In unserem ausführlichen DSGVO-Guide geben wir Unternehmen praktische Hilfsmittel für die Umsetzung des Datenschutzrechts an die Hand. Neben vielen Tipps finden Sie bei uns auch Links zu Generatoren, Mustervorlagen und vertiefenden Artikeln. Rechtsanwalt Niklas Plutte Rechtsanwalt Oliver Wolf, LL.M. Hinweis: Unsere DSGVO Checkliste geht von einem Unternehmen aus, in dem noch keine Datenschutzvorgaben umgesetzt wurden. Sie eignet sich aber ebenso gut zur Kontrolle und ggf. Ergänzung bereits umgesetzter Datenschutzkonzepte. Dieser Beitrag wurde nach bestem Wissen und Gewissen so zusammengestellt, dass Sie bei Umsetzung unserer Empfehlungen auf der sicheren Seite sind. Die Datenschutzgrundverordnung ist allerdings noch jung. Bei manchen Vorschriften ist unklar, wie sie zu verstehen sind. Offene Fragen wird die Rechtsprechung erst nach und nach beantworten. Daher können wir nicht versprechen, dass unsere Empfehlungen zu 100%iger Datenschutzkonformität führen. Nutzen Sie bei Fragen unsere kostenlose Ersteinschätzung. I. Wichtige GrundbegriffeBevor Sie unsere Checkliste durcharbeiten, sollten Ihnen einige Grundbegriffe zum Datenschutzrecht bekannt sein, die wir nachfolgend kurz erläutern. 1. Personenbezogene DatenDie DSGVO dient dem Schutz personenbezogener Daten. Gemeint sind alle Informationen, die sich auf eine bestimmte oder identifizierbare natürliche Person beziehen (Art. 4 Nr. 1 DSGVO). Nach dieser Definition und der Rechtsprechung des EuGH ist der Begriff weit zu verstehen. Erfasst alle Informationen, die irgendwie einem bestimmten Menschen zugeordnet werden können, ggf. auch erst mithilfe Dritter. Der Begriff der personenbezogenen Daten ist nicht auf sensible oder private Informationen beschränkt, sondern umfasst potenziell alle Arten von Informationen sowohl objektiver als auch subjektiver Natur in Form von Stellungnahmen oder Beurteilungen unter der Voraussetzung, dass es sich um Informationen über die in Rede stehende Person handelt. Die letztgenannte Voraussetzung ist erfüllt, wenn die Information aufgrund ihres Inhalts, ihres Zwecks oder ihrer Auswirkungen mit einer bestimmten Person verknüpft ist (OLG München, Endurteil vom 04.10.2021, Az. 3 U 2906/20). Personenbezogene Daten sind neben äußeren Merkmalen wie zum Beispiel der Augenfarbe auch innere Zustände (z.B. Meinungen und Handlungsmotive) sowie Beziehungen zu Dritten und der Umwelt (z.B. Verträge, Chatverläufe). Diese Daten sind selbst dann personenbezogen, wenn sie im Internet nur einem Pseudonym (= Nutzernamen) zugeordnet werden können, weil mithilfe des Internetproviders die wirkliche Identität des Nutzers herausgefunden werden kann. Daher sind auch IP-Adressen als personenbezogene Daten einzustufen (vgl. Kühling/Buchner/Klar, DSGVO Kommentar, Art. 4 Nr. 1 Rn. 28). Weitere Beispiele:
Auch pseudonyme Informationen werden als personenbezogene Daten eingestuft werden, weil sie zwar nicht direkt, aber durch eine Transferleistung einer natürlichen Person zugeordnet werden können. Ausgenommen vom Anwendungsbereich der DSGVO sind anonyme Informationen, die keiner Person zugeordnet werden können. Die DSGVO unterscheidet grundsätzlich nicht nach Wert oder Art der Daten. Es gibt kein belangloses Datum (vgl. Kühling/Buchner/Klar, DSGVO Kommentar, Art. 4 Nr. 1 Rn. 9). Einzige Ausnahme, bei der es auf die Art des Datums ankommt, sind die besonderen Kategorien personenbezogener Daten nach Art. 9 und 10 DSGVO. Für deren Verarbeitung gelten schärfere Voraussetzungen. 2. Automatisierte VerarbeitungDie DSGVO ist zu beachten, wenn eine automatisierte Verarbeitung personenbezogener Daten stattfindet oder wenn solche Daten bei einer nichtautomatisierten Verarbeitung in Dateisystemen gespeichert werden oder gespeichert werden sollen (Art. 2 Abs. 1 DSGVO). Als Verarbeitung definiert Art. 4 Nr. 2 DSGVO
und nennt zahlreiche Beispiele, z.B. die Erhebung, Speicherung, Verwendung oder Übermittlung personenbezogener Daten. Weitere Beispiele aus der Rechtsprechung:
Eine Differenzierung zwischen den verschiedenen Arten der Datenverarbeitung ist für die Anwendbarkeit der DSGVO im Ergebnis nicht nötig. Automatisiert ist die Datenverarbeitung, wenn eine Datenverarbeitungsanlage zum Einsatz kommt, also insbesondere ein Computer oder sonstiges elektronisches Speichersystem. Für handschriftliche Notizen gilt die DSGVO dagegen nicht. Aber Vorsicht: werden handschriftliche Notizen in einem Akten- oder Archivsystem erfasst, gilt die DSGVO doch. Daneben gibt es einige prominente Streitfälle, die in der Rechtswissenschaft diskutiert werden (Beispiel: Anfertigen von Klingelschildern durch den Vermieter). Nach oben 3. Ausnahmen von der DSGVO-AnwendbarkeitAusgenommen von der DSGVO (aber für Firmen kaum relevant) sind nach dem in Art. 2 Abs. 2 c) DSGVO geregelten Haushaltsprivileg Datenverarbeitungen durch natürliche Personen zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten. Persönliche Tätigkeiten in diesem Sinne sind Tätigkeiten, die der eigenen Selbstentfaltung und Freiheitsausübung in der Freizeit oder im privaten Raum – also zu persönlichen Zwecken – dienen und auf einen abgegrenzten Privatbereich des Verarbeiters beschränkt sind. Sobald der Datenumgang im Rahmen einer wirtschaftlichen oder geschäftlichen Tätigkeit erfolgt, ist Art. 2 Abs. 2 c) DSGVO nicht mehr anwendbar. Der Wortlaut der Norm ist nämlich sehr eng, indem er eine Verwendung „ausschließlich“ zu privaten oder familiären Zwecken verlangt und damit bereits eine gemischte Datensammlung von privaten als auch geschäftlichen Kontakte ausschließt (vgl. LG Frankfurt, Urteil vom 01.11.2021, Az. 2-01 S 191/20). Besonderheiten gelten auch für die Presse. Wegen Art. 85 DSGVO bestehen für Presseunternehmen und deren Hilfsunternehmen über die Landespressegesetze bzw. Landesdatenschutzgesetze bei der Erhebung und Verarbeitung von personenbezogenen Daten kaum Datenschutzvorgaben (sog. „Medienprivileg„, vgl. BGH, Urteil vom 15.02.2022, Az. VI ZR 692/20 mit Bezug auf Art. 38 BayDSG). In Bezug auf das Recht am eigenen Bild haben wir eigenständige FAQ zur Rechtslage unter Geltung der DSGVO bzw. dem KUG verfasst. Abgesehen von den beschriebenen Ausnahmen fällt für Unternehmen praktisch jeder Umgang mit personenbezogenen Daten unter die DSGVO. Wer auf der sicheren Seite sein möchte, sollte im Zweifel stets von einer Anwendbarkeit der DSGVO ausgehen. Nach oben 4. Beteiligte am DatenverarbeitungsprozessDer Begriff der „personenbezogene Daten“ beinhaltet, dass eine Person existieren muss, der die Daten zuzuordnen sind. Diese Person wird von der DSGVO betroffene Person genannt. Auf der „Gegenseite“ gibt es wiederum immer jemand, der die Verarbeitung der personenbezogenen Daten durchführt oder deren Verarbeitung zumindest in Auftrag gegeben hat. Dies ist der Verantwortliche, der alleine oder gemeinsam mit anderen Verantwortlichen über die Zwecke und Mittel der Verarbeitung entscheidet (Art. 4 Nr. 7 DSGVO). An ihn richten sich die meisten Vorschriften der DSGVO, die bei der Datenverarbeitung beachtet werden müssen. Der Geschäftsführer einer GmbH ist neben der Gesellschaft „Verantwortlicher“ im Sinne der DSVGO (OLG Dresden, Urteil vom 30.11.2021, Az. 4 U 1158/21). Der Verantwortliche muss die Datenverarbeitung nicht unbedingt selbst ausführen, sondern kann einen Auftragsverarbeiter damit beauftragen(Art. 4 Nr. 8 DSGVO). Auch der Auftragsverarbeiter unterliegt weitreichenden Verpflichtungen der DSGVO, oftmals denselben wie der Verantwortliche. Das entscheidende Abgrenzungsmerkmal des Auftragsverarbeiters ist, dass er den Weisungen des Verantwortlichen unterliegt, also selbst nicht über die Datenverarbeitung entscheidet, sondern diese nur für den Verantwortlichen durchführt (vgl. Kühling/Buchner/Hartung, DSGVO Kommentar, Art. 4 Nr. 8 Rn. 7). Unternehmen treten gegenüber ihren Kunden in aller Regel als Verantwortliche auf. Dieser Artikel beleuchtet daher die Pflichten von Unternehmen als Verantwortlichen für die Verarbeitung von personenbezogenen Daten ihrer Kunden, Arbeitnehmer und sonstigen Dritten. Überblick: Die DSGVO gilt
Nach oben II. DSGVO-Checkliste für UnternehmenIm Folgenden finden Sie eine Checkliste der umsetzungsbedürftigen DSGVO-Anforderungen, jeweils mit einer kurzen Erläuterung der Anforderung und konkreten Handlungshinweisen. Für weitergehende Informationen zu den einzelnen Themen verweisen wir auf vertiefende Artikel, Links zu Generatoren und Mustervorlagen, die Ihnen die Umsetzung erleichtern werden. Eine wesentliche Neuerung der DSGVO ist die umfassende Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO. Unterstellt die Datenschutzaufsichtsbehörde einem Unternehmen Datenschutzverstöße, muss das Unternehmen nachweisen, dass es die betroffenen personenbezogenen Daten rechtskonform verarbeitet und nicht umgekehrt (siehe auch Punkt 8 unserer Checkliste). Dokumentieren Sie daher die Umsetzung unserer Checkliste. Nach oben 1. Rechtmäßige DatenverarbeitungDer erste Schritt hin zu einem datenschutzkonformen Unternehmen ist es, sicherzustellen, dass alle Datenverarbeitungsvorgänge im Unternehmen rechtmäßig durchgeführt werden. Dies lässt sich systematisch in fünf Schritten gewährleisten. a) Erfassen aller DatenverarbeitungsvorgängeAusgangspunkt ist die Frage, wo in Ihrem Unternehmen DSGVO-relevante Daten verarbeitet werden. Ein Datenschutzverarbeitungsvorgang ist im Ergebnis jeder Umgang mit personenbezogenen Daten. Verschaffen Sie sich daher zu Beginn einen Überblick über die verschiedenen Verarbeitungstätigkeiten in Ihrem Unternehmen. Als Unternehmer werden Sie vor allem Daten von zwei verschiedenen Personengruppen verarbeiten:
Naturgemäß gibt es je nach Unternehmen und Geschäftsfeld unzählige denkbare Verarbeitungsmöglichkeiten. Beachten Sie insbesondere, dass ein einheitlicher Lebensvorgang oft mehrere Datenverarbeitungsvorgänge enthält. Geben Sie beispielsweise die von einem Kunden diktierten Kontaktdaten in einen Computer ein, liegt gleichzeitig eine Erhebung und Speicherung der Daten vor. Überblick: Beispiele für typische Verarbeitungstätigkeiten in UnternehmenKunden/Geschäftspartner:
Beschäftigte
☐ Notieren Sie in einem Verarbeitungsverzeichnis alle Datenverarbeitungsvorgänge, die in Ihrem Unternehmen stattfinden. Benennen Sie, welche personenbezogenen Daten verarbeitet werden und wie diese Daten verarbeitet werden. Nach oben b) Rechtsgrundlagen festlegenWenn Sie einen Überblick über alle Datenverarbeitungsvorgänge in Ihrem Unternehmen gewonnen haben, müssen Sie festlegen, auf welcher Rechtsgrundlage die Datenverarbeitung erfolgt. Dabei gelten für die Daten von Beschäftigten andere Grundsätze als für die Daten sonstiger Personen. Daten von BeschäftigtenDie Verarbeitung von Beschäftigtendaten des eigenen Unternehmens richtet sich vorrangig nach § 26 BDSG und in erster Linie nicht nach der DSGVO. Das liegt daran, dass der europäische Gesetzgeber die Regelung dieses Gebiets weitgehend den Mitgliedstaaten überlassen hat (Art. 88 DSGVO). Die Verarbeitung von personenbezogenen Daten der Beschäftigten ist insbesondere in drei Fällen zulässig:
Sonstige Daten, insbesondere von KundenDie Verarbeitung von allen anderen Daten ist in der DSGVO geregelt. Nach der DSGVO ist die Verarbeitung von personenbezogenen Daten grundsätzlich untersagt, es sei denn, dass ein Erlaubnistatbestand eingreift (sog. Verbotsprinzip). Die allgemeinen Erlaubnistatbestände sind in Art. 6 DSGVO geregelt. Eine Datenverarbeitung ist nur rechtmäßig, wenn mindestens ein Erlaubnistatbestand aus Art. 6 DSGVO einschlägig ist. Für die Datenverarbeitung im Unternehmen sind vor allem folgende Erlaubnistatbestände relevant:
Tipp: Die Einwilligung wird traditionell als Allheilmittel des Datenschutzrechts angesehen. Abgesehen davon, dass für die Erteilung der Einwilligung strenge Anforderungen gelten, kann das Einholen einer Einwilligung sogar rechtswidrig sein, wenn sie für den konkreten Verarbeitungsvorgang nicht erforderlich ist. Weiterer Nachteil einer Einwilligung ist, dass sie jederzeit widerrufen werden kann. Daher empfiehlt es sich, die Datenverarbeitung nach Möglichkeit auf einen anderen gesetzlichen Erlaubnistatbestand zu stützen und nur als letztes Mittel auf Einwilligungen zurückzugreifen. Je nach Art der verarbeiteten Daten („Was“ wird verarbeitet?) oder der Art der Datenverarbeitung („Wie“ wird verarbeitet?) müssen zusätzliche oder schärfere Voraussetzungen erfüllt werden:
Überblick und Beispiele: Rechtsgrundlage für Datenverarbeitungvon Beschäftigten:
sonstige Daten, insbesondere Kunden und Geschäftspartner:
spezielle zusätzliche Regelungen:
☐ Legen Sie die Rechtsgrundlagen für alle Verarbeitungen von personenbezogenen Daten Ihres Unternehmens fest. Prüfen Sie dazu, ob der Zweck der Datenverarbeitung von einem der Erlaubnistatbestände erfasst wird und ob ggf. zusätzliche Voraussetzungen erfüllt werden müssen. Nach oben c) Einwilligungen kontrollieren und wenn nötig neu einholenFalls Ihnen bei der Prüfung eine oder mehrere Datenverarbeitungen aufgefallen sind, die entweder durch keinen Erlaubnistatbestand gedeckt sind oder auf eine Einwilligung gestützt werden, ist Vorsicht geboten. Prüfen Sie zunächst, ob bestehende alte Einwilligungen die Voraussetzungen der DSGVO erfüllen. Wenn dies nicht der Fall ist, müssen Sie die Einwilligungen neu einholen. Hinweis: Eine Neueinholung von Einwilligungen stellt nicht die erste, sondern letzte Option dar und sollte nach Möglichkeit vermieden werden. Prüfen Sie insbesondere, ob die betroffene Datenverarbeitung auf ein berechtigtes Interesse nach Art. 6 Abs. 1 f) DSGVO gestützt werden kann. Die Anforderungen an eine wirksame Einwilligung lauten:
Überblick: Checkliste für eine wirksame EinwilligungI. Einwilligungsfähigkeit: Person mindestens 16 Jahre, sonst Einwilligung der Eltern erforderlich II. Freiwilligkeit: wirkliche Wahlmöglichkeit, keine materiellen oder auch sozialen Nachteile bei Nichtabgabe, keine Kopplung mit vertraglicher Leistung III. Informiertheit: Einwilligender kennt Zweck und Verantwortlichen der Datenverarbeitung IV. Bestimmtheit: keine „Blanko-Einwilligung“, sondern bestimmter Vorgang V. Form: grundsätzlich keine Vorgaben, aus Nachweiszwecken aber Schriftform zu empfehlen VI. Widerrufsbelehrung ☐ Kontrollieren Sie Einwilligungen, die auf Basis des BDSG eingeholt wurden, auf Ihre DSGVO-Konformität. Holen Sie falls nötig neue Einwilligungen ein bzw. prüfen Sie, ob ein alternativer Erlaubnistatbestand des Art. 4 DSGVO eingreift. Tipp: Nutzen Sie hierzu die folgende Mustervorlage (rot = individuell auszufüllen): Hiermit willige ich, (Name), ein, dass meine folgenden personenbezogenen Daten:
in folgender Weise durch (Verantwortlicher) verarbeitet werden:
Die Datenverarbeitung erfolgt zu folgenden Zwecken:
Es besteht dabei die Gefahr, dass (ggf. besondere Risiken der Datenverarbeitung, z.B. bei Veröffentlichung). Ich habe die Einwilligung freiwillig abgegeben und kann sie jederzeit mit Wirkung für die Zukunft widerrufen. Ab diesem Zeitpunkt dürfen meine Daten nicht mehr verarbeitet werden und müssen unverzüglich gelöscht werden. Die Rechtmäßigkeit der bis dahin erfolgten Verarbeitung bleibt unberührt. Ich kann meine Widerrufserklärung auf dem gleichen Wege an (Verantwortlicher) richten, auf dem ich diese Einwilligung erteile. (Unterschrift, Ort und Datum) d) Datenschutzfreundliche Technikgestaltung & Voreinstellungen, DatenminimierungDie DSGVO verpflichtet Unternehmen, ihre Strukturen so datenschutzfreundlich wie möglich zu organisieren. Dies äußert sich in zwei Anforderungen:
Eine Erläuterung mit Beispielen zur datenschutzfreundlichen Technikgestaltung finden Sie hier. Viele Beispiele zur Praktizierung des Prinzips der Datenminimierung bietet dieser Artikel. ☐ Kontrollieren Sie (sofern vorhanden) von Ihnen betriebene oder bereitgestellte IT-Systeme. Gestalten Sie diese so datenschutzfreundlich wie möglich, insbesondere indem Sie datenschutzfreundliche Voreinstellungen auswählen. ☐ Kontrollieren Sie von Ihnen gespeicherte personenbezogene Daten. Löschen Sie alle Daten, die Sie nicht mehr benötigen. ☐ Kontrollieren Sie Ihre Formulare. Erheben Sie nur die Daten, die Sie wirklich benötigen. e) DatenschutzfolgeabschätzungenEine spezielle Pflicht regelt Art. 35 DSGVO: Bei besonders risikoreichen Datenverarbeitungen ist eine sog. Datenschutzfolgenabschätzung durchzuführen. Eine besonders risikoreiche Datenverarbeitung liegt insbesondere dann vor, wenn:
Die deutsche Datenschutzkonferenz, das Gremium, in dem sich alle Datenschutzbehörden abstimmen, hat eine Liste veröffentlicht mit den Verarbeitungstätigkeiten, bei denen in jedem Fall eine Datenschutzfolgenabschätzung durchzuführen ist. Die DSK weist darauf hin, dass die Liste nicht vollständig ist. Es handelt sich aber zumindest um eine hilfreiche Richtlinie. Kommen Sie bei der Datenschutzfolgenabschätzung zu dem Ergebnis, dass ein hohes Risiko besteht, sind Sie gem. Art. 36 Abs. 1 DSGVO verpflichtet, die Aufsichtsbehörde (= Landesbeauftragter für Datenschutz) zu konsultieren. Ausführliche Anleitungen zur Vorgehensweise bei Datenschutzfolgenabschätzungen finden Sie hier. ☐ Führen Sie für Datenverarbeitungen, bei denen es erforderlich ist, eine Datenschutzfolgenabschätzung durch. Überblick: Musteraufbau einer DatenschutzfolgenabschätzungI. Systematische Beschreibung der besonders risikoreichen Datenverarbeitung
II. Risikobewertung
III. Erforderlichkeit der Datenverarbeitung Ist die Verarbeitung angesichts ihres Zwecks und der bestehenden Risiken notwendig und verhältnismäßig? IV. Abhilfemaßnahmen Welche Maßnahmen werden getroffen, um die Risiken zu bewältigen? Hier sollten technische und organisatorische Maßnahmen genannt werden. Nach oben 2. Informationspflichten: Datenschutzerklärungen/DatenschutzhinweiseEin Merkmal der DSGVO sind die weitreichenden Informationspflichten, die den Verantwortlichen treffen. Nach Art. 13 und 14 DSGVO müssen bei der Erhebung von Daten die betroffenen Personen über einen Katalog von zwölf verschiedenen Informationen informiert werden. Das gilt grundsätzlich sogar dann, wenn die Daten gar nicht bei der betroffenen Person selbst erhoben werden, sondern von einem Dritten stammen. Hier kann gem. Art. 14 Abs. 4 DSGVO die Informationspflicht ausnahmsweise entfallen, wenn die betroffenen Person die Informationen bereits hat oder die Umsetzung der Informationspflicht nicht zumutbar ist. Der Zeitpunkt, zu dem die Informationspflicht umgesetzt werden muss, unterscheidet sich danach, wo die personenbezogenen Daten erhoben werden:
In der Praxis kann ein Großteil der Informationspflichten durch drei standardmäßige Formulare erfüllt werden:
Hinweis: Die Informationspflichten nach Art. 13 und 14 DSGVO sind grundsätzlich im Sinne des Gebots der leichten Zugänglichkeit (Art. 12 Abs. 1 S. 1 DSGVO) ohne Medienbruch zugänglich zu machen (vgl. Kühling/Buchner/Bäcker, DSGVO Kommentar, Art. 13 Rn. 58). Wenn also Daten schriftlich (= analog) erhoben werden, sollte auch die Information der betroffenen Person auf analogem Wege erfolgen. Werden die Daten in einem digitalen Formular erhoben, sollten die Informationen per Link auf diesem Formular zur Verfügung gestellt werden. Die Informationsschreiben müssen gemäß Art. 12 Abs. 1 DSGVO in präziser und verständlicher Sprache geschrieben sein. Es genügt dann, dass die Informationen von den betroffenen Personen zur Kenntnis genommen werden. Deren „Zustimmung“ ist nicht erforderlich. Zumindest bei Ihren Kunden und Mitarbeitern ist es aus Dokumentationszwecken aber sinnvoll, eine Bestätigung der Kenntnisnahme einzuholen (siehe Punkt 8 unserer Checkliste). Dies kann zum Beispiel durch ein nicht vorangekreuztes Kästchen auf einem Formular oder eine eigenständige Erklärung erfolgen. ☐ Erstellen Sie Datenschutzhinweise für den Vertragsschluss, eine Datenschutzerklärung für Ihre Website sowie (falls einschlägig) Mitarbeiter-Informationsschreiben (kostenloser Generator) und/oder Kunden-Informationsschreiben (kostenloser Generator). ☐ Gewährleisten Sie, dass die betroffenen Personen vor der Datenerhebung Kenntnis von den Informationen nehmen. Prüfen und ggf. überarbeiten Sie dazu Ihre Formulare und Ihre Website. Tipp: Eine DSGVO-konforme Datenschutzerklärung für Ihre Website erhalten Sie bei avalex.de. Die avalex Datenschutzerklärung wird nach dem Kauf per Plugin mit wenigen Klicks auf Ihrer Website installiert. Danach passt sich der Rechtstext automatisch an die aktuelle Rechtslage an. Für den allgemeinen Teil der Datenschutzerklärung sowie Belehrungstexte zu zahlreichen Webdiensten gewährt avalex Abmahnkostenschutz (Hinweis: Niklas Plutte ist Geschäftsführer der avalex GmbH). Überblick: Inhalt einer Datenschutzerklärung zur Erfüllung der InformationspflichtenEs ist zu unterscheiden zwischen Informationen, die immer vorhanden sein müssen und Informationen, die nur erteilt werden müssen, wenn die entsprechende Voraussetzung überhaupt gegeben ist (im Folgenden mit optional gekennzeichnet). I. Kontaktdaten
II. Datenverarbeitung
III. Hinweise auf Rechte der betroffenen Person
Nach oben 3. DatenschutzbeauftragterAls nächstes ist zu klären, ob Ihr Unternehmen einen Datenschutzbeauftragten ernennen muss. a. Pflicht zur Ernennung eines DatenschutzbeauftragtenSie müssen einen Datenschutzbeauftragten ernennen, wenn einer der folgenden Punkte auf Ihr Unternehmen zutrifft:
Empfehlung: Angesichts der drohenden Bußgelder nach Art. 83 Abs. 4 lit. a DSGVO ist es in Zweifelsfällen sicherer, einen Datenschutzbeauftragten zu ernennen. Nach oben b. Persönliche Voraussetzungen eines DatenschutzbeauftragtenEin Datenschutzbeauftragter muss ausreichendes Fachwissen auf dem Gebiet des Datenschutzrechts vorweisen (Art. 37 Abs. 5 DSGVO). Es kann sich um einen Beschäftigten Ihres Unternehmens handeln (Art. 37 Abs. 6 DSGVO), sofern er wegen seiner anderen Tätigkeiten in Ihrem Unternehmen nicht in einen Interessenkonflikt kommt (Art. 38 Abs. 6 DSGVO). Das bedeutet insbesondere, dass der Geschäftsführer des Unternehmens nicht zugleich Datenschutzbeauftragter sein kann.Gemäß Art. 37 Abs. 6 DSGVO können Sie auch einen externen Datenschutzbeauftragten ernennen. Externe Datenschutzbeauftragte haften nicht für etwaige DSGVO-Verstöße des Auftraggebers (OLG München, Urteil vom 27.10.2021, Az. 20 U 7501/20). Nach oben c. Stellung des DatenschutzbeauftragtenHaben Sie einen Datenschutzbeauftragten ernannt, sind Sie verpflichtet, diesem angemessene Ressourcen zur Verfügung zu stellen und ihn bei der Erfüllung seiner Aufgaben durch Kooperation unterstützen (Art. 38 Abs. 2 DSGVO). Diese Pflicht umfasst ggf. auch die Finanzierung von Fortbildungen. Sie dürfen dem Datenschutzbeauftragten (auf dem Gebiet des Datenschutzes) keine Anweisungen erteilen (Art. 38 Abs. 3 DSGVO). Der Datenschutzbeauftragte berät Sie bei der Umsetzung der DSGVO und überwacht deren Einhaltung. Er arbeitet darüber hinaus mit der Aufsichtsbehörde zusammen (Art. 39 DSGVO). Haben Sie einen Datenschutzbeauftragten ernannt, sind Sie gemäß Art. 37 Abs. 7 DSGVO verpflichtet, dies der zuständigen Aufsichtsbehörde zu melden. Zuständig für nicht-öffentliche Verantwortlichen ist der Landesbeauftragte für Datenschutz in Ihrem Bundesland.
☐ Bestellen Sie, sofern nötig, einen Datenschutzbeauftragten und gewährleisten Sie die nötige Kooperation und Unterstützung. ☐ Melden Sie die Kontaktdaten des Datenschutzbeauftragten der zuständigen Aufsichtsbehörde. Überblick: Pflicht zur Bestellung eines Datenschutzbeauftragten
Nach oben 4. BetroffenenrechteDie DSGVO gibt betroffenen Personen eine Reihe von Ansprüchen an die Hand, die Sie bei Vorliegen der jeweiligen Voraussetzungen und einer entsprechenden Anfrage der betroffenen Personen erfüllen müssen.
a) Auskunftsrecht (Art. 15 DSGVO)Jede Person darf umfassend und grundsätzlich kostenlos Auskunft über sie betreffende personenbezogene Daten sowie weitere Informationen verlangen (vgl. BGH, Beschluss vom 15.07.2021, Az. V ZB 53/20). Nach Erwägungsgrund 63 DSGVO dient das Auskunftsrecht aus Art. 15 DSGVO dem Betroffenen dazu, sich der Verarbeitung seiner personenbezogenen Daten bewusst zu sein und deren Rechtmäßigkeit überprüfen zu können. So soll Art. 15 DSGVO eine Rechtmäßigkeitskontrolle der Datenverarbeitungsvorgänge ermöglichen. Der Betroffene soll den Umfang und Inhalt der gespeicherten Daten beurteilen können. Die Auskünfte dienen auch dazu, der betroffenen Person die Wahrnehmung der weiteren Rechte nach der Datenschutzgrundverordnung zu ermöglichen, vor allem das Recht auf Berichtigung nach Art. 16 DSGVO, auf Löschung nach Art. 17 DSGVO und auf Einschränkung der Verarbeitung nach Art. 17 DSGVO (vgl. LG Krefeld, Urteil vom 06.10.2021, Az. 2 O 448/20; OLG Köln, Beschluss vom 03.09.2019, Az. 20 W 10/18). Der als Bringschuld ausgestaltete Auskunftsanspruch ist weit auszulegen (vgl. BGH, Urteil vom 15.06.2021, Az. VI ZR 576/19) und setzt kein besonderes Rechtsschutzbedürfnis voraus (LAG Stuttgart, Urteil vom 17.03.2021, Az. 21 Sa 43/20). Das Auskunftsersuchen muss vom Betroffenen nach Erwägungsgrund 63 Satz 7 DSGVO präzisiert werden. Es muss deutlich werden, auf welche Informationen sich der Auskunftsanspruch bezieht (LAG Sachsen, Urteil vom 17.02.2021, Az. 2 Sa 63/20). Sind dem Betroffenen die gewünschte Auskünfte bereits bekannt, schließt dies für sich genommen den Auskunftsanspruch nicht aus (vgl. LG Bonn, Beschluss vom 24.05.2022, Az. 9 O 158/21). Unzulässig sind dagegen exzessive Anträge (Art. 12 Abs. 5 Satz 2 lit. b DSGVO), was der Fall ist, wenn der Auskunftsanspruch missbräuchlich eingesetzt wird (Beispiele: Offensichtlich unbegründete Anträge oder rechtsmissbräuchliche Anträge wie insbesondere die in Art. 12 Abs. 5 DSGVO genannte häufige Wiederholung eines Antrags). Rechtsmissbrauch wurde vielfach angenommen, wenn mit der Geltendmachung des Auskunftsanspruchs kein in Erwägungsgrund 63 DSGVO genanntes Interesse verfolgt wird, sondern ein sonstiges Ziel (OLG Dresden, Urteil vom 29.03.2022, Az. 4 U 1905/21; OLG Hamm, Beschluss vom 15.11.2021, Az. 20 U 269/21; LG Krefeld, Urteil vom 06.10.2021, Az. 2 O 448/20; LG Wuppertal, Urteil vom 29.07.2021, Az. 4 O 409/20; LG Essen, Urteil vom 23.02.2022, Az. 18 O 204/21; LG Paderborn, Urteil vom 15.12.2021, Az. 4 O 275/21), zum Beispiel Information über Prämienanpassungen (OLG Nürnberg, Urteil vom 14.03.2022, Az. 8 U 2907/21; LG Kassel, Urteil vom 05.07.2022, Az. 5 O 1954/21). Einem funktionswidrigen Auskunftsantrag, der zum Beispiel der Vorbereitung eines Anspruchsbegehrens gegen den Verantwortlichen dient statt einer Verfolgung legitimer DSGVO-Ziele, muss nicht entsprochen werden (LAG Sachsen, Urteil vom 17.02.2021, Az. 2 Sa 63/20). Gleiches gilt, wenn das Auskunftsbegehren zum Ziel hat, sich gegen eine Klage des Verantwortlichen besser verteidigen zu können (vgl. LG Frankenthal, Urteil vom 12.01.2021, Az. 1 HK O 4/19). Ein Anspruch auf Datenauskunft aus Art. 15 DSGVO kann ausgeschlossen sein, wenn hiermit verordnungsfremde Zwecke verfolgt werden. Das ist zum Beispiel der Fall, wenn das Auskunftsbegehren ausschließlich der Verfolgung von Leistungsansprüchen dient (LG Detmold, Urteil vom 26.10.2021, Az. 2 O 108/21). Achtung: Ob die vorstehende einschränkende Auslegung der Gerichte zum DSGVO-Auskunftsanspruch Bestand hat, ist noch nicht endgültig geklärt. So vertritt zum Beispiel das Oberlandesgericht Köln abweichende Auffassung. Konkret wurde ein Kopieersuchen, mit dem sich der Betroffene Informationen zur Vorbereitung eines Gerichtsverfahrens über datenschutzexterne Ansprüche gegen den Verantwortlichen beschaffen wollte, als „unbedenklich und grundsätzlich zu erfüllen“ eingestuft (vgl. OLG Köln, Urteil vom 13.05.2022, Az. 20 U 295/21). Der Bundesgerichtshof hat dem EuGH hierzu mehrere Fragen zur Beantwortung vorgelegt (vgl. EuGH, Beschluss vom 29.03.2022, Az. VI ZR 1352/20). Auf einen zulässigen Auskunftsantrag hin soll der Verantwortliche dem Betroffenen gemäß Art. 12 Abs. 3 DSGVO unverzüglich Auskunft erteilen, in jedem Fall aber innerhalb eines Monats nach Eingang des Antrags. Diese Frist kann um weitere zwei Monate verlängert werden, wenn dies unter Berücksichtigung der Komplexität und der Anzahl von Anträgen erforderlich ist. Der Verantwortliche hat den Betroffenen innerhalb eines Monats nach Eingang des Antrags über eine Fristverlängerung zu unterrichten, zusammen mit den Gründen für die Verzögerung. Eine verspätete und/oder unvollständige Auskunft kann im Einzelfall ein Schmerzensgeld rechtfertigen, je nach Lage des Falls beispielsweise in Höhe von 500 Euro (OLG Köln, Urteil vom 14.07.2022, Az. 15 U 137/21) oder 1.250 Euro (vgl. LAG Niedersachsen, Urteil vom 22.10.2021, Az. 16 Sa 761/20). Enthalten muss die Auskunft u.a. die Verarbeitungszwecke, die Empfänger von Daten und die geplante Dauer der Speicherung. Unter den Auskunftsanspruch fallen Telefonnotizen, Aktenvermerke, Gesprächsprotokolle, E-Mails und Briefe (OLG München, Urteil vom 04.10.2021, Az. 3 U 2906/20), Kontobewegungen auf dem eigenen Bankkonto (AG Bonn, Urteil vom 30.07.2020, Az. 118 C 315/19) und im Zweifel sogar den Namen eines Tippgebers, der sich über den Betroffenen beschwert hat (BGH, Urteil vom 22.02.2022, Az. VI ZR 14/21). Der BGH zählt auch eigene Korrespondenz der betroffenen Person und interne Vermerke zu „Daten“, die in Kopie zu beauskunften sind (BGH, Urteil vom 15.06.2021, Az. VI ZR 576/19; in Bezug auf den Anspruch einer Kopie auch: LAG Stuttgart, Urteil vom 17.03.2021, Az. 21 Sa 43/20). Das Landgericht Köln war noch davon ausgegangen, dass interne Vermerke, rechtliche Bewertungen oder Analysen nicht vom Auskunftsanspruch umfasst sind (LG Köln, Urteil vom 18.03.2019, Az. 26 O 25/18). Nicht unter den Auskunfts- und Herausgabeanspruch fallen dagegen Dokumente, die Vertragserklärungen enthalten, hier ein bloßes Beitragsanpassungsschreiben mit dem Namen des Versicherungsnehmers (vgl. LG Berlin, Urteil vom 21.12.2021, Az. 4 O 381/20). Der Empfänger einer unerbetenen Werbemail hat nach Art. 15 Abs. 1 DSGVO das Recht, vom Verantwortlichen eine Bestätigung darüber zu verlangen, ob ihn betreffende personenbezogene Daten verarbeitet werden; ist dies der Fall, hat er ein Recht auf Auskunft über diese personenbezogenen Daten und auf weitere Informationen, die in der Norm genannt werden, unter anderem hinsichtlich des Bestehens einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Art. 22 Abs. 1 und 4 DSGVO und – zumindest in diesen Fällen – aussagekräftiger Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person, Art. 15 Abs. 1 HS. 2 lit. h DSGVO. Wenn der Verantwortliche dem Betroffenen hinreichend deutlich mitteilt, keine Daten iSd. Art. 15 Abs. 1 HS. 2 lit. h DSGVO zu verarbeiten, wird die Verpflichtung aus der eben genannten Norm erfüllt (Kammergericht, Urteil vom 15.09.2021, Az. 5 U 35/20). Der Verantwortliche kann seine Auskunftspflicht auch elektronisch erfüllen, indem er dem Betroffenen einen Link zur Verfügung stellt, unter dem die Informationen via Internet abgerufen werden können, z.B. im Online-Kundenkonto im Bereich „Einstellungen & Datenschutz“ (vgl. LG München, Urteil vom 02.09.2021, Az. 23 O 10931/20). Im Rahmen der Auskunftserteilung muss der Betroffene darüber informiert werden, dass die Möglichkeit zur Beschwerde bei einer Aufsichtsbehörde besteht. Eine Nennung der konkreten Aufsichtsbehörde oder ihrer Kontaktdaten ist jedoch nicht erforderlich (vgl. AG Wiesbaden, Urteil vom 03.03.2022, Az. 93 C 2338/20 (22)). Wurden keine personenbezogenen Daten des Betroffenen beim Verantwortlichen verarbeitet, muss er auf dessen Anfrage hin zumindest eine Negativauskunft erteilen. Die Anfrage nicht zu beantworten, ist unzulässig (AG L ehrte, Beschluss vom 03.02.2021, Az. 9 C 139/20). Im Rahmen einer Klage reicht es nicht, als Klageantrag den Wortlaut von
Art. 15 Abs. 3 DSGVO wiederzugeben, da dies nicht ausreichend bestimmt ist im Sinne von § 253 Abs. 2 Nr. 2 ZPO (LAG Sachsen, Urteil vom 17.02.2021, Az.
2 Sa 63/20). Für den Auskunftsanspruch soll regelmäßig ein Streitwert in Höhe von bis zu 5.000 Euro angemessen sein (OLG Köln, Streitwertbeschluss vom 12.11.2020, Az.
9 W 34/20). Der Herausgabeanspruch nach Art. 15 Abs. 3 DSGVO bezieht sich allein auf die Daten, auf die das Auskunftsrecht nach Art. 15 Abs. 1 DSGVO gerichtet ist (LAG Niedersachsen, Urteil vom 22.10.2021, Az. 16 Sa 761/20). b) Recht auf Berichtigung (Art. 16 DSGVO)Jede betroffene Person kann vom Verantwortlichen verlangen, dass er nur richtige Informationen über sie verarbeitet. Der Verantwortliche muss daher ggf. unrichtige oder unvollständige Daten ändern oder ergänzen.
c) Recht auf Löschung (Art. 17 Abs. 1 DSGVO)Wird die Datenverarbeitung aus einem der in Art. 17 Abs. 1 DSGVO genannten Gründe rechtswidrig oder ist sie für die verfolgten Zwecke nicht mehr erforderlich, muss der Verantwortliche diese Daten löschen. Der Anspruch auf Löschung personenbezogener Daten schließt den Anspruch darauf ein, dass die gelöschten Daten nicht erneut verarbeitet werden. Art. 17 DSGVO kann dem Betroffenen deshalb im Einzelfall auch einen entsprechenden Unterlassungsanspruch gewähren (OLG München, Urteil vom 22.03.2022, Az. 18 U 1697/21). Besonderheit dieses Rechts ist, dass der Verantwortliche auch ohne Antrag der betroffenen Person verpflichtet ist, die betroffenen Daten bei Vorliegen der obigen Voraussetzungen zu löschen. Unberechtigt gespeicherte personenbezogene Daten können auch dann gelöscht werden, wenn sie den gesetzlichen Aufbewahrungspflichten unterfallen (OLG Dresden, Urteil vom 14.12.2021, Az. 4 U 1278/21). Art. 17 Abs. 1 DSGVO gilt allerdings nicht, soweit die Datenverarbeitung auf der Grundlage aller relevanten Umstände des Streitfalls zur Ausübung des Rechts auf freie Meinungsäußerung und Information erforderlich ist (Art. 17 Abs. 3 a) DSGVO). Dieser Umstand ist Ausdruck der Tatsache, dass das Recht auf Schutz personenbezogener Daten kein uneingeschränktes Recht ist, sondern im Hinblick auf seine gesellschaftliche Funktion gesehen und unter Wahrung des Verhältnismäßigkeitsprinzips gegen andere Grundrechte abgewogen werden muss (EuGH, Urteil vom 24.09.2019, Az. C-136/17; BGH, Urteil vom 27.07.2020, Az. VI ZR 405/18). Beispiel: Es kann zulässig sein, im Rahmen einer negativen Kundenrezension den Namen einer Person zu nennen mit der Folge, dass kein Löschungsanspruch gegen die Bewertungsplattform besteht, weil die Verarbeitung zur Wahrung der Meinungsfreiheit erforderlich ist (OLG Hamm, Urteil vom 29.06.2021, Az. I-4 U 189/20). d) Recht auf Vergessenwerden (Art. 17 Abs. 2 DSGVO)Haben Sie die Daten einer betroffenen Person öffentlich gemacht und sind nun zu deren Löschung verpflichtet, müssen Sie auch andere Verantwortliche, die die Daten durch die Veröffentlichung erlangt haben, von dem Löschbegehren unterrichten. Beispiel: Wenn eine betroffene Person die Löschung von Daten verlangt, die Sie auf Ihrem Facebook-Profil öffentlich gemacht haben, müssen Sie nicht nur selbst die Daten löschen, sondern auch Facebook (und wegen der Auffindbarkeit des Profils wohl auch Google) davon informieren, dass die betroffene Person die Löschung der Daten verlangt. e) Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)Unter besonderen Voraussetzungen (siehe Art. 18 Abs. 1 DSGVO), insbesondere bei Streitigkeiten über die Rechtmäßigkeit einer Datenverarbeitung, müssen Sie die betroffenen Daten markieren und vorerst nicht mehr weiterverarbeiten. Zum Beispiel können
Sie entsprechende Daten für alle Nutzer sperren oder aus einer Software entfernen. Denkbar ist beispielsweise auch die zeitweilige Entfernung eines umstrittenen Fotos von einer Website (vgl. Kühling/Buchner/Herbst, DSGVO Kommentar, Art. 18 Rn. 30 f.). f) Recht auf Datenübertragbarkeit (Art. 20 DSGVO)Das Recht auf Datenübertragbarkeit regelt Fälle, in denen eine betroffene Person ihre Daten bei einem Anbieterwechsel „mitnehmen“ möchte. Sie
müssen die Daten in einem strukturierten, gängigen und maschinenlesbaren Format entweder der betroffenen Person oder (auf Antrag gem. Art. 20 Abs. 2 DSGVO) dem neuen Anbieter zur Verfügung stellen. Letzteres gilt aber nur, soweit eine Übermittlung an den neuen Anbieter „technisch machbar“ ist (Art. 20 Abs. 2 DSGVO). g) Recht auf Widerspruch (Art. 21 DSGVO)Verarbeiten Sie Daten gestützt auf eine Interessenabwägung nach Art. 6 Abs. 1 lit. f DSGVO, kann die betroffene Person dagegen Widerspruch erheben, wenn sie begründen kann, dass in ihrem Fall eine besondere Situation
vorliegt. Sie müssen in diesem Fall nachweisen, dass Ihr Verarbeitungsinteresse auch in dem konkreten Einzelfall überwiegt oder anderenfalls die Verarbeitung einstellen. h) Recht auf Schadensersatz (Art. 82 DSGVO)Bei Verletzung von DSGVO-Vorschriften steht dem Betroffenen ein Anspruch auf Ersatz immaterieller Schäden („Schmerzensgeld“) aus Art. 82 DSGVO oder sonst einem rechtlichen Aspekt zu. Art. 82 DSGVO ist allerdings restriktiv auszulegen (LG Frankfurt, Urteil vom 18.09.2020, Az. 2-27 O 100/20) unter Beachtung, dass der immaterielle Schadensersatz nach der DSGVO keinen Strafcharakter hat (OLG Dresden, Urteil vom 30.11.2021, Az. 4 U 1158/21). Voraussetzung ist der Eintritt und Nachweis eines konkreten (auch immateriellen) Schadens (OLG Frankfurt, Urteil vom 02.03.2022, Az. 13 U 206/20). Allein der Verstoß gegen datenschutzrechtliche Vorschriften führt nicht zu einer Verpflichtung des Verantwortlichen zur Zahlung von Schadensersatz (OLG Karlsruhe, Urteil vom 26.04.2022, Az. 14 U 270/20; LG Hamburg, Urteil vom 04.09.2020, Az. 324 S 9/19; ebenso: LG Karlsruhe, Urteil vom 02.08.2019, Az. 8 O 26/19). So soll zum Beispiel das Vorenthalten einer Auskunft nicht zum Schadensersatz verpflichten, wenn nicht ersichtlich ist, inwieweit dem Betroffenen ein Schaden entstanden ist (vgl. LG Köln, Urteil vom 22.06.2022, Az. 25 O 9/22). Zur Bestimmung des Schadensbegriffes der DSVGO sind normative, an den Zielen der Verordnung ausgerichtete Erwägungen notwendig. Eine Schadensersatzpflicht besteht nur, wenn der geltend gemachte Schaden nach Art und Entstehungsweise unter den Schutzzweck der verletzten Norm fällt (OLG Düsseldorf, Beschluss vom 16.02.2021, Az. 16 U 269/20). Die Verletzungshandlung muss zu einer konkreten Verletzung von Persönlichkeitsrechten der betroffenen Person geführt haben (LG Frankfurt, Urteil vom 18.09.2020, Az. 2-27 O 100/20). Auf der anderen Seite erfordert der Anspruch auf Ersatz immateriellen Schadens nach Art. 82 DSGVO nicht das Überschreiten einer Erheblichkeitsschwelle (vgl. LAG Niedersachsen, Urteil vom 22.10.2021, Az. 16 Sa 761/20; LAG Berlin-Brandenburg, Urteil vom 18.11.2021, Az. 10 Sa 443/21). Einen Ausschluss vermeintlicher Bagatellschäden sieht das Gesetz nicht vor, daher bedarf es keiner schwerwiegenden Persönlichkeitsrechtsverletzung (mehr) (LAG Frankfurt, Urteil vom 18.10.2020, Az. 16 Sa 380/20). Für Schadensersatzansprüche nach Art. 82 DSGVO liegt die alleinige Beweislast beim Kläger (LG Frankfurt, Urteil vom 18.01.2021, Az. 2-30 O 147/20). Eine bloße Sperrung von Daten (hier: Löschung eines Social Media Posts) stellt ebenso wie Datenverlust noch keinen Schaden im Sinne der DSGVO dar (OLG Dresden, Urteil vom 20.08.2020, Az. 4 U 784/20). Update: Das Bundesverfassungsgericht hat einer Verfassungsbeschwerde stattgegeben, wonach eine Klage dem EuGH vorzulegen ist, in der wegen Zusendung von unerwünschter E-Mailwerbung Schmerzensgeld nach Art. 82 DSGVO gefordert worden war. Beispiele für Schadensersatz nach Art. 82 DSGVO
Beispiele für Ablehnung von Schadensersatzforderung
☐ Schaffen Sie Strukturen, die es Ihnen ermöglichen, alle Betroffenenrechte innerhalb eines Monats zu bearbeiten. Organisieren Sie Ihre Datenbestände dazu so, dass sie angeforderte Daten schnell auffinden („Wo“), regeln Sie die Zuständigkeit für die Erfüllung der Pflichten („Wer“) und den Prozess der Antragsbearbeitung, insbesondere eine Identitätskontrolle und die Überprüfung der Anspruchsvoraussetzungen („Wie“). Eine Orientierung kann dieser Leitfaden bieten. Nach oben i) Recht auf UnterlassungDie Durchsetzung eines Anspruchs auf Unterlassung bei einer rechtswidrigen Verarbeitung personenbezogener Daten im Sinne der Datenschutzgrundverordnung kann entweder auf §§ 823, 1004 BGB i.V.m. Art. 6 Abs. 1 DSGVO oder auf Art. 6 und 17 DSGVO i.V.m. Art. 79 DSGVO gestützt werden (OLG Frankfurt, Urteil vom 14.04.2022, Az. 3 U 21/20). Bei rechtswidriger Verarbeitung personenbezogener Daten im Sinne der Datenschutzgrundverordnung ist nach ganz herrschender Meinung die Durchsetzung eines Anspruchs auf Unterlassung möglich (vgl. zum Meinungsstand Leibold/Laoutoumai: Unterlassungsanspruch unter der DS-GVO? ZD-Aktuell 2021, 05583). Im Ergebnis sieht die herrschende Meinung einen Unterlassungsanspruch jedenfalls gemäß §§ 823, 1004 BGB (zum Teil i.V.m. Art. 6 Abs. 1 DSGVO) als gegeben an, da dieser nicht durch Art. 79 Abs. 1 DSGVO gesperrt ist (OLG Köln, Urteil vom 14.11.2019, Az. 15 U 126/19; Leibold/Laoutoumai aaO; a.A. VG Regensburg, Gerichtsbescheid vom 06.08.2020, Az. RN 9 K 19.1061). Nur so sei ein lückenloser Schutz hinsichtlich der Verarbeitung personenbezogener Daten von natürlichen Personen gewährleistet. Aber auch aus der Datenschutzgrundverordnung ergibt sich ein Unterlassungsanspruch. Zwar sieht diese einen Unterlassungsanspruch nicht ausdrücklich vor. Allerdings wird in Art. 17 DSGVO ein Löschungsrecht normiert, aus dem in Verbindung mit Art. 79 DSGVO, der wirksame gerichtliche Rechtsbehelfe bei Verletzung der Datenschutzgrundverordnung garantiert, ein Unterlassungsanspruch hergeleitet werden kann (vgl. BGH, Urteil vom 12.10.2021, Az. VI ZR 489/19; BSG, Urteil vom 18.10.2018, Az. B 1 KR 31/17 R; dies gilt auch für einen Löschungsanspruch gegenüber der SCHUFA, vgl. OLG Karlsruhe, Urteil vom 23.02.2021, Az. 14 U 3/19). Nach oben j) Ersatz von AnwaltskostenBetroffene können den Ersatz vorgerichtlicher Rechtsanwaltskosten verlangen (Art. 82 Abs. 1 DSGVO i.V.m. mit den zu § 249 Abs. 1 BGB entwickelten Grundsätzen). Das gilt jedenfalls bei unübersichtlicher Rechtslage, da die Inanspruchnahme eines Rechtsanwalts für den Betroffenen dann erforderlich und zweckmäßig ist. Dem Anspruch des Geschädigten auf Ersatz vorgerichtlicher Rechtsanwaltskosten ist im Verhältnis zum Schädiger grundsätzlich der Gegenstandswert zugrunde zu legen, der dem berechtigten Unterlassungs- und Schadensersatzanspruchs entspricht (vgl. OLG Frankfurt, Urteil vom 14.04.2022, Az. 3 U 21/20 mit Verweis auf: BGH, Urteil vom 12.12.2017, Az. VI ZR 611/16). Beispiel für Streitwert: 1.000 Euro, bestehend aus 500 Euro Schadensersatz zuzüglich 500 Euro Unterlassung (OLG Frankfurt, Urteil vom 14.04.2022, Az. 3 U 21/20). Nach oben 5. AuftragsverarbeitungWenn Sie die Datenverarbeitung (teilweise) an Dritte (sog. Auftragsverarbeiter) ausgegliedert haben, sind Sie gemäß Art. 28 Abs. 3 DSGVO verpflichtet, einen Vertrag (oder einen anderen Rechtsakt, z.B. eine Verpflichtung) mit dem Auftragsverarbeiter abzuschließen, der gewährleistet, dass der Auftragsverarbeiter nur im Rahmen Ihrer Weisungen handelt und die Daten rechtmäßig verarbeitet. Ausführliche Informationen finden Sie bei der DSK. ☐ Falls Sie einen Auftragsverarbeiter beschäftigen: überprüfen Sie den bestehenden Auftragsverarbeitungsvertrag im Hinblick auf die Anforderungen des Art. 28 Abs. 3 DSGVO und schließen Sie gegebenenfalls einen neuen Auftragsverarbeitungsvertrag ab. Nutzen Sie hierzu die folgenden kostenlosen Muster. Überblick: Beispiele für Auftragsverarbeitungen
Nach oben 6. DatentransferWeitere Besonderheiten gelten für Datenübermittlungen in Drittstaaten, also Länder, in denen die DSGVO nicht gilt. Überprüfen Sie diesbezüglich insbesondere die von Ihnen genutzten Cloudservices. Unproblematisch ist die Datenübermittlung, wenn die EU-Kommission das Datenschutzniveau in den entsprechenden Ländern für angemessen erachtet (Art. 45 Abs. 3 DSGVO). Für Länder mit problematischer Datenschutzlage muss sichergestellt werden, dass der Empfänger im Drittland geeignete Garantien zur Einhaltung der Datenschutzregeln vorgesehen hat (Art. 46 DSGVO). Ist dies nicht der Fall, dürfen die Daten nur in den Ausnahmefällen des Art. 49 DSGVO (insbesondere: Einwilligung der betroffenen Person) übermittelt werden. Der Europäische Gerichtshof (EuGH) hat im Juli 2020 überraschend das für die Übermittlung von personenbezogenen Daten zwischen der EU und den USA geschlossene Abkommen Privacy Shield für ungültig erklärt.
☐ Überprüfen Sie (sofern einschlägig) die Rechtmäßigkeit von Datenübermittlungen in Drittländer und treffen Sie gegebenenfalls erforderliche Maßnahmen. Nach oben 7. DatensicherheitVom Datenschutz im engeren Sinne zu unterscheiden ist die Datensicherheit. Bei der Datensicherheit geht es nicht mehr darum, welche Daten von wem wie verarbeitet werden dürfen, sondern wie die Daten beim Verantwortlichen vor dem unbefugten Zugriff durch Dritter oder dem Verlust und der Veränderung aufgrund technischer Pannen geschützt werden. Art. 32 DSGVO fordert, dass der Verantwortliche „geeignete technische und organisatorische Maßnahmen“ muss, um ein angemessenes Schutzniveau zu gewährleisten. Wie hoch das Schutzniveau sein muss, bestimmt sich gemäß Art. 32 Abs. 2 DSGVO danach, wie hoch die Risiken der Datenverarbeitung sind, also welche Folgen drohen, wenn die Daten verloren gehen oder unbefugt von Dritten ausgelesen werden. Nach oben a) Technische und organisatorische MaßnahmenArt. 32 HS. 2 DSGVO nennt eine Reihe von technischen und organisatorischen Maßnahmen, die ergriffen werden können:
Diese Begriffe sind mit Ausnahme der Pseudonymisierung von Daten unkonkret. Weil die Anforderungen an die Datensicherheit je nach Art und Umfang der Datenverarbeitung höher oder geringer sind, muss das Datensicherheitssystem letztlich immer im Einzelfall ausgerichtet werden. Entscheidend ist, dass die Daten unter Berücksichtigung des Stands der Technik grundsätzlich vor Hackerangriffen und ähnlichen Zwischenfällen geschützt sind. Als Mindestmaß sollte jedes Unternehmen den Zugang zu personenbezogenen Daten mit personalisierten Passwörtern schützen, ein Virenprogramm und eine Firewall auf seinen Computern installiert haben sowie seine Kommunikation verschlüsseln. Überblick: Auswahl technischer & organisatorischer MaßnahmenI. Bewertung des Risikos Ausgangspunkt ist die Einstufung des Risikos einer Datenverletzung. Hierzu sind zwei Fragen entscheidend:
II. Auswahl der Maßnahmen Je nachdem, wie hoch Sie das Risiko einer Datenverletzung eingestuft haben, müssen Sie entsprechend viele und starke Maßnahmen treffen. In Betracht kommen beispielsweise folgende Maßnahmen:
Wählen Sie je nach Risiko der Datenverarbeitung mehrere Maßnahmen aus und setzen Sie diese um. Hierbei dürfen Sie nach der DSGVO auch die Kosten und die Leistungsfähigkeit Ihres Unternehmens berücksichtigen. Nach oben b) Reaktionsmechanismen bei Datenverletzungen: MeldepflichtSollte es trotz der getroffenen Maßnahmen zu einer Datenpanne kommen, sind Sie verpflichtet, diese Panne binnen 72 Stunden der zuständige Aufsichtsbehörde und unter Umständen auch der betroffenen Person zu melden (Art. 33, 34 DSGVO). Wann die Meldefrist zu laufen beginnt, beurteilen die Landesbeauftragten für Datenschutz und Informationssicherheit (LfDIs) unterschiedlich. Voraussetzungen der Meldepflicht: Sie müssen melden, wenn eine Verletzung des Schutzes personenbezogener Daten eingetreten ist. Wann dies der Fall ist, regelt § 4 Nr. 12 DSGVO. Es bedarf eines Sicherheitsdefizits, das egal ob rechtswidrig oder unbeabsichtigt entweder:
von/zu personenbezogenen Daten führt. Eine Ausnahme von der Meldepflicht besteht, wenn die Datenschutzverletzung voraussichtlich zu keinem Risiko für Rechte und Freiheiten der betroffenen Person führt. Hier müssen sie selbst eine Prognose über die Auswirkungen der Datenpanne anstellen. Beispiel für eine wahrscheinlich risikolose Datenverletzung: Ein Unternehmen betreibt einen E-Mailverteiler mit zehn Kunden für ein anstehendes Projekt. Die Empfänger können jeweils auch die anderen Adressaten des Verteilers einsehen. Da dafür keine Einwilligung und auch sonst kein Rechtfertigungsgrund vorliegt, handelt es sich jeweils um eine unbefugte Offenlegung der E-Mailadresse gegenüber den anderen Kunden. Es gehen aber aller Voraussicht nach keine Risiken für die Kunden von dieser Datenverletzung aus, so dass keine Meldung an die Aufsichtsbehörden erfolgen muss. Adressat der Meldung: In jedem Fall sind Datenverletzungen an die Aufsichtsbehörde zu melden (Art. 33 DSGVO). Hat die Datenschutzverletzung auch ein hohes Risiko für die betroffene Person zur Folge, so ist auch diese zu benachrichtigen (Art. 34 DSGVO), es sei denn, dass einer der Ausschlussgründe des Art. 34 Abs. 3 DSGVO vorliegt. Inhalt der Meldung: Die Meldung muss gemäß Art. 33 Abs. 3, 34 Abs. 2 DSGVO enthalten:
Meldefrist: Die Meldung an die Behörde muss innerhalb von 72 Stunden, nachdem Ihnen die Verletzung bekannt geworden ist, an die Aufsichtsbehörde gemeldet werden. Halten Sie diese Frist nicht ein, müssen Sie dies begründen (Art. 33 Abs. 1 DSGVO). Überblick: Meldepflicht
☐ Stellen Sie sicher, dass Sie bei einer Verletzungen der Datensicherheit die Meldepflichten beachten, z.B. durch Zuweisung der Aufgabe oder Vermerk in einem internen Leitfaden. Nach oben 8. Dokumentation (Datenschutzkonzept)Art. 5 Abs. 2 DSGVO regelt eine Rechenschaftspflicht für den Verantwortlichen. Danach müssen Sie in der Lage sein, nachzuweisen, dass Sie die Grundsätze der Datenverarbeitung einhalten. Weil sich diese Grundsätze in allen konkreten Normen der DSGVO wiederfinden, wird ein Verstoß gegen eine DSGVO-Vorschrift immer auch einen Verstoß gegen einen Grundsatz nach Art. 5 DSGVO beinhalten. Im Umkehrschluss müssen Sie also nachweisen können, dass Sie sich an die DSGVO halten. Dies wird konkretisiert durch Art. 24 Abs. 1 DSGVO. Danach sind Sie als Verantwortlicher verpflichtet, geeignete technische und organisatorische Maßnahmen zu treffen, um den Nachweis erbringen zu können, dass Sie die DSGVO umsetzen. a) Dokumentieren Sie alle relevanten MaßnahmenDen Nachweispflichten der DSGVO können Sie nur durch eine umfassende Dokumentation aller getroffenen Maßnahmen auf dem Gebiet des Datenschutzes nachkommen. Halten Sie deshalb genau fest, wie Sie diese Checkliste umsetzen. b) DatenverarbeitungsverzeichnisEine besondere Form der Dokumentationspflicht ist das Datenverarbeitungsverzeichnis nach Art. 30 DSGVO. Hier müssen Sie alle Datenverarbeitungen in einer bestimmten (in Art. 30 DSGVO näher geschilderten) Weise festhalten. Dankenswerterweise stellen die deutschen Datenschutzbehörden hierzu eine offizielle Mustervorlage zur Verfügung. Zwar gibt es in Art. 30 Abs. 5 DSGVO grundsätzlich auch Ausnahmen. Diese sind allerdings so vage gehalten, dass wir dringend empfehlen, in jedem Fall ein Datenverarbeitungsverzeichnis anzulegen. Das Datenverarbeitungsverzeichnis hilft Ihnen zum einen, der generellen Dokumentationspflicht nachzukommen, zum anderen wird es Ihnen nach Durchführung von Punkt 1 der Checkliste keinen nennenswerten Aufwand mehr bereiten. Überblick: Musteraufbau eines DatenverarbeitungsverzeichnissesI. Vorblatt mit allgemeinen Angaben
II. Verarbeitungstätigkeit 1 (z.B. Lohnabrechnung)
III. Verarbeitungstätigkeit 2 (z.B. Vertragsdatenmanagement) → wie II. Diese Informationen lassen sich gut in die Mustervorlage der deutschen Datenschutzbehörden einbauen. c) Optional: Zusammenfassung der Dokumentationen als DatenschutzkonzeptWenn Sie alle wesentlichen Vorgänge dokumentiert haben, kann es sich lohnen, dies zu einem umfassenden Datenschutzkonzept ihres Unternehmens zusammenzufassen. Ein Datenschutzkonzept ist nicht verpflichtend, bündelt aber zum einen Ihre Dokumentationen an einem Ort und kann zum anderen positiv auf die Außenwirkung Ihres Unternehmens einzahlen. d) Besondere DokumentationspflichtenÜber die vorstehenden Punkte hinaus regelt die DSGVO eine Vielzahl an spezielleren Dokumentations- und Nachweispflichten, zum Beispiel die Dokumentation von Datenpannen (Art. 33 Abs. 5 DSGVO), die Dokumentation von Weisungen im Rahmen der Auftragsverarbeitung (Art. 28 Abs. 3 lit. a DSGVO) oder die Pflicht zum Nachweis der Einwilligung der betroffenen Person (Art. 7 Abs. 1 DSGVO). Wenn Sie wie von uns empfohlen ohnehin alle wesentlichen Schritte dokumentieren, müssen Sie aber diesbezüglich keine weiteren Maßnahmen treffen. ☐ Halten Sie alle Schritte zur Einhaltung der DSGVO auf eine Weise fest, dass Sie deren Umsetzung nachweisen können. Lassen Sie sich beispielsweise Schulungen von Mitarbeitern schriftlich bestätigen, holen Sie Einwilligungen nur schriftlich ein, dokumentieren Sie die Bearbeitung von Anträgen betroffener Personen (z.B. durch Abspeichern des E-Mail-Verkehrs) und lassen Sie sich den Erhalt von Informationsschreiben (nach Art. 13, 14 DSGVO) bestätigen. ☐ Legen Sie ein Datenverarbeitungsverzeichnis an und aktualisieren Sie es regelmäßig. Nutzen Sie hierzu folgende Vorlage der deutschen Aufsichtsbehörden. ☐ Optional: Fassen Sie alle dokumentierten Schritte zu einem Datenschutzkonzept zusammen. Nutzen Sie dafür eine Vorlage. Nach oben 9. Schulung und Verpflichtung von BeschäftigtenGemäß Art. 29, 32 Abs. 4 DSGVO sind Sie als Verantwortlicher für die Einhaltung des Datenschutzes durch Ihre Beschäftigte verantwortlich. Die Datenschutzaufsichtsbehörden empfehlen hier insbesondere eine Verpflichtung Ihrer Mitarbeiter auf die Einhaltung der Regeln des Datenschutzes. Dem sollte eine zumindest kurze Schulung vorangehen, um den richtigen Umgang auch tatsächlich zu gewährleisten. ☐ Schulen Sie Ihre Beschäftigten in den wesentlichsten Prinzipien des Datenschutzes. Orientierung kann folgende Vorlage bieten. ☐ Verpflichten Sie Ihre Beschäftigten auf die Einhaltung des Datenschutzes. Nutzen Sie dafür die Vorlage der Deutschen Datenschutzkonferenz. 10. Bußgelder bei DSGVO-VerstößenDie Landesbeauftragten der Datenschutzbehörden können bei DSGVO-Verstößen Bußgelder verhängen. Über die Höhe des jeweiligen Bußgelds wird einzelfallabhängig entschieden. Ziel ist nach Art. 83 Abs. 1 DSGVO, dass das Bußgeld wirksam, verhältnismäßig und abschreckend ist. Art. 83 Abs. 2 DSGVO nennt die Kriterien, nach denen die Höhe der Geldbuße festzulegen ist, unter anderem Art, Schwere und Dauer des Verstoßes, vorsätzliche oder fahrlässige Begehung, aber beispielsweise auch, ob und welche technischen und organisatorischen Maßnahmen (TOM) vom Verantwortlichen umgesetzt worden waren. Der Bußgeldrahmen der DSGVO ist drastisch. Bei Verstößen gegen die in Art. 83 Abs. 4 DSGVO genannten Regelungen können Geldbußen von bis zu 10.000.000 Euro oder im Fall eines Unternehmens von bis zu 2 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt werden, je nachdem, welcher der Beträge höher ist. Bei Verstößen gegen die in Art. 83 Abs. 5 DSGVO genannten Regelungen können sogar Geldbußen von bis zu 20.000.000 Euro oder im Fall eines Unternehmens von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt, je nachdem, welcher der Beträge höher ist. Ein konkretes, allerdings nicht mit anderen EU-Datenschutzbehörden abgestimmtes Konzept zur Bußgeldzumessung in Verfahren gegen Unternehmen wurde von der Datenschutzkonferenz (DSK) veröffentlicht (siehe auch die Pressemitteilung der DSK). Das Konzept besteht im Kern aus fünf Schritten:
Hinweis: Dieser Beitrag wurde unter Mitwirkung unseres wissenschaftlichen Mitarbeiters Felix Wichert erstellt. Nach oben Welche Grundsätze sind bei der Verarbeitung personenbezogener Daten zu beachten?Es gelten die folgenden Grundsätze:. Rechtmäßigkeit.. Transparenz.. Zweckbindung.. Datenminimierung/-sparsamkeit.. Richtigkeit.. Speicherbegrenzung (Löschung/Sperrung). Integrität und Vertraulichkeit.. Rechenschaftspflicht (Dokumentation). Was begründet die Verarbeitung von personenbezogenen Daten?Die Verarbeitung von personenbezogenen Daten ist zulässig, wenn dies für die Wahrung berechtigter Interessen des Verantwortlichen oder eines Dritten erforderlich ist, und die Interessen der betroffenen Person diese Interessen nicht überwiegen.
Welche fünf Rechte hat der Gesetzgeber jedem Bürger eingeräumt um ihm eine Kontrolle über die von ihm gespeicherten Daten zu ermöglichen?Anspruch auf Berichtigung, Löschung und Sperrung von Daten
Dem Betroffenen stehen außerdem die Rechte auf Berichtigung, Löschung und Sperrung seiner Daten zu, §§ 20, 35 BDSG. Ein Anspruch auf Berichtigung besteht dann, wenn die gespeicherten Daten fehlerhaft, veraltet oder sonst wie unrichtig sind.
Was bedeutet Verarbeitung im Sinne der Dsgvo?Nr. 2 definiert die Verarbeitung: Dabei geht es um mit oder ohne automatisierte Verfahren durchgeführte Verfahren wie unter anderem die Erhebung, die Erfassung, die Organisation, das Ordnen, die Speicherung, die Veränderung, die Verwendung und andere Tätigkeiten im Kontext personenbezogener Daten.
|