040 / 303 911 73 office@commandeur.org

Informationen zum neuen Datenschutzrecht

7. Apr. 2018 | Aktuelles

A. DS-GVO (Datenschutz-Grundverordnung)
Im Rahmen der von der Europäischen Kommission am 25.01.2012 vorgestellten EU-Datenschutzreform EU-Datenschutzreform wurde auch „Verordnung des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG“, kurz Datenschutz-Grundverordnung oder DS-GVO, im April 2016 beschlossen. Mit Wirkung zum 25. Mai 2018 ersetzt diese Verordnung die nationalen Gesetze der einzelnen EU-Mitgliedsstaaten. Sie muss nicht noch in nationales Recht umgewandelt werden (wie eine Richtlinie), sieht aber über ihre 69 sog. „Öffnungsklauseln“ die Regelung durch nationales Recht vor. In Deutschland sind daher Regelungen des BDSG neu gefasst worden. Ab dem 25.05.2018 findet das BDSG-neu Anwendung.

1. Zweck der DS-GVO
Die Datenschutzverordnung vereinheitlicht das Datenschutzrecht und damit den Datenschutzstandard innerhalb der EU. Daher ist es den Mitgliedsstaaten nicht erlaubt, das durch die Verordnung vorgegebene Maß an Datenschutz durch nationale Regelungen abzuschwächen oder abzuändern.

2. Für wen und was gilt die DS-GVO
Die DS-GVO gilt zunächst für alle Unternehmen mit Sitz in der EU. Die DS-GVO macht dabei keinen Unterschied zwischen öffentlichen und nicht-öffentlichen Stellen.

Zudem müssen sich auch außereuropäische Unternehmen an die Regelungen der DS-GVO halten, wenn sie eine Niederlassung in der EU haben oder personenbezogene Daten von EU-Bürgern verarbeiten.

Die insofern relevanten, „personenbezogenen“ Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann.

Die DS-GVO gilt ungeachtet dessen, ob personenbezogene Daten innerhalb der EU verarbeitet werden, nicht im Rahmen einer ausschließlich persönlichen oder familiären Tätigkeit. Als persönliche oder familiäre Tätigkeiten gilt u.a. auch die Nutzung sozialer Netze. Insofern gilt die DS-GVO allerdings für die Verantwortlichen oder Auftragsverarbeiter, die die Instrumente für die Verarbeitung personenbezogener Daten für solche persönlichen oder familiären Tätigkeiten bereitstellen.

3. Was ist neu – weniger als gedacht
Da nach deutschem Recht bereits vor Erlass der DS-GVO ein im EU-Vergleich hoher Datenschutz galt, sind nicht alle Grundsätze der DS-GVO sind aus der Perspektive deutscher Unternehmen neu. So sind das Gebot der Datensparsamkeit, der Daten-Zweckbindung, der Datenrichtigkeit sowie des Verbots mit Erlaubnisvorbehalt, wonach das Erheben personenbezogener Daten grundsätzlich verboten ist, dies jedoch unter Erlaubnisvorbehalt steht, im BDSG-alt niedergelegt.

Weitere Grundsätze, die sich in Deutschland gewohnheits- oder richterrechtlich herausgebildet haben, sind nun in der DS-GVO ausdrücklich festgelegt.

3.1 Datensicherheit
In Art. 32 DS-GVO ist die Datensicherheit, geregelt. Danach haben die Verantwortlichen bei der Verarbeitung von Daten durch geeignete Maßnahmen ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Je höher das Risiko für die Rechte des Betroffenen, desto stärker müssen die getroffenen Schutzmaßnahmen sein.

3.2 Recht auf Vergessen
In Art. 17 DS-GVO ist nun ausdrücklich das Recht der betroffenen Person auf Vergessen beziehungsweise „Vergessen-werden“ normiert. Die betroffene Person ist unter den dort genannten Voraussetzungen berechtigt, von dem Verantwortlichen das Löschen der gespeicherten Daten zu verlangen. Der Verantwortliche ist sodann verpflichtet, personenbezogene Daten unverzüglich zu löschen. Die relevantesten Löschungsgründe sind hierbei Art. 17 a) DS-GVO, der Zweck der Datenverarbeitung ist weggefallen, Art. 17 b) DS-GVO, der Betroffene hat die Einwilligung widerrufen sowie Art. 17 d) DS-GVO die Datenverarbeitung als solche war bereits unrechtmäßig.

Die Pflicht zur Löschung sowie Grenzen dieser Pflicht sind zudem in § 35 BDSG-neu geregelt. Nach § 35 Abs. 3 BDSG-neu tritt unter gewissen Voraussetzungen an die Stelle der Löschung die Sperrung der Daten.

In engem Zusammenhang damit steht das Auskunftsrecht, das bereits im alten BDSG geregelt war und nun in Art. 25 DS-GVO niedergelegt ist. Dieses Recht gehört zur zentralen Rechtsschutzmöglichkeit von Betroffenen. Ausnahmen sind in § 34 BDSG-neu geregelt.

Der Antrag auf Auskunft ist formfrei. Die Auskunft hat dann grundsätzlich in der vom Betroffenen gewünschten Form zu erfolgen. Es gilt für die Darstellung der Auskunft in jedem Fall das Genauigkeits- sowie das Verständlichkeitsgebot.

3.3. Recht auf Datenübertragbarkeit
Neu ist auch das in Art. 20 DS-GVO geregelte Recht auf Datenübertragbarkeit. Dieses Recht umfasst nicht nur die Zurverfügungstellung der gespeicherten Daten in einem übertragbaren Format an den Betroffenen, sondern auch den Anspruch auf unmittelbare Übertragung der Daten auf einen Dritten.

3.4. Rechenschaftspflicht
Datenverantwortliche sind künftig gem. Artikel 5 Absatz 2 DS-GVO zur Rechenschaft darüber verpflichtet, dass alle Datenschutzprinzipien eingehalten worden sind.

3.5. Einwilligung
Die Einwilligungen der Nutzer waren bereits vor der Datenschutz-Grundverordnung ein wesentlicher Aspekt der Verarbeitung personenbezogener Daten, insbesondere im Bereich des Marketings. Mit der DS-GVO haben sich die Anforderungen an eine wirksame Einwilligung erhöht. Dieses birgt für Händler/Unternehmen ein erhöhtes Risiko für Abmahnungen und behördliche Sanktionen.

Wie schon nach dem BDSG-alt, dort §§ 3 und 4a, liegt auch gem. Art. 6 Abs. 1 lit. a) DS-GVO nur dann eine wirksame Einwilligung – mit der Folge der rechtmäßigen Datenverarbeitung – vor, wenn die Einwilligung in Kenntnis des geplanten Zwecks der Erhebung, Verarbeitung oder Nutzung der personenbezogenen Daten abgegeben wurde.

Zudem muss die Einwilligung – unter Beachtung der in Art. 7 Abs. 2 DS-GVO festgelegten Formalien – freiwillig erfolgen.

Art. 7 Abs. 4 DS-GVO sowie Erwägungsgrund 43 legen Kriterien für die Freiwilligkeit fest. Es ist daher bei dem Einholen einer Einwilligung zu beachten, dass ein zwischen den Parteien bestehendes klares Ungleichgewicht grundsätzlich der Freiwilligkeit der Einwilligung entgegensteht. Das ist insbesondere dann anzunehmen, wenn die Versagung der Einwilligung zur Datenverarbeitung schwerwiegende Folgen für die einwilligende Partei mit sich bringen würde. Das kann beispielsweise bei Versagen einer Einstellung für den Fall, dass der neue Arbeitnehmer dem Arbeitgeber nicht die Einwilligung erteilt, seine Daten über das für das Arbeitsverhältnis notwendige Maß hinaus zu verarbeiten.

Ebenso wenig dürfen gem. Art. 7 Abs. 4 DS-GVO Verantwortliche die Erfüllung von Verträgen davon abhängig machen, dass die betroffene Person in die Verarbeitung solcher personenbezogenen Daten, die für die Erfüllung des Vertrages nicht erforderlich sind, einwilligt.

Die Schriftform ist nicht zwingend erforderlich. Es genügt eine unverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer eindeutigen bestätigenden Handlung, mit der die betroffene Person ihr Einverständnis zur Verarbeitung der sie betreffenden Daten erteilt. Dies kann grundsätzlich auch die Nutzung einer Seite nach entsprechender ausreichender Information sein. Zu beachten ist jedoch vorliegend die Nachweispflicht gemäß Artikel 7 Abs. 1 DS-GVO.

Insofern ist eine Einwilligung in Schriftform einfacher zu belegen. Auch eine Einwilligung durch das Setzen eines Hakens oder das Anklicken eines Feldes ist denkbar. Jedoch muss hier auch das entsprechende Erfüllen der Informationspflicht nachweisbar vorliegen. Wie auch schon bisher, genügen das Opt-out Verfahren oder das automatische Vorankreuzen nicht den Anforderungen an eine wirksame Einwilligung.

a) Fortgelten bestehender Einwilligungen
Sofern bereits vor dem 25. Mai 2018 eingeholte Einwilligungen den Bedingungen der DS-GVO entsprechen, haben diese weiterhin Geltung (so Erwägungsgrund 171 der DS-GVO).

b) Einwilligungsmanagement
Die bisherigen Einwilligungen nach dem BDSG-alt erfüllen regelmäßig nicht den Standard der durch die DS-GVO in Art. 13 DS-GVO normierten Informationspflicht. Gemäß des 42. Erwägungsgrundes der DS-GVO wird allerdings als Kerninformationsgehalt darauf abgestellt, dass eine vom Verantwortlichen formulierte Einwilligungserklärung in verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zur Verfügung gestellt wird, keine missverständlichen Klauseln beinhaltet und die betroffene Person mindestens darüber informiert, wer der Verantwortliche ist und zu welchen Zwecken ihre personenbezogenen Daten verarbeitet werden sollen.

Es empfiehlt sich, zu prüfen und zu dokumentieren, an welchen Stellen personenbezogene Daten auf welcher Grundlage verarbeitet werden, um bestehende Prozesse und insbesondere bestehende, fortgeltende Einwilligungen, den neuen Anforderungen anzupassen und jedenfalls zu dokumentieren.

B. Verantwortliche / Auftrags(daten)verarbeiter/Betroffene
1. Verantwortliche und Auftragsverarbeiter

Die Verantwortlichen im Bereich Datenschutz sind künftig nicht nur die Unternehmen selbst, sondern ebenso die beauftragten Dienstleister, die bislang als Auftragsdatenverarbeiter und nun als Auftragsverarbeiter bezeichnet werden.

Damit legt die DS-GVO den Auftragsverarbeitern eigene Verantwortung und Pflichten auf. Nach Art. 29 DS-GVO ist der aufgrund eines Auftrages tätige Dienstleister weisungsgebunden. Er führt also die Verarbeitung für den Auftraggeber nicht als Dritter i.S. d. Art. 4 Nr. 10 DS-GVO durch. Die Verarbeitung durch den Auftragsverarbeiter wird grundsätzlich dem Verantwortlichen zugerechnet.

Die Umsetzung der Grundsätze der DS-GVO in Verbindung mit Dienstleistungsverträgen und Auftragsverarbeitung richtet sich des Weiteren nach § 62 BDSG-neu. Nach dieser Vorschrift bleibt der Auftraggeber im Falle von Auftragsverarbeitung vollumfänglich für die Einhaltung der Bestimmungen des BDSG-neu und der DS-GVO verantwortlich. Rechte von datenschutzrechtlich Betroffenen sind somit ausschließlich gegen den Auftraggeber geltend zu machen. Bei der Auswahl des Auftragnehmers ist daher dessen Tauglichkeit, insbesondere hinsichtlich der Sicherheitsvorkehrungen von Bedeutung.

Der Auftrag muss schriftlich erteilt werden. Die zu notwendigen Inhalte des Auftrags sind in Art. 28 Abs. 3 DS-GVO, § 62 BDSG-neu geregelt.

Es muss in diesem Zusammenhang von Seiten des Auftragsgebers sichergestellt werden, dass personenbezogene Daten (auch) beim Auftragsverarbeiter berichtigt, gelöscht oder gesperrt werden können. Der Auftraggeber hat sich vor Beginn der Datenverarbeitung und sodann regelmäßig von der Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen zu überzeugen. Das Ergebnis ist zu dokumentieren.

2. Pflichten von Verantwortlichen
Abweichend vom bisherigen Datenschutzrecht sind nach dem neuen Datenschutzrecht Verfahren automatisierter Verarbeitungen von personenbezogenen Daten vor ihrer Inbetriebnahme nicht zu melden. An die Stelle dieser früheren Meldepflicht ist die bereits oben unter A.3.d) benannte Rechenschaftspflicht getreten. Es bestehen zudem folgende weiteren Pflichten:

2.1. Verzeichnis von Verarbeitungstätigkeiten
Gem. Artikel 30 DS-GVO besteht die Pflicht, ein Verzeichnis aller Verarbeitungstätigkeiten zu führen. Die Pflicht ein solches Verfahrensverzeichnis zu führen, ist unabhängig von der Pflicht zur Benennung eines Datenschutzbeauftragten und trifft die meisten Unternehmen, da meist nicht nur gelegentlich personenbezogene Daten erhoben werden. Insofern ist die im Gesetz genannte Mitarbeiterzahl von 250 (s.u. „Ausnahmen“) ohne wirkliche Bedeutung. Die Anzahl der Mitarbeiter, die personenbezogene Daten erheben, ist (ebenfalls) unerheblich für die Pflicht zur Führung eines Verarbeitungsverzeichnisses.

Verantwortlich für das Verzeichnis gegenüber den Aufsichtsbehörden ist das Unternehmen, ggf. v.d.d. Geschäftsführer/Vorstand, also NICHT der Datenschutz­beauftragte. Gleichwohl kann die Tätigkeit als solche im Unternehmen weitergereicht werden, z.B. auf einen IT-Verantwortlichen – ohne allerdings einer Verlagerung der Verantwortlichkeit. Sofern ein Datenschutzbeauftragter zu benennen ist, sollte dieser zur Erstellung des Verzeichnisses herangezogen werden.

Ausnahmen? Eher selten:
Betriebe mit weniger als 250 Mitarbeitern

Von der Erstellung eines solchen Verzeichnisses sind Betriebe mit weniger als 250 Mitarbeitern, bei denen die Verarbeitung nur gelegentlich erfolgt, befreit. Da schon eine Lohnbuchhaltung eine regelmäßige Datenverarbeitung erfordert und viele Betriebe regelmäßig Kundendaten erfassen, wird diese Ausnahmeregelung nur in den Fällen greifen, in denen die Verarbeitung gegenüber dem Hauptgeschäftsbetrieb eine deutlich nachrangige Nebentätigkeit darstellt. Das kann z.B. bei einem Handwerksbetrieb angenommen werden, der die Daten seiner Kunden erfasst und in dem auch die Lohnbuchhaltung nur einen Bruchteil der geschäftlichen Tätigkeit darstellt. Ich weise jedoch ausdrücklich darauf hin, dass es diesbezüglich unterschiedliche Ansichten gibt. Sofern daher im konkreten Fall Zweifel bestehen, sollte ein Verzeichnis geführt werden. Es ist zu hoffen, dass die Aufsichtsbehörden den Begriff „nicht nur gelegentlich“ zeitnah konkretisieren.

Des Weiteren sind Betriebe mit weniger als 250 Mitarbeitern befreit, sofern die vorgenommene Verarbeitung kein Risiko für die Rechte und Freiheiten der betroffenen Personen oder keine besonders sensiblen Datenkategorien oder strafrechtlich relevanten Daten betrifft. Bei dem Risiko für Rechte und Freiheiten muss es sich um ein spezielles, objektiv bestimmbares Risiko handeln, so dass jedenfalls überwachenden Tätigkeiten (auch Video- und/oder Standortüberwachung) ein solches Risiko immanent ist.

Die sog. sensiblen Datenkategorien sind in Art. 9 Abs. 1 DSGVO aufgeführt und erfassen Daten über:

Rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen, die Gewerkschaftszugehörigkeit, genetische Daten, biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten, Daten zum Sexualleben oder der sexuellen Orientierung.

So ist insbesondere im Gesundheitswesen aufgrund der explizit in Art. 9 Abs. 1 DSGVO aufgeführten Gesundheitsdaten grds. immer ein Verzeichnis zu führen.

Das Verarbeitungsverzeichnis ist schriftlich – ggf. in einem elektronischen Format – zu führen und hat folgende Angaben zu enthalten: Namen und die Kontaktdaten des oder der Verantwortlichen sowie des Vertreters des Verantwortlichen und / oder eines etwaigen Datenschutzbeauftragten; die Zwecke der Verarbeitung; eine Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten; die Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, einschließlich Empfänger in Drittländern oder internationalen Organisationen; gegebenenfalls Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation, einschließlich der Angabe des betreffenden Drittlands oder der betreffenden internationalen Organisation, sowie bei den in Artikel 49 Absatz 1 Unterabsatz 2 DS-GVO genannten Datenübermittlungen die Dokumentierung geeigneter Garantien. Zudem, wenn möglich, die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien sowie, wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Artikel 32 Absatz 1 DS-GVO.

2.2. Benennung eines Datenschutzbeauftragten
Art. 37 DS-GVO regelt die Voraussetzungen für die Benennung eines Datenschutzbeauftragten. In § 38 BDSG-neu hat der deutsche Gesetzgeber dieses noch weiter konkretisiert.

a) Mehr als 10 Personen in der Datenverarbeitung
Wenn mindestens 10 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind, ist ein Datenschutzbeauftragter zu benennen.

Zu berücksichtigen sind hierbei alle Mitarbeiter – einschließlich Auszubildende und Praktikanten -, die mit Aufgaben wie z.B. Auftragsbearbeitung, Buchhaltung, Marketing, Versandmanagement betraut sind, sofern sie diese Aufgaben ständig und automatisiert unter Einsatz von IT-Technik vornehmen. Es ist insofern unerheblich, ob die Mitarbeiter in Teil- oder Vollzeit arbeiten und/oder ob eine Vergütung gezahlt wird oder nicht (z.B. im Rahmen eines Praktikums).

Eine automatisierte Datenverarbeitung liegt immer dann vor, wenn sie mittels Computer, Smartphones, Kameras, Webcams, Dashcams (Autokameras) Scanner oder ein anderes Speichermedium (z.B. Kopierer mit Speicherfunktion) erfolgt. Auch die reine Textverarbeitung ist ausreichend, soweit personenbezogene Daten betroffen sind. Demgegenüber wird eine rein manuelle Datenverarbeitung (z.B. handschriftlich auf Karteikarten) nicht erfasst.

Eine ständige Beschäftigung setzt voraus, dass die Person sich für eine längere, meist unbestimmte Zeit mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt, ohne dass dies die ausschließliche Beschäftigung sein muss. Auch eine nur gelegentlich, etwa einmal im Monat anfallende Aufgabe erfüllt das Merkmal „ständig“, wenn die Person sie stets wahrzunehmen hat. Die Beschäftigung muss zu einem regelmäßig wiederkehrenden und festen Bestandteil ihrer Aufgaben zählen. Der zeitliche Einsatz im Verhältnis zur Gesamtarbeitszeit ist ohne Relevanz. Ebenso ist eine stundenweise Beschäftigung dann „ständig“, wenn sie auf unbestimmte oder längere Zeit ausgeübt wird. Abzustellen ist nicht auf eine bestimmte Person, denn andernfalls könnte durch Auswechseln verschiedener Personen die Regelung umgangen werden. Allerdings sind Personen, die nur gelegentlich oder vorübergehend mit der Bearbeitung befasst sind, wie z. B. während einer Urlaubsvertretung, nicht „ständig“ damit beschäftigt.

Bei kleineren Handwerksbetrieben (z.B. einer Tischlerei) ist die Verarbeitung von Kundendaten, sofern sie überhaupt automatisiert erfolgt, nicht als ständige Verarbeitung anzusehen. Und auch bei anderen kleineren und mittleren Unternehmen ist der Wille des Verordnungsgebers zu berücksichtigen. Dieser wollte solche Verarbeitungen personenbezogener Daten privilegieren, die kleine und mittlere Unternehmen, nur als Nebentätigkeit zusätzlich zu ihren Haupttätigkeiten (abzustellen ist auf die Unternehmenstätigkeit!) vornehmen.

Bei Handelsfirmen wird die Verarbeitung personenbezogener Daten, jedenfalls bei B2C regelmäßig der Haupttätigkeit zuzuordnen sein. Ab 10 Personen ist daher diese Tätigkeit auch bei KMU relevant – ein Datenschutzbeauftragter ist zu benennen.

Insofern ist dann möglicherweise relevant, ob diese Zahl durch Außendienstmitarbeiter, die „ständig“ personenbezogene Daten verarbeiten, erreicht wird. Hier ist die Tätigkeit der Außendienstmitarbeiter entsprechend zu beurteilen. In Zweifelsfällen bzw. solange es hierzu noch keine Rechtsprechung gibt, sollte die zuständige Aufsichtsbehörde um Stellungnahme gebeten werden.

Im B2B-Geschäftsverkehr ist von Bedeutung, dass dort grundsätzlich die Daten eines Unternehmens aufgenommen/verarbeitet werden und nicht regelmäßig, sondern oft nur gelegentlich zugleich auch personenbezogene Daten. Hierzu kann jedoch derzeit abschließend noch nicht Stellung genommen werden. In Zweifelsfällen sollte auch hier die zuständige Aufsichtsbehörde um Stellungnahme gebeten werden.

b) Weniger als 10 Personen?
Ausnahmeweise kommt eine Benennungspflicht auch dann in Betracht, wenn weniger als 10 Personen ständig mit der automatisierten Datenverarbeitung beschäftigt sind. Das ist dann der Fall, wenn entweder eine Datenschutz-Folgenabschätzung nach Artikel 35 DSGVO vorzunehmen ist – bei Verarbeitung sog. sensibler Daten gem. Art. 9 DS-GVO oder wenn personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung verarbeitet werden.

Eine Datenschutz-Folgenabschätzung ist insbesondere in folgenden Fällen erforderlich:

  • systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen, die sich auf automatisierte Verarbeitung einschließlich Profiling gründet und die ihrerseits als Grundlage für Entscheidungen dient, die Rechtswirkung gegenüber natürlichen Personen entfalten oder diese in ähnlich erheblicher Weise beeinträchtigen;
  • umfangreiche Verarbeitung besonderer Kategorien von personenbezogenen Daten gemäß Artikel 9 Absatz 1 DSGVO oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 DSGVO oder
  • systematische umfangreiche Überwachung öffentlich zugänglicher Bereiche;

Werden sog. sensible Daten i.S.v. Art. 9 DSGVO verarbeitet (z.B. im Gesundheitswesen, Detekteien), kommt eine Benennungspflicht auch bei weniger als 10 Personen in Betracht, Art. 37 DSGVO. Das richtet sich danach, ob die Bearbeitung die Kerntätigkeit darstellt (wird z.B. bei Arztpraxen bejaht, hingegen bei der Lohnbuchhaltung trotz z.B. Erfassung der Zugehörigkeit zu einer Religionsgemeinschaft verneint) und ob diese Bearbeitung auch umfangreich ist (wird z.B. bei Arztpraxen mit mindestens zwei ÄrztInnen bejaht).

Bei Online-Händlern/Handelsfirmen ist das grundsätzlich zu verneinen sein. Insbesondere ergibt sich auch daraus, dass u.U. vor Vertragsschluss regelmäßig Bonitätsanfragen gestellt werden, keine entsprechende Pflicht. Ebenso wenig daraus, dass bei Beschäftigten im Rahmen der Lohnbuchhaltung eine Zugehörigkeit zu einer Religionsgemeinschaft erfasst wird.

Ist ein Datenschutzbeauftragter jeweils von mehreren Unternehmen einer Unternehmensgruppe zu benennen, so kann auch ein gemeinsamer DSB benannt werden.

2.3. Datenschutz-Management-System
Die DSGVO verpflichtet Unternehmen zudem, ein Datenschutz-Management-System einzuführen. Es umfasst die Gesamtheit aller dokumentierten und implementierten Regelungen, Prozesse und Maßnahmen (TOM*s) zur Steuerung und Kontrolle des datenschutzkonformen Umgangs mit personenbezogenen Daten im Unternehmen. Die Umsetzung sollte mit einem IT-Spezialisten erfolgen und ist ggf. mit einem Datenschutzbeauftragten abzustimmen.

* TOMs = geeignete technische und organisatorische Maßnahmen

Folgende Dokumentationen aus den nachfolgenden Bereichen sollten im Rahmen eines DMS angelegt und gepflegt/aktualisiert werden:

  • Datenschutzorganisation und Verantwortlichkeit für Datenverarbeitungen

  • Sofern ein Datenschutzbeauftragter benannt ist, dessen Einbindung

  • Verzeichnis von Verarbeitungstätigkeiten

  • Sofern sog. sensible Daten (s.u. 4. „Ausnahmen“) verarbeitet werden: Datenschutz-Folgenabschätzung, Art. 35 DSGVO (wie Vorabkontrolle nach § 4d Abs. 5 BDSG beim Umgang mit sensiblen Daten)

  • Vertragsmanagement (welche Dienstleister werden eingesetzt?)

  • Datenschutz-Schulung und Verpflichtung auf das Datengeheimnis

  • Prozess zur Wahrnehmung von Betroffenenrechten

  • Meldung von Datenschutzverstößen

  • Nachweis der Datensicherheit (Umsetzung von technischen und organisatorischen Maßnahmen)

Ein DMS kann zwar bei unbeabsichtigten Datenschutzverstößen nicht mit Sicherheit den Vorwurf der Fahrlässigkeit entfallen lassen, ist jedoch nach Art. 83 Abs. 2 d) DSGVO zumindest bußgeldmindernd zu berücksichtigen. Zudem ermöglicht ein effizientes System eine schnelle Reaktion des Unternehmens, falls es tatsächlich zu Datenschutzverstößen kommt.

Im Rahmen der Datensicherheit sind vor allem die Prinzipien „Datenschutz durch Technikgestaltung“ (Privacy by Design) und „Datenschutz durch datenschutzfreundliche Voreinstellungen“ (Privacy by Default) umzusetzen.

Datenschutz durch Technikgestaltung (Privacy by Design) bedeutet, dass sich Datenschutz am effizientesten verwirklichen lässt, wenn er bereits bei Erarbeitung eines Datenverarbeitungsvorgangs technisch integriert ist. Hierzu zählen nach Erwägungsgrund 78 Maßnahmen wir die Pseudonymisierung im Sinne von Art. 25 Abs. 1 DSGVO in Verbindung mit Art. 4 Nr. 5 DSGVO oder auch die Anonymisierung.

Bei der Wahl der Maßnahmen ist zugleich zu beachten, dass die konkreten Maßnahmen auch immer unter Berücksichtigung des Stands der Technik und der Implementierungskosten auszuwählen sind.

Datenschutz durch datenschutzfreundliche Voreinstellungen (Privacy by Default) bedeutet, dass die Werkeinstellungen datenschutzfreundlich auszugestalten sind. Nach dem Grundgedanken sollen insbesondere Nutzer geschützt werden, die weniger technikaffin sind und dadurch beispielsweise nicht geneigt sind, die datenschutzrechtlichen Einstellungen ihren Wünschen entsprechend anzupassen.

IT-Systeme sind daher durch Voreinstellungen auf das zur Erfüllung des Vertragszwecks erforderliche Maß zu beschränken, es sollen dementsprechend nur diejenigen personenbezogenen Daten verarbeitet werden, die für den verfolgten Zweck auch erforderlich sind. Wesentliche Elemente dieser Datensparsamkeit sind die Trennung personenbezogener Identifizierungsmerkmale und der Inhaltsdaten, die Verwendung von Pseudonymen und Anonymisierung sowie die Löschung personenbezogener Daten sobald diese zur Erreichung des verfolgten Zwecks nicht mehr benötigt werden.

Im Rahmen des DMS sind auch die gegenüber dem Betroffenen bestehenden Pflichten, insbesondere die Auskunfts- und die Löschungspflicht zu beachten.

2.4. Informationspflichten – Datenschutzerklärungen/-informationen
Die betroffenen Personen (Kunden, Interessenten, Beschäftigte) sind über die ggf. unterschiedlichen Arten der Verarbeitung ihrer Daten zu informieren. Dies hat insbesondere in einer transparenten, leicht zugänglichen Form sowie in einer klaren und einfachen Sprache zu erfolgen (Art. 12 DS-GVO).

Es sind je nach Art der Kontaktaufnahme (online/offline) die passenden Informationen zu überlassen. Dazu zählen insbesondere:

  • Identität des Verantwortlichen
  • Ggf. Kontaktdaten des Datenschutzbeauftragten
  • Zwecke und Rechtsgrundlage(n) für die Verarbeitung personenbezogener Daten, erforderlichenfalls Angabe des berechtigten Interesses (bei Rechtsgrundlage Art. 6 Abs. 1 Buchstabe f)
  • Empfänger der Daten (auch Auftragsverarbeiter!)
  • Dauer der Speicherung, ggf. Kriterien für die Festlegung der Speicherdauer
  • Hinweis auf die Rechte der betroffenen Personen
  • Bei Datenverarbeitung auf Basis von Einwilligungen:
    • Hinweis auf Recht zum Widerruf
    • Recht auf Beschwerde bei der Aufsichtsbehörde
    • Herkunft der Daten

Die Betroffenen sind außerdem insbesondere auf folgende Rechte hinzuweisen:

  • Recht auf Auskunft
  • Recht auf Berichtigung
  • Recht auf fristgemäße Löschung der verarbeiteten Daten
  • Recht auf Einschränkung der Verarbeitung (Sperrung)
  • Recht auf Datenübertragbarkeit

Im Falle der Erhebung der Daten bei Dritten gem. Art. 14 DSGVO ergeben sich nahezu dieselben Informationspflichten.

Unklarheit besteht derzeit noch darüber, wann und wie die notwendige Information bei besonderen Verarbeitungssituationen (z.B. telef. Bestellannahme, Automatenverkauf, Postkarte für Gewinnspiel) der betroffenen Person zur Verfügung gestellt werden muss. Insbes. das Vorlesen der umfangreichen Informationen im Zeitpunkt der Erhebung ist in der Praxis kaum zu realisieren und letztlich wenig kundenfreundlich.

Weder die DS-GVO noch das BDSG-neu nehmen hierzu Stellung. Derzeit wird diskutiert, dass die Informationen für die Betroffenen je nach Bedeutsamkeit auf mehreren Ebenen (1st und 2nd Level) verteilt werden dürfen, solange die Gesamtheit dieser Ebenen den rechtlichen Anforderungen entspricht. In der Praxis wird aber auch diese Verteilung Probleme bereiten. Denn schon die sog. 1st Level-Informationen sind umfangreich und können ein Telefongespräch leicht überfrachten. So zählen zu den 1st Level Informationen in jedem Fall die Benennung des Verantwortlichen, der Zweck der Datenverarbeitung sowie die Kategorien von Empfängern.

Hilfreich ist es sicherlich, sofern möglich in den Unterlagen, die von dem Betroffenen für eine Bestellung herbeigezogen werden (Website, Katalog) umfassende Datenschutz­informationen zu veröffentlichen.

C. Arbeitsrecht und Datenschutz – Beschäftigtendatenschutz
Der Beschäftigtendatenschutz ist in der EU-Datenschutz-Grundverordnung nicht direkt geregelt worden. Vielmehr wurde durch eine Öffnungsklausel in Art. 88 DS-GVO auf die Gesetzgebung der Mitgliedsstaaten verwiesen. Von dieser hat die Bundesregierung Gebrauch gemacht. Eine entsprechende Regelung findet sich nunmehr in § 26 BDSG-neu.

Beschäftigte im Sinne des § 26 BDSG-neu sind Arbeitnehmerinnen und Arbeitnehmer, einschließlich der Leiharbeitnehmerinnen und Leiharbeitnehmer im Verhältnis zum Entleiher, zu ihrer Berufsbildung Beschäftigte, Teilnehmerinnen und Teilnehmer an Leistungen zur Teilhabe am Arbeitsleben sowie an Abklärungen der beruflichen Eignung oder Arbeitserprobung, in anerkannten Werkstätten für behinderte Menschen Beschäftigte, Freiwillige, die einen Dienst nach dem Jugendfreiwilligendienstegesetz oder dem Bundesfreiwilligendienstgesetz leisten, Personen, die wegen ihrer wirtschaftlichen Unselbständigkeit als arbeitnehmerähnliche Personen anzusehen sind; zu diesen gehören auch die in Heimarbeit Beschäftigten und die ihnen Gleichgestellten sowie Beamtinnen und Beamte des Bundes, Richterinnen und Richter des Bundes, Soldatinnen und Soldaten und Zivildienstleistende. Auch Bewerberinnen und Bewerber für ein Beschäftigungsverhältnis sowie Personen, deren Beschäftigungsverhältnis beendet ist, gelten als Beschäftigte i.S.d. § 26 BDSG-neu.

1. Umgang mit Mitarbeitern im Arbeitsverhältnis
Personenbezogene Daten von Beschäftigten dürfen für Zwecke des Beschäftigungs­verhältnisses verarbeitet werden, wenn dies für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses oder nach Begründung des Beschäftigungsverhältnisses für dessen Durchführung oder Beendigung oder zur Ausübung oder Erfüllung der sich aus einem Gesetz oder einem Tarifvertrag oder einer Betriebs- oder Dienstvereinbarung ergebenden Rechte und Pflichten der Interessenvertretung der Beschäftigten erforderlich ist.

Zur Aufdeckung von Straftaten dürfen personenbezogene Daten von Beschäftigten nur dann verarbeitet werden, wenn zu dokumentierende tatsächliche Anhaltspunkte den Verdacht begründen, dass die betroffene Person im Beschäftigungsverhältnis eine Straftat begangen hat, die Verarbeitung zur Aufdeckung erforderlich ist und das schutzwürdige Interesse der oder des Beschäftigten an dem Ausschluss der Verarbeitung nicht überwiegt. Dies bedeutet insbesondere dass Art und Ausmaß der Datenverarbeitung im Hinblick auf den Anlass nicht unverhältnismäßig sind.

Zudem ist die Verarbeitung besonderer Kategorien personenbezogener Daten im Sinne des Artikels 9 DS-GVO (s.o. B.2.2) für Zwecke des Beschäftigungsverhältnisses dann zulässig, wenn sie zur Ausübung von Rechten oder zur Erfüllung rechtlicher Pflichten aus dem Arbeitsrecht, dem Recht der sozialen Sicherheit und des Sozialschutzes erforderlich ist und kein Grund zu der Annahme besteht, dass das schutzwürdige Interesse der betroffenen Person an dem Ausschluss der Verarbeitung überwiegt.

2. Lichtbilder von Mitarbeitern
Gemäß Erwägungsgrund 51 soll die Verarbeitung von Lichtbildern nicht grundsätzlich als Verarbeitung besonderer Kategorien von personenbezogenen Daten angesehen werden, da Lichtbilder nur dann von der Definition des Begriffs „biometrische Daten“ erfasst werden, wenn sie mit speziellen technischen Mitteln verarbeitet werden, die die eindeutige Identifizierung oder Authentifizierung einer natürlichen Person ermöglichen.

Sofern diese Bilder jedoch zu kommerziellen Zwecken, z.B. in Broschüren oder auf einer Internetseite, genutzt werden sollen, sind vorliegend zunächst die §§ 22, 23 KunsturheberG (KUG) einschlägig. Gemäß § 22 KUG ist eine Einwilligung der/s Abgebildeten notwendig. Sofern eine Entlohnung für die Aufnahme/n gezahlt wurde, gilt dieses als vermutete Einwilligung. Andernfalls bedarf es einer ausdrücklichen Einwilligung. Das entspricht dann im Verhältnis Arbeitgeber/Arbeitnehmer auch dem § 26 BDSG-neu. Danach hat die Einwilligung freiwillig und schriftlich sowie unter Hinweis auf das Widerrufsrecht zu erfolgen (im Einzelnen s.u. Ziffer 6.).

3. Videoüberwachung vom Arbeitsplatz
§ 26 BDSG-neu regelt die Zulässigkeit von Videoüberwachungen nicht explizit. Gemäß § 26 BDSG-neu darf der Arbeitgeber auf Daten zugreifen, die für die Durchführung des jeweiligen Arbeitsverhältnisses „erforderlich“ sind. Allerdings ist der Begriff „erforderlich“ vorliegend nicht legal-definiert. Das Bundesarbeitsgericht hat durch seine Rechtsprechung bisher festgelegt, dass der Einsatz technischer Geräte nur dann „erforderlich“ ist, wenn kein anderes milderes Mittel zur Verfügung steht. Außerdem ist darauf zu achten, dass der Einsatz der Geräte datenschonend zu erfolgen hat.

Da § 26 BDSG-neu nahezu wortgleich mit § 32 Abs. 1 Satz 2 BDSG-alt ist, wird für eine zulässige offene Videoüberwachung Voraussetzung sein, dass berechtigte Interessen des Unternehmens an einer Überwachung vorliegen, die Videoüberwachung sowohl geeignet als auch erforderlich zur Wahrung der berechtigter Interessen ist und keine Anhaltspunkte dafür bestehen, dass schutzwürdige Interessen der Betroffenen an der Videoüberwachung überwiegen.

4. GPS Tracking
Eine dauerhafte Kontrolle des Beschäftigten durch Ortungssysteme ist grundsätzlich unzulässig. Dem steht auch eine etwaige Einwilligung des Beschäftigten nicht entgegen, da hierbei nicht von einer Freiwilligkeit der Einwilligung ausgegangen werden kann. In eng auszulegenden Ausnahmefällen kann eine gezielte Überwachung jedoch zulässig sein, wenn begründete und dokumentierte Anhaltspunkte dafür vorliegen, dass der Beschäftigte eine Straftat begangen hat, die mittels Ortungstechnik beweisbar wird oder sofern der GPS-Einsatz zum Zwecke der Durchführung eines Beschäftigungsverhältnisses unbedingt erforderlich ist. Hierbei ist jedoch eine restriktive Handhabung besonders geboten, da man sich schnell im Bereich des Unzulässigen bewegt.

5. Umgang mit Mitarbeiterdaten nach Beendigung des Arbeitsverhältnisses
Der Arbeitgeber unterliegt der gesetzlich normierten Speicherbegrenzung. Die Verarbeitung von Mitarbeiterdaten muss darüber hinaus der Zweckbindung entsprechen. Aus dem Grundsatz der Zweckbindung ergibt sich, dass die Einwilligung grundsätzlich auf den Zeitraum beschränkt ist, für den das Arbeitsverhältnis besteht. Der Mitarbeiter kann somit auch als bereits ausgeschiedener Beschäftigter i.S.v. § 26 Abs. 8 S. 2 BDSG-neu verlangen, dass eine Löschung der Daten erfolgt. Ihm steht das Recht aus Art. 17 DS-GVO zu. Die Daten sind also zu löschen, wenn der Zweck der Speicherung entfällt. Wurde der Arbeitgeber gebeten, die Daten zu entfernen, ist die weitere Veröffentlichung der Daten unzulässig. Allerdings besteht die Löschungspflicht auch hier nur in den Grenzen des Art. 17 DS-GVO. Beispielsweise müssen Mitarbeiterdaten nicht gelöscht werden, wenn diese noch zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen benötigt werden, Art. 17 Abs. 3 e) DS-GVO. Das gleiche gilt für Erfüllung einer rechtlichen Verpflichtung gem. § 17 Abs. 3 b) DS-GVO.

6. Einwilligungen (Probleme und Voraussetzungen)
Erfolgt die Verarbeitung personenbezogener Daten von Beschäftigten auf der Grundlage einer Einwilligung, so muss diese freiwillig erfolgen. Für die Beurteilung der Freiwilligkeit der Einwilligung sind insbesondere die im Beschäftigungsverhältnis bestehende Abhängigkeit der beschäftigten Person sowie die Umstände, unter denen die Einwilligung erteilt worden ist, zu berücksichtigen. Eine Einwilligung ist zumindest dann nicht freiwillig, wenn der Beschäftigte negative Konsequenzen im Falle des Verweigerns der Einwilligung zu befürchten hat. Freiwilligkeit kann hingegen insbesondere vorliegen, wenn für die beschäftigte Person ein rechtlicher oder wirtschaftlicher Vorteil erreicht wird oder Arbeitgeber und beschäftigte Person gleichgelagerte Interessen verfolgen. Die Einwilligung bedarf der Schriftform, soweit nicht wegen besonderer Umstände eine andere Form angemessen ist. Der Arbeitgeber hat die beschäftigte Person über den Zweck der Datenverarbeitung und über ihr Widerrufsrecht in Textform aufzuklären.

Eine Einwilligung bezüglich der Verarbeitung besonderer Kategorien personenbezogener Daten im Sinne des Artikels 9 DS-GVO muss sich dabei ausdrücklich auf diese Daten beziehen.

D. Sanktionen
Für die effektive Durchsetzung des Datenschutzrechts sind aufgrund der DS-GVO weitaus höhere Sanktionen möglich als nach der umgesetzten Richtlinie 95/46/EG. Zudem können diese nicht nur gegen private Unternehmen sondern auch gegen Behörden erlassen werden. Die Höhe des Bußgeldes für Ordnungswidrigkeiten ist nun für administrative Vergehen auf bis zu 10 Millionen Euro oder zwei Prozent des globalen Umsatzes festgelegt und für fundamentale Vergehen auf 20 Millionen Euro oder vier Prozent des globalen Umsatzes. Entscheidend ist welcher Betrag höher ist. Die Unterscheidung richtet sich danach, ob es sich im Ergebnis um einen technischen Fehler handelt oder ob bewusst das Datenschutzrecht inhaltlich hat verletzt wurde.