in der DSGVO

Fakten

„Die erbarmungsloseste Waffe ist die gelassene Darlegung der Fakten.“

Raymond Barre (1924-2007)

Fakten der DGSVO

Datenschutz ist im Detail komplex. Insgesamt stellt die DS-GVO hohe Anforderungen an die Aufgaben eines Datenschutzbeauftragten. Durch die Aufschlüsselung der wichtigsten Fakten haben wir die Komplexität der DS-GVO nur angerissen. Die DS-GVO bleibt in der Gesamtheit sehr umfangreich. Mit der Benennung zum betrieblichen Datenschutzbeauftragten erhält ihr Unternehmen die vollumfängliche “Anwendung“, „Beratung“ und die „Überwachung“ aller Regeln und Pflichten der DS-GVO.
rechtsgrundlage datenverarbeitung

Datenverarbeitungen brauchen eine Rechtsgrundlage

Gemäß Artikel 6 darf der Verantwortliche personenbezogenen Daten nur dann verarbeiten, wenn es hierfür eine spezifische Rechtsgrundlage gibt. Typischerweise wäre dies eine gesetzliche Grundlage oder ein Vertrag oder eine Einwilligung. Die DS-GVO und das BDSG bieten hier ca. 30 Möglichkeiten. Bei sensiblen Daten gelten besonders hohe Hürden.

Zweckänderungen müssen sorgsam geprüft werden

Gemäß Artikel 6 (4) sind Zweckänderungen nur unter sehr engen Voraussetzungen erlaubt. Genau genommen kann man nur von „Zweck-Erweiterungen“ sprechen. Gibt es hierfür keine Einwilligung und kein Gesetz als Rechtsgrundlage, so hat der Verantwortliche eine ausführliche Abwägung durchzuführen.

Datenschutzfreundliche Technikgestaltung und Voreinstellungen

Gemäß Artikel 25 muss der Verantwortliche schon in der Konzeptionsphase für Datenschutz sorgen, indem er so wenig Daten wie möglich speichert. Je weniger Daten er speichert, desto weniger Maßnahmen sind später zu deren Schutz notwendig (das spart Zeit und Geld). Ganz wichtig ist auch: Für jede Information, die man nicht besitzt, muss man später keine Auskunft erteilen oder Berichtigungsverlangen bearbeiten etc. (das spart Zeit und Nerven).

Einwilligungen der betroffenen Personen

Gemäß Artikel 7 muss das Unternehmen die Einwilligungen der betroffenen Personen nachweisen können. Der Einwilligungs-Nachweis hat eine große Bedeutung im Datenschutzrecht. Erfahrungsgemäß resultieren viele Konflikte (mit Betroffenen und Aufsichtsbehörden) daraus, dass die betroffene Person behauptet keine Einwilligung gegeben zu haben. In den klassischen Fällen (z.B. bei Newsletter-Anmeldung) lässt sich dies meist einfach widerlegen, sofern man die Anmeldungen gewissenhaft protokollierte. Es bedarf also einer ausführlichen Dokumentation darüber WER seine Einwilligung WANN und WIE gegeben hat und welcher WORTLAUT genau vorlag.

einwilligung betroffene personen dsgvo
Image

Nachweis der Einhaltung der „Grundsätze“

Gemäß Artikel 5 unterliegt der Verantwortliche einer generellen „Rechenschaftspflicht“ (engl. „Accountability“). Inhaltlich basierend auf Artikel 5 (1) sind verschiedene Themenbereiche zu behandeln. Dabei ist insbesondere der Artikel 5 (1a) hervorzuheben, der ziemlich direkt ein Compliance-Managementsystem einfordert. Es ist zu erwarten, dass die Aufsichtsbehörden hier eine überzeugende Gesamtdokumentation anfordern.

Auskunft erteilen

Das Recht auf Auskunft gemäß Artikel 15 ist sehr weitreichend. Die betroffenen Personen (bzw. Bevollmächtigte, wie z.B. Erben) müssen einen entsprechenden Antrag stellen. Es müssen keine Details beauskunftet werden. Diese Pflicht ist ernst zu nehmen, weil fehlende oder grob unvollständige Auskünfte von Jedermann leicht festzustellen sind.

Einschränkung der Verarbeitung

Gemäß Artikel 18 können betroffene Personen unter bestimmten Umständen eine „Einschränkung der Verarbeitung“ verlangen; oftmals wird dies auch als „Sperrung“ bezeichnet. Der Sinn dieser „Einschränkung“ liegt darin, dass in verschiedenen Streitfällen die Daten erst einmal „eingefroren“ werden, bis eine Klärung der Sachlage erfolgt ist.

Image

Verarbeitungsverzeichnis des Verantwortlichen

Die Dokumentation der Verarbeitungstätigkeiten gemäß Artikel 30 durch den Verantwortlichen ist besonders wichtig. Jede einzelne Verarbeitung muss präzise dokumentiert werden. Ohne eine solche Dokumentation kann das Unternehmen nicht garantieren, dass der Umgang mit personenbezogenen Daten datenschutzrechtlich zulässig ist.

Bei Erhebung von Daten ausführlich informieren

Gemäß Artikel 13 muss das Unternehmen die betroffenen Personen schon bei der Datenerhebung sehr ausführlich informieren. Dies soll die Fairness und Transparenz der Verarbeitung sicherstellen. Man könnte diese Information als eine Art „Beipackzettel“ ansehen.

einwilligung betroffene personen dsgvo
Image

Berichtigung ermöglichen

Gemäß Artikel 16 haben betroffene Personen das Recht auf eine Berichtigung von unrichtigen Daten. In der Datenverarbeitung ist ein Datenfeld aufzunehmen, wo die betroffene Person eine „ergänzende Erklärung“ hinterlegen kann (um den Kontext korrekt und unmissverständlich klarzustellen).

Datenkopie aushändigen

Das Recht auf Datenkopien gemäß Artikel 15 (3) und Artikel 15 (4) gibt den Betroffenen ein (fast) uneingeschränktes Recht auf Kopien ihrer Daten. Gemäß Erwägungsgrund 63 kann der Verantwortliche um eine Präzisierung bitten (um nicht immer ALLE Daten kopieren zu müssen); doch die betroffene Person kann trotzdem ALLE Daten einfordern.

einwilligung betroffene personen dsgvo
einwilligung betroffene personen dsgvo

Löschen von Daten

Im Artikel 17 werden verschiedene Gründe und Umstände für das Löschen von Daten beschrieben. Das Unternehmen muss demnach selbst laufend prüfen, ob es die Daten noch speichern darf, oder ob es diese unverzüglich löschen muss. Ein „versehentliches Liegenlassen“ von personenbezogenen Daten kann mit Geldbußen geahndet werden.

Korrektur bei Dritten

Gemäß Artikel 19 muss sich jede Forderung nach Berichtigung, Löschung oder Verarbeitungseinschränkung möglichst auf die gesamte Datenkette beziehen (in Bezug auf die Artikel 16, Artikel 17 und Artikel 18). Über dieses Verlangen der betroffenen Person sind Auftragsverarbeiter und Dritte darüber zu informieren. Die betroffene Person kann außerdem verlangen, dass die Namen der Empfänger genannt werden (um kontrollieren zu können, ob die Daten insgesamt bei allen Beteiligten korrekt gehandhabt werden).

Datenübertragbarkeit ermöglichen

Betroffene Personen haben gemäß Artikel 20 das Recht, dass die von ihnen bereitgestellten Daten exportiert (und zu einem Konkurrenz-Anbieter übertragen) werden können. Dies betrifft nur die automatisierten Verarbeitungen, die auf einem Vertragsverhältnis oder einer Einwilligung beruhen. Dieses Recht darf nicht verwechselt werden mit dem „Recht auf Kopie“ gemäß Artikel 15.

Widerspruchsrecht einräumen

Gemäß Artikel 21 kann eine betroffene Person einer Verarbeitung widersprechen, sofern die Rechtsgrundlage der Verarbeitung auf (a) öffentlichen Interessen oder (b) berechtigten Unternehmensinteressen beruht. Die Person muss „eine besondere Situation“ nachweisen. Das Unternehmen kann dies ablehnen, wenn die Verarbeitung zwingend notwendig ist.

Automatisierte Entscheidung vermeiden

Gemäß Artikel 22 darf eine Person nicht einer voll automatisierten Entscheidung (bzw. Profiling im Sinne des Artikel 4 Nr. 4) unterworfen werden, wenn daraus erhebliche Nachteile für sie erwachsen. Stattdessen muss immer auch ein Mensch an solchen Entscheidungen beteiligt werden.

Auftragsverarbeitung detailliert regeln

Gemäß Artikel 28 kann der Verantwortliche externe Dienstleister einbinden, um personenbezogene Daten dort verarbeiten zu lassen. Geschieht dies streng weisungsgebunden, so spricht man von einer Auftragsverarbeitung („Outsourcing“). Für diese Offenlegung von Daten bedarf es keiner Einwilligung durch die betroffenen Personen; der Auftragsverarbeiter (siehe Artikel 4 ) ist gemäß kein Dritter! Allerdings entsteht ein großer bürokratischer Aufwand, bevor eine Auftragsverarbeitung rechtskonform durchgeführt werden kann.

einwilligung betroffene personen dsgvo
einwilligung betroffene personen dsgvo

Gemeinsame Verantwortlichkeit

Die gemeinsame Verantwortlichkeit gemäß Artikel 26 soll es mehreren Unternehmen erlauben, eine Verarbeitung gemeinsam – und zu den jeweils eigenen Zwecken – durchzuführen. In Hinblick auf Schadenersatzforderungen haften alle Verantwortlichen gemäß Artikel 82 gemeinschaftlich. Ein ausführlicher Vertrag ist dringend angeraten (die wesentlichen Inhalte sind den betroffenen Personen zur Verfügung zu stellen). Auch ohne Vertrag – also durch faktische gemeinschaftliche Handlung – entsteht dieses rechtliche Gebilde.

Datentransfer an Drittländer ist stark reglementiert

Gemäß der Artikel 44, 45, 46, 47, 48 und 49 ist ein Transfer von personenbezogen Daten an Drittländer bzw. internationale Organisationen streng reglementiert. Dies ist wichtig, weil die Daten den EU-Rechtsraum verlassen und danach nicht mehr „kontrolliert“ werden können.

einwilligung betroffene personen dsgvo
einwilligung betroffene personen dsgvo

Datenschutz-Folgenabschätzung und Konsultation der Aufsichtsbehörde

Die Datenschutz-Folgenabschätzung gemäß Artikel 35 soll die Risiken für die Rechte und Freiheiten der betroffenen Personen analysieren und dann vorbeugend minimieren (ähnlich der datenschutzfreundlichen Technikgestaltung bzw. Voreinstellungen). Bei einem hohen Restrisiko muss gemäß Artikel 36 die Aufsichtsbehörde konsultiert werden.

Externer vs. interner Datenschutzbeauftragter

Natürlich können Sie den Datenschutz durch einen internen Datenschutzbeauftragten selbst übernehmen. Die Praxis hat aber gezeigt, dass dies nicht in jedem Unternehmen möglich ist. Schließlich geht es nicht nur um die notwendige Zeit oder einen zusätzlichen Mitarbeiter, sondern auch um das Fachwissen. Ein Datenschutzbeauftragter muss sich ständig sowohl im technischen als auch im juristischen Umfeld fortbilden. Es ist für den Datenschutzbeauftragten ein großer Aufwand nötig, um die notwendige Datenschutz Fachkunde aufrecht zu erhalten und zu erweitern. Dazu zählen neben dem kontinuierlichen Austausch mit Datenschutz Fachkollegen und den regelmäßigen Datenschutz Fortbildungsmaßnahmen auch die Sichtung von Datenschutz Fachzeitschriften, juristischen Kommentaren und die Beobachtung der aktuellen Datenschutz Rechtsprechung.

einwilligung betroffene personen dsgvo

Interner Datenschutzbeauftragter

  • Mögliche „Betriebsblindheit“
  • Besonderer Kündigungsschutz
  • Wenig Erfahrung vorhanden
  • Geringe gleichzeitige Kenntnis von Recht und IT
  • Keine neutrale Stellung
  • Hoher Schulungs- und Arbeitsmittelaufwand
  • Minimale Verknüpfung mit Gleichgesinnten
einwilligung betroffene personen dsgvo

Externer Datenschutzbeauftragter

  • Absolute Unvoreingenommenheit
  • Kein Arbeitsverhältnis, Abberufung unkompliziert
  • Erfahrungen aus anderen Projekten
  • Vorhandene Mehrfachqualifikation, Recht / IT
  • Neutrale Stellung, Vermittlungsfähigkeit zwischen Unternehmen und Mitarbeitern
  • Umfangreiche Qualifikation
  • Vorhandene Literatur
  • Mitgliedschaft in themen-orientierten Verbänden & Gruppen sichert laufende Aktualität durch Erfahrungs- und Meinungsaustausch

Zertifizierung

logo dekra Fachkraft Datenschutz

Mitgliedschaft

logo bvd ev
logo bsb mit system

Kontakt

Externer Datenschutzbeauftragter in Hamburg
André Schombel

Harksheider Strasse 93b, 22399 Hamburg

Tel: 040-97 07 19 15
Fax: 040-97 07 19 15

Datenschutz

für Unternehmen in Hamburg, Schleswig-Holstein, Mecklenburg-Vorpommern und Niedersachsen
© 2023, André Schombel