Fakten der DGSVO

Gemäß Artikel 6 darf der Verantwortliche personenbezogenen Daten nur dann verarbeiten, wenn es hierfür eine spezifische Rechtsgrundlage gibt. Typischerweise wäre dies eine gesetzliche Grundlage oder ein Vertrag oder eine Einwilligung. Die DS-GVO und das BDSG bieten hier ca. 30 Möglichkeiten. Bei sensiblen Daten gelten besonders hohe Hürden.

Gemäß Artikel 7 muss das Unternehmen die Einwilligungen der betroffenen Personen nachweisen können. Der Einwilligungs-Nachweis hat eine große Bedeutung im Datenschutzrecht. Erfahrungsgemäß resultieren viele Konflikte (mit Betroffenen und Aufsichtsbehörden) daraus, dass die betroffene Person behauptet keine Einwilligung gegeben zu haben. In den klassischen Fällen (z.B. bei Newsletter-Anmeldung) lässt sich dies meist einfach widerlegen, sofern man die Anmeldungen gewissenhaft protokollierte. Es bedarf also einer ausführlichen Dokumentation darüber WER seine Einwilligung WANN und WIE gegeben hat und welcher WORTLAUT genau vorlag.

Die Dokumentation der Verarbeitungstätigkeiten gemäß Artikel 30 durch den Verantwortlichen ist besonders wichtig. Jede einzelne Verarbeitung muss präzise dokumentiert werden. Ohne eine solche Dokumentation kann das Unternehmen nicht garantieren, dass der Umgang mit personenbezogenen Daten datenschutzrechtlich zulässig ist.

Gemäß Artikel 13 muss das Unternehmen die betroffenen Personen schon bei der Datenerhebung sehr ausführlich informieren. Dies soll die Fairness und Transparenz der Verarbeitung sicherstellen. Man könnte diese Information als eine Art „Beipackzettel“ ansehen.

Gemäß Artikel 16 haben betroffene Personen das Recht auf eine Berichtigung von unrichtigen Daten. In der Datenverarbeitung ist ein Datenfeld aufzunehmen, wo die betroffene Person eine „ergänzende Erklärung“ hinterlegen kann (um den Kontext korrekt und unmissverständlich klarzustellen).

Das Recht auf Datenkopien gemäß Artikel 15 (3) und Artikel 15 (4) gibt den Betroffenen ein (fast) uneingeschränktes Recht auf Kopien ihrer Daten. Gemäß Erwägungsgrund 63 kann der Verantwortliche um eine Präzisierung bitten (um nicht immer ALLE Daten kopieren zu müssen); doch die betroffene Person kann trotzdem ALLE Daten einfordern.

Im Artikel 17 werden verschiedene Gründe und Umstände für das Löschen von Daten beschrieben. Das Unternehmen muss demnach selbst laufend prüfen, ob es die Daten noch speichern darf, oder ob es diese unverzüglich löschen muss. Ein „versehentliches Liegenlassen“ von personenbezogenen Daten kann mit Geldbußen geahndet werden.

Gemäß Artikel 19 muss sich jede Forderung nach Berichtigung, Löschung oder Verarbeitungseinschränkung möglichst auf die gesamte Datenkette beziehen (in Bezug auf die Artikel 16, Artikel 17 und Artikel 18). Über dieses Verlangen der betroffenen Person sind Auftragsverarbeiter und Dritte darüber zu informieren. Die betroffene Person kann außerdem verlangen, dass die Namen der Empfänger genannt werden (um kontrollieren zu können, ob die Daten insgesamt bei allen Beteiligten korrekt gehandhabt werden).

Betroffene Personen haben gemäß Artikel 20 das Recht, dass die von ihnen bereitgestellten Daten exportiert (und zu einem Konkurrenz-Anbieter übertragen) werden können. Dies betrifft nur die automatisierten Verarbeitungen, die auf einem Vertragsverhältnis oder einer Einwilligung beruhen. Dieses Recht darf nicht verwechselt werden mit dem „Recht auf Kopie“ gemäß Artikel 15.

Gemäß Artikel 21 kann eine betroffene Person einer Verarbeitung widersprechen, sofern die Rechtsgrundlage der Verarbeitung auf (a) öffentlichen Interessen oder (b) berechtigten Unternehmensinteressen beruht. Die Person muss „eine besondere Situation“ nachweisen. Das Unternehmen kann dies ablehnen, wenn die Verarbeitung zwingend notwendig ist.

Gemäß Artikel 22 darf eine Person nicht einer voll automatisierten Entscheidung (bzw. Profiling im Sinne des Artikel 4 Nr. 4) unterworfen werden, wenn daraus erhebliche Nachteile für sie erwachsen. Stattdessen muss immer auch ein Mensch an solchen Entscheidungen beteiligt werden.

Gemäß Artikel 28 kann der Verantwortliche externe Dienstleister einbinden, um personenbezogene Daten dort verarbeiten zu lassen. Geschieht dies streng weisungsgebunden, so spricht man von einer Auftragsverarbeitung („Outsourcing“). Für diese Offenlegung von Daten bedarf es keiner Einwilligung durch die betroffenen Personen; der Auftragsverarbeiter (siehe Artikel 4 ) ist gemäß kein Dritter! Allerdings entsteht ein großer bürokratischer Aufwand, bevor eine Auftragsverarbeitung rechtskonform durchgeführt werden kann.

Die gemeinsame Verantwortlichkeit gemäß Artikel 26 soll es mehreren Unternehmen erlauben, eine Verarbeitung gemeinsam – und zu den jeweils eigenen Zwecken – durchzuführen. In Hinblick auf Schadenersatzforderungen haften alle Verantwortlichen gemäß Artikel 82 gemeinschaftlich. Ein ausführlicher Vertrag ist dringend angeraten (die wesentlichen Inhalte sind den betroffenen Personen zur Verfügung zu stellen). Auch ohne Vertrag – also durch faktische gemeinschaftliche Handlung – entsteht dieses rechtliche Gebilde.

Gemäß der Artikel 44, 45, 46, 47, 48 und 49 ist ein Transfer von personenbezogen Daten an Drittländer bzw. internationale Organisationen streng reglementiert. Dies ist wichtig, weil die Daten den EU-Rechtsraum verlassen und danach nicht mehr „kontrolliert“ werden können.

Die Datenschutz-Folgenabschätzung gemäß Artikel 35 soll die Risiken für die Rechte und Freiheiten der betroffenen Personen analysieren und dann vorbeugend minimieren (ähnlich der datenschutzfreundlichen Technikgestaltung bzw. Voreinstellungen). Bei einem hohen Restrisiko muss gemäß Artikel 36 die Aufsichtsbehörde konsultiert werden.