternehmens aus eine Verlinkung auf Ihre Datenschutzerklärung zu setzen.
• Mitarbeiter-Informationsschreiben: Da Sie nicht nur personenbezogene Daten Ihrer Kunden, sondern auch solche Ihrer Beschäftigten verarbeiten, müssen Sie auch Ihre Beschäftigten über die Datenverarbeitung informieren. Dabei ist es praktikabel, jedem Mitarbeiter ein gedrucktes Exemplar auszuhändigen.

Hinweis: Die Informationspflichten nach Art. 13 und 14 DSGVO sind grundsätzlich im Sinne des Gebots der leichten Zugänglichkeit (Art. 12 Abs. 1 S. 1 DSGVO) ohne Medienbruch zugänglich zu machen (vgl. Kühling/Buchner/Bäcker, DSGVO Kommentar, Art. 13 Rn. 58). Wenn also Daten schriftlich (= analog) erhoben werden, sollte auch die Information der betroffenen Person auf analogem Wege erfolgen. Werden die Daten in einem digitalen Formular erhoben, sollten die Informationen per Link auf diesem Formular zur Verfügung gestellt werden.

Die Informationsschreiben müssen gemäß Art. 12 Abs. 1 DSGVO in präziser und verständlicher Sprache geschrieben sein.

Es genügt dann, dass die Informationen von den betroffenen Personen zur Kenntnis genommen werden. Deren „Zustimmung“ ist nicht erforderlich. Zumindest bei Ihren Kunden und Mitarbeitern ist es aus Dokumentationszwecken aber sinnvoll, eine Bestätigung der Kenntnisnahme einzuholen (siehe Punkt 8 unserer Checkliste). Dies kann zum Beispiel durch ein nicht vorangekreuztes Kästchen auf einem Formular oder eine eigenständige Erklärung erfolgen.

☐ Erstellen Sie Datenschutzhinweise für den Vertragsschluss, eine Datenschutzerklärung für Ihre Website sowie (falls einschlägig) Mitarbeiter-Informationsschreiben (kostenloser Generator) und/oder Kunden-Informationsschreiben (kostenloser Generator).

☐ Gewährleisten Sie, dass die betroffenen Personen vor der Datenerhebung Kenntnis von den Informationen nehmen. Prüfen und ggf. überarbeiten Sie dazu Ihre Formulare und Ihre Website.

Tipp: Eine DSGVO-konforme Datenschutzerklärung für Ihre Website erhalten Sie bei avalex.de. Die avalex Datenschutzerklärung wird nach dem Kauf per Plugin mit wenigen Klicks auf Ihrer Website installiert. Danach passt sich der Rechtstext automatisch an die aktuelle Rechtslage an. Für den allgemeinen Teil der Datenschutzerklärung sowie Belehrungstexte zu zahlreichen Webdiensten gewährt avalex Abmahnkostenschutz (Hinweis: Niklas Plutte ist Geschäftsführer der avalex GmbH).

Überblick: Inhalt einer Datenschutzerklärung zur Erfüllung der Informationspflichten

Es ist zu unterscheiden zwischen Informationen, die immer vorhanden sein müssen und Informationen, die nur erteilt werden müssen, wenn die entsprechende Voraussetzung überhaupt gegeben ist (im Folgenden mit optional gekennzeichnet).

I. Kontaktdaten

1. Name und Kontaktdaten des Verantwortlichen (= Ihr Unternehmen).
2. Optional: Falls ernannt, die Kontaktdaten des Datenschutzbeauftragten.

II. Datenverarbeitung

1. Welche Kategorien von Daten für welche Zwecke verarbeitet werden.
2. Rechtsgrundlagen für die Verarbeitungen (wenn eine Datenverarbeitung auf Art. 6 Abs. 1 lit. f gestützt wird, die verfolgten berechtigten Interessen).
3. Dauer der Speicherung und Zeitpunkt der Löschung der Daten.
4. Optional: Falls die Daten übermittelt werden, die Empfänger der Daten, ggf. Informationen über das Datenschutzniveau in einem Drittland, in das Daten übermittelt werden.
5. Optional: Falls die Daten nicht bei der betroffenen Person selbst erhoben wurden, die Quelle der Daten.
6. Optional: Falls eine Weiterverarbeitung zu einem anderen Zweck geplant ist, Informationen über den anderen Zweck.
7. Optional: Falls die Daten zu einer automatisierten Entscheidungsfindung genutzt werden, Information darüber sowie die Auswirkungen der Entscheidung für die betroffene Person.

III. Hinweise auf Rechte der betroffenen Person

1. Recht auf Auskunft
2. Recht auf Löschung oder auf Einschränkung der Verarbeitung
3. Widerspruchsrecht gegen die Verarbeitung
4. Recht auf Datenübertragbarkeit
5. Optional: Wenn eine Datenverarbeitung auf einer Einwilligung beruht, das Recht, die Einwilligung jederzeit zu widerrufen
6. Beschwerderecht bei der Aufsichtsbehörde

Nach oben

3. Datenschutzbeauftragter

Als nächstes ist zu klären, ob Ihr Unternehmen einen Datenschutzbeauftragten ernennen muss.

a. Pflicht zur Ernennung eines Datenschutzbeauftragten

Sie müssen einen Datenschutzbeauftragten ernennen, wenn einer der folgenden Punkte auf Ihr Unternehmen zutrifft:

• Die Kerntätigkeit Ihres Unternehmens besteht in der Durchführung von Datenverarbeitungen, die eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erfordert (Art. 37 Abs. 1 lit. b DSGVO). Diese unscharfe Formulierung lässt einige Fragen offen. Gemeint sind wohl Fälle, in denen gezielt Informationen größeren Umfangs beschafft werden und dies nicht nur eine reine Hilfstätigkeit für den Hauptzweck des Unternehmens darstellt (vgl. Kühling/Buchner/Bergt, DSGVO Kommentar, Art. 37 Rn. 18 ff.). Der „Umfang“ einer Datenverarbeitung lässt sich sowohl nach der Dauer der Verarbeitung, der Menge der verarbeiteten Daten als auch der Anzahl der betroffenen Personen bemessen. Beispiele sind Privatdetekteien, Bewachungsunternehmen, Personal- oder Partnervermittlungen sowie zielgruppenorientierte Werbevermarkter.
• Die Kerntätigkeit Ihres Unternehmens besteht in der umfangreichen Verarbeitung sensibler Daten nach Art. 9 und 10 DSGVO (Art. 37 Abs. 1 lit. c DSGVO). Maßgeblich ist, wie sehr die in Art. 9 und 10 DSGVO genannten Daten Gegenstand Ihrer geschäftlichen Tätigkeit sind.
• In Ihrem Unternehmen sind mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt (§ 38 Abs. 1 S. 1 BDSG). Es kommt nicht auf Art und Umfang der Datenverarbeitung an, sondern allein darauf, dass mindestens zehn Personen regelmäßig mit Datenverarbeitungen in Kontakt kommen. Zu diesen Personen zählen auch Ehrenamtler oder Teilzeitkräfte.
• In Ihrem Unternehmen werden Datenverarbeitungen vorgenommen werden, die einer Datenschutzfolgenabschätzung gem. Art 35 DSGVO unterliegen (§ 38 Abs. 1 S. 2 BDSG). Ob dies der Fall ist, richtet sich nach Ihren Ergebnissen unter Punkt 1 e).
• Ihr Unternehmen verarbeitet personenbezogene Daten für geschäftsmäßige Datenübermittlung oder Markt- und Meinungsforschung (§ 38 Abs.1 S. 2 BDSG).

Empfehlung: Angesichts der drohenden Bußgelder nach Art. 83 Abs. 4 lit. a DSGVO ist es in Zweifelsfällen sicherer, einen Datenschutzbeauftragten zu ernennen.

Nach oben

b. Persönliche Voraussetzungen eines Datenschutzbeauftragten

Ein Datenschutzbeauftragter muss ausreichendes Fachwissen auf dem Gebiet des Datenschutzrechts vorweisen (Art. 37 Abs. 5 DSGVO). Es kann sich um einen Beschäftigten Ihres Unternehmens handeln (Art. 37 Abs. 6 DSGVO), sofern er wegen seiner anderen Tätigkeiten in Ihrem Unternehmen nicht in einen Interessenkonflikt kommt (Art. 38 Abs. 6 DSGVO). Das bedeutet insbesondere, dass der Geschäftsführer des Unternehmens nicht zugleich Datenschutzbeauftragter sein kann.Gemäß Art. 37 Abs. 6 DSGVO können Sie auch einen externen Datenschutzbeauftragten ernennen. Externe Datenschutzbeauftragte haften nicht für etwaige DSGVO-Verstöße des Auftraggebers (OLG München, Urteil vom 27.10.2021, Az. 20 U 7501/20).

Nach oben

c. Stellung des Datenschutzbeauftragten

Haben Sie einen Datenschutzbeauftragten ernannt, sind Sie verpflichtet, diesem angemessene Ressourcen zur Verfügung zu stellen und ihn bei der Erfüllung seiner Aufgaben durch Kooperation unterstützen (Art. 38 Abs. 2 DSGVO). Diese Pflicht umfasst ggf. auch die Finanzierung von Fortbildungen. Sie dürfen dem Datenschutzbeauftragten (auf dem Gebiet des Datenschutzes) keine Anweisungen erteilen (Art. 38 Abs. 3 DSGVO). Der Datenschutzbeauftragte berät Sie bei der Umsetzung der DSGVO und überwacht deren Einhaltung. Er arbeitet darüber hinaus mit der Aufsichtsbehörde zusammen (Art. 39 DSGVO).

Haben Sie einen Datenschutzbeauftragten ernannt, sind Sie gemäß Art. 37 Abs. 7 DSGVO verpflichtet, dies der zuständigen Aufsichtsbehörde zu melden. Zuständig für nicht-öffentliche Verantwortlichen ist der Landesbeauftragte für Datenschutz in Ihrem Bundesland.

• Weitere Informationen zu Datenschutzbeauftragten
• Kostenloses Muster zur Bestellung eines Datenschutzbeauftragten
• Liste der zuständigen Aufsichtsbehörden

☐ Bestellen Sie, sofern nötig, einen Datenschutzbeauftragten und gewährleisten Sie die nötige Kooperation und Unterstützung.

☐ Melden Sie die Kontaktdaten des Datenschutzbeauftragten der zuständigen Aufsichtsbehörde.

Überblick: Pflicht zur Bestellung eines Datenschutzbeauftragten

• Kerntätigkeit des Unternehmens erfordert umfangreiche regelmäßige und systematische Überwachung oder umfangreiche Verarbeitung von besonders sensiblen Daten.
• mindestens 10 Personen ständig mit Datenverarbeitung beschäftigt.
• Datenverarbeitungen vorgenommen werden, die eine Datenschutzfolgenabschätzung erfordern.
• Daten werden zur geschäftsmäßigen Übermittlung oder zu Markt- und Meinungsforschungszwecken verarbeitet.

Nach oben

4. Betroffenenrechte

Die DSGVO gibt betroffenen Personen eine Reihe von Ansprüchen an die Hand, die Sie bei Vorliegen der jeweiligen Voraussetzungen und einer entsprechenden Anfrage der betroffenen Personen erfüllen müssen.

• Alle Rechte können formfrei geltend gemacht werden, das heißt auch mündlich. Damit die Daten nicht in die falschen Hände geraten, sind Sie berechtigt und bei Zweifeln auch verpflichtet, eine Identitätsfeststellung vorzunehmen, z.B. durch Vorlage der Kopie eines Personalausweises (Art. 12 Abs. 6 DSGVO), Abfrage des Geburtsdatums oder Zwei-Faktor-Identifizierung.
• Es ist im Grundsatz Ihre Pflicht, Ihr Unternehmen so zu organisieren, dass Sie alle Anfragen von betroffenen Personen bearbeiten können. Allerdings müssen Sie keine zusätzlichen Informationen erheben, nur um die Betroffenenrechte erfüllen zu können (Art. 11 Abs. 1 DSGVO). Hier müssen Sie aber nachweisen können, dass Ihnen eine Zuordnung unmöglich ist. Auch kann Ihnen die betroffene Person zusätzliche Informationen anbieten, damit Sie die Zuordnung vornehmen können. Diese Ausnahme wird deshalb nur in seltenen Fällen greifen.
• Die Betroffenenrechte müssen unverzüglich und unentgeltlich erfüllt werden. Nur bei missbräuchlichen Anträgen (= offenkundig unbegründet oder exzessiv häufigen) kann eine Gebühr erhoben werden (Art. 12 Abs. 5 DSGVO). Die Betroffenenrechte müssen spätestens innerhalb eines Monats bearbeitet werden. Nur in Ausnahmefällen ist eine Fristverlängerung möglich (Art. 12 Abs. 3 DSGVO).
• Beachten Sie, dass Sie bei Ablehnung eines Antrags nach Art. 12 Abs. 4 DSGVO eine Rechtsbehelfsbelehrung anfügen müssen.

a) Auskunftsrecht (Art. 15 DSGVO)

Jede Person darf umfassend und grundsätzlich kostenlos Auskunft über sie betreffende personenbezogene Daten sowie weitere Informationen verlangen (vgl. BGH, Beschluss vom 15.07.‌2021, Az. V ZB 53/20). Nach Erwägungsgrund 63 DSGVO dient das Auskunftsrecht aus Art. 15 DSGVO dem Betroffenen dazu, sich der Verarbeitung seiner personenbezogenen Daten bewusst zu sein und deren Rechtmäßigkeit überprüfen zu können. So soll Art. 15 DSGVO eine Rechtmäßigkeitskontrolle der Datenverarbeitungsvorgänge ermöglichen. Der Betroffene soll den Umfang und Inhalt der gespeicherten Daten beurteilen können. Die Auskünfte dienen auch dazu, der betroffenen Person die Wahrnehmung der weiteren Rechte nach der Datenschutzgrundverordnung zu ermöglichen, vor allem das Recht auf Berichtigung nach Art. 16 DSGVO, auf Löschung nach Art. 17 DSGVO und auf Einschränkung der Verarbeitung nach Art. 17 DSGVO (vgl. LG Krefeld, Urteil vom 06.10.2021, Az. 2 O 448/20; OLG Köln, Beschluss vom 03.09.2019, Az. 20 W 10/18).

Der als Bringschuld ausgestaltete Auskunftsanspruch ist weit auszulegen (vgl. BGH, Urteil vom 15.06.2021, Az. VI ZR 576/19) und setzt kein besonderes Rechtsschutzbedürfnis voraus (LAG Stuttgart, Urteil vom 17.03.2021, Az. 21 Sa 43/20). Das Auskunftsersuchen muss vom Betroffenen nach Erwägungsgrund 63 Satz 7 DSGVO präzisiert werden. Es muss deutlich werden, auf welche Informationen sich der Auskunftsanspruch bezieht (LAG Sachsen, Urteil vom 17.02.2021, Az. 2 Sa 63/20).

Sind dem Betroffenen die gewünschte Auskünfte bereits bekannt, schließt dies für sich genommen den Auskunftsanspruch nicht aus (vgl. LG Bonn, Beschluss vom 24.05.2022, Az. 9 O 158/21). Unzulässig sind dagegen exzessive Anträge (Art. 12 Abs. 5 Satz 2 lit. b DSGVO), was der Fall ist, wenn der Auskunftsanspruch missbräuchlich eingesetzt wird (Beispiele: Offensichtlich unbegründete Anträge oder rechtsmissbräuchliche Anträge wie insbesondere die in Art. 12 Abs. 5 DSGVO genannte häufige Wiederholung eines Antrags). Rechtsmissbrauch wurde vielfach angenommen, wenn mit der Geltendmachung des Auskunftsanspruchs kein in Erwägungsgrund 63 DSGVO genanntes Interesse verfolgt wird, sondern ein sonstiges Ziel (OLG Dresden, Urteil vom 29.03.2022, Az. 4 U 1905/21; OLG Hamm, Beschluss vom 15.11.2021, Az. 20 U 269/21; LG Krefeld, Urteil vom 06.10.2021, Az. 2 O 448/20; LG Wuppertal, Urteil vom 29.07.2021, Az. 4 O 409/20; LG Essen, Urteil vom 23.02.2022, Az. 18 O 204/21; LG Paderborn, Urteil vom 15.12.2021, Az. 4 O 275/21), zum Beispiel Information über Prämienanpassungen (OLG Nürnberg, Urteil vom 14.03.2022, Az. 8 U 2907/21; LG Kassel, Urteil vom 05.07.2022, Az. 5 O 1954/21). Einem funktionswidrigen Auskunftsantrag, der zum Beispiel der Vorbereitung eines Anspruchsbegehrens gegen den Verantwortlichen dient statt einer Verfolgung legitimer DSGVO-Ziele, muss nicht entsprochen werden (LAG Sachsen, Urteil vom 17.02.2021, Az. 2 Sa 63/20). Gleiches gilt, wenn das Auskunftsbegehren zum Ziel hat, sich gegen eine Klage des Verantwortlichen besser verteidigen zu können (vgl. LG Frankenthal, Urteil vom 12.01.2021, Az. 1 HK O 4/19). Ein Anspruch auf Datenauskunft aus Art. 15 DSGVO kann ausgeschlossen sein, wenn hiermit verordnungsfremde Zwecke verfolgt werden. Das ist zum Beispiel der Fall, wenn das Auskunftsbegehren ausschließlich der Verfolgung von Leistungsansprüchen dient (LG Detmold, Urteil vom 26.10.2021, Az. 2 O 108/21). Achtung: Ob die vorstehende einschränkende Auslegung der Gerichte zum DSGVO-Auskunftsanspruch Bestand hat, ist noch nicht endgültig geklärt. So vertritt zum Beispiel das Oberlandesgericht Köln abweichende Auffassung. Konkret wurde ein Kopieersuchen, mit dem sich der Betroffene Informationen zur Vorbereitung eines Gerichtsverfahrens über datenschutzexterne Ansprüche gegen den Verantwortlichen beschaffen wollte, als „unbedenklich und grundsätzlich zu erfüllen“ eingestuft (vgl. OLG Köln, Urteil vom 13.05.2022, Az. 20 U 295/21). Der Bundesgerichtshof hat dem EuGH hierzu mehrere Fragen zur Beantwortung vorgelegt (vgl. EuGH, Beschluss vom 29.03.2022, Az. VI ZR 1352/20).

Auf einen zulässigen Auskunftsantrag hin soll der Verantwortliche dem Betroffenen gemäß Art. 12 Abs. 3 DSGVO unverzüglich Auskunft erteilen, in jedem Fall aber innerhalb eines Monats nach Eingang des Antrags. Diese Frist kann um weitere zwei Monate verlängert werden, wenn dies unter Berücksichtigung der Komplexität und der Anzahl von Anträgen erforderlich ist. Der Verantwortliche hat den Betroffenen innerhalb eines Monats nach Eingang des Antrags über eine Fristverlängerung zu unterrichten, zusammen mit den Gründen für die Verzögerung. Eine verspätete und/oder unvollständige Auskunft kann im Einzelfall ein Schmerzensgeld rechtfertigen, je nach Lage des Falls beispielsweise in Höhe von 500 Euro (OLG Köln, Urteil vom 14.07.2022, Az. 15 U 137/21) oder 1.250 Euro (vgl. LAG Niedersachsen, Urteil vom 22.10.2021, Az. 16 Sa 761/20).

Enthalten muss die Auskunft u.a. die Verarbeitungszwecke, die Empfänger von Daten und die geplante Dauer der Speicherung. Unter den Auskunftsanspruch fallen Telefonnotizen, Aktenvermerke, Gesprächsprotokolle, E-Mails und Briefe (OLG München, Urteil vom 04.10.2021, Az. 3 U 2906/20), Kontobewegungen auf dem eigenen Bankkonto (AG Bonn, Urteil vom 30.07.2020, Az. 118 C 315/19) und im Zweifel sogar den Namen eines Tippgebers, der sich über den Betroffenen beschwert hat (BGH, Urteil vom 22.02.2022, Az. VI ZR 14/21). Der BGH zählt auch eigene Korrespondenz der betroffenen Person und interne Vermerke zu „Daten“, die in Kopie zu beauskunften sind (BGH, Urteil vom 15.06.2021, Az. VI ZR 576/19; in Bezug auf den Anspruch einer Kopie auch: LAG Stuttgart, Urteil vom 17.03.2021, Az. 21 Sa 43/20). Das Landgericht Köln war noch davon ausgegangen, dass interne Vermerke, rechtliche Bewertungen oder Analysen nicht vom Auskunftsanspruch umfasst sind (LG Köln, Urteil vom 18.03.2019, Az. 26 O 25/18). Nicht unter den Auskunfts- und Herausgabeanspruch fallen dagegen Dokumente, die Vertragserklärungen enthalten, hier ein bloßes Beitragsanpassungsschreiben mit dem Namen des Versicherungsnehmers (vgl. LG Berlin, Urteil vom 21.12.2021, Az. 4 O 381/20).

Der Empfänger einer unerbetenen Werbemail hat nach Art. 15 Abs. 1 DSGVO das Recht, vom Verantwortlichen eine Bestätigung darüber zu verlangen, ob ihn betreffende personenbezogene Daten verarbeitet werden; ist dies der Fall, hat er ein Recht auf Auskunft über diese personenbezogenen Daten und auf weitere Informationen, die in der Norm genannt werden, unter anderem hinsichtlich des Bestehens einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Art. 22 Abs. 1 und 4 DSGVO und – zumindest in diesen Fällen – aussagekräftiger Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person, Art. 15 Abs. 1 HS. 2 lit. h DSGVO. Wenn der Verantwortliche dem Betroffenen hinreichend deutlich mitteilt, keine Daten iSd. Art. 15 Abs. 1 HS. 2 lit. h DSGVO zu verarbeiten, wird die Verpflichtung aus der eben genannten Norm erfüllt (Kammergericht, Urteil vom 15.09.2021, Az. 5 U 35/20).

Der Verantwortliche kann seine Auskunftspflicht auch elektronisch erfüllen, indem er dem Betroffenen einen Link zur Verfügung stellt, unter dem die Informationen via Internet abgerufen werden können, z.B. im Online-Kundenkonto im Bereich „Einstellungen & Datenschutz“ (vgl. LG München, Urteil vom 02.09.2021, Az. 23 O 10931/20).

Im Rahmen der Auskunftserteilung muss der Betroffene darüber informiert werden, dass die Möglichkeit zur Beschwerde bei einer Aufsichtsbehörde besteht. Eine Nennung der konkreten Aufsichtsbehörde oder ihrer Kontaktdaten ist jedoch nicht erforderlich (vgl. AG Wiesbaden, Urteil vom 03.03.2022, Az. 93 C 2338/20 (22)).

Wurden keine personenbezogenen Daten des Betroffenen beim Verantwortlichen verarbeitet, muss er auf dessen Anfrage hin zumindest eine Negativauskunft erteilen. Die Anfrage nicht zu beantworten, ist unzulässig (AG L ehrte, Beschluss vom 03.02.2021, Az. 9 C 139/20).

Im Rahmen einer Klage reicht es nicht, als Klageantrag den Wortlaut von Art. 15 Abs. 3 DSGVO wiederzugeben, da dies nicht ausreichend bestimmt ist im Sinne von § 253 Abs. 2 Nr. 2 ZPO (LAG Sachsen, Urteil vom 17.02.2021, Az. 2 Sa 63/20). Für den Auskunftsanspruch soll regelmäßig ein Streitwert in Höhe von bis zu 5.000 Euro angemessen sein (OLG Köln, Streitwertbeschluss vom 12.11.2020, Az. 9 W 34/20). Der Herausgabeanspruch nach Art. 15 Abs. 3 DSGVO bezieht sich allein auf die Daten, auf die das Auskunftsrecht nach Art. 15 Abs. 1 DSGVO gerichtet ist (LAG Niedersachsen, Urteil vom 22.10.2021, Az. 16 Sa 761/20).

b) Recht auf Berichtigung (Art. 16 DSGVO)

Jede betroffene Person kann vom Verantwortlichen verlangen, dass er nur richtige Informationen über sie verarbeitet. Der Verantwortliche muss daher ggf. unrichtige oder unvollständige Daten ändern oder ergänzen.

• Unrichtige Daten: Ob ein personenbezogenes Datum unrichtig ist, muss anhand eines objektiven Maßstabs beurteilt werden. Das führt dazu, dass bei falschen Tatsachenbehauptungen ein Anspruch auf Berichtigung besteht, zum Beispiel eine falsche Namensangabe oder ein falsches Geburtsdatum. Dagegen besteht kein Berichtigungsanspruch bei Meinungen oder Werturteilen, da sich diese weder als wahr noch falsch einstufen lassen. Ausnahme: Die Meinungsäußerung beruht auf einer falschen Tatsache. In diesem Fall verdient die Meinungsäußerung keinen Schutz. Entsprechend darf eine Berichtigung der Meinungsäußerung verlangt werden.
• Unvollständige Daten: Anders als unrichtige Daten sind unvollständige Daten in der Sache korrekt. Ihre Angabe reicht aber nicht aus, um einen Sachverhalt zutreffend wiederzugeben. Was für die zutreffende Wiedergabe des Sachverhalts relevant ist, lässt sich nicht verallgemeinern und muss kontextbezogen beurteilt werden.

c) Recht auf Löschung (Art. 17 Abs. 1 DSGVO)

Wird die Datenverarbeitung aus einem der in Art. 17 Abs. 1 DSGVO genannten Gründe rechtswidrig oder ist sie für die verfolgten Zwecke nicht mehr erforderlich, muss der Verantwortliche diese Daten löschen. Der Anspruch auf Löschung personenbezogener Daten schließt den Anspruch darauf ein, dass die gelöschten Daten nicht erneut verarbeitet werden. Art. 17 DSGVO kann dem Betroffenen deshalb im Einzelfall auch einen entsprechenden Unterlassungsanspruch gewähren (OLG München, Urteil vom 22.03.2022, Az. 18 U 1697/21). Besonderheit dieses Rechts ist, dass der Verantwortliche auch ohne Antrag der betroffenen Person verpflichtet ist, die betroffenen Daten bei Vorliegen der obigen Voraussetzungen zu löschen. Unberechtigt gespeicherte personenbezogene Daten können auch dann gelöscht werden, wenn sie den gesetzlichen Aufbewahrungspflichten unterfallen (OLG Dresden, Urteil vom 14.12.2021, Az. 4 U 1278/21).

Art. 17 Abs. 1 DSGVO gilt allerdings nicht, soweit die Datenverarbeitung auf der Grundlage aller relevanten Umstände des Streitfalls zur Ausübung des Rechts auf freie Meinungsäußerung und Information erforderlich ist (Art. 17 Abs. 3 a) DSGVO). Dieser Umstand ist Ausdruck der Tatsache, dass das Recht auf Schutz personenbezogener Daten kein uneingeschränktes Recht ist, sondern im Hinblick auf seine gesellschaftliche Funktion gesehen und unter Wahrung des Verhältnismäßigkeitsprinzips gegen andere Grundrechte abgewogen werden muss (EuGH, Urteil vom 24.09.2019, Az. C-​136/17; BGH, Urteil vom 27.07.2020, Az. VI ZR 405/18).

Beispiel: Es kann zulässig sein, im Rahmen einer negativen Kundenrezension den Namen einer Person zu nennen mit der Folge, dass kein Löschungsanspruch gegen die Bewertungsplattform besteht, weil die Verarbeitung zur Wahrung der Meinungsfreiheit erforderlich ist (OLG Hamm, Urteil vom 29.06.2021, Az. I-4 U 189/20).

d) Recht auf Vergessenwerden (Art. 17 Abs. 2 DSGVO)

Haben Sie die Daten einer betroffenen Person öffentlich gemacht und sind nun zu deren Löschung verpflichtet, müssen Sie auch andere Verantwortliche, die die Daten durch die Veröffentlichung erlangt haben, von dem Löschbegehren unterrichten.

Beispiel: Wenn eine betroffene Person die Löschung von Daten verlangt, die Sie auf Ihrem Facebook-Profil öffentlich gemacht haben, müssen Sie nicht nur selbst die Daten löschen, sondern auch Facebook (und wegen der Auffindbarkeit des Profils wohl auch Google) davon informieren, dass die betroffene Person die Löschung der Daten verlangt.

e) Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)

Unter besonderen Voraussetzungen (siehe Art. 18 Abs. 1 DSGVO), insbesondere bei Streitigkeiten über die Rechtmäßigkeit einer Datenverarbeitung, müssen Sie die betroffenen Daten markieren und vorerst nicht mehr weiterverarbeiten. Zum Beispiel können Sie entsprechende Daten für alle Nutzer sperren oder aus einer Software entfernen. Denkbar ist beispielsweise auch die zeitweilige Entfernung eines umstrittenen Fotos von einer Website (vgl. Kühling/Buchner/Herbst, DSGVO Kommentar, Art. 18 Rn. 30 f.).

f) Recht auf Datenübertragbarkeit (Art. 20 DSGVO)

Das Recht auf Datenübertragbarkeit regelt Fälle, in denen eine betroffene Person ihre Daten bei einem Anbieterwechsel „mitnehmen“ möchte. Sie müssen die Daten in einem strukturierten, gängigen und maschinenlesbaren Format entweder der betroffenen Person oder (auf Antrag gem. Art. 20 Abs. 2 DSGVO) dem neuen Anbieter zur Verfügung stellen. Letzteres gilt aber nur, soweit eine Übermittlung an den neuen Anbieter „technisch machbar“ ist (Art. 20 Abs. 2 DSGVO).

g) Recht auf Widerspruch (Art. 21 DSGVO)

Verarbeiten Sie Daten gestützt auf eine Interessenabwägung nach Art. 6 Abs. 1 lit. f DSGVO, kann die betroffene Person dagegen Widerspruch erheben, wenn sie begründen kann, dass in ihrem Fall eine besondere Situation vorliegt. Sie müssen in diesem Fall nachweisen, dass Ihr Verarbeitungsinteresse auch in dem konkreten Einzelfall überwiegt oder anderenfalls die Verarbeitung einstellen.

h) Recht auf Schadensersatz (Art. 82 DSGVO)

Bei Verletzung von DSGVO-Vorschriften steht dem Betroffenen ein Anspruch auf Ersatz immaterieller Schäden („Schmerzensgeld“) aus Art. 82 DSGVO oder sonst einem rechtlichen Aspekt zu. Art. 82 DSGVO ist allerdings restriktiv auszulegen (LG Frankfurt, Urteil vom 18.09.2020, Az. 2-27 O 100/20) unter Beachtung, dass der immaterielle Schadensersatz nach der DSGVO keinen Strafcharakter hat (OLG Dresden, Urteil vom 30.11.2021, Az. 4 U 1158/21).

Voraussetzung ist der Eintritt und Nachweis eines konkreten (auch immateriellen) Schadens (OLG Frankfurt, Urteil vom 02.03.2022, Az. 13 U 206/20). Allein der Verstoß gegen datenschutzrechtliche Vorschriften führt nicht zu einer Verpflichtung des Verantwortlichen zur Zahlung von Schadensersatz (OLG Karlsruhe, Urteil vom 26.04.2022, Az. 14 U 270/20; LG Hamburg, Urteil vom 04.09.2020, Az. 324 S 9/19; ebenso: LG Karlsruhe, Urteil vom 02.08.2019, Az. 8 O 26/19). So soll zum Beispiel das Vorenthalten einer Auskunft nicht zum Schadensersatz verpflichten, wenn nicht ersichtlich ist, inwieweit dem Betroffenen ein Schaden entstanden ist (vgl. LG Köln, Urteil vom 22.06.2022, Az. 25 O 9/22). Zur Bestimmung des Schadensbegriffes der DSVGO sind normative, an den Zielen der Verordnung ausgerichtete Erwägungen notwendig. Eine Schadensersatzpflicht besteht nur, wenn der geltend gemachte Schaden nach Art und Entstehungsweise unter den Schutzzweck der verletzten Norm fällt (OLG Düsseldorf, Beschluss vom 16.02.2021, Az. 16 U 269/20). Die Verletzungshandlung muss zu einer konkreten Verletzung von Persönlichkeitsrechten der betroffenen Person geführt haben (LG Frankfurt, Urteil vom 18.09.2020, Az. 2-27 O 100/20). Auf der anderen Seite erfordert der Anspruch auf Ersatz immateriellen Schadens nach Art. 82 DSGVO nicht das Überschreiten einer Erheblichkeitsschwelle (vgl. LAG Niedersachsen, Urteil vom 22.10.2021, Az. 16 Sa 761/20; LAG Berlin-Brandenburg, Urteil vom 18.11.2021, Az. 10 Sa 443/21). Einen Ausschluss vermeintlicher Bagatellschäden sieht das Gesetz nicht vor, daher bedarf es keiner schwerwiegenden Persönlichkeitsrechtsverletzung (mehr) (LAG Frankfurt, Urteil vom 18.10.2020, Az. 16 Sa 380/20). Für Schadensersatzansprüche nach Art. 82 DSGVO liegt die alleinige Beweislast beim Kläger (LG Frankfurt, Urteil vom 18.01.2021, Az. 2-30 O 147/20). Eine bloße Sperrung von Daten (hier: Löschung eines Social Media Posts) stellt ebenso wie Datenverlust noch keinen Schaden im Sinne der DSGVO dar (OLG Dresden, Urteil vom 20.08.2020, Az. 4 U 784/20).

Update: Das Bundesverfassungsgericht hat einer Verfassungsbeschwerde stattgegeben, wonach eine Klage dem EuGH vorzulegen ist, in der wegen Zusendung von unerwünschter E-Mailwerbung Schmerzensgeld nach Art. 82 DSGVO gefordert worden war.

Beispiele für Schadensersatz nach Art. 82 DSGVO

• 25 Euro Schadensersatz für unerlaubte E-Mailwerbung an geschäftliche E-Mailadresse (LG Heidelberg, Urteil vom 26.03.2022, Az. 4 S 1/21).
• 500 Euro Schadensersatz wegen unvollständiger und verspäteter Auskunft gegenüber dem Betroffenen zu den über ihn bei Facebook gespeicherten Informationen (OGH, Teilurteil vom 23.06.2021, Az. 6 Ob 56/21k). 1.000 Euro Schadensersatz pro unvollständig beantwortetem Auskunftsverlangen eines Mitarbeiters gegenüber seinem Arbeitgeber (LAG Berlin-Brandenburg, Urteil vom 18.11.2021, Az. 10 Sa 443/21).
• 500 Euro Schadensersatz wegen rechtswidriger Übersendung des Kontoabschlusses sowie Meldung einer unzutreffenden Adresse an die SCHUFA (OLG Frankfurt, Urteil vom 14.04.2022, Az. 3 U 21/20).
• 2.000 Euro Schadensersatz für die Versendung von nicht passwortgeschützten Gesundheitsdaten per E-Mail an falschen Empfänger (OLG Düsseldorf, Urteil vom 28.10.2021, Az. 16 U 275/20).
• 2.500 Euro Schadensersatz für Kunden des Brokers Scalable Capital wegen Verletzung von Sorgfaltspflichten nach Art. 32 DSGVO, weil unbekannte Dritte Kundeninformationen erbeutet hatten, u.a. Ausweisdaten, Name und Adresse, Wertpapierabrechnungen und steuerliche Daten (vgl. LG München, Urteil vom 09.12.2021, Az. 31 O 16606/20).
• 5.000 Euro Schadensersatz wegen eines unberechtigten Schufa-Eintrags (vgl. LG Mainz, Urteil vom 12.11.2021, Az. 3 O 12/20).

Beispiele für Ablehnung von Schadensersatzforderung

• Eine verspätete bzw. unterbliebene Datenauskunft führt nicht automatisch zu einem Anspruch auf Schadensersatz nach Art. 82 DSGVO, wenn der Betroffene mangels Erheblichkeit keinen spürbaren Nachteil erleidet (vgl. LG Leipzig, Urteil vom 23.12.2021, Az. 03 O 1268721).
• Behaupteter Verlust personenbezogener Daten auf einer Laptop-Festplatte, die wegen eines Defekts eingesandt und ohne Datensicherung vom Anbieter zerstört wurde. Der Kunde erhielt stattdessen eine neue Festplatte. Der Anbieter hatte darauf hingewiesen, dass eine Sicherung der Daten Sache des Kunden sei. Ob der Datenverlust ein ersatzpflichtiger Schaden war, wurde vom Gericht offengelassen (vgl. OLG Dresden, Urteil vom 31.08.2021, Az. 4 U 324/21).
• Nutzung von Fotos und Namen auf Internetseite ohne Einwilligung des Betroffenen. Keine ausreichende Darlegung zum Schadensersatz, stattdessen nur vager Vortrag zu Beeinträchtigungen (vgl. OLG Brandenburg, Beschluss vom 11.08.2021, Az. 1 U 69/20).

☐ Schaffen Sie Strukturen, die es Ihnen ermöglichen, alle Betroffenenrechte innerhalb eines Monats zu bearbeiten. Organisieren Sie Ihre Datenbestände dazu so, dass sie angeforderte Daten schnell auffinden („Wo“), regeln Sie die Zuständigkeit für die Erfüllung der Pflichten („Wer“) und den Prozess der Antragsbearbeitung, insbesondere eine Identitätskontrolle und die Überprüfung der Anspruchsvoraussetzungen („Wie“). Eine Orientierung kann dieser Leitfaden bieten.

Nach oben

i) Recht auf Unterlassung

Die Durchsetzung eines Anspruchs auf Unterlassung bei einer rechtswidrigen Verarbeitung personenbezogener Daten im Sinne der Datenschutzgrundverordnung kann entweder auf §§ 823, 1004 BGB i.V.m. Art. 6 Abs. 1 DSGVO oder auf Art. 6 und 17 DSGVO i.V.m. Art. 79 DSGVO gestützt werden (OLG Frankfurt, Urteil vom 14.04.2022, Az. 3 U 21/20).

Bei rechtswidriger Verarbeitung personenbezogener Daten im Sinne der Datenschutzgrundverordnung ist nach ganz herrschender Meinung die Durchsetzung eines Anspruchs auf Unterlassung möglich (vgl. zum Meinungsstand Leibold/Laoutoumai: Unterlassungsanspruch unter der DS-GVO? ZD-Aktuell 2021, 05583).

Im Ergebnis sieht die herrschende Meinung einen Unterlassungsanspruch jedenfalls gemäß §§ 823, 1004 BGB (zum Teil i.V.m. Art. 6 Abs. 1 DSGVO) als gegeben an, da dieser nicht durch Art. 79 Abs. 1 DSGVO gesperrt ist (OLG Köln, Urteil vom 14.11.2019, Az. 15 U 126/19; Leibold/Laoutoumai aaO; a.A. VG Regensburg, Gerichtsbescheid vom 06.08.2020, Az. RN 9 K 19.1061). Nur so sei ein lückenloser Schutz hinsichtlich der Verarbeitung personenbezogener Daten von natürlichen Personen gewährleistet.

Aber auch aus der Datenschutzgrundverordnung ergibt sich ein Unterlassungsanspruch. Zwar sieht diese einen Unterlassungsanspruch nicht ausdrücklich vor. Allerdings wird in Art. 17 DSGVO ein Löschungsrecht normiert, aus dem in Verbindung mit Art. 79 DSGVO, der wirksame gerichtliche Rechtsbehelfe bei Verletzung der Datenschutzgrundverordnung garantiert, ein Unterlassungsanspruch hergeleitet werden kann (vgl. BGH, Urteil vom 12.10.2021, Az. VI ZR 489/19; BSG, Urteil vom 18.10.2018, Az. B 1 KR 31/17 R; dies gilt auch für einen Löschungsanspruch gegenüber der SCHUFA, vgl. OLG Karlsruhe, Urteil vom 23.02.2021, Az. 14 U 3/19).

Nach oben

j) Ersatz von Anwaltskosten

Betroffene können den Ersatz vorgerichtlicher Rechtsanwaltskosten verlangen (Art. 82 Abs. 1 DSGVO i.V.m. mit den zu § 249 Abs. 1 BGB entwickelten Grundsätzen). Das gilt jedenfalls bei unübersichtlicher Rechtslage, da die Inanspruchnahme eines Rechtsanwalts für den Betroffenen dann erforderlich und zweckmäßig ist. Dem Anspruch des Geschädigten auf Ersatz vorgerichtlicher Rechtsanwaltskosten ist im Verhältnis zum Schädiger grundsätzlich der Gegenstandswert zugrunde zu legen, der dem berechtigten Unterlassungs- und Schadensersatzanspruchs entspricht (vgl. OLG Frankfurt, Urteil vom 14.04.2022, Az. 3 U 21/20 mit Verweis auf: BGH, Urteil vom 12.12.2017, Az. VI ZR 611/16).

Beispiel für Streitwert: 1.000 Euro, bestehend aus 500 Euro Schadensersatz zuzüglich 500 Euro Unterlassung (OLG Frankfurt, Urteil vom 14.04.2022, Az. 3 U 21/20).

Nach oben

5. Auftragsverarbeitung

Wenn Sie die Datenverarbeitung (teilweise) an Dritte (sog. Auftragsverarbeiter) ausgegliedert haben, sind Sie gemäß Art. 28 Abs. 3 DSGVO verpflichtet, einen Vertrag (oder einen anderen Rechtsakt, z.B. eine Verpflichtung) mit dem Auftragsverarbeiter abzuschließen, der gewährleistet, dass der Auftragsverarbeiter nur im Rahmen Ihrer Weisungen handelt und die Daten rechtmäßig verarbeitet.

Ausführliche Informationen finden Sie bei der DSK.

☐ Falls Sie einen Auftragsverarbeiter beschäftigen: überprüfen Sie den bestehenden Auftragsverarbeitungsvertrag im Hinblick auf die Anforderungen des Art. 28 Abs. 3 DSGVO und schließen Sie gegebenenfalls einen neuen Auftragsverarbeitungsvertrag ab. Nutzen Sie hierzu die folgenden kostenlosen Muster.

Überblick: Beispiele für Auftragsverarbeitungen

• Verarbeitung von personenbezogenen Daten mit Hilfe von Cloud-Servern, auch wenn der Cloud-Betreiber keinen inhaltlichen Zugriff auf die Daten hat.
• Entsorgung von Datenträgern durch einen externen Dienstleister.
• Auslagerung von Backup-Kopien und Datenarchiven.
• Lettershop versendet Werbematerial mit Hilfe von Ihnen zur Verfügung gestellten Kundendaten.

Nach oben

6. Datentransfer

Weitere Besonderheiten gelten für Datenübermittlungen in Drittstaaten, also Länder, in denen die DSGVO nicht gilt. Überprüfen Sie diesbezüglich insbesondere die von Ihnen genutzten Cloudservices. Unproblematisch ist die Datenübermittlung, wenn die EU-Kommission das Datenschutzniveau in den entsprechenden Ländern für angemessen erachtet (Art. 45 Abs. 3 DSGVO).

Für Länder mit problematischer Datenschutzlage muss sichergestellt werden, dass der Empfänger im Drittland geeignete Garantien zur Einhaltung der Datenschutzregeln vorgesehen hat (Art. 46 DSGVO). Ist dies nicht der Fall, dürfen die Daten nur in den Ausnahmefällen des Art. 49 DSGVO (insbesondere: Einwilligung der betroffenen Person) übermittelt werden.

Der Europäische Gerichtshof (EuGH) hat im Juli 2020 überraschend das für die Übermittlung von personenbezogenen Daten zwischen der EU und den USA geschlossene Abkommen Privacy Shield für ungültig erklärt.

• Weitere Informationen zum Verfahren und den Anforderungen.

☐ Überprüfen Sie (sofern einschlägig) die Rechtmäßigkeit von Datenübermittlungen in Drittländer und treffen Sie gegebenenfalls erforderliche Maßnahmen.

Nach oben

7. Datensicherheit

Vom Datenschutz im engeren Sinne zu unterscheiden ist die Datensicherheit. Bei der Datensicherheit geht es nicht mehr darum, welche Daten von wem wie verarbeitet werden dürfen, sondern wie die Daten beim Verantwortlichen vor dem unbefugten Zugriff durch Dritter oder dem Verlust und der Veränderung aufgrund technischer Pannen geschützt werden.

Art. 32 DSGVO fordert, dass der Verantwortliche „geeignete technische und organisatorische Maßnahmen“ muss, um ein angemessenes Schutzniveau zu gewährleisten. Wie hoch das Schutzniveau sein muss, bestimmt sich gemäß Art. 32 Abs. 2 DSGVO danach, wie hoch die Risiken der Datenverarbeitung sind, also welche Folgen drohen, wenn die Daten verloren gehen oder unbefugt von Dritten ausgelesen werden.

Nach oben

a) Technische und organisatorische Maßnahmen

Art. 32 HS. 2 DSGVO nennt eine Reihe von technischen und organisatorischen Maßnahmen, die ergriffen werden können:

• Pseudonymisierung und Verschlüsselung von Daten (lit. a)
• Sicherstellung der Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der verwendeten Systeme (lit. b)
• Wiederherstellbarkeit der Verfügbarkeit von Daten nach einem Zwischenfall (lit. c)
• Verfahren zur regelmäßigen Überprüfung und Bewertung der Maßnahmen (lit. d)

Diese Begriffe sind mit Ausnahme der Pseudonymisierung von Daten unkonkret. Weil die Anforderungen an die Datensicherheit je nach Art und Umfang der Datenverarbeitung höher oder geringer sind, muss das Datensicherheitssystem letztlich immer im Einzelfall ausgerichtet werden.

Entscheidend ist, dass die Daten unter Berücksichtigung des Stands der Technik grundsätzlich vor Hackerangriffen und ähnlichen Zwischenfällen geschützt sind. Als Mindestmaß sollte jedes Unternehmen den Zugang zu personenbezogenen Daten mit personalisierten Passwörtern schützen, ein Virenprogramm und eine Firewall auf seinen Computern installiert haben sowie seine Kommunikation verschlüsseln.

Überblick: Auswahl technischer & organisatorischer Maßnahmen

I. Bewertung des Risikos

Ausgangspunkt ist die Einstufung des Risikos einer Datenverletzung. Hierzu sind zwei Fragen entscheidend:

1. Wie schwer würde eine Datenverletzung die betroffene Person in ihren Rechten und Freiheiten betreffen? Hier geht es um die Bewertung der Bedeutung der Daten. Je wichtiger (= persönlicher/sensibler) diese sind, desto schwerer trifft auch eine Datenverletzung die betroffene Person.
2. Wie hoch ist die Wahrscheinlichkeit, dass eine Datenverletzung eintritt? Hier sind nicht die Daten, sondern die Art der Verarbeitung entscheidend. Sie müssen feststellen, wie gefährlich die von Ihnen gewählte Datenverarbeitung ist, also wie häufig bei der gewählten Verarbeitungsart Datenpannen auftreten. Beispielsweise ist eine Datenverletzung viel wahrscheinlicher, wenn Daten per E-Mail an Dritte übermittelt werden, als wenn sie nur lokal auf einem Rechner in einer Excel-Tabelle gespeichert werden.

II. Auswahl der Maßnahmen

Je nachdem, wie hoch Sie das Risiko einer Datenverletzung eingestuft haben, müssen Sie entsprechend viele und starke Maßnahmen treffen. In Betracht kommen beispielsweise folgende Maßnahmen:

• Pseudonymisierung: Das bedeutet, dass personenbezogene Daten der unmittelbare Personenbezug genommen wird, indem sie nicht mehr mit dem Namen der Person verbunden gespeichert werden, sondern stattdessen mit einem Platzhalter (=Pseudonym). Beispiele sind die Vergabe von Nutzernamen oder Nutzer-IDs.
• Verschlüsselung: Hier geht es darum, den Zugriff zu Daten zu erschweren, indem die Daten die meiste Zeit verschlüsselt (und somit nicht für jeden einsehbar) verarbeitet werden. Anwendungsbeispiele sind eine Verschlüsselung von E-Mails oder auch die Anforderung eines Passworts zur Einsehbarkeit der Daten auf einem lokalen Computer, im Zusammenhang mit Art. 25 DSGVO (und § 13 Abs. 7 TMG) auch die SSL-Verschlüsselung von Websites mit Kontaktformular.
• Maßnahmen zur Sicherstellung der Vertraulichkeit: Hier geht es darum, dass der Personenkreis, der Zugriff auf die Daten hat, eingeschränkt wird. Technisch geht dies bspw. durch Verschlüsselung der Daten, aber auch die Erschwerung des physischen Zugriffs auf Daten (z.B. Aufbewahrung in einem besonders gesicherten Raum). Organisatorisch kann vor allem gewährleistet werden, dass nur wenige bestimmte Personen die Rechte für einen Datenzugriff haben. Auch kann bspw. die Datenübermittlung auf bestimmte sichere Kommunikationskanäle beschränkt werden.
• Maßnahmen zur Sicherstellung der Integrität: Die Integrität von Systemen kann z.B. durch Einschränkung von Schreib- und Änderungsrechten und den Einsatz von elektronischen Siegeln und Signaturen gewährleistet werden.
• Maßnahmen zur Sicherstellung der Verfügbarkeit: Verfügbarkeit von Daten bezieht sich insbesondere auf den Verlust von Daten durch technische Pannen. Hier kann ein Backup, z.B. in einer gesicherten Cloud, die Verfügbarkeit der Daten sichern.
• Maßnahmen zur Sicherstellung der Belastbarkeit: Die Belastbarkeit der Systeme kann z.B. durch regelmäßige Sicherheitschecks gewährleistet werden.

Wählen Sie je nach Risiko der Datenverarbeitung mehrere Maßnahmen aus und setzen Sie diese um. Hierbei dürfen Sie nach der DSGVO auch die Kosten und die Leistungsfähigkeit Ihres Unternehmens berücksichtigen.

Nach oben

b) Reaktionsmechanismen bei Datenverletzungen: Meldepflicht

Sollte es trotz der getroffenen Maßnahmen zu einer Datenpanne kommen, sind Sie verpflichtet, diese Panne binnen 72 Stunden der zuständige Aufsichtsbehörde und unter Umständen auch der betroffenen Person zu melden (Art. 33, 34 DSGVO). Wann die Meldefrist zu laufen beginnt, beurteilen die Landesbeauftragten für Datenschutz und Informationssicherheit (LfDIs) unterschiedlich.

Voraussetzungen der Meldepflicht: Sie müssen melden, wenn eine Verletzung des Schutzes personenbezogener Daten eingetreten ist. Wann dies der Fall ist, regelt § 4 Nr. 12 DSGVO. Es bedarf eines Sicherheitsdefizits, das egal ob rechtswidrig oder unbeabsichtigt entweder:

• zur Vernichtung
• zum Verlust
• zur Veränderung
• zur unbefugten Offenlegung oder
• zum unbefugten Zugang

von/zu personenbezogenen Daten führt. Eine Ausnahme von der Meldepflicht besteht, wenn die Datenschutzverletzung voraussichtlich zu keinem Risiko für Rechte und Freiheiten der betroffenen Person führt. Hier müssen sie selbst eine Prognose über die Auswirkungen der Datenpanne anstellen.

Beispiel für eine wahrscheinlich risikolose Datenverletzung: Ein Unternehmen betreibt einen E-Mailverteiler mit zehn Kunden für ein anstehendes Projekt. Die Empfänger können jeweils auch die anderen Adressaten des Verteilers einsehen. Da dafür keine Einwilligung und auch sonst kein Rechtfertigungsgrund vorliegt, handelt es sich jeweils um eine unbefugte Offenlegung der E-Mailadresse gegenüber den anderen Kunden. Es gehen aber aller Voraussicht nach keine Risiken für die Kunden von dieser Datenverletzung aus, so dass keine Meldung an die Aufsichtsbehörden erfolgen muss.

Adressat der Meldung: In jedem Fall sind Datenverletzungen an die Aufsichtsbehörde zu melden (Art. 33 DSGVO). Hat die Datenschutzverletzung auch ein hohes Risiko für die betroffene Person zur Folge, so ist auch diese zu benachrichtigen (Art. 34 DSGVO), es sei denn, dass einer der Ausschlussgründe des Art. 34 Abs. 3 DSGVO vorliegt.

Inhalt der Meldung: Die Meldung muss gemäß Art. 33 Abs. 3, 34 Abs. 2 DSGVO enthalten:

• Beschreibung der Datenpanne (für die betroffenen Person in einfacher Sprache),
• Namen und Kontaktdaten des Datenschutzbeauftragten oder einer anderen Anlaufstelle,
• Beschreibung der wahrscheinlichen Folgen des Zwischenfalls
• Beschreibung der von Ihnen ergriffenen Maßnahmen zur Behebung der Datenverletzung

Meldefrist: Die Meldung an die Behörde muss innerhalb von 72 Stunden, nachdem Ihnen die Verletzung bekannt geworden ist, an die Aufsichtsbehörde gemeldet werden. Halten Sie diese Frist nicht ein, müssen Sie dies begründen (Art. 33 Abs. 1 DSGVO).

Überblick: Meldepflicht

• erforderlich bei Datenverletzung (Hackerangriffen oder Datenverlusten bei Systemstörungen), außer es besteht kein Risiko für die betroffene Person.
• zu richten an zuständige Aufsichtsbehörde (Landesdatenschutzbeauftragte/r); ggf. auch an betroffene Person.
• innerhalb von 72 Stunden.

☐ Stellen Sie sicher, dass Sie bei einer Verletzungen der Datensicherheit die Meldepflichten beachten, z.B. durch Zuweisung der Aufgabe oder Vermerk in einem internen Leitfaden.

Nach oben

8. Dokumentation (Datenschutzkonzept)

Art. 5 Abs. 2 DSGVO regelt eine Rechenschaftspflicht für den Verantwortlichen. Danach müssen Sie in der Lage sein, nachzuweisen, dass Sie die Grundsätze der Datenverarbeitung einhalten. Weil sich diese Grundsätze in allen konkreten Normen der DSGVO wiederfinden, wird ein Verstoß gegen eine DSGVO-Vorschrift immer auch einen Verstoß gegen einen Grundsatz nach Art. 5 DSGVO beinhalten. Im Umkehrschluss müssen Sie also nachweisen können, dass Sie sich an die DSGVO halten. Dies wird konkretisiert durch Art. 24 Abs. 1 DSGVO. Danach sind Sie als Verantwortlicher verpflichtet, geeignete technische und organisatorische Maßnahmen zu treffen, um den Nachweis erbringen zu können, dass Sie die DSGVO umsetzen.

a) Dokumentieren Sie alle relevanten Maßnahmen

Den Nachweispflichten der DSGVO können Sie nur durch eine umfassende Dokumentation aller getroffenen Maßnahmen auf dem Gebiet des Datenschutzes nachkommen. Halten Sie deshalb genau fest, wie Sie diese Checkliste umsetzen.

b) Datenverarbeitungsverzeichnis

Eine besondere Form der Dokumentationspflicht ist das Datenverarbeitungsverzeichnis nach Art. 30 DSGVO. Hier müssen Sie alle Datenverarbeitungen in einer bestimmten (in Art. 30 DSGVO näher geschilderten) Weise festhalten. Dankenswerterweise stellen die deutschen Datenschutzbehörden hierzu eine offizielle Mustervorlage zur Verfügung.

Zwar gibt es in Art. 30 Abs. 5 DSGVO grundsätzlich auch Ausnahmen. Diese sind allerdings so vage gehalten, dass wir dringend empfehlen, in jedem Fall ein Datenverarbeitungsverzeichnis anzulegen. Das Datenverarbeitungsverzeichnis hilft Ihnen zum einen, der generellen Dokumentationspflicht nachzukommen, zum anderen wird es Ihnen nach Durchführung von Punkt 1 der Checkliste keinen nennenswerten Aufwand mehr bereiten.

Überblick: Musteraufbau eines Datenverarbeitungsverzeichnisses

I. Vorblatt mit allgemeinen Angaben

1. Angaben zum verantwortlichen Unternehmen: Kontaktdaten, Vertreter, ggf. Registergericht und Nummer
2. Kontaktdaten des Datenschutzbeauftragten
3. allgemein getroffene technische und organisatorische Maßnahmen zur Datensicherheit

II. Verarbeitungstätigkeit 1 (z.B. Lohnabrechnung)

1. ggf. verantwortliche Abteilung und Ansprechpartner,
2. Zwecke der Verarbeitung (z.B. Durchführung des Arbeitsvertrags, § 26 Abs. 1 S. 1 BDSG),
3. Beschreibung der Kategorien betroffener Personen (z.B. Beschäftigte),
4. Beschreibung der Kategorien von personenbezogenen Daten (z.B. Name, Tätigkeit, Beschäftigungsverhältnis, Personalnummer, Vertragsnummer, Kontodaten, Gehalt),
5. Kategorien von Empfängern, ggü. denen die Daten offengelegt worden sind oder noch werden (z.B. Bank, Sozialversicherung, Finanzamt) und Nennung der konkreten Empfänger (z.B. Sparda-Bank Mainz, Finanzamt Mainz-Mitte),
6. Fristen für die Löschung der verschiedenen Datenkategorien (z.B. 10 Jahre),
7. ggf. Technische und organisatorische Maßnahmen (Verweis auf allgemein getroffene technische und organisatorische Maßnahmen).

III. Verarbeitungstätigkeit 2 (z.B. Vertragsdatenmanagement)

→ wie II.

Diese Informationen lassen sich gut in die Mustervorlage der deutschen Datenschutzbehörden einbauen.

c) Optional: Zusammenfassung der Dokumentationen als Datenschutzkonzept

Wenn Sie alle wesentlichen Vorgänge dokumentiert haben, kann es sich lohnen, dies zu einem umfassenden Datenschutzkonzept ihres Unternehmens zusammenzufassen. Ein Datenschutzkonzept ist nicht verpflichtend, bündelt aber zum einen Ihre Dokumentationen an einem Ort und kann zum anderen positiv auf die Außenwirkung Ihres Unternehmens einzahlen.

d) Besondere Dokumentationspflichten

Über die vorstehenden Punkte hinaus regelt die DSGVO eine Vielzahl an spezielleren Dokumentations- und Nachweispflichten, zum Beispiel die Dokumentation von Datenpannen (Art. 33 Abs. 5 DSGVO), die Dokumentation von Weisungen im Rahmen der Auftragsverarbeitung (Art. 28 Abs. 3 lit. a DSGVO) oder die Pflicht zum Nachweis der Einwilligung der betroffenen Person (Art. 7 Abs. 1 DSGVO).

Wenn Sie wie von uns empfohlen ohnehin alle wesentlichen Schritte dokumentieren, müssen Sie aber diesbezüglich keine weiteren Maßnahmen treffen.

☐ Halten Sie alle Schritte zur Einhaltung der DSGVO auf eine Weise fest, dass Sie deren Umsetzung nachweisen können.

Lassen Sie sich beispielsweise Schulungen von Mitarbeitern schriftlich bestätigen, holen Sie Einwilligungen nur schriftlich ein, dokumentieren Sie die Bearbeitung von Anträgen betroffener Personen (z.B. durch Abspeichern des E-Mail-Verkehrs) und lassen Sie sich den Erhalt von Informationsschreiben (nach Art. 13, 14 DSGVO) bestätigen.

☐ Legen Sie ein Datenverarbeitungsverzeichnis an und aktualisieren Sie es regelmäßig. Nutzen Sie hierzu folgende Vorlage der deutschen Aufsichtsbehörden.

☐ Optional: Fassen Sie alle dokumentierten Schritte zu einem Datenschutzkonzept zusammen. Nutzen Sie dafür eine Vorlage.

Nach oben

9. Schulung und Verpflichtung von Beschäftigten

Gemäß Art. 29, 32 Abs. 4 DSGVO sind Sie als Verantwortlicher für die Einhaltung des Datenschutzes durch Ihre Beschäftigte verantwortlich. Die Datenschutzaufsichtsbehörden empfehlen hier insbesondere eine Verpflichtung Ihrer Mitarbeiter auf die Einhaltung der Regeln des Datenschutzes. Dem sollte eine zumindest kurze Schulung vorangehen, um den richtigen Umgang auch tatsächlich zu gewährleisten.

☐ Schulen Sie Ihre Beschäftigten in den wesentlichsten Prinzipien des Datenschutzes. Orientierung kann folgende Vorlage bieten.

☐ Verpflichten Sie Ihre Beschäftigten auf die Einhaltung des Datenschutzes. Nutzen Sie dafür die Vorlage der Deutschen Datenschutzkonferenz.

10. Bußgelder bei DSGVO-Verstößen

Die Landesbeauftragten der Datenschutzbehörden können bei DSGVO-Verstößen Bußgelder verhängen. Über die Höhe des jeweiligen Bußgelds wird einzelfallabhängig entschieden. Ziel ist nach Art. 83 Abs. 1 DSGVO, dass das Bußgeld wirksam, verhältnismäßig und abschreckend ist. Art. 83 Abs. 2 DSGVO nennt die Kriterien, nach denen die Höhe der Geldbuße festzulegen ist, unter anderem Art, Schwere und Dauer des Verstoßes, vorsätzliche oder fahrlässige Begehung, aber beispielsweise auch, ob und welche technischen und organisatorischen Maßnahmen (TOM) vom Verantwortlichen umgesetzt worden waren.

Der Bußgeldrahmen der DSGVO ist drastisch. Bei Verstößen gegen die in Art. 83 Abs. 4 DSGVO genannten Regelungen können Geldbußen von bis zu 10.000.000 Euro oder im Fall eines Unternehmens von bis zu 2 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt werden, je nachdem, welcher der Beträge höher ist. Bei Verstößen gegen die in Art. 83 Abs. 5 DSGVO genannten Regelungen können sogar Geldbußen von bis zu 20.000.000 Euro oder im Fall eines Unternehmens von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt, je nachdem, welcher der Beträge höher ist.

Ein konkretes, allerdings nicht mit anderen EU-Datenschutzbehörden abgestimmtes Konzept zur Bußgeldzumessung in Verfahren gegen Unternehmen wurde von der Datenschutzkonferenz (DSK) veröffentlicht (siehe auch die Pressemitteilung der DSK). Das Konzept besteht im Kern aus fünf Schritten:

1. Schritt: Zuordnung des betroffenen Unternehmens zu einer Größenklasse,
2. Schritt: Bestimmung des mittleren Jahresumsatzes der jeweiligen Untergruppe der Größenklasse,
3. Schritt: Ermittlung eines wirtschaftlicher Grundwerts,
4. Schritt: Multiplikation des Grundwerts mit einem von der Schwere der Tatumstände abhängigen Faktor,
5. Schritt: Anpassung des in Schritt 4. ermittelten Werts anhand täterbezogener und sonstiger noch nicht berücksichtigter Umstände.

Hinweis: Dieser Beitrag wurde unter Mitwirkung unseres wissenschaftlichen Mitarbeiters Felix Wichert erstellt.

Nach oben