04.10.2019
Der Europäische Gerichtshof (EuGH) hat in einem Urteil vom 01.10.2019 wesentliche Fragen im Zusammenhang mit dem rechtskonformen Einsatz von Cookies beantwortet.
» weiterlesen ...30.07.2019
Der EuGH hat auf der Grundlage der Datenschutzrichtlinie (Richtlinie 95/46/EG) mit Urteil vom 29.07.2019 – Az. C‑40/17 – entschieden, dass Websitebetreiber beim Einsatz des Facebook-Plugins gemeinsam mit dem Anbieter (Facebook) für die Erhebung auf der Website und die Übermittlung dieser Daten an Facebook datenschutzrechtlich verantwortlich sind.
» weiterlesen ...08.07.2019
Der Europäische Gerichtshof hat im Jahr 2018 wegweisende Urteile über die gemeinsame Verantwortlichkeit verkündet (u.a. „Facebook-Insights“ u. „Zeugen Jehovas“). Die Rechtsfigur der „gemeinsamen Verantwortlichkeit“ und die damit verbundene Notwendigkeit einer vertraglichen Vereinbarung zwischen den beteiligten Verantwortlichen ist für viele Verantwortliche neu.
» weiterlesen ...Die Datenschutzgrundverordnung (DSGVO) wird die betriebliche Datenschutzpraxis in Europa insgesamt verändern und die Anforderungen an die Datenschutz-Compliance steigern.
Grundlegende Informationen dazu erhalten Sie nachfolgend im Überblick:
1. Ab wann gilt die DSGVO?
Formal betrachtet ist die DSGVO bereits am 25.05.2016 in Kraft getreten. In den europäischen Mitgliedstaaten, und damit auch in Deutschland, ist sie ab dem 25.05.2018 unmittelbar anzuwenden. Das heißt, ab dem 25.05.2018 sind die Anforderungen der DSGVO ohne weitere Umstellungsfrist einzuhalten.
2. Datenschutzorganisation
Die DSGVO stellt neue, strengere Anforderungen an die betriebliche Datenschutzorganisation sowie an die im Zusammenhang mit der Verarbeitung personenbezogener Daten implementierten Prozesse in Unternehmen.
RISIKOBASIERTER DATENSCHUTZ UND DATENSICHERHEIT
Die von der DSGVO geforderten Maßnahmen beim Umgang mit personenbezogenen Daten stehen weitgehend in direkter Abhängigkeit von den Risiken, die eine Datenverarbeitung für die persönlichen Rechte und Freiheiten der betroffenen Personen mit sich bringt. Insoweit sind die bisherigen Maßnahmen unter Berücksichtigung einer entsprechenden Risikoanalyse zu prüfen und anzupassen.
Unternehmen müssen zudem grundsätzlich ein – in Bezug auf die vorstehend genannten Risiken für die betroffenen Personen – angemessenes Schutzniveau im Hinblick auf die Sicherheit der Verarbeitung personenbezogener Daten gewährleisten und die dafür zu implementierenden Sicherungsmaßnahmen einer regelmäßigen Überprüfung unterziehen. Verstöße im Bereich der Datensicherheit sind – anders als bisher – nunmehr bußgeldbewehrt (siehe hierzu auch unten „8. Haftung des Unternehmens und Bußgelder“).
DATENSCHUTZ-FOLGENABSCHÄTZUNG
Ein wesentliches Element der Risikoanalyse ist die sogenannte Datenschutz-Folgenabschätzung. Das Konzept der Datenschutz-Folgenabschätzung nach Art. 35 DSGVO weicht erheblich von dem bisher bekannten Prinzip der sog. Vorabkontrolle ab.
Birgt eine Datenverarbeitungstätigkeit voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen in sich, so muss das Unternehmen vor der Datenverarbeitung eine Datenschutz-Folgenabschätzung nach Art. 35 DSGVO durchführen. Dabei sollen insbesondere Eintrittswahrscheinlichkeit und Schwere möglicher Risiken der Datenverarbeitung bewertet werden. Das Unternehmen soll auch Art, Umfang, Umstände, verfolgte Zwecke sowie Ursachen möglicher Risiken bewerten und dieses Verfahren nachweisbar dokumentieren. In diesem Zusammenhang sollen auch Maßnahmen, Garantien und Verfahren geprüft werden, mit denen Unternehmen bestehende Risiken eindämmen und die sonstigen Vorgaben der Verordnung einhalten können. Sofern die Datenschutz-Folgenabschätzung ergibt, dass die geplante Datenverarbeitung tatsächlich ein hohes Risiko zur Folge hätte, muss der Verantwortliche nach Art. 36 DSGVO die zuständige Aufsichtsbehörde konsultieren, sofern keine Maßnahmen zur Eindämmung des Risikos getroffen werden.
DATENSCHUTZ DURCH TECHNIK UND DATENSCHUTZFREUNDLICHE VOREINSTELLUNGEN
Die DSGVO enthält spezifische Rahmenbedingungen für die Art und Weise, wie die Anforderungen der DSGVO schon bei der Prozessgestaltung – Art. 25 Abs. 1 DSGVO: Grundsatz der „privacy by design“ – und bei den Voreinstellungen umzusetzen sind – Art. 25 Abs. 2 DSGVO: Anforderung der „privacy by default“.
Nach dem Grundsatz der „privacy by design“ müssen Unternehmen ihre Verarbeitungsvorgänge und IT-Systeme grundsätzlich so ausgestalten, dass sie die Datenschutzgrundsätze des Art. 5 DSGVO wirksam umsetzen. Hier ist insbesondere das Gebot der Datenminimierung zu beachten, wonach Unternehmen nur gerade so viele Daten erheben und verarbeiten dürfen, wie es zur Erfüllung des verfolgten Zwecks erforderlich ist.
Zudem sollen insbesondere IT-Systeme nach der Anforderung der „privacy by default“ so „voreingestellt“ sein, dass sie grundsätzlich nur solche personenbezogenen Daten verarbeiten, deren Verarbeitung für den jeweils verfolgten Zweck erforderlich ist.
3. Dokumentation und Nachweis
Die DSGVO rückt die Verantwortlichkeit der Unternehmen in den Vordergrund und erweitert die Dokumentations- und Nachweispflichten der Unternehmen erheblich.
RECHENSCHAFTSPFLICHT
Nach Art. 5 Abs. 2 DSGVO sind Unternehmen verpflichtet, im Rahmen der neu eingeführten Rechenschaftspflicht (sogenannte „accountability“) die Einhaltung der Datenschutzgrundsätze des Art. 5 Abs. 1 DSGVO nachweisen zu können.
NACHWEISPFLICHT GEMÄSS ART. 24 ABS. 1 DSGVO
Nach Art. 24 Abs. 1 DSGVO muss das Unternehmen nachweisen können, dass es personenbezogene Daten in Übereinstimmung mit der DSGVO verarbeitet. Daher müssen Unternehmen nicht nur geeignete technische und organisatorische Maßnahmen ergreifen, die sicherstellen, dass eine Verarbeitung der Daten gemäß der DSGVO erfolgt, sondern auch jederzeit den entsprechenden Nachweis hierüber durch eine geeignete Dokumentation erbringen können. Dementsprechend sind Aufbau und die Durchführung eines effektiven Datenschutzmanagements – einschließlich der umfassenden Dokumentation der Verarbeitungstätigkeiten – zentraler Bestandteil des DSGVO-Anpassungsbedarfs.
VERZEICHNIS VON DATENVERARBEITUNGSTÄTIGKEITEN
Fast alle Unternehmen müssen zudem ein Verzeichnis über die Datenverarbeitungstätigkeiten führen, die der Zuständigkeit des jeweiligen Unternehmens unterliegen. Das heißt, alle Tätigkeiten, die sich mit personenbezogenen Daten beschäftigen, sind in einem geordneten Verzeichnis zu erfassen, die Zulässigkeit der Verarbeitung auf ihre Rechtmäßigkeit hin zu überprüfen, zu dokumentieren und ständig zu aktualisieren. Jede Verarbeitung von personenbezogenen Daten bedarf einer gesonderten Rechtsgrundlage, die im Verfahrensverzeichnis gesondert zu dokumentieren ist. Zudem sind Löschfristen zu beachten und ebenfalls zu dokumentieren.
Das entsprechende Verzeichnis ist der Aufsichtsbehörde jederzeit auf Anfrage zur Verfügung zu stellen.
4. Melde- und Benachrichtigungspflichten
Bei Verletzungen des Schutzes personenbezogener Daten sieht die DSGVO gegenüber der bisherigen Rechtslage nach dem Bundesdatenschutzgesetz deutlich erweiterte Meldepflichten gegenüber der Aufsichtsbehörde sowie Benachrichtigungspflichten gegenüber den betroffenen Personen vor.
Wesentliche Voraussetzung für eine entsprechende Pflicht zum Tätigwerden ist eine Verletzung des Schutzes personenbezogener Daten. Danach sind die Hürden für entsprechende Meldepflichten im Vergleich zur bisherigen Rechtslage nach dem Bundesdatenschutzgesetz deutlich abgesenkt. Nach der neuen, abgestuften Meldepflicht ist eine Meldung an die Aufsichtsbehörde bei einer entsprechenden Datenpanne immer erforderlich, es sei denn, dass diese voraussichtlich nicht zu einem Risiko für den Betroffenen führt. Dies ist allerdings nur in den seltensten Fällen der Fall. Dagegen muss eine Benachrichtigung der betroffenen Person grundsätzlich nur dann erfolgen, wenn ein hohes Risiko für die entsprechenden Rechte des Betroffenen besteht.
Grundsätzlich muss das verantwortliche Unternehmen der Aufsichtsbehörde jede Datenschutzverletzung unverzüglich und möglichst innerhalb von 72 Stunden melden, nachdem das Unternehmen Kenntnis von der Verletzung erlangt hat.
Verstöße bei der Umsetzung der Melde- und Benachrichtigungspflichten bei Verletzungen des Schutzes personenbezogener Daten sind mit teilweise empfindlichen Bußgeldern belegt.
5. Auftragsverarbeiter
Den Auftragsverarbeitern (Unternehmen, die weisungsgebunden für Drittunternehmen personenbezogene Daten verarbeiten) werden durch die DSGVO mehr Verantwortung und mehr Pflichten auferlegt.
Auftragsverarbeiter verarbeiten die Daten nach wie vor weisungsgebunden für die verantwortliche Stelle. Verstößt ein Auftragsverarbeiter zukünftig gegen die Pflicht zur weisungsgebundenen Verarbeitung, gilt er nach Art. 28 Abs. 10 DSGVO insoweit selbst als Verantwortlicher, mit allen rechtlichen Konsequenzen. Zudem unterliegt der Auftragsverarbeiter auch neuen speziellen Haftungsregelungen bei Datenschutzverletzungen, die zu Schadensersatzforderungen von Betroffenen auch gegen den Auftragsverarbeiter führen können. Von der Schadensersatzpflicht sind dabei nicht nur materielle, sondern vielmehr auch immaterielle Schäden umfasst.
Darüber hinaus besteht zukünftig für Auftragsverarbeiter die neu eingeführte Pflicht, ein Verzeichnis von Verarbeitungstätigkeiten für alle Kategorien von im Auftrag eines Verantwortlichen durchgeführten Tätigkeiten der Verarbeitung zu führen. Das entsprechende Verzeichnis muss fortlaufend aktualisiert werden und der Aufsichtsbehörde auf Anfrage zur Verfügung gestellt werden.
Weiter müssen Auftragsverarbeiter dem Verantwortlichen alle erforderlichen Informationen zur Verfügung stellen, die er benötigt, um nachweisen zu können, dass er seine, aus der DSGVO resultierenden Pflichten erfüllt.
6. Datenschutzbeauftragter
Die Pflicht zur Bestellung eines Datenschutzbeauftragten bleibt unter der neuen Rechtslage im Wesentlichen unberührt.
Der Datenschutzbeauftragte wird nach der DSGVO aufgrund seiner beruflichen Qualifikation und insbesondere seines Fachwissens auf dem Gebiet des Datenschutzes und der Datenschutzpraxis sowie seinen Fähigkeiten, die gesetzlichen Aufgaben zu erfüllen, benannt. Datenschutzbeauftragter kann dabei sowohl ein im Unternehmen Beschäftigter als auch ein Externer (im Dienstleistungsverhältnis) sein.
Das Unternehmen muss sicherstellen, dass der Datenschutzbeauftragte ordnungsgemäß und frühzeitig in alle Datenschutzfragen eingebunden wird. Er muss bei der Erfüllung seiner Aufgaben umfassend unterstützt werden, insbesondere mit den hierzu erforderlichen Ressourcen und einem Zugang zu personenbezogenen Daten und Verarbeitungsvorgängen ausgestattet sein.
Der Datenschutzbeauftragte berichtet unmittelbar der höchsten Managementebene des Unternehmens und hat zukünftig unter der DSGVO folgende Aufgaben:
Der Datenschutzbeauftragte hat bei der Erfüllung seiner Aufgaben dem mit den jeweiligen Verarbeitungsvorgängen zusammenhängende Risiko gebührend Rechnung zu tragen. Dabei muss er die Art, den Umfang, die Umstände und die Zwecke der Verarbeitung stets im Blick haben.
Die Verletzung der Vorschriften zum Datenschutzbeauftragten ist nach den Regelungen der DSGVO mit Geldbuße bedroht.
7. Rechte der Betroffenen Person
Die Rechte der Personen, deren personenbezogene Daten von der Verarbeitung durch ein Unternehmen betroffen sind, werden unter Geltung der DSGVO noch einmal erweitert.
Pflicht zur Information und zur Transparenz
Unternehmen müssen betroffene Personen zukünftig deutlich umfassender als bislang darüber informieren, wie sie die personenbezogenen Daten der betroffenen Personen verarbeiten. Nach Art. 5 Abs. 1 DSGVO zählt der Transparenzgrundsatz zu den wesentlichen Prinzipien der Verordnung.
Grundsätzlich müssen Unternehmen betroffene Personen von der Verarbeitung ihrer personenbezogenen Daten „in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer einfachen und klaren Sprache“ informieren. Neben spezifischen Vorgaben zu Informationspflichten bei der Erhebung personenbezogener Daten – auch diese gehen hinsichtlich des Umfangs über die bisherigen Anforderungen des bisher geltenden Rechts hinaus – sieht die DSGVO als zentrales Instrument der Transparenz ein erweitertes Auskunftsrecht des Betroffenen über den Umgang mit seinen personenbezogenen Daten vor (Art. 15 DSGVO).
Löschen von Daten und Recht auf Vergessenwerden
Die DSGVO sieht umfassendere Löschpflichten vor als das bisherige nationale Recht. Nach der zukünftigen Regelung in Art. 17 DSGVO, muss der Verantwortliche personenbezogene Daten ohne unangemessene Verzögerung löschen, sofern einer der in Art. 17 Abs. 1 DSGVO genannten Gründe vorliegt. So ergibt sich eine Pflicht zum Löschen beispielsweise dann, wenn der Zweck für die Datenverarbeitung weggefallen ist, die betroffene Person ihre Einwilligung oder die entsprechenden Daten unrechtmäßig erhoben oder verarbeitet wurden.
In diesem Falle muss das Unternehmen die entsprechenden Daten löschen, sofern keine vorrangigen berechtigten Gründe für die weitere Verarbeitung vorliegen, Art. 17 Abs. 1 lit. c DSGVO.
Neu eingeführt ist die Regelung, wonach das Unternehmen, sofern es die betroffenen Daten öffentlich gemacht hat, diese nicht nur löschen muss, sondern zukünftig vielmehr auch Dritte, die diese Daten verarbeiten, darüber zu informieren hat, dass eine betroffene Person von ihnen die Löschung aller Links zu oder aller Kopien oder Replikationen von diesen personenbezogenen Daten verlangt hat, Art. 17 Abs. 2 DSGVO. Auf diese Weise soll dem sogenannten Recht auf Vergessenwerden Geltung verschafft werden.
Koppelungsverbot bei Einwilligungen
Ist die Einwilligung der betroffenen Person zur Erhebung bzw. Verarbeitung ihrer personenbezogenen Daten erforderlich, so muss die entsprechende Einwilligung nach Art. 7 DSGVO durch eine eindeutige Handlung erfolgen. Insbesondere muss die betroffene Person ohne Zwang, für den konkreten Fall, in Kenntnis der Sachlage und unmissverständlich bekunden, dass sie mit der Verarbeitung ihrer personenbezogenen Daten einverstanden ist.
Um sicherzustellen, dass die Einwilligung ohne Zwang erfolgt, darf ein Unternehmen die Erfüllung eines Vertrags, einschließlich der Erbringung einer Dienstleistung nicht mehr davon abhängig machen, dass die betroffene Person in eine Verarbeitung ihrer personenbezogenen Daten einwilligt, sofern diese Daten für die Erfüllung dieses Vertrags nicht erforderlich sind.
8. Haftung des Unternehmens und Bußgelder
Die DSGVO regelt auch die Haftung von Unternehmen bei Pflichtverletzungen sowie die Sanktionen bei Verstößen gegen die DSGVO in Form von Bußgeldern völlig neu.
Erweiterte Haftung für Verantwortliche und für Auftragsverarbeiter
Die Risiken im Zusammenhang mit der zivilrechtlichen Haftung von Unternehmen wegen tatsächlichen oder behaupteten Verstößen gegen datenschutzrechtliche Pflichten sind unter der DSGVO ebenfalls gestiegen. Nach Art. 82 Abs. 1 DSGVO sind sowohl materielle als auch ausdrücklich immaterielle Schäden zu erstatten, die auf Verstößen gegen die DSGVO beruhen. Die ausdrückliche Erwähnung der immateriellen Schäden ermöglicht es betroffenen Personen zukünftig auch ein angemessenes Schmerzensgeld bei der Verletzung der DSGVO im Rahmen der Verarbeitung ihrer personenbezogenen Daten zu verlangen.
Zudem wird durch die DSGVO nun auch die Haftung explizit auf Auftragsverarbeiter erweitert, Art. 82 Abs. 1 DSGVO.
Bußgelder
Verstöße gegen die DSGVO werden zukünftig drastischer sanktioniert, als dies bisher bei Verstößen gegen das nationale Datenschutzrecht der Fall war.
So sieht Art. 83 DSGVO für Unternehmen Bußgelder von bis zu 20 Millionen Euro oder 4 Prozent des globalen Umsatzes des betroffenen Unternehmens vor, je nachdem welcher Betrag höher ist. Unter dem BDSG drohte bisher ein Bußgeld von maximal 300.000,00 Euro.
Natürliche Personen, die an Verstößen gegen die DSGVO beteiligt sind, müssen mit Geldbußen von bis zu 20 Millionen Euro rechnen.
In diesem Zusammenhang ist es die Aufgabe der Aufsichtsbehörden, sicherzustellen, dass die Geldbußen für Verstöße gegen die Verordnung „wirksam, verhältnismäßig und abschreckend“ sind.
Bei Fragen zur DSGVO stehen wir gerne zur Verfügung.
Freie-Vogel-Straße 393
44269 Dortmund
Telefon: +49 231 286598-0
Telefax: +49 231 286598-51
E-Mail: kontakt@awpr.de
www.awpr.de
Daniel Christian Pohl, LL.M.
Rechtsanwalt
Zertifizierter
Datenschutzbeauftragter (TÜV Süd)
Dominik Rücker, LL.M.
Rechtsanwalt
Fachanwalt für IT-Recht
Zertifizierter
Datenschutzbeauftragter (TÜV Nord)
Ab 25. Mai 2018 ist die 2016 in Kraft getretene Datenschutzgrundverordnung (DSGVO) anwendbar. Ziel der Verordnung ist die Vereinheitlichung des Datenschutzrechts in Europa. EU-Verordnungen gelten in den Mitgliedsstaaten unmittelbar, d.h. sie bedürfen keiner einzelstaatlichen Umsetzung sondern sind direkt anwendbar.
Die Neuregelung auf europäischer Ebene führt dazu, dass das bisherige Bundesdatenschutzgesetz angepasst werden muss. Das zukünftige BDSG betrifft nur noch die Bereiche, die nicht bereits von der Datenschutzgrundverordnung abgedeckt sind bzw. diejenigen hinsichtlich derer sich aus der Verordnung Regelungsspielräume für den deutschen Gesetzgeber ergeben. Das bisherige BDSG sowie die Landesdatenschutzgesetze werden ab dem 25. Mai 2018 im Anwendungsbereich der neuen Verordnung unanwendbar.
Aus diesen Gründen hat der Bundestag am 27. April 2017 ein Datenschutz-Anpassungs- und Umsetzungsgesetz – EU (DSAnpUG-EU) und das darin in Artikel 1 enthaltene neue Bundesdatenschutzgesetz verabschiedet. Der Bundesrat hat dem Gesetz am 12. Mai 2017 zugestimmt. Das neue Bundesdatenschutzgesetz tritt am 25. Mai 2018 gleichzeitig mit dem Gültigwerden der Datenschutzgrundverordnung in Kraft. Es gilt wie die alte Fassung insbesondere für Datenverarbeitung bei öffentlichen Stellen des Bundes und durch nicht-öffentliche Stellen. Das Gesetz enthält unter anderem neue Regelungen für Videoüberwachung im öffentlichen Raum, Scoring und Arbeitnehmerdatenschutz. Abweichend zum geltenden BDSG enthält die Neufassung keine Regelungen mehr für Ausnahmen für die Datenverarbeitung durch Presseunternehmen, da für das Pressewesen nunmehr ausschließlich die Länder zuständig sind.
Bei Fragen zu Datenschutz & Datensicherheit stehen wir gern zur Verfügung.
Freie-Vogel-Straße 393
44269 Dortmund
Telefon: +49 231 286598-0
Telefax: +49 231 286598-51
E-Mail: kontakt@awpr.de
www.awpr.de
Daniel Christian Pohl, LL.M.
Rechtsanwalt
Zertifizierter
Datenschutzbeauftragter (TÜV Süd)
Dominik Rücker, LL.M.
Rechtsanwalt
Fachanwalt für IT-Recht
Zertifizierter
Datenschutzbeauftragter (TÜV Nord)
Der Bundesgerichtshof hat unter Berücksichtigung der Rechtsprechung des Europäischen Gerichtshofs (EuGH) entschieden, dass dynamische IP-Adressen, die beim Aufruf einer Webseite gespeichert werden, personenbezogene Daten sind. Die Speicherung der IP-Adresse über das Nutzungsende hinaus könne jedoch bei Gefahr von Cyberattacken zur Gewährleistung der Funktionsfähigkeit der Webseite zulässig sein. Das Interesse des Webseitenbetreibers an der Speicherung müsse dabei gegen die Grundrechte der Nutzer abgewogen werden.
Maßgeblich für diese BGH-Entscheidung war das am 19.10.2016 ergangene Urteil des Europäischen Gerichtshofs womit dieser das Vorabentscheidungsersuchen des Bundesgerichtshofs beantwortete. Ausführliche Informationen diesbezüglich finden Sie unter: https://awpr.de/news/die-entscheidung-des-eugh-zur-frage-des-personenbezugs-von-ip-adressen/ weiterlesen …
Die 2014 von Facebook übernommene WhatsApp Inc. hat im August 2016 ihre Nutzungs- und Datenschutzbedingungen aktualisiert und eine Weitergabe von personenbezogenen Daten an Facebook eingefügt. Das Verwaltungsgericht Hamburg hat nun im einstweiligen Rechtsschutz entschieden, dass Facebook personenbezogene Daten deutscher WhatsApp-Nutzer nur bei entsprechender Einwilligung verwenden darf.
Sachverhalt
In Reaktion auf die Implementierung der Datenweitergabe von WhatsApp zu Facebook hatte der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit Facebook am 23. September 2016 die Erhebung und Speicherung der Telefonnummer sowie weiterer personenbezogener Daten deutscher WhatsApp-Nutzer für den Fall, dass keine den deutschen Datenschutzvorschriften genügende Einwilligung der Nutzer vorliege, untersagt. Darüber hinaus wurde die Löschung der personenbezogenen Daten, die bereits ohne die erforderliche Einwilligung erhoben worden waren, angeordnet. Ferner wurde Facebook verpflichtet, die Löschung zu dokumentieren. Facebook legte Widerspruch ein und beantragte einstweiligen Rechtsschutz vor dem Verwaltungsgericht Hamburg. weiterlesen …