„Die erbarmungsloseste Waffe ist die gelassene Darlegung der Fakten.“
Raymond Barre (1924-2007)
Fakten der DGSVO

Datenverarbeitungen brauchen eine Rechtsgrundlage
Gemäß Artikel 6 darf der Verantwortliche personenbezogenen Daten nur dann verarbeiten, wenn es hierfür eine spezifische Rechtsgrundlage gibt. Typischerweise wäre dies eine gesetzliche Grundlage oder ein Vertrag oder eine Einwilligung. Die DS-GVO und das BDSG bieten hier ca. 30 Möglichkeiten. Bei sensiblen Daten gelten besonders hohe Hürden.
Zweckänderungen müssen sorgsam geprüft werden
Gemäß Artikel 6 (4) sind Zweckänderungen nur unter sehr engen Voraussetzungen erlaubt. Genau genommen kann man nur von „Zweck-Erweiterungen“ sprechen. Gibt es hierfür keine Einwilligung und kein Gesetz als Rechtsgrundlage, so hat der Verantwortliche eine ausführliche Abwägung durchzuführen.
Datenschutzfreundliche Technikgestaltung und Voreinstellungen
Gemäß Artikel 25 muss der Verantwortliche schon in der Konzeptionsphase für Datenschutz sorgen, indem er so wenig Daten wie möglich speichert. Je weniger Daten er speichert, desto weniger Maßnahmen sind später zu deren Schutz notwendig (das spart Zeit und Geld). Ganz wichtig ist auch: Für jede Information, die man nicht besitzt, muss man später keine Auskunft erteilen oder Berichtigungsverlangen bearbeiten etc. (das spart Zeit und Nerven).
Einwilligungen der betroffenen Personen
Gemäß Artikel 7 muss das Unternehmen die Einwilligungen der betroffenen Personen nachweisen können. Der Einwilligungs-Nachweis hat eine große Bedeutung im Datenschutzrecht. Erfahrungsgemäß resultieren viele Konflikte (mit Betroffenen und Aufsichtsbehörden) daraus, dass die betroffene Person behauptet keine Einwilligung gegeben zu haben. In den klassischen Fällen (z.B. bei Newsletter-Anmeldung) lässt sich dies meist einfach widerlegen, sofern man die Anmeldungen gewissenhaft protokollierte. Es bedarf also einer ausführlichen Dokumentation darüber WER seine Einwilligung WANN und WIE gegeben hat und welcher WORTLAUT genau vorlag.


Nachweis der Einhaltung der „Grundsätze“
Gemäß Artikel 5 unterliegt der Verantwortliche einer generellen „Rechenschaftspflicht“ (engl. „Accountability“). Inhaltlich basierend auf Artikel 5 (1) sind verschiedene Themenbereiche zu behandeln. Dabei ist insbesondere der Artikel 5 (1a) hervorzuheben, der ziemlich direkt ein Compliance-Managementsystem einfordert. Es ist zu erwarten, dass die Aufsichtsbehörden hier eine überzeugende Gesamtdokumentation anfordern.
Auskunft erteilen
Das Recht auf Auskunft gemäß Artikel 15 ist sehr weitreichend. Die betroffenen Personen (bzw. Bevollmächtigte, wie z.B. Erben) müssen einen entsprechenden Antrag stellen. Es müssen keine Details beauskunftet werden. Diese Pflicht ist ernst zu nehmen, weil fehlende oder grob unvollständige Auskünfte von Jedermann leicht festzustellen sind.
Einschränkung der Verarbeitung
Gemäß Artikel 18 können betroffene Personen unter bestimmten Umständen eine „Einschränkung der Verarbeitung“ verlangen; oftmals wird dies auch als „Sperrung“ bezeichnet. Der Sinn dieser „Einschränkung“ liegt darin, dass in verschiedenen Streitfällen die Daten erst einmal „eingefroren“ werden, bis eine Klärung der Sachlage erfolgt ist.

Verarbeitungsverzeichnis des Verantwortlichen
Die Dokumentation der Verarbeitungstätigkeiten gemäß Artikel 30 durch den Verantwortlichen ist besonders wichtig. Jede einzelne Verarbeitung muss präzise dokumentiert werden. Ohne eine solche Dokumentation kann das Unternehmen nicht garantieren, dass der Umgang mit personenbezogenen Daten datenschutzrechtlich zulässig ist.
Bei Erhebung von Daten ausführlich informieren
Gemäß Artikel 13 muss das Unternehmen die betroffenen Personen schon bei der Datenerhebung sehr ausführlich informieren. Dies soll die Fairness und Transparenz der Verarbeitung sicherstellen. Man könnte diese Information als eine Art „Beipackzettel“ ansehen.


Berichtigung ermöglichen
Gemäß Artikel 16 haben betroffene Personen das Recht auf eine Berichtigung von unrichtigen Daten. In der Datenverarbeitung ist ein Datenfeld aufzunehmen, wo die betroffene Person eine „ergänzende Erklärung“ hinterlegen kann (um den Kontext korrekt und unmissverständlich klarzustellen).
Datenkopie aushändigen
Das Recht auf Datenkopien gemäß Artikel 15 (3) und Artikel 15 (4) gibt den Betroffenen ein (fast) uneingeschränktes Recht auf Kopien ihrer Daten. Gemäß Erwägungsgrund 63 kann der Verantwortliche um eine Präzisierung bitten (um nicht immer ALLE Daten kopieren zu müssen); doch die betroffene Person kann trotzdem ALLE Daten einfordern.


Löschen von Daten
Im Artikel 17 werden verschiedene Gründe und Umstände für das Löschen von Daten beschrieben. Das Unternehmen muss demnach selbst laufend prüfen, ob es die Daten noch speichern darf, oder ob es diese unverzüglich löschen muss. Ein „versehentliches Liegenlassen“ von personenbezogenen Daten kann mit Geldbußen geahndet werden.
Korrektur bei Dritten
Gemäß Artikel 19 muss sich jede Forderung nach Berichtigung, Löschung oder Verarbeitungseinschränkung möglichst auf die gesamte Datenkette beziehen (in Bezug auf die Artikel 16, Artikel 17 und Artikel 18). Über dieses Verlangen der betroffenen Person sind Auftragsverarbeiter und Dritte darüber zu informieren. Die betroffene Person kann außerdem verlangen, dass die Namen der Empfänger genannt werden (um kontrollieren zu können, ob die Daten insgesamt bei allen Beteiligten korrekt gehandhabt werden).
Datenübertragbarkeit ermöglichen
Betroffene Personen haben gemäß Artikel 20 das Recht, dass die von ihnen bereitgestellten Daten exportiert (und zu einem Konkurrenz-Anbieter übertragen) werden können. Dies betrifft nur die automatisierten Verarbeitungen, die auf einem Vertragsverhältnis oder einer Einwilligung beruhen. Dieses Recht darf nicht verwechselt werden mit dem „Recht auf Kopie“ gemäß Artikel 15.
Widerspruchsrecht einräumen
Gemäß Artikel 21 kann eine betroffene Person einer Verarbeitung widersprechen, sofern die Rechtsgrundlage der Verarbeitung auf (a) öffentlichen Interessen oder (b) berechtigten Unternehmensinteressen beruht. Die Person muss „eine besondere Situation“ nachweisen. Das Unternehmen kann dies ablehnen, wenn die Verarbeitung zwingend notwendig ist.
Automatisierte Entscheidung vermeiden
Gemäß Artikel 22 darf eine Person nicht einer voll automatisierten Entscheidung (bzw. Profiling im Sinne des Artikel 4 Nr. 4) unterworfen werden, wenn daraus erhebliche Nachteile für sie erwachsen. Stattdessen muss immer auch ein Mensch an solchen Entscheidungen beteiligt werden.
Auftragsverarbeitung detailliert regeln
Gemäß Artikel 28 kann der Verantwortliche externe Dienstleister einbinden, um personenbezogene Daten dort verarbeiten zu lassen. Geschieht dies streng weisungsgebunden, so spricht man von einer Auftragsverarbeitung („Outsourcing“). Für diese Offenlegung von Daten bedarf es keiner Einwilligung durch die betroffenen Personen; der Auftragsverarbeiter (siehe Artikel 4 ) ist gemäß kein Dritter! Allerdings entsteht ein großer bürokratischer Aufwand, bevor eine Auftragsverarbeitung rechtskonform durchgeführt werden kann.


Gemeinsame Verantwortlichkeit
Die gemeinsame Verantwortlichkeit gemäß Artikel 26 soll es mehreren Unternehmen erlauben, eine Verarbeitung gemeinsam – und zu den jeweils eigenen Zwecken – durchzuführen. In Hinblick auf Schadenersatzforderungen haften alle Verantwortlichen gemäß Artikel 82 gemeinschaftlich. Ein ausführlicher Vertrag ist dringend angeraten (die wesentlichen Inhalte sind den betroffenen Personen zur Verfügung zu stellen). Auch ohne Vertrag – also durch faktische gemeinschaftliche Handlung – entsteht dieses rechtliche Gebilde.
Datentransfer an Drittländer ist stark reglementiert


Datenschutz-Folgenabschätzung und Konsultation der Aufsichtsbehörde
Die Datenschutz-Folgenabschätzung gemäß Artikel 35 soll die Risiken für die Rechte und Freiheiten der betroffenen Personen analysieren und dann vorbeugend minimieren (ähnlich der datenschutzfreundlichen Technikgestaltung bzw. Voreinstellungen). Bei einem hohen Restrisiko muss gemäß Artikel 36 die Aufsichtsbehörde konsultiert werden.
Externer vs. interner Datenschutzbeauftragter
Natürlich können Sie den Datenschutz durch einen internen Datenschutzbeauftragten selbst übernehmen. Die Praxis hat aber gezeigt, dass dies nicht in jedem Unternehmen möglich ist. Schließlich geht es nicht nur um die notwendige Zeit oder einen zusätzlichen Mitarbeiter, sondern auch um das Fachwissen. Ein Datenschutzbeauftragter muss sich ständig sowohl im technischen als auch im juristischen Umfeld fortbilden. Es ist für den Datenschutzbeauftragten ein großer Aufwand nötig, um die notwendige Datenschutz Fachkunde aufrecht zu erhalten und zu erweitern. Dazu zählen neben dem kontinuierlichen Austausch mit Datenschutz Fachkollegen und den regelmäßigen Datenschutz Fortbildungsmaßnahmen auch die Sichtung von Datenschutz Fachzeitschriften, juristischen Kommentaren und die Beobachtung der aktuellen Datenschutz Rechtsprechung.

Interner Datenschutzbeauftragter
- Mögliche „Betriebsblindheit“
- Besonderer Kündigungsschutz
- Wenig Erfahrung vorhanden
- Geringe gleichzeitige Kenntnis von Recht und IT
- Keine neutrale Stellung
- Hoher Schulungs- und Arbeitsmittelaufwand
- Minimale Verknüpfung mit Gleichgesinnten

Externer Datenschutzbeauftragter
- Absolute Unvoreingenommenheit
- Kein Arbeitsverhältnis, Abberufung unkompliziert
- Erfahrungen aus anderen Projekten
- Vorhandene Mehrfachqualifikation, Recht / IT
- Neutrale Stellung, Vermittlungsfähigkeit zwischen Unternehmen und Mitarbeitern
- Umfangreiche Qualifikation
- Vorhandene Literatur
- Mitgliedschaft in themen-orientierten Verbänden & Gruppen sichert laufende Aktualität durch Erfahrungs- und Meinungsaustausch