Datenschutz-Grundverordnung (DSGVO) - PDF

Datenschutz 2 Datenschutz-Grundverordnung 2.1 Elementare Begriffe der DSGVO5 Auftragsverarbeiter: Derjenige, der die Daten im Auftrag des Verantwortli- chen weiterverarbeitet. Der Auftragsverarbeiter entscheidet nicht über Mit- tel und Zwecke der Datenverarbeitung. Auftragsverarbeitungsvertrag: Wenn ein Dienstleister einen potenziellen Zugang zu personenbezogenen Daten hat, muss mit ihm ein Auftragsverar- beitungsvertrag abgeschlossen werden. Betroffener: Derjenige, dessen Daten verarbeitet werden. Nach der DSGVO können nur natürliche Personen „Betroffene“ sein. Empfänger: Derjenige, an den der Verantwortliche Daten weitergibt und der sie dann eigenverantwortlich verarbeitet. Dazu zählen unter anderem Rechtsanwälte, Steuerberater und Wirtschaftsprüfer, da sie durch ihr Stan- desrecht autonom sind. Personenbezogene Daten: Bei personenbezogenen Daten handelt es sich um eindeutig identifizierte oder identifizierbare natürliche Personen (im Ge- gensatz zu juristischen Personen). Als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels einer Zu- ordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten oder zu einer Online-Kennung identifiziert werden kann. Das trifft auch für weitere besondere physische, psychische, wirtschaftliche, kul- turelle oder soziale Merkmale zu. Verantwortlicher: Derjenige, der die Daten verarbeitet und über Zweck und Mittel der Verarbeitung entscheidet. Beim Verantwortlichen kann es sich um eine natürliche oder juristische Person, eine Behörde oder eine Einrichtung handeln. Sämtliche Arbeitnehmer eines Verantwortlichen werden diesem unmittelbar zugerechnet. Verarbeitung: jeder mit oder ohne Hilfe automatisierter Verfahren ausge- führte Vorgang oder jede Vorgangsreihe im Zusammenhang mit personen- bezogenen Daten, wie das Erheben, das Erfassen, die Organisation, das Ord- nen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbrei- tung oder eine andere Form der Bereitstellung, den Abgleich oder die Ver- knüpfung, die Einschränkung, das Löschen oder die Vernichtung. 5 Vgl. Art. 4., Abs. 1 DSGVO. 4 Datenschutz 2.2 Gültigkeitsbereich der DSGVO Die DSGVO gilt für alle Unternehmen, die auf dem deutschen Markt tätig sind. Es gibt grundsätzlich keine Ausnahmen für kleinere Unternehmen. Die DSGVO gilt für personenbezogene Daten lebender Personen, in Deutschland wird sie jedoch auch auf juristische Personen angewendet. Sie gilt ausdrück- lich nicht für anonymisierte Daten, Daten verstorbener Personen und Daten aus dem familiären oder freundschaftlichen Umfeld. Der räumliche Anwendungsbereich der DSGVO ist sehr weit und erstreckt sich einerseits auf Fälle, in denen der Datenverarbeiter in der Europäischen Union ansässig ist, und andererseits auf Fälle, in denen sich die betroffenen Personen innerhalb der EU befinden. Mit der EU gleichgesetzt sind auch die Länder des Europäischen Wirtschaftsraums (EWR), nämlich Island, Liechten- stein und Norwegen, in denen die DSGVO ebenfalls gilt. Zum einen ist die DSGVO anwendbar, wenn sich die Niederlassung eines Ver- arbeiters in der EU befindet und die Datenverarbeitung im Rahmen der Tä- tigkeit dieser Niederlassung erfolgt („Niederlassungsprinzip“). Dies gilt un- abhängig davon, ob die konkrete Verarbeitung innerhalb der EU stattfindet. Unter einer Niederlassung wird eine tatsächliche Ausübung einer Tätigkeit durch eine feste Einrichtung verstanden, was auch Zweigstellen oder Toch- tergesellschaften ausländischer Unternehmen umfassen kann. Zum anderen gilt die DSGVO für alle Verarbeitungen von personenbezoge- nen Daten, wenn sich die betroffenen Personen in der EU aufhalten und da- mit Waren oder Dienstleistungen angeboten werden („Marktortprinzip“). Die bloße Abrufbarkeit einer Website in der EU reicht dafür nicht aus. Es muss eine sichtbare Ausrichtung auf den europäischen Markt erkennbar sein, zum Beispiel durch die Verwendung der Sprache eines EU-Landes, die Möglichkeit, Bestellungen in der EU zu tätigen oder mit europäischen Wäh- rungen zu bezahlen. Die Beobachtung des Verhaltens von Personen, die sich in der EU befinden, unterliegt ebenfalls der DSGVO. Dies schließt etwa das Profiling des Online- Verhaltens von Nutzern ein. Mit diesen Regeln wird sichergestellt, dass auch ausländische Unternehmen, die in der EU tätig sind, die oft strengeren Regeln des europäischen Daten- schutzrechts beachten müssen. Die DSGVO gilt für alle Unternehmen, die in der Europäischen Union tätig sind. Dabei spielt es keine Rolle, ob sie in der EU niedergelassen sind oder nur ihre Waren und Dienstleistungen auf dem deutschen Markt anbieten. Merksatz 5 Datenschutz 2.3 Grundprinzipien des Datenschutzrechtes Damit personenbezogene Daten im Sinne der DSGVO korrekt verarbeitet werden und für die Betroffenen das nötige Schutzniveau sichergestellt ist, müssen vom Verantwortlichen bzw. vom Auftragsverarbeiter die Grunds- ätze für die Verwendung personenbezogener Daten eingehalten werden. Wichtig ist in diesem Zusammenhang, dass die Einhaltung dieser Grundsätze vom Verantwortlichen bzw. vom Auftragsverarbeiter nachgewiesen werden müssen. Dieses Prinzip der Selbstverantwortung des Verantwortlichen bzw. des Auftragsverarbeiters zieht sich wie ein roter Faden durch den Gesetzes- text. Beim Recht auf den Datenschutz handelt es sich um ein Grundrecht. Ein Kernelement der DSGVO ist der risikobasierte Ansatz, demzufolge die Maß- nahmen zur Herstellung einer Datenschutz-Compliance nach den jeweiligen Erfordernissen skaliert werden können und müssen.6 Die Grundsätze des Datenschutzrechtes7 sind in der DSGVO wie folgt festge- schrieben: Rechtmäßigkeit: Personenbezogene Daten müssen auf rechtmäßige Art verarbeitet werden. Das bedeutet, dass jeweils eine Rechts- grundlage für die Verarbeitung zugrunde liegen muss. Siehe dazu auch das Kapitel 2.4 Rechtmäßigkeit der Datenverarbeitung. Treu und Glauben: Die Verarbeitung personenbezogener Daten darf nur nach Treu und Glauben erfolgen. Das bedeutet, dass die eigenen Rechte redlich ausgeübt werden und die berechtigten Interessen der Betroffenen berücksichtigt werden müssen. Transparenz: Betroffene Personen müssen über die Verarbeitung ih- rer personenbezogenen Daten informiert werden. Zweckbindung: Personenbezogene Daten dürfen nur dann erhoben werden, wenn vorab ein eindeutiger und legitimer Zweck für die Er- fassung der Daten festgelegt wurde. Datenminimierung: Art und Umfang der Datenverarbeitung müssen so gestaltet werden, dass sie auf das notwendige Maß beschränkt werden. Richtigkeit: Personenbezogene Daten müssen sachlich richtig und auf dem jeweils aktuellen Stand sein, wenn dies für den Verarbei- tungszweck erforderlich ist. 6 Vgl. Schröder (2019), S. 503 ff. 7 Vgl. Art. 5 DSGVO. 6 Datenschutz Speicherbegrenzung: Personenbezogene Daten dürfen nur so lange vorgehalten werden, solange das für den festgelegten Zweck not- wendig ist. Nach diesem Zeitraum müssen die Daten entweder ano- nymisiert oder gelöscht werden. Integrität und Vertraulichkeit: Laut diesem Grundsatz müssen ange- messene Maßnahmen zum Schutz der Sicherheit von personenbezo- genen Daten implementiert werden. Rechenschaftspflicht: Die Rechenschaftspflicht erfordert eine Imple- mentierung von aktiven Compliance-Maßnahmen durch das verant- wortliche Unternehmen, in denen die genannten Grundsätze festge- halten werden, sowie einen Nachweis über die Einhaltung dieser Grundsätze. Die wesentlichen Grundprinzipien der DSGVO in Bezug auf die Verarbeitung von personenbezogenen Daten lauten: Rechtmäßigkeit, Treu und Glauben, Transparenz, Zweckbindung, Datenminimierung, Richtigkeit, Speicherbe- Merksatz grenzung, Integrität und Vertraulichkeit sowie die Rechenschaftspflicht durch den Verantwortlichen. 2.4 Rechtmäßigkeit der Datenverarbeitung Nach der DSGVO gilt, dass für jede Datenverarbeitung eine eigene Rechts- grundlage erforderlich ist. Anders ausgedrückt bedeutet das, dass jede Form der Datenverarbeitung verboten ist, die nicht ausdrücklich erlaubt ist. 8 Eine Datenverarbeitung darf nur dann vorgenommen werden, wenn eine entsprechende Rechtsgrundlage dafür vorliegt. Nur dann kann von einer rechtmäßigen Datenverarbeitung ausgegangen werden. Dabei ist insbesondere zu hinterfragen, ob der jeweilige Zweck sowie der Inhalt der Datenverarbeitung durch eine ausdrückliche Einwilligung der be- troffenen Person oder durch eine sonstige zulässige Rechtsgrundlage ge- deckt sind. Folgende Rechtsgrundlagen können dabei für die Verarbeitung von perso- nenbezogenen Daten herangezogen werden: Die schlüssige oder ausdrückliche Einwilligung des Betroffenen: Da- bei ist zu bedenken, dass eine Einwilligung nur wirksam ist, wenn sie aus freiem Willen getroffen wird und jederzeit widerrufen werden 8 Vgl. Feiler, Lukas und Bernhard Horn (2018), S. 15. 7 Datenschutz kann. Die Einwilligung kann schriftlich, elektronisch oder auch münd- lich erfolgen.9 Die Erfüllung eines Vertrages: Damit ist zum Beispiel die Verarbei- tung der Lieferanschrift gemeint, um einer Kundin die bestellte Ware zuzustellen. Die Erfüllung einer gesetzlichen Verpflichtung: Darunter fällt z.B. die Übermittlung der Gehaltsdaten von Mitarbeiterinnen an die gesetz- liche Krankenversicherung. Der Schutz von lebenswichtigen Interessen: Damit ist z.B. die Ermitt- lung der Blutgruppe eines bewusstlosen Schwerverletzten in einer Notaufnahme gemeint. Außerhalb des medizinischen Bereiches spielt diese Rechtsgrundlage nur eine geringe Rolle. Eine Aufgabe, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt: Diese Rechtsgrundlage ist in erster Linie für Behörden relevant. Überwiegend berechtigte Interessen: In der Praxis findet diese Rechtsgrundlage eine breite Anwendung. Allerdings muss bedacht werden, dass im Vorfeld eine ausgewogene Interessensabwägung er- folgt und die Datenverarbeitung im Detail geprüft wird. Als Beispiel kann hier die Prüfung des beruflichen E-Mail-Verkehrs durch den Ar- beitgeber auf Viren oder andere Schadsoftware genannt werden. Eine Einwilligung muss jeweils freiwillig für einen bestimmten Zweck erfol- gen, damit diese gültig ist, und sie sollte durch eine eindeutige bestätigende Handlung erfolgen. Im Falle einer mündlichen Erklärung muss sich der Ver- antwortliche der Problematik der Beweisbarkeit bewusst sein. Als Beispiel kann hier die Einwilligung von Probanden für ein spezifisches medizinisches Forschungsprojekt genannt werden. Erfolgt die Verarbeitung personenbezogener Daten zur Erfüllung eines Ver- trages, der mit der betroffenen Person geschlossen wird, ist die Verarbei- tung ebenfalls rechtmäßig. Das gilt auch, wenn sich der Vertrag erst in An- bahnung befindet. Bei einer rechtlichen Verpflichtung nach nationalem oder nach Unionsrecht ist es auch zulässig, dass ein Gesetz die Grundlage für mehrere Verarbei- tungsvorgänge darstellt. Wichtig ist dabei, dass der Verarbeitungszweck in der Rechtsgrundlage festgelegt ist. Darüber hinaus kann diese Rechtsgrund- lage auch Bestimmungen darüber enthalten, welche Arten von Daten der Verantwortliche verarbeiten darf, welche Personen betroffen sind oder an welche Einrichtungen und für welche Zwecke die personenbezogenen Daten 9 Vgl. Rosenmayer-Klemenz, Claudia (Hrsg.) 2019, S. 29. 8 Datenschutz offengelegt werden dürfen. Als Beispiele können hier das Grundbuchgesetz, das Firmenbuchgesetz oder die Ausstellung eines Führerscheins durch die Bundespolizeidirektion genannt werden. Lebenswichtige Interessen der betroffenen Personen oder einer anderen na- türlichen Person rechtfertigen grundsätzlich die Verarbeitung ihrer perso- nenbezogenen Daten. Damit ist gewährleistet, dass in Notfallsituationen die Datenverarbeitung auch ohne Einwilligung erlaubt ist. Da es sich um eine besondere Ausnahme handelt, ist diese streng auszulegen und kann daher nur dann herangezogen werden, wenn die Datenverarbeitung nicht auf eine andere Rechtsgrundlage gestützt werden kann.10 Erfolgt die Datenverarbeitung zur Wahrnehmung einer Aufgabe im öffentli- chen Interesse oder in Ausübung öffentlicher Gewalt muss dafür eine Grund- lage im nationalen Recht oder im Unionsrecht bestehen. Zu diesen öffentli- chen Interessen zählen insbesondere auch gesundheitliche Zwecke wie die öffentliche Gesundheit, die soziale Sicherheit und die Verwaltung von Leis- tungen der Gesundheitsfürsorge. Als Beispiel können hier die Kontroll-Maß- nahmen in der Gastronomie, während der Covid-Pandemie genannt wer- den. Bei der Bezugnahme auf ein überwiegend berechtigtes Interesse müssen die vernünftigen Erwartungen der betroffenen Person berücksichtigt werden. Wichtig ist dabei, dass eine sorgfältige Abwägung des berechtigten Interes- ses erfolgt. Dabei ist insbesondere die Frage zu beantworten, ob die be- troffene Person zum Erhebungszeitpunkt und unter den Umständen, unter denen die Datenerhebung erfolgt ist, vernünftigerweise deren Folgen abse- hen konnte. Das gilt zum Beispiel für die Datenverarbeitung zum Zweck der Direktwerbung oder zur Betrugsbekämpfung. Personenbezogene Daten dürfen nur dann verarbeitet werden, wenn für die Verarbeitung eine Rechtsgrundlage besteht. Kann keine Rechtsgrundlage identifiziert werden, bleibt es bei der Unzulässigkeit der Datenverarbeitung. Merksatz 2.5 Besondere Kategorien von Daten Für besonders sensible Daten bzw. besondere Kategorien personenbezoge- ner Daten11 sind die Rechtsgrundlagen noch stärker eingeschränkt. Daten von Kindern bis 14 Jahren gelten zum Beispiel als besondere Kategorie per- sonenbezogener Daten. 10 Vgl. Unger, Kaja (2019), S. 47. 11 Vgl. Art. 9, Abs. 1 DSGVO. 9 Datenschutz Unter sensiblen Daten werden außerdem personenbezogene Daten verstan- den, aus denen die rassische oder ethische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen, die Gewerkschafts-zugehö- rigkeit hervorgehen, sowie die Verarbeitung von genetischen Daten, biomet- rischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Ge- sundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientie- rung einer natürlichen Person. Als Beispiele können hier der Fingerabdruck, ein Iris-Scan oder ein Krankenakt genannt werden. Ein überwiegend berechtigtes Interesse ist für sensible Daten noch keine ausreichende Rechtsgrundlage, um diese verarbeiten zu können. Bei den in Betracht kommenden Rechtsgrundlagen handelt es sich um: eine ausdrückliche Einwilligung des Betroffenen, die Notwendigkeit der Datenverarbeitung für die Ausübung von Rechten oder die Erfüllung von Pflichten im Bereich des Arbeits- und Sozialrechts, die Ermächtigung durch eine Betriebsvereinbarung oder einen Kol- lektivvertrag, lebenswichtige Interessen des Betroffenen, ohne dass die be- troffene Person ihre Einwilligung erteilen kann, eine Mitgliederverwaltung durch politisch, weltanschaulich, religiös oder gewerkschaftlich ausgerichtete Organisationen ohne Gewinner- zielungsabsicht, um vom Betroffenen selbst veröffentlichte sensible Daten, zum Bei- spiel in sozialen Netzwerken, um sensible Daten, die zur Rechtsverteidigung oder Rechtsdurchset- zung erforderlich sind, eine Rechtsgrundlage im nationalen Recht, insbesondere im Bereich des Gesundheits- oder Sozialwesens. Bei sensiblen Daten ist außerdem zu beachten, dass zum Teil zusätzlich eine begrenzte Speicherdauer erforderlich ist. Werden sensible Daten verarbeitet, wie zum Beispiel beim Ethno-Marketing oder bei einer Identifizierung mittels Gesichtsfotos, sieht die DSGVO ver- schärfte Bedingungen vor. So ist die Befugnis zur Datenverarbeitung wesent- lich eingeschränkt und die Pflichten zur Bestellung eines Datenschutzbeauf- tragten und zur Durchführung von Datenschutz-Folgenabschätzungen sind teilweise damit verbunden. Haben die betroffenen Personen ihre personenbezogenen Daten selbst öf- fentlich gemacht, ist eine Datenverarbeitung zulässig. In diesem Zusammen- hang muss jedoch vorab geprüft werden, ob die Veröffentlichung der Daten 10 Datenschutz durch die betroffenen Personen selbst erfolgt ist und nicht etwa durch Dritte. Das betrifft etwa Informationen über die eigene politische Gesinnung über Facebook oder Twitter. Sensible Daten dürfen nur bestimmten Voraussetzungen verarbeitet wer- den: Es kann entweder ein rechtliches Erfordernis vorliegen oder die be- troffene Person erteilt ihre Einwilligung bzw. hat die entsprechenden Infor- Merksatz mationen selbst veröffentlicht. Bei einem lebenswichtigen Interesse des Be- troffenen ist eine Verarbeitung ebenfalls legitim. 2.6 Informationspflichten Eine wichtige Voraussetzung für die Umsetzung der DSGVO lautet, dass die Betroffenen spätestens zum Zeitpunkt der Erhebung der Daten12 über die Verarbeitung von personenbezogenen Daten informiert werden müssen. Das kann zum Beispiel in Form einer Datenschutzerklärung erfolgen, wie sie auf vielen Websites zu finden ist. Oft werden auch Einwilligungserklärungen in Form eines sogenannten Cookie-Banners eingesetzt. Üblich sind auch schriftliche Einwilligungserklärungen in Gesundheitspraxen oder bei Veranstaltungen, auf denen Fotos gemacht werden, die vor Ort un- terschrieben werden müssen. Eine weitere Möglichkeit ist der Aushang ei- nes Schildes, wenn zum Beispiel eine Videoüberwachung durchgeführt wird. Generell gilt, dass die Information den Betroffenen auf eine leicht auffind- bare Weise zugänglich gemacht wird. Die Informationspflicht kann entfallen, wenn ein Betroffener bereits über die entsprechenden Informationen verfügt. Das ist aber relativ selten der Fall. Außerdem entfällt sie, wenn die Daten nicht beim Betroffenen selbst erhoben werden, sondern über einen Dritten an den Verantwortlichen über- mittelt werden. Dabei gilt, dass dessen Verarbeitung von Daten durch nati- onales oder EU-Recht ausdrücklich geregelt ist (wie zum Beispiel bei Behör- den) oder einem gesetzlichen Berufsgeheimnis (gilt zum Beispiel für An- wälte, Notare oder Steuerberater) unterliegt. Wenn die vollständige Offenlegung mit einem unverhältnismäßig hohen Aufwand verbunden ist, kann die erforderliche Information auch stufen- weise erfolgen. So können in einem ersten Schritt nur die absolut notwendi- gen Informationen erteilt werden und erst in einem weiteren Schritt weiter- gehende Angaben zur Verfügung gestellt werden. 12 Vgl. Art. 13, Abs. 1 DSGVO. 11 Datenschutz Der Verantwortliche ist spätestens zum Zeitpunkt der Erhebung von perso- nenbezogenen Daten dazu verpflichtet, betroffene Personen umfassend über die beabsichtigte Datenverarbeitung zu informieren. Merksatz 2.7 Rechte von Betroffenen Betroffenenrechte sind die Rechte der von einer Datenverarbeitung be- troffenen Person gegenüber dem Verantwortlichen. Damit ist ein Betroffe- ner in der Lage, sich zum Beispiel gegen unrichtige oder unvollständige Da- tensätze zu wehren. Dabei werden folgende Rechte13 unterschieden: Informationspflicht bei der Erhebung von personenbezogenen Daten Informationspflicht, wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben, wurden Auskunftsrecht Recht auf Berichtigung Recht auf Löschung Recht auf Einschränkung der Verarbeitung Recht auf Datenübertragbarkeit Widerspruchsrecht Für den Betroffenen gilt im Falle eines Auskunftsbegehrens eine Mitwir- kungspflicht, wenn der Verantwortliche eine große Menge von Informatio- nen über die betroffene Person verarbeitet. Konkret bedeutet das, dass der Verantwortliche vom Betroffenen eine Präzisierung verlangen kann, auf wel- che Informationen oder Verarbeitungstätigkeit sich das Auskunftsbegehren bezieht. Um die Sicherheit der personenbezogenen Daten gewährleisten zu können, muss im Falle eines Auskunftsbegehrens die jeweilige Identität klar nachge- wiesen werden. Eine Authentifizierung kann zum Beispiel auf elektroni- schem Weg über ein hinterlegtes Passwort oder eine qualifizierte elektroni- sche Signatur erfolgen. Eine starke Authentifikationsform ist auch die Vor- lage eines amtlichen Lichtbildausweises, insbesondere, wenn ein Abgleich in natura oder über eine Videokonferenz erfolgt. Im Zweifelsfall ist immer eine Zwei-Faktoren-Identifizierung vorzuziehen. Das Auskunftsrecht wurde von den Unternehmen anfangs nicht allzu ernst genommen. Inzwischen ist der Auskunftsanspruch bereits in vielen 13 Vgl. Art. 12 bis 21 DSGVO. 12 Datenschutz Unternehmen gefürchtet, da die Bearbeitung mitunter für einen erheblichen Aufwand sorgt.14 Das Recht auf Datenübertragbarkeit kann nur unter bestimmten Vorausset- zungen geltend gemacht werden. Es gilt zum Beispiel nicht, wenn die Daten analog in manuellen Dateisystemen wie zum Beispiel Aktenordnern erfasst wurden. Es ist auch dann nicht anwendbar, wenn die Daten unter den in der DSGVO definierten Rechtsgrundlagen verarbeitet wurden. Zum Beispiel dann, wenn der Betroffene zuvor bereits in die Datenverarbeitung eingewil- ligt hat oder ein Vertrag geschlossen wurde. Wenn ein Betroffener sein Recht auf Datenübertragbarkeit einfordert, müs- sen die personenbezogenen Daten in einer strukturierten gängigen und ma- schinenlesbaren Form übergeben werden. Im Falle von bereits etablierten technischen Standards sollten diese eingehalten werden. Der Betroffene darf diese Daten im Anschluss auch an einen anderen Dienstleister weiter- geben. Das Recht auf Widerspruch kann dann geltend gemacht werden, wenn die Daten auf Grundlage eines überwiegend berechtigten Interesses, im öffent- lichen Interesse oder in Ausübung öffentlicher Gewalt, zu Zwecken der Di- rektwerbung (zum Beispiel Newsletter oder Telefonmarketing) oder zu wis- senschaftlichen Forschungszwecken verarbeitet wurden. Im Falle der Direkt- werbung dürfen die Daten nicht mehr zu diesem Zweck verarbeitet werden. Das Recht auf Vergessenwerden wird nur dann schlagend, wenn der Verant- wortliche keine Rechtsgrundlage mehr für die Verarbeitung der Daten des Betroffenen hat. Wird einem Löschbegehren nicht entsprochen, müssen dem Betroffenen innerhalb der vorgesehenen Bearbeitungsfrist Gründe für die Ablehnung mitgeteilt werden. Andernfalls muss die Löschung erfolgen und die betroffenen Personen sind davon in Kenntnis zu setzen. Außerdem müssen alle Empfänger von der Löschung informiert werden, denen gegen- über den gelöschten Daten offengelegt wurden. Im Falle einer Löschung von Daten aufgrund einer Anfrage eines Betroffenen sind Backup-Daten grundsätzlich davon nicht betroffen. Das gilt, solange die Aufbewahrung des Backups aus Gründen der Datensicherheit erforderlich ist. Wenn ein Betroffener eines der oben beschriebenen Rechte in Anspruch nimmt, hat der Verantwortliche bis zu einem Monat Zeit, um zu reagieren. Die Bearbeitungsfrist kann unter Umständen auf bis zu zwei Monaten ver- längert werden, allerdings müssen die Gründe für die Verlängerung 14 Vgl. Ehmann, Eugen (2022), S. 1f. 13 Datenschutz innerhalb des ersten Monats offengelegt werden.15 Als mögliche Gründe können beispielsweise eine umfangreiche und komplexe Datenverarbeitung oder eine gehäufte Anzahl von Anfragen genannt werden. Dabei ist zu be- achten, dass innerhalb der Frist sowohl die erforderlichen Maßnahmen um- gesetzt werden müssen als auch das Informationsschreiben an den Betroffe- nen einlangen muss. Machen Betroffene ihre Rechte geltend, ist vom Verantwortlichen unbe- dingt auf die Einhaltung der jeweiligen Fristen zu achten. Bei einem begrün- deten Zweifel an der Identität der betroffenen Person im Zuge einer Anfrage Merksatz kann ein entsprechender Nachweis verlangt werden. 2.8 Pflichten von Verantwortlichen und Auftragsver- arbeitern Ein Verantwortlicher muss den Nachweis erbringen, dass er sämtliche ihm auferlegte Pflichten erfüllt. Er fungiert dabei sowohl für die Betroffenen als auch für Behörden als erster Ansprechpartner. Abbildung 1: Wesentliche Informationspflichten des Verantwortlichen16 15 Vgl. Art. 12, Abs. 3 DSGVO. 16 Abbildung i.A.a.: https://einfach-dsgvo.de/ratgeber/dsgvo-pflichten-kmu/ 14 Datenschutz Folgende Pflichten sind unbedingt zu befolgen: Sowohl der Verantwortliche als auch seine Vertreter müssen ein Ver- zeichnis aller Datenverarbeitungstätigkeiten führen, für die sie zu- ständig sind. Der Verantwortliche erfüllt die Informationspflichten gegenüber den betroffenen Personen und beantwortet die Anträge und Anfragen in Bezug auf die Rechte der Betroffenen. Dabei ist zu beachten, dass der betroffenen Person alle Informationen und Mitteilungen in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer möglichst klaren und einfachen Sprache zugänglich gemacht werden. Die Übermittlung der Informationen kann schriftlich, elektronisch oder mündlich erfolgen. Bei einer mündlichen Informationserteilung empfiehlt sich eine schriftliche Bestätigung. Erfüllung der Betroffenenrechte; siehe dazu Kapitel 2.7 Rechte von Betroffenen Abhängig von der Art, des Umfangs, der Umstände bzw. der Zwecke der Verarbeitung müssen vom Verantwortlichen geeignete techni- sche und organisatorische Maßnahmen umgesetzt werden, um eine rechtmäßige Datenverarbeitung sicherzustellen. Zu beachten sind dabei auch die unterschiedlichen Eintrittswahrscheinlichkeiten und Schwere der Risiken für die Rechte und Freiheiten natürlicher Perso- nen. Der Verantwortliche ist auch für die Implementierung der Datensi- cherheitsmaßnahmen sowie den Datenschutz durch datenschutz- freundliche Voreinstellungen sowie durch Technikgestaltung verant- wortlich. Darüber hinaus müssen vom Verantwortlichen auch weitere Pflichten be- folgt werden. Auf Anfrage der Aufsichtsbehörde ist er zu einer entsprechen- den Zusammenarbeit verpflichtet. Der Verantwortliche muss im Falle einer Datenschutzverletzung innerhalb von spätestens 72 Stunden ab dem Erkennen des Vorfalls eine Meldung an die Datenschutzbehörde durchführen. Unter Umständen muss er auch die betroffenen Personen direkt informieren. Er muss in Bezug auf Datenverarbeitungen entsprechende Risikoanalysen durchführen. Führen diese zu einem wahrscheinlich hohen Risiko für be- troffene Personen, muss er zusätzlich eine Datenschutz-Folgenabschätzung vornehmen. Wenn die Kerntätigkeit eines Unternehmens in einer umfangreichen, regel- mäßigen und systematischen Überwachung von betroffenen Personen 15 Datenschutz besteht oder eine umfangreiche Verarbeitung sensibler Daten durchgeführt wird, muss ein Datenschutzbeauftragter bestellt werden. Das gilt auch für den Fall, dass Daten über strafrechtliche Verurteilungen und Straftaten ver- arbeitet werden. Der Verantwortliche muss immer sicherstellen, dass die Verarbeitung von personenbezogenen Daten im Sinne einer Rechenschaftspflicht entspre- chend der DSGVO erfolgt und muss darüber jederzeit Nachweise erbringen Merksatz können. Dazu zählen unter anderem auch entsprechende Aufzeichnungen, wie beispielsweise ein Verarbeitungsverzeichnis. Die vier wesentlichen Pflichten des Verantwortlichen laut der DSGVO sind die Dokumentationspflicht, die Informationspflicht, die Erfüllung der Be- troffenenrechte und die Pflicht zur laufenden Sicherstellung des Datenschut- zes. 2.9 Zusammenarbeit mit Auftragsverarbeitern Die Datenverarbeitung durch einen Auftragsverarbeiter erfolgt immer im In- teresse des Verantwortlichen. Dabei ist darauf zu achten, dass die Auf- tragsverarbeiter den Schutz der betroffenen Personen gewährleisten kön- nen und geeignete technische und organisatorische Maßnahmen treffen, die im Einklang mit der DSGVO stehen. Darunter fällt unter anderem die Implementierung von Datensicherheits- maßnamen. Zusätzlich muss jeder Auftragsverarbeiter ein Verzeichnis aller Kategorien von Tätigkeiten führen, die im Auftrag des Verantwortlichen durchgeführt werden. Außerdem ist der Auftragsverarbeiter verpflichtet, auf Anfrage mit der Datenschutzbehörde zusammenzuarbeiten. Der Auf- tragsverarbeiter muss den Verantwortlichen bei der Erfüllung der Pflichten nach der DSGVO unterstützen und muss Risikoanalysen der Datenverarbei- tungen durchführen. Ohne vorherige schriftliche Genehmigung des Verantwortlichen darf kein weiterer Auftragsverarbeiter im Sinne eines Subunternehmers beauftragt werden. Die Verarbeitung durch einen Auftragsverarbeiter erfolgt auf Grundlage ei- nes sogenannten Auftragsverarbeitungsvertrages, wobei dieser zum Beispiel auf Standardvertragsklauseln der Europäischen Kommission beruhen kann. Der Vertrag ist schriftlich abzuschließen, wobei er aber auch in elektroni- scher Form erfolgen kann. Er muss unter anderem die Bindung an den Ver- antwortlichen, den Gegenstand und die Dauer der Verarbeitung, die Art der 16 Datenschutz personenbezogenen Daten, die Kategorien der betroffenen Personen sowie die Pflichten des Verantwortlichen enthalten. Zu beachten ist, dass der Auftragsverarbeiter gesetzlich nicht dazu verpflich- tet ist, selbst Anfragen von Betroffenen zu beantworten. Es empfiehlt sich aber, dass Anfragen von Betroffenen möglichst rasch an den Verantwortli- chen weitergeleitet werden, damit dieser gemäß den Vorgaben auf die An- frage reagieren kann. Der Auftragsverarbeiter unterliegt einer besonderen Warnpflicht, wenn er der Auffassung ist, dass eine Weisung des Verantwortlichen gegen das Da- tenschutzrecht verstößt. Es besteht auch die Möglichkeit, dass zwei oder mehr Verantwortliche ge- meinsam für die Verarbeitung verantwortlich sind und gemeinsam die Zwe- cke und Mittel der Verarbeitung festlegen. In diesem Fall ist in einer Verein- barung festzuhalten, wer von den beiden welche gesetzliche Verpflichtung übernimmt. Unabhängig vom Inhalt der Vereinbarung können betroffene Personen ihre Rechte gegenüber jedem Einzelnen geltend machen. Die Ver- einbarung ist aber für die interne Aufgabenverteilung und potenzielle Re- gressansprüche wichtig. In der Praxis ist die Entscheidung, ob eine gemeinsame Verantwortung ge- geben ist, nicht immer leicht zu treffen.17 Eine gemeinsame Verantwortlich- keit liegt zum Beispiel dann vor, wenn ein Arbeitgeber einen Personalver- mittler einsetzt, der auch auf Bewerber aus einer eigenen Datenbank zurück- greift. In diesem Fall übersteigt die Tätigkeit des Personalvermittlers ein blo- ßes Auftragsverhältnis, da er in eigenem Ermessen gemeinsam mit dem Ar- beitgeber entscheidet. Zu beachten ist, dass es auch Auftragsverarbeiter gibt, welche die Daten ei- genmächtig verarbeiten und daher keine Auftragsverarbeiter im Sinne der DSGVO sind. Darunter fallen beispielsweise Rechtsanwälte, Steuerberater und Wirtschaftsprüfer, die durch ihr Standesrecht eine Sonderstellung ein- nehmen und selbst entscheidungsverantwortlich sind. In der DSGVO werden sie als Empfänger von personenbezogenen Daten bezeichnet. Mit allen externen Dienstleistern muss ein sogenannter Auftragsverarbei- tungsvertrag abgeschlossen werden, wenn der Dienstleister potenziell Zu- gang zu personenbezogenen Daten hat und die Daten ausschließlich auf An- Merksatz weisung des Verantwortlichen verarbeitet werden. 17 Vgl. Benedikt, Kristin (2019). 17 Datenschutz 2.10 Verzeichnis der Datenverarbeitungstätigkeiten Die DSGVO sieht vor, dass ein Verantwortlicher verpflichtend ein Verzeichnis über die Verarbeitung von Daten führen muss. Das betrifft auch den bzw. die jeweiligen Auftragsverarbeiter in einem geringeren Umfang. Dieses Verarbeitungsverzeichnis muss sämtliche Verarbeitungstätigkeiten enthalten, die in der jeweiligen Zuständigkeit liegen. Dabei müssen jeweils folgende Items aufgelistet werden: Name und Kontaktdaten des Verantwortlichen, allenfalls eines Ver- treters des Verantwortlichen sowie eines etwaigen Datenschutzbe- auftragten. Zweck der Datenverarbeitung, der vom Verantwortlichen festgelegt wird. Die Zweckbeschreibung muss so gewählt werden, dass sich auch unbeteiligte Dritte ein Bild davon machen können. Beschreibung der Kategorien der betroffenen Personen (zum Bei- spiel Kundinnen, Lieferantinnen etc.) und der Kategorien der perso- nenbezogenen Daten (zum Beispiel Rechnungsdaten, Adressdaten). Kategorien von Empfängerinnen, gegenüber denen die personenbe- zogenen Daten offengelegt werden (zum Beispiel Steuerberaterin, Sozialversicherung, Finanzamt etc.). Als Empfängerinnen werden da- bei nicht nur andere Verantwortliche verstanden, sondern auch Auf- tragsverarbeiterinnen, wie beispielsweise IT-Dienstleister. Übermittlungen von personenbezogenen Daten an ein Drittland au- ßerhalb der Europäischen Union oder eine internationale Organisa- tion. Die vorgesehenen Fristen für die Löschung der verschiedenen Daten- kategorien; wenn keine exakte Angabe möglich ist, können auch die Kriterien für die Festlegung der Aufbewahrungsdauer genannt wer- den. Eine allgemeine Beschreibung der technischen und organisatori- schen Datensicherheitsmaßnahmen; nur wenn für bestimmte Verar- beitungstätigkeiten spezielle Sicherheitsmaßnahmen implementiert wurden, ist eine entsprechende Dokumentation erforderlich. Das Verarbeitungsverzeichnis muss schriftlich geführt werden, das kann aber auch in elektronischer Form erfolgen. In der Praxis hat sich hier eine tabellarische Form, zum Beispiel in Form einer Word- oder Exceldatei be- währt. Das Verzeichnis muss nur gegenüber der Aufsichtsbehörde offengelegt wer- den, und das nur auf Anfrage. Es dient dazu, dass die Aufsichtsbehörde die 18 Datenschutz betreffenden Verarbeitungsvorgänge im Falle des Falles nachvollziehen bzw. kontrollieren kann. Grundsätzlich gilt die Pflicht zur Führung eines Verarbeitungsverzeichnisses nur für Unternehmen mit mehr als 250 Mitarbeiterinnen. Für kleinere Un- ternehmen gilt die Verpflichtung jeweils nur unter bestimmten Bedingun- gen: Die Datenverarbeitungen dürfen kein Risiko für die Rechte und Freihei- ten der betroffenen Personen darstellen, die Verarbeitung darf nur gele- gentlich erfolgen und die Verarbeitung darf keine sensiblen Daten bzw. keine Daten über strafrechtliche Verfolgungen beinhalten. In der Regel ist es aber sehr selten der Fall, dass keine der aufgelisteten Bedingungen zutrifft. Da weder die Lohnverrechnung noch eine Kundendatei nur gelegentlich ge- führt werden, benötigt praktisch jedes Unternehmen ein Verarbeitungsver- zeichnis – unabhängig von der Unternehmensgröße. Merksatz 2.11 Verletzung des Schutzes personenbezogener Daten Laut der DSGVO ist eine Verletzung des Schutzes personenbezogener Daten („data breach“ oder Datenschutzvorfall) eine Verletzung der Sicherheit, die zur Vernichtung, zum Verlust, zur Veränderung, zur unbefugten Offenlegung von personenbezogenen Daten oder zum unbefugten Zugang von personen- bezogenen Daten führt, die übermittelt, gespeichert oder verarbeitet wer- den. Dabei wird kein Unterschied gemacht, ob dies unbeabsichtigt oder un- rechtmäßig erfolgt.18 Als Datenschutzvorfall wird daher der Umstand bezeichnet, dass Unbefugte Zugang zu personenbezogenen Daten erhalten. Das kann beispielsweise in Form des Verlustes eines Datenträgers oder in Form eines Hackerangriffes erfolgen. Weitere Beispiele sind der unbefugte Zugriff auf personenbezo- gene Daten, der Diebstahl von Komponenten, Sicherheitslücken in der Hard- oder Software, Ransomware Verschlüsselungen, die unbeabsichtigte Offen- legung von personenbezogenen Daten oder die unbeabsichtigte Verwen- dung eines falschen Adressaten. Ein Datenschutzvorfall kann potenziell in drei Kategorien erfolgen: Es kann ein Verlust der Verfügbarkeit von Informationen erfolgen, ein Verlust der Vertraulichkeit von Informationen oder der Verlust der Integrität. Den betroffenen Personen kann dadurch ein physischer, materieller oder immaterieller Schaden entstehen. Darunter fällt der Verlust der Kontrolle 18 Vgl. Art. 4, Abs. 12 DSGVO. 19 Datenschutz über die eigenen Daten, finanzielle Verluste, Identitätsdiebstahl oder -be- trug, Rufschädigung sowie andere erhebliche wirtschaftliche oder gesell- schaftliche Nachteile. Bei einer Verletzung des Schutzes personenbezogener Daten muss eine Mel- dung an die zuständige Aufsichtsbehörde erfolgen, wenn ein Risiko für die Rechte und Freiheiten einer natürlichen Person besteht. Falls es sich dabei um ein hohes Risiko handelt, muss zusätzlich die betroffene Person benach- richtigt werden. Wenn einem Auftragsverarbeiter eine Verletzung des Schutzes personenbe- zogener Daten auffällt, muss er die Verletzung unverzüglich dem Verant- wortlichen melden. Die Meldung einer Datenschutzverletzung an die Aufsichtsbehörde muss möglichst innerhalb von 72 Stunden, nachdem dem Verantwortlichen diese Verletzung bekannt wurde, erfolgen. Falls dies nicht möglich ist, ist die Ver- zögerung entsprechend zu begründen. Dabei müssen folgende Informationen enthalten sein: eine Beschreibung der Art der Verletzung des Schutzes personenbe- zogener Daten. Zusätzlich sollte auch eine Angabe der Kategorie und der ungefähren Zahl der betroffenen Personen, der betroffenen Ka- tegorien und der ungefähren Zahl der personenbezogenen Datens- ätze erfolgen. Namen und die Kontaktdaten des Datenschutzbeauftragten oder ei- ner anderen zuständigen Anlaufstelle eine Beschreibung der wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten eine Beschreibung der vom Verantwortlichen ergriffenen oder vor- geschlagenen Maßnahmen zur Behebung der Datenschutzverletzung Sämtliche Verletzungen des Schutzes personenbezogener Daten sowie de- ren Auswirkungen und Abhilfemaßnahmen müssen sorgfältig dokumentiert und der Aufsichtsbehörde vorgelegt werden. Falls die betroffenen Personen benachrichtigt werden müssen, ist eine Be- schreibung der Art der Verletzung des Schutzes von personenbezogenen Da- ten in klarer und einfacher Sprache sowie der Name und die Kontaktdaten des Datenschutzbeauftragten oder einer anderen zuständigen Anlaufstelle bekannt zu geben. Zusätzlich ist auch eine Beschreibung der wahrscheinli- chen Folgen der Verletzung des Schutzes personenbezogener Daten und eine Beschreibung der vom Verantwortlichen ergriffenen oder vorgeschla- genen Maßnahmen zur Behebung der Datenschutzverletzung erforderlich. 20 Datenschutz Wenn nach einer groben Prüfung nicht von vornherein ausgeschlossen wer- den kann, dass personenbezogene Daten betroffen sind, müssen die Ge- schäftsführung, der Datenschutzbeauftragte und die interne IT-Abteilung in- formiert werden. Abbildung 2: Ablauf der Meldung eines Datenschutzvorfalls19 Eine Benachrichtigung der betroffenen Personen kann entfallen, wenn ge- eignete technische und organisatorische Maßnahmen, wie zum Beispiel die Verschlüsselung des Datensatzes, ergriffen wurden. Weiters kann auf eine Benachrichtigung verzichtet werden, wenn durch nachträgliche Maßnah- men die Rechte und Freiheiten der betroffenen Personen nicht mehr beste- hen oder die Benachrichtigung mit einem unverhältnismäßig hohen Auf- wand verbunden ist. 19 Abbildung i.A.a.: https://www.isico-datenschutz.de/blog/meldung-datenschutzvorfall/ 21 Datenschutz Jeder Datenschutzvorfall muss vom Verantwortlichen innerhalb von 72 Stun- den nach Bekanntwerden der jeweiligen Aufsichtsbehörde gemeldet wer- den. Damit wird gewährleistet, dass im Falle von schwerwiegenden Verstö- Merksatz ßen umgehend entsprechende Maßnahmen eingeleitet werden können. 2.12 Datenschutz-Folgenabschätzung Als Datenschutz-Folgenabschätzung wird in der DSGVO eine Selbstevaluie- rung bezeichnet, bei der die Auswirkungen und Risiken der Datenverarbei- tungen für die Rechte und Freiheiten der Betroffenen untersucht werden. Dabei werden unter anderem die Folgen der vorgesehenen Datenverarbei- tungen für den Datenschutz abgeschätzt, wodurch rechtzeitig geeignete Ab- hilfemaßnahmen ergriffen werden können. Eine Datenschutz-Folgenabschätzung muss insbesondere dann erfolgen, wenn neue Technologien angewendet werden oder aufgrund der Art, des Umfangs der Umstände und der Zwecke der Verantwortung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen besteht. Darunter kann zum Beispiel eine automatisierte Verarbeitung von Daten verstanden werden, die eine systematische und umfassende Bewertung per- sönlicher Aspekte zulässt und als Grundlage für schwerwiegende Entschei- dungen herangezogen wird. Ein weiteres Beispiel ist die systematische um- fangreiche Überwachung öffentlich zugänglicher Bereiche mittels Video- überwachung. Die sogenannte Artikel 29-Gruppe, ein europäisches Datenschutzgremium, hat mehrere Leitlinien zur Praxis der DSGVO veröffentlicht. Unter anderem hat sie neun Kriterien20 entwickelt, die zur Prüfung herangezogen werden können, ob eine Datenverarbeitung ein hohes Risiko mit sich bringt. Die Kri- terien lauten wie folgt: Bewirkt der Verarbeitungsvorgang ein Bewerten oder Einstufen be- troffener Personen, insbesondere auf Grundlage von Aspekten, wel- che die Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persönli- che Vorlieben oder Interessen, die Zuverlässigkeit oder das Verhal- ten, den Aufenthaltsort oder den Ortswechsel der Personen betref- fen. Damit sind zum Beispiel Nutzer-Verhaltensprofile oder Marke- tingprofile („Profiling“) durch Website-Analyse-Tools gemeint. Beinhaltet der Verarbeitungsvorgang eine automatisierte Entschei- dungsfindung mit Rechtswirkung oder einer ähnlich bedeutsamen Wirkung? 20 Vgl. Datenschutzgruppe nach Art. 29 (2017), S. 10ff. 22 Datenschutz Beinhaltet der Verarbeitungsvorgang möglicherweise eine systema- tische Überwachung, das heißt Vorgänge, die die Beobachtung, Überwachung oder Kontrolle betroffener Personen zum Ziel haben? Werden vertrauliche Daten oder höchst persönliche Daten verarbei- tet? Das können sensible Daten, personenbezogene Daten über strafrechtliche Verurteilungen oder Straftaten sein. Darunter können auch personenbezogene Daten verstanden werden, die mit häusli- chen oder privaten Aktivitäten verknüpft sind, die sich auf die Aus- übung der Grundrechte auswirken oder deren Nutzung möglicher- weise ernsthafte Konsequenzen im Alltag der betroffenen Personen haben kann. Unter Letzterem können beispielsweise Bankdaten ver- standen werden, die für den Zahlungsbetrug missbraucht werden können. Erfolgt eine Datenverarbeitung in großem Umfang? Als Kriterien kön- nen die Zahl der betroffenen Personen, die verarbeitete Daten- menge, die Dauer oder Dauerhaftigkeit der Datenverarbeitung sowie das geografische Ausmaß der Datenverarbeitung herangezogen wer- den. Beinhaltet die Datenverarbeitung ein potenzielles Abgleichen oder Zusammenführen von Datensätzen? Darunter kann die Zusammen- führung von Datensätzen aus unterschiedlichen Anwendungszwe- cken verstanden werden, wobei dieser Vorgang von den betroffenen Personen nicht erwartet werden kann. Werden möglicherweise Daten schutzbedürftiger betroffener Perso- nen verarbeitet? Darunter fallen beispielsweise Kinder, Personen mit einem besonderen Schutzbedarf oder auch Arbeitnehmer. Beinhaltet der Verarbeitungsvorgang eine innovative Nutzung oder Anwendung neuer technologischer oder organisatorischer Lösun- gen? Damit ist beispielsweise eine Kombination von Fingerabdruck und Gesichtserkennung zum Zweck einer verbesserten Zugangskon- trolle gemeint. Kann die Datenverarbeitung die betroffenen Personen potenziell an der Ausübung eines Rechts oder der Nutzung einer Dienstleistung beziehungsweise der Durchführung eines Vertrags hindern? Darun- ter fällt etwa die Frage, ob einer natürlichen Person ein Kredit ge- währt wird oder nicht. Sind zwei oder mehrere der aufgeführten Kriterien mit ja zu beantworten und liegt für den betroffenen Verarbeitungsvorgang wahrscheinlich ein ho- hes Risiko vor, muss eine Datenschutz-Folgenabschätzung durchgeführt werden. 23 Datenschutz Zur Risikobewertung können beispielsweise auch die Eintrittswahrschein- lichkeit und die Schwere des Schadens in einer Matrix dargestellt werden. Abbildung 3: Risikobewertung betreffend Datenschutz-Folgeabschätzung21 Die Aufsichtsbehörde ist verpflichtet, entsprechende Listen zu erstellen, in denen konkrete Verarbeitungsvorgänge aufgelistet werden. Geht aus einer Datenschutz-Folgenabschätzung hervor, dass Verarbeitungs- vorgänge ein hohes Risiko beinhalten, das der Verantwortliche nicht durch geeignete Maßnahmen in Bezug auf die verfügbare Technik und Implemen- tierungskosten eindämmen kann, so sollte die Aufsichtsbehörde vor der Ver- arbeitung konsultiert werden. 21 Abbildung i.A.a.: https://www.ihk-muenchen.de/de/Service/Recht-und-Steuern/Daten- schutz/Die-EU-Datenschutz-Grundverordnung/Folgenabschätzung/ 24 Datenschutz Eine Verarbeitung hat voraussichtlich ein hohes Risiko zur Folge, wenn die Form der Verarbeitung auf der „Blacklist“ der Aufsichtsbehörde enthalten ist oder weil beispielsweise neuartige Technologien eingesetzt werden.22 Unter dem Begriff Profiling wird eine Datenverarbeitungstechnik bezeich- net, bei der zur Bewertung von persönlichen Aspekten oder zur Erstellung einer Analyse oder Vorhersage bezüglich ihrer Vorlieben, Verhaltensweisen oder Einstellung ein Profil für eine Person erstellt wird. Um aus vorhandenen Daten Vorhersagen treffen zu können, werden Wahrscheinlichkeitsanalysen aus Daten erstellt. Aufgrund von Mustern und Gesetzmäßigkeiten in den Ba- sisdaten werden unter Zugrundelegung statistisch mathematischen Verfah- ren etwa Prognosen über das mögliche zukünftige Verhalten einer Person erstellt. Profiling unterliegt nur dann besonderen, zusätzlichen Beschränkungen, wenn das Profiling die Betroffenen in erheblicher Weise beeinträchtigt. Eine Datenschutz-Folgenabschätzung ist immer dann erforderlich, wenn ein hohes Risiko für die Rechte und Freiheiten von natürlichen Personen be- steht. Die Datenschutzbehörde stellt Einschätzungen zu verschiedenen Ver- Merksatz arbeitungsvorgängen in Form einer „Whitelist“ bzw. einer „Blacklist“ zur Verfügung. „Whitelist“ der Datenschutzbehörde „Blacklist“ der Datenschutzbehörde 2.13 Datenübermittlung an Drittländer Mit der Datenübermittlung an ein Drittland sind alle Staaten außerhalb der Europäischen Union und des EWR gemeint. Ebenfalls ausgenommen sind die Länder Island, Liechtenstein und Norwegen. Grundsätzlich ist laut der DSGVO die Übermittlung von personenbezogenen Daten erlaubt, wenn das betreffende Drittland ein angemessenes Schutzni- veau bietet.23 Alternativ dazu darf die Datenübermittlung in das betreffende Drittland erfolgen, wenn geeignete Garantien vorliegen. Gemäß der DSGVO werden unter geeigneten Garantien zum Beispiel interne Datenschutzvor- schriften, Standarddatenschutzklauseln, genehmigte Verhaltensregeln oder Vertragsklauseln im Sinne von genehmigten Verträgen verstanden. 22 Vgl. Feiler, Lukas und Nikolaus Forgó (2017), S. 213. 23 Vgl. Art. 45 DSGVO. 25 Datenschutz Zusätzlich zum Vorliegen geeigneter Garantien kann die Europäische Kom- mission im Wege von entsprechenden Angemessenheitsbeschlüssen Aus- nahmen für einzelne Länder erlassen. Angemessenheitsbeschlüsse müssen einen Mechanismus für eine regelmä- ßige Überprüfung vorsehen, die mindestens alle vier Jahre zu erfolgen hat. Die Kommission überwacht fortlaufend die Entwicklung in den entsprechen- den Drittländern und widerruft, ändert oder setzt die Beschlüsse im Wege von Durchführungsrechtsakten aus, soweit Informationen vorliegen, dass das Drittland kein angemessenes Schutzniveau gewährleistet. Angemessenheitsbeschlüsse bestehen derzeit für die Staaten Andorra, Ar- gentinien, Färöer-Inseln, Guernsey, Insel Man, Israel, Japan, Jersey, Kanada, Neuseeland, Schweiz, Südkorea, Uruguay und das Vereinigte Königreich (UK). Es ist nicht unbedingt zu erwarten, dass die Liste der Drittstaaten in abseh- barer Zeit nennenswert erweitert würde. Traditionell ist die Kommission zu- rückhaltend mit der Einschätzung, dass der Schutz von personenbezogenen Daten in anderen Staaten außerhalb der Europäischen Union in vergleichba- rer Weise sichergestellt wird.24 Eine besondere Stellung nehmen die Vereinigten Staaten ein, was unter an- derem mit der Dominanz zahlreicher IT-Unternehmen und deren Bedeutung für die europäische Wirtschaft zu tun hat. Mit den USA wurden bisher zwei Abkommen unterzeichnet, die ein angemessenes Datenschutzniveau ge- währleisten sollten: Das Safe-Harbour-Abkommen (2000) und das US Privacy Shield (2016). Beide Abkommen wurden inzwischen vom Europäischen Ge- richtshof für ungültig erklärt (Schrems-I-Urteil und Schrems-II-Urteil). Obwohl der Europäische Gerichtshof keine Übergangsphase vorgesehen hat, ist ein Datentransfer in die USA weiterhin möglich. Seit Juli 2020 können für die sichere Übermittlung von personenbezogenen Daten in die USA zum Beispiel Standardvertragsklauseln im Zusammenhang mit Sicherheitsgaran- tien herangezogen werden. Diese „binding corporate rules“ müssen eine in- terne Verbindlichkeit aufweisen, durchsetzbare Rechte vermitteln und den Anforderungen der DSGVO in Bezug auf den Mindestinhalt entsprechen. Sobald eine betroffene Person ausdrücklich dem Einsatz eines US-amerika- nischen Dienstleisters zustimmt, können grundsätzlich auch Standardver- tragsklauseln entfallen. Das ist jedoch in der Praxis keine ausreichende Lö- sung, da die Einwilligung jederzeit widerrufen werden kann.25 Zusätzlich 24 Vgl. Pachinger, Michael (2019), S. 343. 25 Vgl. Feiler, Lukas und Bernhard Horn (2018), S. 142. 26 Datenschutz sollte überprüft werden, ob die bestehenden Informationspflichten hinrei- chend berücksichtigt wurden. In Einzelfällen kommen auch Ausnahmen zum Tragen, wie zum Beispiel bei wichtigen Gründen des öffentlichen Interesses, der Durchsetzung von Rechtsansprüchen oder der Erforderlichkeit zum Schutz lebenswichtiger In- teressen. Unter speziellen Voraussetzungen kann ein Unternehmen auch be- rechtigte Interessen geltend machen. Dabei darf die Übermittlung nicht wie- derholt erfolgen, nur eine eng begrenzte Anzahl von Personen umfassen und die Interessen bzw. die Rechte und Freiheiten der betroffenen Personen im Rahmen einer Abwägung nicht überwiegen. Eine Übermittlung von personenbezogenen Daten an Dritte ist unter der Ein- haltung der entsprechenden Bestimmungen möglich. Das gilt auch für die Vereinigten Staaten, obwohl der Europäische Gerichtshof die bislang be- Merksatz schlossenen Datenschutzabkommen gekippt hat. 2.14 Strafausmaß Laut der DSGVO sind grundsätzlich Strafrahmen von bis zu 20 Millionen Euro oder im Fall eines Unternehmens bis zu vier Prozent des gesamten weltweit erzielten Jahresumsatzes vorgesehen. Dabei wird der jeweils höhere Betrag herangezogen. Bei leichteren Vergehen fällt die Höchststrafe halb so hoch aus. Folgende Faktoren spielen in Bezug auf die Höhe der Geldbuße eine Rolle: Art, Schwere und Dauer des Verstoßes: Dabei werden sowohl der Umfang und der Zweck der Datenverarbeitung, die Anzahl der be- troffenen Personen sowie das Ausmaß des erlittenen Schadens be- rücksichtigt. Haben der Verantwortliche bzw. der Auftragsverarbeiter vorsätzlich oder lediglich fahrlässig gehandelt? Wurde vom Verantwortlichen bzw. vom Auftragsverarbeiter Maß- nahmen zur Minderung des Schadens getroffen? Hat der Verantwortliche bzw. der Auftragsverarbeiter angemessene technische und organisatorische Maßnahmen ergriffen, um einen solchen Verstoß zu verhindern? Handelt es sich um eine wiederholte Tat des Verantwortlichen bzw. des Auftragsverarbeiters? In welchem Umfang hat der Verantwortliche bzw. der Auftragsverar- beiter mit der Aufsichtsbehörde zusammengearbeitet, um die nach- teiligen Auswirkungen des Verstoßes zu mindern? 27 Datenschutz Handelt es sich bei den Kategorien personenbezogener Daten um be- sonders sensible oder strafrechtlich relevante Daten? Handelt es sich um eine Selbstanzeige des Verantwortlichen bzw. des Auftragsverarbeiters? Wurde gegen einen Bescheid verstoßen, den die Aufsichtsbehörde bereits in derselben Sache gegen den Verantwortlichen bzw. den Auftragsverarbeiter erlassen hat? Wurden durch den Verstoß finanzielle Vorteile erlangt? Üblicherweise wird eine allfällige Geldbuße unmittelbar gegenüber Mitglie- dern der Geschäftsführung verhängt. Das ist nur dann nicht möglich, wenn das Unternehmen einen für Datenschutzrecht verantwortlichen Beauftrag- ten (nicht mit dem Datenschutzbeauftragten zu verwechseln) bestellt hat. Über das Unternehmen als juristische Position wird bei einer Verletzung der DSGVO nur dann eine Geldbuße verhängt, wenn der Verstoß direkt durch eine Person in einer Führungsposition begangen wurde oder mangelnde Überwachung oder Kontrolle einer Person in einer Führungsposition den Verstoß durch einen Mitarbeiter ermöglicht hat. Geldbußen wegen Datenschutzverletzungen durch eine Tochtergesellschaft können auch gegenüber der Konzernmutter verhängt werden. Die Bemes- sungsgrundlage für die Geldbuße ist dabei der Umsatz des gesamten Kon- zerns. Vor allem in internationalen Konzernen sind Datenschutzverstöße deshalb praktisch gesprochen keine rein lokalen Themen.26 Betroffene haben das Recht, sowohl für materielle als auch für immaterielle Schäden durch einen Verstoß gegen die DSGVO Schadenersatz zu erhalten. Unter materiellen Schäden ist dabei die Minderung des Vermögens des Be- troffenen einschließlich eines entgangenen Gewinnes zu verstehen. Bei ma- teriellen Schäden liegt in der Praxis die Herausforderung darin, zu beweisen, dass der materielle Schaden tatsächlich durch die Datenschutzverletzung verursacht wurde. Immaterieller Schaden bezeichnet eine emotionale oder seelische Beein- trächtigung, die die betroffene Person durch die Datenschutzverletzung er- leidet. Dabei wird nicht vorausgesetzt, dass es zu einer Bloßstellung oder ei- ner ähnlich schweren Beeinträchtigung kommt. Darunter sind zum Beispiel Diskriminierung, Identitätsdiebstahl oder -betrug, Rufschädigung, die unbe- fugte Aufhebung der Pseudonymisierung, erhebliche gesellschaftliche Nach- teile für die betroffene Person, die rechtswidrige Verarbeitung sensibler 26 Vgl. Feiler, Lukas und Bernhard Horn (2018), S. 175. 28 Datenschutz oder strafrechtlich relevanter Daten oder die rechtswidrige Durchführung von Profilierungen zu verstehen. Jede betroffene Person, der durch einen Verstoß gegen die DSGVO oder das Datenschutzgesetz ein materieller oder immaterieller Schaden entstanden ist, hat Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter.27 Die Datenschutzbehörde ist dazu berechtigt, bei Verstößen gegen die Best- immungen der DSGVO und des Datenschutzgesetzes Geldbußen über eine juristische Person zu verhängen. Der Verstoß muss dabei durch Personen in einer Führungsposition begangen worden sein, die entweder allein oder als Teil eines Organs der juristischen Person gehandelt haben. Weitere Voraus- setzungen sind, dass sie die juristische Person vertreten dürfen und Ent- scheidungen im Namen der juristischen Person treffen dürfen. Juristische Personen können auch dann belangt werden, wenn eine man- gelnde Überwachung oder Kontrolle durch eine Führungsperson die Bege- hung dieser Verstöße ermöglicht hat. Wenn für denselben Verstoß bereits eine Verwaltungsstrafe gegen die juris- tische Person verhängt wurde, erfolgt keine gesonderte Bestrafung des Ver- antwortlichen. Gegen Behörden und öffentliche Stellen, die im gesetzlichen Auftrag han- deln und gegen Körperschaften des öffentlichen Rechts können ausdrücklich keine Geldbußen verhängt werden. In der DSGVO ist auch vorgesehen, dass sich Betroffene von einer Einrich- tung, Organisation oder Vereinigung bei der Geltendmachung ihrer Ansprü- che vertreten lassen können. In Deutschland werden regelmäßig Bußgelder im Zusammenhang mit Daten- schutzverletzungen verhängt. Ein häufiges Beispiel sind Fälle, in denen Un- ternehmen aufgrund unzureichender Transparenz oder der Nichteinhaltung von Informationspflichten im Umgang mit personenbezogenen Daten mit hohen Geldbußen belegt werden. Europaweit wurden im Jahr 2021 laut einer Zählung von enforcementtra- cker.com 434 Verstöße gegen die DSGVO28 ausgesprochen. Die verhängten Bußgelder haben zusammengenommen ein Volumen von 1,3 Milliarden Euro. Zum Vergleich: Im Jahr 2019 waren es 73 Millionen Euro, im Jahr 2020 172 Millionen Euro. 27 Vgl. Art. 82 DSGVO. 28 Vgl. CMS Hasche Sigle Partnerschaft von Rechtsanwälten und Steuerberatern (2022). 29 Datenschutz Abbildung 4: DSGVO-Bußgelder29 2.15 Datenschutz & IT-Compliance Unter IT-Compliance wird die Einhaltung der gesetzlichen, unternehmensin- ternen und vertraglichen Regelungen im Bereich der IT-Landschaft verstan- den. Eine gute IT-Resilienz basiert auf den drei Säulen Informationssicher- heit, Datenschutz-Management und betrieblichem Kontinuitätsmanage- ment. Unter Informationssicherheit werden die Eigenschaften von Systemen zur Informationsverarbeitung, -speicherung und -lagerung bezeichnet, welche die Vertraulichkeit, Verfügbarkeit und Integrität der verarbeiteten Daten si- cherstellen. Somit dient die Informationssicherheit dem Schutz vor Gefahren und Bedrohungen, der Vermeidung von wirtschaftlichen Schäden und der Minimierung von Risiken. Datenschutzmanagement ist eine Methode, um die gesetzlichen und be- trieblichen Anforderungen des Datenschutzes systematisch zu planen, zu or- ganisieren, zu steuern und zu kontrollieren. Das Ziel ist dabei die Erarbeitung einer Systematik, um den Datenschutz langfristig und nachvollziehbar inner- halb eines Unternehmens zu verankern. Mit betrieblichem Kontinuitätsmanagement wird die Entwicklung von Stra- tegien, Plänen und Handlungen bezeichnet, um Tätigkeiten oder Prozesse zu 29 Abbildung entnommen aus: https://de.statista.com/infografik/26629/strafen-auf-grund- von-verstoessen-gegen-die-datenschutz-grundverordnung/ 30 Datenschutz schützen, deren Unterbrechung der Organisation ernsthafte Schäden oder vernichtende Verluste zufügen würden. Im IT-Kontext ist damit die systema- tische Vorbereitung auf die Bewältigung von Schadensereignissen wie zum Beispiel eine DDOS-Attacke oder ein Hackerangriff gemeint. Die DSGVO sieht vor, dass ein jeweils dem Risiko angemessenes Schutzni- veau gewährleistet werden muss. Um im Einzelfall zu prüfen, ob das Sicher- heitsniveau tatsächlich ausreichend ist, ist eine detaillierte Risikoanalyse empfehlenswert. Alternativ dazu kann man sich an Best Practices oder den aktuell geltenden technischen Standards orientieren. Dabei können grundsätzlich technische, organisatorische und physische Maßnahmen unterschieden werden. Hinsichtlich der Wirkungsweise kann zusätzlich eine Unterscheidung in präventive, detektive, reaktive oder ab- schreckende Maßnahmen getroffen werden. Ein wirkungsvolles Sicherheitskonzept sollte sämtliche angeführten Arten von Sicherheitsmaßnahmen und Wirkungsweisen enthalten. Dazu kann z.B. folgende Matrix herangezogen werden. Diese ist bereits mit konkreten Bei- spielen für Sicherheitsmaßnahmen befüllt: Technisch Organisatorisch Physisch Präventiv Firewall Vier-Augen-Prinzip Stahltür Verpflichtende Einbruchmeldesys- Detektiv Durchsicht der Brandmelder tem Logfiles Richtlinie zur Reaktion auf Backup & Reaktiv Vorfälle („Incident Feueralarm Restore Response Policy“) Abschreckend Warnmeldung Disziplinarordnung Wachhund Tabelle 1: Sicherheitsmaßnahmen30 2.16 Unterschiede bei der Auslegung der DSGVO in Deutschland und anderen Ländern Europas Wie bei jeder EU-Verordnung gibt es auch bei der Umsetzung der DSGVO Spielräume in den jeweiligen Mitgliedsstaaten. Grundsätzlich gelten die Sanktionsvorschriften der DSGVO für alle verantwortlichen Unternehmen, Behörden und öffentlichen Einrichtungen in der Europäischen Union. Aller- dings enthält die DSGVO auch eine Öffnungsklausel, wonach jedes Mit- gliedsland Vorschriften festlegen kann, z.B. ob und in welchem Umfang Geldbußen verhängt werden können. Jede nationale Aufsichtsbehörde hat 30 Vgl. Feiler, Lukas und Bernhard Horn (2018), S. 164. 31 Datenschutz darüber hinaus eine große Bandbreite an Maßnahmen, die sie im Falle von Verstößen ergreifen kann.31 Die DSGVO wird in den einzelnen Ländern Europas unterschiedlich umge- setzt. In Deutschland etwa erfolgt die Umsetzung der DSGVO mit strengen Regelungen, die weitgehend alle Aspekte der Verordnung in vollem Umfang berücksichtigen. In anderen EU-Ländern, wie zum Beispiel in einigen südeu- ropäischen Staaten, wird sie manchmal etwas weniger rigoros angewendet. Ein bedeutender Unterschied in der Umsetzung der DSGVO zwischen den Ländern liegt oft darin, dass einige Länder bei einem erstmaligen Verstoß lediglich Verwarnungen aussprechen, während in anderen Ländern sofort Bußgelder verhängt werden. Ein weiterer Unterschied besteht in der Behandlung von öffentlichen Stel- len. In einigen Ländern sind Behörden von Geldbußen befreit, während sie in anderen, wie Deutschland, ebenfalls Bußgeldern unterliegen.32 Einige Mitgliedsstaaten haben zudem Sonderregelungen für bestimmte Be- rufsgruppen getroffen. So können in einigen Ländern, wie zum Beispiel in Frankreich, Journalisten personenbezogene Daten für ihre berufliche Tätig- keit verarbeiten, ohne dabei den vollen Umfang der DSGVO zu befolgen. Auch für wissenschaftliche, künstlerische und literarische Zwecke gelten in einigen Ländern abweichende Regelungen, wenn es um die Anwendung der DSGVO geht.33 Zudem gibt es Unterschiede in der Einwilligung von Minderjährigen: Einige Länder setzen das Mindestalter für die Einwilligung zur Datenverarbeitung auf 14 Jahre, während in anderen Ländern, wie Deutschland, das Mindest- alter bei 16 Jahren bleibt.34 Im Bereich der Videoüberwachung sind in den meisten EU-Ländern ähnliche Grundsätze anzutreffen, wobei es in einigen Ländern strengere Vorschriften für die Löschung von Aufnahmen gibt, etwa eine Pflicht zur Löschung inner- halb von 72 Stunden. Ein weiterer wesentlicher Unterschied liegt in der Regelung der Datenlö- schung. In einigen Ländern kann die unverzügliche Löschung von Daten un- ter bestimmten wirtschaftlichen oder technischen Bedingungen verzögert 31 Europäische Kommission – Datenschutz. https://ec.europa.eu/info/law/law-topic/data- protection_en 32 Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI). https://www.bfdi.bund.de 33 Datenschutzkonferenz (DSK). https://www.datenschutzkonferenz-online.de 34 European Data Protection Board (EDPB). https://edpb.europa.eu/ 32 Datenschutz werden, während in anderen Ländern diese Praxis strengeren Regeln unter- liegt. In Deutschland trat Ende 2021 das Telekommunikation-Digitale-Dienste- Datenschutz-Gesetz (TDDDG) in Kraft, das größere Änderungen beim Um- gang mit Cookies und ähnlichen Technologien wie Fingerprinting mit sich brachte. Im Rahmen des TDDDG ist eine ausdrückliche, informierte und vor- herige Zustimmung der Nutzer erforderlich, auch wenn kein direkter Perso- nenbezug vorliegt. Diese Bestimmungen nehmen Teile der ePrivacy-Richtli- nie vorweg.35 Beim grenzüberschreitenden Handel innerhalb der EU muss stets beachtet werden, dass die jeweiligen nationalen Datenschutzregelungen gelten, die zusätzlich zur DSGVO angewendet werden.36 Die Mitgliedsstaaten der EU haben von der Möglichkeit Gebrauch gemacht, abweichende Regelungen zur DSGVO zu treffen. Unterschiede in der Ausle- gung der Datenschutzbestimmungen zwischen den Ländern ergeben sich Merksatz häufig durch nationale Gesetzgebungen und zusätzliche Vorschriften, die über die Anforderungen der DSGVO hinausgehen. 2.17 Exkurs: ePrivacy-Verordnung Die ePrivacy-Verordnung (ePrivacy-VO) regelt die Nutzung elektronischer Kommunikationsdienste innerhalb der Europäischen Union und soll die Da- tenschutzrichtlinie für elektronische Kommunikation (Richtlinie 2002/58/EG) ersetzen. Die ePrivacy-Verordnung richtet sich vor allem an Unternehmen der Digitalwirtschaft und legt ihnen weitere Vorgaben im Zu- sammenhang mit der Verarbeitung personenbezogener Daten vor. Ursprünglich sollte sie gemeinsam mit der DSGVO im Mai 2018 in Kraft tre- ten, doch anders als bei der DSGVO konnten sich die EU-Staaten im Falle der ePrivacy-Verordnung bis heute noch auf keinen gemeinsamen Gesetzesent- wurf einigen. Die ePrivacy-Verordnung sollte eigentlich die sogenannte Cookie-Richtlinie (EU-Richtlinie 2009/136/EG) aus dem Jahr 2009 ablösen. Die Cookie-Richtli- nie sieht im Wesentlichen vor, dass die Besucher einer Website über den Einsatz von Cookies in einer leicht verständlichen Form informiert werden 35 Telekommunikations-Telemedien-Datenschutzgesetz (TDDDG). https://www.gesetze-im- internet.de/ttdsg/ 36 Enforcement Tracker. https://www.enforcementtracker.com/ 33 Datenschutz und der Speicherung zustimmen müssen. Sie dürfen laut der Richtlinie nur dann ungefragt gesetzt werden, wenn sie technisch notwendig sind. Für die Anwendung der meisten Cookies benötigen Website-Betreiber jedoch eine Zustimmung der Nutzer. Bisherige Entwürfe der ePrivacy-Verordnung sahen ein generelles Verbot von technisch nicht notwendigen Cookies vor, mit der Ausnahme, dass Nut- zer deren Verwendung vorher zustimmen. Die Verordnung schreibt auch vor, dass die Regelung für alle innerhalb der EU befindlichen Endgeräte an- gewendet wird, unabhängig davon, in welchem Land die Datenverarbeitung stattfindet. In einem Erstentwurf der ePrivacy-Verordnung wurde verlangt, dass in den Browsereinstellungen vom Hersteller generell die höchste Privatsphären- stufe voreingestellt sein sollte und keine Cookies von Dritten akzeptiert wer- den. Damit würden die sogenannten Cookie-Banner entfallen, mit denen die aktive Entscheidung der User oftmalig gesteuert wird. In einem neueren Ent- wurf wurden die Regelungen für die Browsereinstellungen allerdings wieder gelockert. Zusätzlich zu Vorgaben für den Umgang mit Cookies sieht die ePrivacy-Ver- ordnung unter anderem auch einen besseren Schutz der Nutzer durch si- chere Verschlüsselungs-technologien, eine Ausweitung der verpflichtenden Einwilligung zur Verarbeitung von personenbezogenen Daten auf Apps und Privacy-by-default-Bestimmungen vor. Grundsätzlich sind zwei Konfliktlinien auszumachen: Zum einen stehen die Interessen der Nutzer den Profitinteressen der Wirtschaftsverbände entge- gen. Zum anderen gibt es auch ein Tauziehen zwischen den Datenschützern und den Vertretern der Wirtschaft. Bislang steht jedenfalls noch immer kein verlässlicher Textentwurf des Rates zur Verfügung. Aufgrund der festgefahrenen Situation ist grundsätzlich auch eine Rücknahme des gesamten Gesetzesvorschlages durch die Europäische Union vorstellbar. Laut einer neueren Einschätzung hat die französische Ratspräsidentschaft im ersten Halbjahr 2022 wieder etwas Bewegung in die Diskussion gebracht.37 Im Falle einer Inkraftsetzung der ePrivacy-Verordnung ist jedenfalls davon auszugehen, dass sich die Rechtslage definitiv ändern wird und damit für alle Onlinedienste- und Websitebetreiber von großer Relevanz ist. Da bis zum Inkrafttreten der Verordnung eine Übergangszeit von 24 Mona- ten vorgesehen ist, bleibt eine Vielzahl von datenschutzrechtlichen 37 Vgl. Moechel, Erich (2022). 34 Datenschutz Fragestellungen im Bereich der elektronischen Kommunikation in naher Zu- kunft jedoch offen. Die ePrivacy-Verordnung sollte ursprünglich die Cookie-Richtlinie ersetzen und zeitgleich mit der DSGVO in Kraft treten, es liegt aber noch immer kein finaler Textentwurf des Rates vor. Merksatz Reflexionsfragen: Was ist unter besonderen Kategorien von Daten zu verstehen? Reflexionsfragen Unter welchen Bedingungen darf eine Übermittlung von personen- bezogenen Daten in Staaten außerhalb der EU erfolgen? Welche Unterschiede gibt es bei der Auslegung der DSGVO in Deutschland und anderen Ländern Europas? 35

Datenschutz-Grundverordnung (DSGVO) - PDF

Document Details

Tags

Related

Summary

Full Transcript