FAQ Datenschutzrecht
Wann müssen die Vorgaben der DSGVO beachtet werden?
Die EU-Datenschutzgrundverordnung (DSGVO) gilt für jede Verarbeitung personenbezogener Daten. Voraussetzung ist lediglich, dass die Verarbeitung ganz oder teilweise automatisiert erfolgt. Das ist der Fall, wenn Datenverarbeitungsanlagen zum Einsatz kommen. In räumlicher Hinsicht findet die DSGVO Anwendung, wenn die Verarbeitung im Rahmen einer Tätigkeit innerhalb der Europäischen Union erfolgt, und zwar unabhängig davon, ob die tatsächliche Verarbeitung in der EU stattfindet. Nach dem sog. Marktortprinzip gilt die DSGVO auch für datenverarbeitende Stellen außerhalb der EU, wenn diese Waren oder Dienstleistung in der EU anbieten.
Was sind personenbezogene Daten?
Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare Person beziehen (Art. 4 Nr. 1 DSGVO). Eine Person gilt als identifiziert, wenn sich die Identität unmittelbar aus der Information selbst ergibt, wie z. B. Name, Anschrift und Geburtsdatum. Ausreichend ist aber auch, wenn die Person identifizierbar ist. Das ist der Fall, wenn die Information für sich genommen noch nicht mit einer Person verknüpft werden kann, ein Bezug sich aber durch die Hinzuziehung von Zusatzinformationen herleiten lässt. Eine Person ist daher identifizierbar, wenn sie direkt oder indirekt, etwa mittels Zuordnung zu einer Online-Kennung oder zu Standortdaten identifiziert werden kann.
Findet die DSGVO auf anonyme und anonymisierte Daten Anwendung?
Bei anonymen Daten handelt es sich um Informationen, die von sich vornherein nicht auf eine identifizierte oder identifizierbare Person beziehen. Anonymisierte Daten sind solche Informationen, bei denen identifizierende Merkmale entfernt wurden, so dass auch hier keine Identifikation stattfinden kann. Anonyme oder anonymisierte Daten unterliegen nicht dem Anwendungsbereich der DSGVO. Allerdings ist der Vorgang der Anonymisierung von personenbezogenen Daten datenschutzrechtlich relevant und setzt voraus, dass ein Erlaubnistatbestand (z. B. eine Einwilligung oder eine Verarbeitung auf Grundlage eines berechtigten Interesses) vorliegt.
Wann gelten Daten als anonym?
Nach Maßgabe der DSGVO gelten Daten dann als anonym, wenn sie sich nicht auf eine natürliche Person beziehen oder in einer Weise anonymisiert worden sind, also so bearbeitet wurden, dass die betroffene Person nicht identifiziert werden kann. Bei der Feststellung, ob eine natürliche Person identifizierbar ist, sollen alle Mittel berücksichtigt werden, die nach allgemeinem Ermessen wahrscheinlich genutzt werden, um die natürliche Person zu identifizieren. Dabei sollen alle objektiven Faktoren, wie die Kosten der Identifizierung und der dafür erforderliche Zeitaufwand, herangezogen werden, wobei die zum Zeitpunkt der Verarbeitung verfügbaren Technologien und technologische Entwicklungen zu berücksichtigen sind. Damit kommt es bei der Beurteilung der Personenbeziehbarkeit sehr stark auf die Fähigkeiten und Mittel der verarbeitenden Stelle an. Eine absolute Anonymisierung in der Gestalt, dass die Wiederherstellung des Personenbezugs für niemanden möglich ist, ist häufig nicht zu erreichen und datenschutzrechtlich auch nicht gefordert. Ausreichend ist in der Regel, dass der Personenbezug derart aufgehoben wird, dass eine Re-Identifizierung praktisch nicht durchführbar ist, weil der Personenbezug nur mit einem unverhältnismäßigen Aufwand an Zeit, Kosten und Arbeitskraft wiederhergestellt werden kann.
Findet die DSGVO auf pseudonymisierte Daten Anwendung?
Bei pseudonymen Daten handelt es sich um Daten, die einer Person nicht zugeordnet werden können, ohne zusätzliche Informationen hinzuzuziehen. Hierzu werden identifizierende Merkmale durch Pseudonyme ersetzt (z.B. durch eine alphanumerische Zeichenfolge). Diese zusätzlichen identifizierenden Informationen müssen getrennt von den eigentlichen Daten aufbewahrt werden. Zusätzlich müssen technische-organisatorische Maßnahmen gewährleisten, dass keine Zuordnung stattfindet. Anders als bei anonymen Daten finden die Regelungen der DSGVO bei der Verarbeitung von pseudonymen Daten Anwendung. Das gilt zumindest für die Fälle, in denen die Informationen, die eine Zuordnung der Daten zu einer Person erlauben (Zuordnungsregel), im Einflussbereich des Verantwortlichen verbleiben. Nur in Fällen, in denen ausgeschlossen werden kann, dass der Verantwortliche Zugriff auf die Zuordnungsregel erhält, handelt es sich nicht um personenbezogene Daten, sondern um anonyme Daten.
Was bedeutet Datenverarbeitung und welche Vorgänge fallen hierunter?
Der Begriff der Datenverarbeitung ist weit zu verstehen und umfasst nahezu jede Form des Datenumgangs, von der Datenerhebung, -speicherung, -anpassung bis hin zur Datenübermittlung, -bereitstellung und -löschung von personenbezogenen Daten (vgl. im Einzelnen Art. 4 Nr. 2 DSGVO).
Welche datenschutzrechtlichen Grundsätze sind beim Umgang mit personenbezogenen Daten zu beachten?
Bei der Verarbeitung von personenbezogenen Daten sind die in Art. 5 DSGVO normierten Grundsätze zu berücksichtigen. Bei dem Katalog an Grundsätzen handelt es sich um verbindliche Maßstäbe, die an verschiedenen Stellen in der DSGVO weiter konkretisiert werden. Zu den Datenschutzgrundsätzen gehören:
Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz
- Zweckbindung
- Datenminimierung
- Richtigkeit
- Speicherbegrenzung
- Integrität und Vertraulichkeit
Die datenverarbeitende Stelle ist für die Einhaltung der datenschutzrechtlichen Grundsätze verantwortlich und muss darüber hinaus deren Einhaltung auch nachweisen können (sog. Rechenschaftspflicht).
Der persönliche Anwendungsbereich – für wen gilt DSGVO?
Adressat der datenschutzrechtlichen Pflichten ist der Verantwortliche, also diejenige Stelle oder Person, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung entscheidet. Hierfür ist nicht erforderlich, dass der Verantwortliche die Daten selbst verarbeitet. Es genügt, dass er die Entscheidungsgewalt über die Datenverarbeitung ausübt. Der Verantwortliche muss die Einhaltung des Datenschutzes sicherstellen. Hierzu gehört u. a. die Gewährleistung der datenschutzrechtlichen Grundsätze, aber auch die Umsetzung von technischen und organisatorischen Maßnahmen zum Schutz von personenbezogenen Daten (Art. 25 DSGVO). Zudem muss der Verantwortliche die Einhaltung der datenschutzrechtlichen Pflichten nachweisen können und ist bei Datenschutzverstößen Adressat von etwaigen Bußgeldern und Schadensersatzansprüchen.
Unter welchen Voraussetzungen dürfen personenbezogene Daten verarbeitet werden?
Die Verarbeitung von personenbezogenen Daten ist nur zulässig, wenn sie sich auf einen Erlaubnistatbestand stützen kann. Oder umgekehrt formuliert: Die Verarbeitung von personenbezogenen Daten ist verboten, sofern sie nicht durch einen Erlaubnistatbestand gedeckt ist (Verbot mit Erlaubnisvorbehalt). Die DSGVO nennt in Art. 6 verschiedene Tatbestände, die zu einer Zulässigkeit der Datenverarbeitung führen. Eine Verarbeitung von personenbezogenen Daten ist insbesondere zulässig, wenn die betroffene Person ihre Einwilligung erteilt hat. Daneben ist eine Datenverarbeitung auch zulässig, wenn sie für die Erfüllung eines Vertrags oder zur Durchführung vorvertraglicher Maßnahmen erforderlich ist. Ein weiter wichtiger Erlaubnistatbestand ist die sog. Interessensabwägung: Danach ist die Verarbeitung von personenbezogenen Daten zulässig, wenn sie zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist. Voraussetzung ist aber, dass die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person nicht überwiegen.
Wann liegt ein Fall der gemeinsamen Verantwortlichkeit vor?
In plattformbasierten Wertschöpfungsnetzen ist es möglich, dass Mittel und Zweck der Datenverarbeitung nicht nur durch einen, sondern durch mehrere (gemeinsam) Verantwortliche bestimmt werden (Art. 26 DSGVO). Die gemeinsam Verantwortlichen müssen sich in diesem Fall einigen, wer welche DSGVO-spezifische Verpflichtung umsetzen soll. Die Einigung ist in einer entsprechenden Vereinbarung festzuhalten. Von der gemeinsamen Verantwortlichkeit abzugrenzen ist die sog. Auftragsvereinbarung (Art. 28 DSGVO). Auftragsverarbeiter ist, wer im Auftrag des Verantwortlichen tätig wird.
Was ist eine Auftragsdatenverarbeitung?
Auftragsverarbeiter ist eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet (Art. 4 Nr. 8 DSGVO). Ein Fall von Auftragsverarbeitung liegt häufig vor, wenn bestimmte Datenverarbeitungsprozesse an einen technischen Dienstleister ausgelagert werden. Anders als der Verantwortliche bestimmt der Auftragsverarbeiter nicht die Mittel und Zwecke der Datenverarbeitung, sondern agiert gewissermaßen als „verlängerter Arm“ auf Weisung des Verantwortlichen. Die DSGVO stellt in Art. 28 Anforderungen an die Zulässigkeit einer Auftragsverarbeitung. Notwendig ist der Abschluss eines Auftragsverarbeitungsvertrags (AVV). Hierin müssen die wesentlichen Festlegungen zum Umgang der beauftragten Datenverarbeitung enthalten sein. Zudem müssen die gesetzlich normierten Rechte und Pflichten der Beteiligten vereinbart werden, wie etwa die Weisungsbefugnis des Auftraggebers und die Pflicht des Auftragsverarbeiters, die Weisungen zu dokumentieren. Erforderlich ist zudem eine vertragliche Regelung hinsichtlich der Einhaltung der Vertraulichkeit, zu Datensicherheitsmaßnahmen des Auftragsverarbeiters, zur Vergabe von weiteren Aufträgen (Unteraufträgen) durch den Auftragsverarbeiter, zu Unterstützungspflichten des Auftragsverarbeiters, zur Rückgabe bzw. Löschung der Daten nach Beendigung des Auftrags und zu Informationsrechten und Kontrollbefugnissen des Auftraggebers. Der Vertrag kann schriftlich oder elektronisch abgefasst werden.
Wie lassen sich Auftragsverarbeitung und (gemeinsame) Verantwortlichkeit abgrenzen?
Eine Auftragsverarbeitung setzt positiv voraus, dass ein Auftragsverarbeiter für einen Auftraggeber Daten mit Personenbezug verarbeitet. Verantwortlicher ist hier also der Auftraggeber. Negative Voraussetzung einer Auftragsverarbeitung ist zugleich der Ausschluss einer eigenen Verantwortlichkeit des Auftragnehmers bei einer Verarbeitung für den Auftraggeber. Verantwortlich im Sinne der DSGVO ist, wer allein oder gemeinsam mit anderen über Mittel und Zwecke der Verarbeitung entscheidet. Verkürzt dargestellt bedeutet das: Verarbeitet ein Beteiligter des Geschäftsmodells die personenbezogenen Daten eines Dritten in dessen Auftrag zu dessen Zwecken, liegt in der Regel eine Auftragsverarbeitung vor. Ebenso verkürzt: werden „fremde Daten“ zu eigenen Zwecken oder „eigene Daten“ zu fremden Zwecken verarbeitet, kann nur eine gemeinsame oder getrennte Verantwortlichkeit, aber keine Auftragsverarbeitung vorliegen.
Was bedeutet Rechenschaftspflicht?
Der Verantwortliche muss die Einhaltung der datenschutzrechtlichen Grundätze sicherstellen (z.B. Grundsatz der Rechtmäßigkeit, Zweckbindung, Datenminimierung etc.). Daneben muss er die Einhaltung dieser Pflichten aber auch nachweisen können (sog. Rechenschaftspflicht). Ist er hierzu nicht in der Lage, geht dies im Falle einer Überprüfung durch die Aufsichtsbehörden zu seinen Lasten. Die Form der Nachweiserbringung wird durch die DSGVO nur teilweise vorgegeben. Hinweise zur die Form des Nachweises finden sich beispielsweise in Art. 30 DSGVO in Bezug auf das Führen eines Verarbeitungsverzeichnisses (Art. 30 DSGVO) oder der Durchführung einer Datenschutz-Folgenabschätzung (Art. 35 DSGVO).
Welche Pflichten treffen datenverarbeitende Stellen?
Neben der Einhaltung der datenschutzrechtlichen Grundsätze und der Gewährleistung der Betroffenenrechte enthält die DSGVO eine Reihe weiterer Verpflichtungen, die durch die verarbeitende Stelle eingehalten werden müssen. Zu den Kernaufgaben gehört die Gewährleistung der Sicherheit der Verarbeitung durch technische und organisatorische Maßnahmen (Art. 32 DSGVO). Daneben besteht die Pflicht zum Führen eines Verarbeitungsverzeichnisses (Art. 30 DSGVO) und der Meldung an die Aufsichtsbehörde und Benachrichtigung der betroffenen Personen bei Datenschutzverstößen (Art. 33 und 34 DSGVO). Daneben kann unter bestimmten Voraussetzungen die Durchführung einer Datenschutz-Folgenabschätzung (Art. 35 DSGVO) sowie die Benennung eines Datenschutzbeauftragten notwendig sein (Artt. 37 ff. DSGVO).
Welche Maßnahmen müssen im Bereich der IT-Sicherheit umgesetzt werden?
Zentrale Norm für die Sicherheit der Datenverarbeitung in der DSGVO ist Art. 32. Diese Regelung sieht vor, dass Verantwortliche und Auftragsverarbeiter unter Berücksichtigung einer Vielzahl von gesetzlichen Aspekten geeignete technische und organisatorische Maßnahmen zu treffen haben, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Die (zwingend) zu berücksichtigenden Aspekte betreffen die Art, den Umfang, die Umstände und den oder die Zwecke der Verarbeitung sowie die Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen. Die geplante Datenverarbeitung ist also am Maßstab der Rechte der betroffenen Personen – und nicht etwa anhand allein möglicher Angriffe auf die eingesetzte Informationstechnik – einer Schutzbedarfsanalyse zu unterziehen, die Grundlage für die einzusetzenden technischen und organisatorischen Maßnahmen ist. Zu berücksichtigen ist nach Art. 32 Abs. 1 DSGVO nunmehr auch der Stand der Technik.
Was bedeutet „Stand der Technik“?
Die DSGVO definiert den Stand der Technik nicht. Der Stand der Technik kann als die im Waren- und Dienstleistungsverkehr verfügbaren Verfahren, Einrichtungen oder Betriebsweisen, deren Anwendung die Erreichung der jeweiligen gesetzlichen Schutzziele am wirkungsvollsten gewährleisten kann, dargestellt werden. Verkürzt ausgedrückt: Der Stand der Technik bezeichnet die am Markt verfügbare Bestleistung von IT-Sicherheitsmaßnahmen zur Erreichung eines des/der gesetzlichen IT-Sicherheitsziele. Diese Definition erlaubt eine handhabbare Abgrenzung zu Maßnahmen, die lediglich den allgemein anerkannten Regeln der Technik entsprechen und eben nicht die Speerspitze der Technologie repräsentieren.
Wie müssen die getroffenen Maßnahmen dokumentiert werden?
Um den Nachweis der getroffenen Maßnahmen zu gewährleisten, als auch den Grad des Berücksichtigens darlegen zu können, ist eine entsprechende Dokumentation der technischen und organisatorischen Maßnahmen erforderlich (Art. 5 Abs. 2 i. V. m. Abs. 1 lit. f DSGVO). Dazu sollten die konkreten Maßnahmen gemäß dem Stand der Technik ausgeführt werden und in Bereichen, in denen dieser Technologiestand nicht erreicht wird, die alternativ eingesetzten Maßnahmen genannt und begründet werden. Dadurch kann eine Berücksichtigung belegt und ein Bußgeld vermieden werden. Für die Zulässigkeit des Unterschreitens des Stands der Technik haftet der Verantwortliche bzw. der Auftragsverarbeiter. Eine mögliche Form des Nachweises ist das Verzeichnis der Verarbeitungstätigkeiten nach Art. 30 DSGVO.
Welche Konsequenzen drohen, wenn technisch-organisatorische Maßnahmen nicht umgesetzt werden?
Eine nicht dem Art. 32 DSGVO entsprechende Umsetzung von technischen und organisatorischen Maßnahmen kann die zuständige Datenschutzaufsichtsbehörde mit Bußgeldern ahnden. Gemäß Art. 83 Abs. 4 lit. a i. V. m. Art. 32 DSGVO können für die mangelnde Umsetzung Bußgelder von bis zu EUR 10.000.000 oder von bis zu 2 % des weltweit erzielten Vorjahresumsatzes verhängt werden, je nachdem, welcher der Beträge höher ist. Beachtlich ist, dass unabhängig von der Umsetzung der technischen und organisatorischen Maßnahmen selbst, auch Bußgelder allein für die fehlende oder mangelhafte Dokumentation verfügt werden können, deren Bußgeldrahmen zweifach so hoch ist wie der vorgenannte, Art. 83 Abs. 5 lit. e i. V. m. Art. 5 Abs. 2 i. V. m. Abs. 1 lit. f DSGVO.
Welche Rechtsfolgen kann ein Verstoß gegen datenschutzrechtliche Pflichten nach sich ziehen?
Datenschutzverstöße können nach der DSGVO unterschiedlich sanktioniert werden. Zunächst hat jede Person, der wegen eines Verstoßes gegen die DSGVO ein Schaden entstanden ist, einen Anspruch auf Schadenersatz gegen den Verantwortlichen oder den Auftragsverarbeiter. Daneben können für Datenschutzverstöße auch Bußgelder durch die zuständige Aufsichtsbehörde verhängt werden. Wichtige Kriterien zur Entscheidung über die Geldbußen sind gesetzlich festgelegt. Zu den Kriterien gehören insbesondere die Art, Schwere und Dauer des Verstoßes, die Frage, ob der Verantwortliche vorsätzlich oder fahrlässig gehandelt hat, sowie der nachträgliche Umgang mit Pflichtverletzungen und verursachten Schäden. Aus der Festlegung der Kriterien lässt sich ableiten, dass jede einzelne Maßnahme, die zum Schutz personenbezogener Daten vornimmt, den Umfang der Haftung letztlich (zumindest) verringern kann, auch wenn sich eine Haftung wohl nie gänzlich ausschließen lässt. Neben der Inanspruchnahme durch natürliche Personen und der Verhängung von Bußgeldern durch die Aufsichtsbehörden ist fraglich, ob der Verantwortliche aufgrund von DSGVO-Verstößen auch von Mitbewerbern abgemahnt werden kann. In Betracht kommen hier Ansprüche auf Beseitigung, Unterlassung oder Schadensersatz. Ein abmahnfähiger datenschutzrechtlicher Verstoß könnte etwa darin bestehen, dass der Betreiber einer Plattform eine fehlerhafte Datenschutzerklärung verwendet. Bisher ist nicht abschließend geklärt, inwieweit diese wettbewerbsrechtlichen Ansprüche auf eine Verletzung der Vorschriften der DSGVO gestützt werden können. Die bisher in diesem Zusammenhang ergangenen Gerichtsentscheidungen lassen keine eindeutige Tendenz erkennen.