Datenschutz 2020
Alles, was Sie jetzt wissen müssen!
Stand: März 2020
Bibliografische Information der Deutschen Bibliothek
Die Deutsche Bibliothek verzeichnet diese Publikation in der Deutschen Nationalbibliografie; detaillierte bibliografische Daten sind im Internet über http://dnb.dnb.de abrufbar.
© 2020 by FORUM VERLAG HERKERT GMBH
Mandichostraße 18
86504 Merching
Telefon: |
+49 (0)8233 381-123 |
Fax: |
+49 (0)8233 381-222 |
E-Mail: |
service@forum-verlag.com |
Internet: |
www.forum-verlag.com |
Dieses Verlagserzeugnis wurde nach bestem Wissen und nach dem aktuellen Stand von Recht, Wissenschaft und Technik zum Druckzeitpunkt erstellt. Der Verlag übernimmt keine Gewähr für Druckfehler und inhaltliche Fehler.
Alle Rechte vorbehalten. Das Werk einschließlich aller seiner Teile ist urheberrechtlich geschützt. Jede Nutzung in anderen als den gesetzlich zugelassenen Fällen bedarf der vorherigen, schriftlichen Einwilligung des Verlags. Das gilt insbesondere für Vervielfältigungen, Übersetzungen, Mikroverfilmungen und die Einspeicherung in elektronischen Systemen.
Hinweis: Aus Gründen der besseren Lesbarkeit und Einfachheit wird in den folgenden Texten meist die männliche Form verwendet. Die verwendeten Bezeichnungen sind als geschlechtsneutral bzw. als Oberbegriffe zu interpretieren und gelten gleichermaßen für alle Geschlechter.
Titelfoto/-illustration: © Nmedia – stock.adobe.com
Satz: mediaTEXT Jena GmbH, 07747 Jena
Druck: Esser printSolutions GmbH, 75015 Bretten
ISBN: 978-3-96314-359-5
Rechtlicher Hinweis:
Wenn Sie dieses Buch lesen, es aber nicht gekauft haben oder es nicht für Ihre persönliche Nutzung gekauft wurde, gehen Sie auf forum-verlag.com und kaufen Ihre eigene Kopie.
Eine unberechtigte Weitergabe des E-Books ist verboten.
Vielen Dank, dass Sie die Arbeit des Autors respektieren und würdigen.
Weitere E-Book Angebote der Forum Verlags Herkert GmbH finden Sie hier.
Alle hier genannten E-Books und zusätzliche Sonderausgaben finden Sie auch in allen namhaften E-Bookshops (Amazon, iTunes, etc.).
Bedienung des E-Books
Hier eine kleine Anleitung zur einfacheren Bedienung des E-Books:
1. Beim Klick auf das folgende Icon bei Überschriften werden Sie immer auf das Inhaltsverzeichnis zurück geleitet.
2. Bei Querverweisen innerhalb des E-Books wird Ihnen die Absprungstelle als blauer Link angezeigt. Das gesuchte Wort ist auf der Zielseite aber nicht markiert oder farbig.
Vorwort
Spätestens Ende 2018 wurde deutlich, dass das rund um den Geltungsbeginn der Datenschutzgrundverordnung (DSGVO) oft beschworene Datenschutz-Desaster ausbleiben würde. Weder hatten Dutzende Unternehmen vor dem Bürokratiemonster DSGVO und seinen unüberwindlichen Hürden kapitulieren müssen noch war eine riesige, datenschutzrechtliche Abmahnwelle über Europa hinweggegangen. Und auch spektakuläre Bußgelder der Aufsichtsbehörden in Millionenhöhe ließen (zunächst) auf sich warten.
Doch dass die Horrorszenarien im Zusammenhang mit der Anwendung der DSGVO nicht Wirklichkeit wurden, heißt nicht, dass das Datenschutzrecht und seine Anwender ein geruhsames Jahr 2019 verbracht hätten. Im Gegenteil: Während die Aufsichtsbehörden in Bund und Ländern mit einer Vielzahl an Beschwerden, Meldungen von Datenschutzverletzungen und grenzüberschreitenden Kooperationsverfahren ringen, sind viele Verantwortliche weiterhin sehr unsicher, wie sie die neuen Regelungen der DSGVO in der Praxis anzuwenden haben. Zu umfassend ist die neue Verordnung und zu dynamisch die Entwicklung datengetriebener Geschäftsmodelle, als dass der Gesetzestext auf jeden Anwendungsfall eine konkrete und detaillierte Antwort liefern könnte.
Die ersten anderthalb Jahre DSGVO haben zwar einige beachtenswerte Gerichtsurteile hervorgebracht. Zu nennen sind z. B. die EuGH-Entscheidungen zur Einwilligung für Cookies oder zur gemeinsamen Verantwortlichkeit für Social Plug-ins und für Facebook-Fanpages sowie das Urteil des BVerwG zur teilweisen Europarechtswidrigkeit der Videoüberwachungsregelungen des § 4 BDSG. Doch in vielen brennenden Fragen werden sich Verantwortliche, Betroffene und Aufsicht noch ein wenig gedulden müssen, bevor es letztinstanzliche Entscheidungen gibt. Bis dahin müssen v. a. die Aufsichtsbehörden die Rechtsgestaltung vorantreiben. Für den Erfolg der DSGVO wird es dabei ganz entscheidend darauf ankommen, die datenschutzrechtlichen Regelungen einheitlich auszulegen und anzuwenden. Dazu trägt auch der Europäische Datenschutzausschuss bei, indem er Auslegungshilfen und Leitlinien verfasst.
Mit mindestens ebenso viel Spannung werden die ersten Urteile zu von deutschen Aufsichtsbehörden verhängten Bußgeldern erwartet. Waren die ersten Monate der DSGVO v. a. noch von der Beratung für Verantwortliche geprägt, scheint die „Schonzeit“ inzwischen vorbei zu sein. Die ersten Millionenbußgelder wurden von Bundes- und Landesbehörden ausgesprochen und alle mittelbar und unmittelbar Beteiligten werden mit großem Interesse verfolgen, ob diese vor den Gerichten Bestand haben werden. Vor allem auch deshalb, weil die Berechnung der Bußgelder auf einem Konzept fußt, welches die unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder im Rahmen der Datenschutzkonferenz (DSK) gemeinsam entwickelt und im Oktober 2019 veröffentlicht haben. Wie die daraus resultierenden Berechnungen von der deutschen Gerichtsbarkeit aufgenommen werden, wird maßgebliche Auswirkungen für die künftige Bußgeldpraxis der Aufsichtsbehörden haben.
Große Aktivität zeigte die DSK auch im Bereich der künstlichen Intelligenz (KI), die 2019 das Leitmotiv der Konferenz war. Die damit zusammenhängenden Technologien werden weiter an Bedeutung gewinnen und die Aufsicht zunehmend intensiver beschäftigen. Deshalb ist es folgerichtig und vorausschauend, dass die DSK datenschutzrechtliche Rahmenbedingungen für den KI-Einsatz formuliert hat.
Die Herausforderungen werden also weder kleiner noch weniger interessant. Ein ebenso gewichtiger wie bedauerlicher Grund dafür ist auch das vorläufige Scheitern eines weiteren Teils der europäischen Datenschutzreform. Ursprünglich sollte zeitgleich mit der DSGVO die E-Privacy-Verordnung in Kraft treten. Doch der Gesetzgebungsprozess verzögerte sich und wurde schließlich im November 2019 abgebrochen. Wann und wie die Bemühungen fortgesetzt werden, ist derzeit offen. In Deutschland führt diese Situation im Internetbereich zu einer hohen Rechtsunsicherheit, da die Aufsichtsbehörden davon ausgehen, dass §§ 11 ff. Telemediengesetz (TMG) neben der DSGVO nicht anwendbar sind.
Angesichts des beschriebenen Rahmens ist es für Verantwortliche von großem Vorteil, Neuerungen und Grundlagen des Datenschutzrechts kompakt und übersichtlich dargestellt zu bekommen, wie es das vorliegende Fachbuch leistet. Es kann damit dazu beitragen, die eigene Organisation datenschutzrechtlich sicher aufzustellen und Verstöße von vorneherein zu vermeiden.
Barbara Thiel, Die Landesbeauftragte für den Datenschutz Niedersachsen
Hannover im Januar 2020
Die Autoren
Regina Mühlich, Datenschutzbeauftragte und Datenschutzauditorin
Regina Mühlich ist Geschäftsführerin der Unternehmensberatung AdOrga Solutions GmbH. Ihre Schwerpunkte liegen auf Datenschutz, Compliance und Managementberatung. Als Datenschutzbeauftragte, anerkannte und geprüfte Sachverständige für Datenschutz und Informationsverarbeitung, Qualitätsmanagementbeauftragte, Compliance Officer sowie Auditorin für Datenschutz und Qualitätsmanagement (ISO 9001) berät und unterstützt sie nationale und internationale Unternehmen aus unterschiedlichsten Branchen. Sie ist gefragte Referentin für Seminare und Vorträge sowie Vorstandsmitglied des Berufsverbands der Datenschutzbeauftragten Deutschlands (BvD) e. V. Datenschutz ist kein Produkt. Datenschutz ist ein Prozess.
Autorin des Kap. 1: Einführung und Neuerungen im Überblick
Boris Maskow, Rechtsanwalt – Fachanwalt für Arbeitsrecht, Datenschutzbeauftragter
Rechtsanwalt Boris Maskow berät und vertritt als Fachanwalt für Arbeitsrecht v. a. Unternehmen, Verbände und Führungskräfte. Er hilft bei der Vermeidung und Analyse von Konfliktsituationen. Boris Maskow begleitet Betriebsübergänge und Trennungssituationen außergerichtlich und vor Gericht. Ein weiterer Schwerpunkt liegt in der Tätigkeit als Datenschutzbeauftragter und Berater in Angelegenheiten des Beschäftigtendatenschutzes. Das Leistungsspektrum von Herrn Maskow wird abgerundet durch regelmäßige Publikationen sowie eine intensive Vortrags- und Dozententätigkeit für verschiedene Dachverbände der Getränkewirtschaft und für die Hotel- und Gaststättenbranche. Herr Maskow – u. a. Mitglied der European Employment Lawyers Association und der Gesellschaft für Datenschutz und Datensicherheit e. V. – ist Geschäftsführer der Bietmann Datenschutz Gesellschaft mbH, die sich auf Datenschutz für Gastgewerbe, Tourismus, Krankenhäuser und öffentliche Einrichtungen spezialisiert hat.
Autor des Kap. 2: Beschäftigtendatenschutz
Sascha Kuhrau, freiberuflicher Berater für Datenschutz und Informationssicherheit
Sascha Kuhrau ist seit 2007 als freiberuflicher Berater für Datenschutz und Informationssicherheit tätig und Inhaber der a.s.k. Datenschutz e. K., welche sich auf die Gestellung externer Datenschutz- und Informationssicherheitsbeauftragter spezialisiert hat. Neben der Einführung von Datenschutzkonzepten und Informationssicherheitsmanagementsystemen nach den Standards BSI IT-Grundschutz und ISIS12 hat er die „Arbeitshilfe zur Erstellung von Informationssicherheitskonzepten“ für bayerische Kommunen im Auftrag der Bayerischen Kommunalen Spitzenverbände entwickelt und setzt diese im kommunalen Bereich mit seinen Mitarbeitern um. Als Dozent und Referent ist Herr Kuhrau sehr gefragt und u. a. für die Bayerische Verwaltungsschule tätig. Dort bildet er zertifizierte Informationssicherheitsbeauftragte aus. Pragmatismus prägt sein Handeln.
Autor des Kap. 3: Der Datenschutzbeauftragte
Dr. Jan K. Köcher, Rechtsanwalt
Rechtsanwalt Dr. Jan K. Köcher ist seit August 2007 als Rechtsanwalt in Hamburg tätig. Sein Tätigkeitsschwerpunkt liegt im IT- und Datenschutzrecht mit besonderen Bezügen zur Digitalisierung von Arbeitsprozessen, zu neuen digitalen Geschäftsmodellen, zum Datenschutz- und IT-Sicherheitsmanagement in Organisationen und zu Softwareprojekten. Zu seinen Mandanten zählen KMUs und Start-ups aus dem IT-Bereich sowie Hochschulen und Forschungseinrichtungen. Er hält regelmäßig Seminare zum IT- und Datenschutzrecht ab.
Autor des Kap. 4: IT-Sicherheit und Datenschutz
Martin Agethen, Rechtsanwalt, LL.M.
Martin Agethen ist als Syndikusrechtsanwalt und Spezialist für Datenschutz und Datensicherheit bei der Deutschen Telekom AG beschäftigt. Er war zuvor insbesondere für die Kanzlei Scheja & Partner Rechtsanwälte mbB in Bonn tätig und hat mehrjährige Praxiserfahrung in der datenschutzrechtlichen Beratung und als externer Datenschutzbeauftragter. Seine Tätigkeitsschwerpunkte liegen in der Beratung zur Umsetzung datenschutzrechtlicher Anforderungen der DSGVO und nationaler Datenschutzvorschriften sowie zu bereichsspezifischen Datenschutzfragen der elektronischen Kommunikation und Telekommunikation. Martin Agethen hält Vorträge und Schulungen zu datenschutz- und datensicherheitsrechtlichen Themen.
Autor des Kap. 5: Umgang mit personenbezogenen Daten in der Praxis (zusammen mit Katharina Schreiner)
Katharina Schreiner, Rechtsanwältin
Rechtsanwältin Katharina Schreiner ist seit August 2016 in der Kanzlei Scheja & Partner Rechtsanwälte mbB in Bonn tätig. Ihr Tätigkeitsfeld umfasst die Beratung nationaler und internationaler Unternehmen und Konzerne in datenschutzrechtlichen Fragestellungen, die Durchführung von Schulungen zum Thema Datenschutz sowie die Unterstützung bei der Umsetzung der neuen Datenschutzanforderungen der DSGVO. Berufsbegleitend absolviert sie derzeit den Masterstudiengang „Informationsrecht“ an der Carl-von-Ossietzky-Universität Oldenburg.
Autorin des Kap. 5: Umgang mit personenbezogenen Daten in der Praxis (zusammen mit Martin Agethen)
Peer Lambertz, Berater, Rechtsanwalt, Dozent
Peer Lambertz unterstützt als selbstständiger Berater und Rechtsanwalt Unternehmen bei der Identifikation und Umsetzung von Compliance-Anforderungen mit Schwerpunkt im Datenschutz und in der IT-Sicherheit. Darüber hinaus ist er als Dozent für IT-Recht und als Trainer für Datenschutzbeauftragte tätig. Zuvor war er u. a. als Senior Security & Privacy Manager bei einem Global Player in der TK-/IT-Branche, als Consultant in der IT-Unternehmensberatung und als Account Manager im Agenturumfeld im Einsatz.
Autor des Kap. 6: Rechte der betroffenen Person – Rechts-, Haftungs- und Zahlungsfolgen bei Verstößen
1 Einführung und Neuerungen im Überblick
Vier Jahre lang wurde heftig diskutiert und debattiert. Am 15.12.2015 stieg „weißer Rauch“ in Brüssel auf. Es bestand nun endlich ein im Trilogverfahren abgestimmter Text der Datenschutzgrundverordnung (DSGVO). Im April 2016 erfolgte die Zustimmung seitens des EU-Rats und -Parlaments. Am 04.05.2016 wurde die DSGVO im Amtsblatt der Europäischen Union (EU) veröffentlicht, sie trat am 25.05.2016, am 20. Tag nach ihrer Veröffentlichung, in Kraft. Seit dem 25.05.2018 ist die DSGVO gültig und gilt direkt und unmittelbar für alle EU-Mitgliedstaaten.
„Ein Abschied von den Grundrechten“ titelte Prof. Dr. Johannes Masing, Richter des Ersten Senats des Bundesverfassungsgerichts, in der Süddeutschen Zeitung[1] in Reaktion auf den Anfang 2012 von der Europäischen Kommission veröffentlichten Entwurf der europäischen Datenschutzgrundverordnung. Gerade im Zeitalter von „Prism“ und „Tempora“ und einer offensichtlich außer Kontrolle geratenen NSA ergab sich erheblicher Konfliktstoff.
Es gab viele Kritiker der Vollharmonisierung des Datenschutzrechts durch die DSGVO und des angeblichen Paradigmenwechsels. Dabei wurde vielfach übersehen, dass bereits eine inhaltlich weitreichende sekundärrechtliche Europäisierung des Datenschutzrechts erfolgt war. Im Kern geschah dies mit der im Jahr 1995 verabschiedeten Datenschutzrichtlinie 95/46/EG. Sie erfasste sämtliche Datenverarbeitungsprozesse und schloss lediglich Datenverarbeitungen in familiären und rein persönlichen Zusammenhängen aus, wie es auch die DSGVO (Art. 2 Abs. 2 lit. c) aktuell regelt.
Es war dringend an der Zeit, das Datenschutzrecht zu reformieren und auf EU-Ebene zu vereinheitlichen – nachdem die Datenschutzregeln aus dem Jahr 1995, zu weiten Teilen und in vielerlei Hinsicht veraltet, in den einzelnen Ländern der Europäischen Gemeinschaft (EG) auch unterschiedlich umgesetzt wurden.
Was blieb, was veränderte sich? Welche Verbesserungen oder Herausforderungen brachte die DSGVO mit sich?
Eines jedenfalls steht fest: Von den Änderungen betroffen sind alle Unternehmen, Organisationen, Vereine, Behörden und Institute, unabhängig von deren Größe, Mitarbeiteranzahl, Umsatz oder Datensatzanzahl. Unternehmen außerhalb der EU sind ebenfalls davon betroffen.
Praxistipp |
|
Die Begrifflichkeiten der DSGVO können nicht nur nach deutschem Verständnis ausgelegt werden. Genauso wenig kann man sich einfach an das BDSG a. F. anlehnen. Es empfiehlt sich, auch eine englische Sprachfassung der DSGVO parat zu haben. Die Sprachfassungen der DSGVO sind bereits zwei Mal textlich korrigiert worden – und zwar zum 27.10.2016 und zum 19.04.2018. Die ursprünglich veröffentlichte Textfassung der DSGVO vom 27.04.2016 ist damit nicht mehr korrekt. Daher ist unbedingt darauf zu achten, dass eine aktuelle, also eine bereits korrigierte, Textfassung der DSGVO verwendet wird. |
Mit der DSGVO wurde das Datenschutzrecht innerhalb der EU und des Europäischen Wirtschaftsraums (EWR) – also für die Mitgliedstaaten der EU, Island, Liechtenstein und Norwegen – für den privaten und öffentlichen Bereich vereinheitlicht. Die Europäisierung des Datenschutzrechts bietet ein hohes Schutzniveau. Dieser hohe Datenschutzstandard gilt für fast 514 Mio. EU-Bürger[2], und es gilt gleiches Recht für alle.
Vgl. Masing: „Ein Abschied von den Grundrechten“, in: Süddeutsche Zeitung vom 09.01.2012, S. 10.
Vgl. https://de.statista.com/statistik/daten/studie/14035/umfrage/europaeische-union-bevoelkerung-einwohner/ (zuletzt aufgerufen am: 29.01.2020).
1.1 Datenschutz in der EU
Die erste europäische verfassungsrechtliche Regelung für Datenschutz besteht in Art. 8 der Europäischen Menschenrechtskonvention des Europarats vom 04.11.1950. Dieser basiert auf Art. 12 zur Wahrung von Privat- und Familienleben der allgemeinen Erklärung der Menschenrechte der Vereinten Nationen (EMRK)[1] vom 10.12.1948. Alle Mitgliedstaaten des Europarats setzten die EMRK in ihr nationales Recht um oder haben sie übernommen.
Im Laufe der Jahre verabschiedete das Ministerkomitee des Europarats mehrere Entschließungen zum Schutz von personenbezogenen Daten. Das wohl wichtigste und von allen EU-Staaten ratifizierte Übereinkommen ist Nr. 108 von 1981[2]: das Übereinkommen zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten.
Die Sammlung Europäischer Verträge (SEV) Nr. 8 schützt den Menschen vor Missbrauch bei der Erhebung und Verarbeitung von personenbezogenen Daten und strebt eine Regelung des grenzüberschreitenden Datenverkehrs an. Die Grundsätze und Regelungen sind auch in den Texten der DSGVO enthalten.
Die verbindliche Regelung für die EU[3] bildet nun einen der folgenden sieben Grundsteine[4]:
1. |
Einheitliche Rechtsgrundlage einer Verordnung (Rechtssicherheit, Wettbewerbsgleichheit, kein Forum Shopping) |
2. |
Eindeutige Zuständigkeit einer einzelnen Datenschutzbehörde (One-Stop-Shop) |
3. |
Einheitlich hohes Datenschutzniveau |
4. |
Berücksichtigung der Besonderheiten von Polizei und Justiz in der Rechtsarchitektur |
5. |
Besondere Aufmerksamkeit für kleinere und mittlere Unternehmen |
6. |
Ausgewogene Berücksichtigung aller Grundrechte |
7. |
Offenheit des neuen Rechtsrahmens für zukünftige technologische und wirtschaftliche Entwicklungen |
1.1.1 Regelung mit Durchgriffswirkung
{Durchgriffswirkung}
Die Vereinheitlichung nationaler Gesetze zum Umgang mit personenbezogenen Daten ist das große Hauptanliegen der Datenschutzgrundverordnung. Entsprechend heißt es am Ende des Art. 99 DSGVO: „Diese Verordnung ist in allen ihren Teilen verbindlich und gilt unmittelbar in jedem Mitgliedstaat.“ Der bisherige Flickenteppich nationaler Regelungen gehört damit in vielen Teilen der Vergangenheit an. Als allgemeine Regelung mit unmittelbarer innerstaatlicher Geltung verfügt die DSGVO über eine „Durchgriffswirkung“. Diese grundsätzliche Vollharmonisierung ersetzt größtenteils nationales Datenschutzrecht.
1.1.2 Bedeutung der englischen Fassung für die Auslegung
Die DSGVO liegt in allen Sprachen der EU-Mitgliedstaaten[5] vor und alle Sprachfassungen sind gleich verbindlich. Zwangsläufig gibt es in den Übersetzungen auch Unterschiede. Die DSGVO wurde überwiegend in der englischen Sprachfassung im Gesetzgebungsverfahren verhandelt und man hat sich auf den Text der DSGVO in der englischen Fassung verständigt. Anhand der englischen Fassung ist es ggf. einfacher, bei Unklarheiten den Sinn und Zweck der Regelung zu erschließen.
Praxistipp |
|
Es sollte zur Auslegung eine weitere aktuelle Sprachfassung der DSGVO in der Praxis herangezogen werden. Die englische Sprachfassung bietet sich hierfür an. |
1.1.3 Grundsätzliches zur DSGVO
Gegenstand und Ziele
Die DSGVO enthält Vorschriften zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Verkehr solcher Daten (Art. 1 Abs. 1 DSGVO).
Art. 1 Abs. 1 und 2 DSGVO
(1) Diese Verordnung enthält Vorschriften zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Verkehr solcher Daten.
(2) Diese Verordnung schützt die Grundrechte und Grundfreiheiten natürlicher Personen und insbesondere deren Recht auf Schutz personenbezogener Daten.
Der freie Verkehr personenbezogener Daten in der EU darf aus Gründen des Schutzes natürlicher Personen bei der Verarbeitung personenbezogener Daten weder eingeschränkt noch verboten werden (Art. 1 Abs. 3 DSGVO).
Die DSGVO ist – wie bereits die alte Fassung des Bundesdatenschutzgesetzes (BDSG a. F.) – als Verbotsgesetz mit Erlaubnisvorbehalt ausgestaltet. Das bedeutet, dass der Umgang mit personenbezogenen Daten grundsätzlich untersagt ist – es sei denn, die Verordnung, eine andere gesetzliche Vorschrift oder eine Einwilligung des Betroffenen erlauben dies.
Die DSGVO gilt unmittelbar und direkt und ist im Gegensatz zum BDSG a. F. kein Auffanggesetz mehr. Sie hat Vorrang vor anderen Rechtsvorschriften der Mitgliedstaaten, sofern es keine ausdrückliche Möglichkeit für einzelstaatliche Regelungen (sog. Öffnungsklauseln) gibt.
Art. 6 Abs. 1 Satz 1 DSGVO
Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist: […]
Was 2018 im Vergleich zum BDSG a. F. mit der DSGVO weggefallen ist
Auch wenn es im Hinblick auf die Regelungen der DSGVO unerheblich ist, was in alten Gesetzen galt, wird hier der Vollständigkeit halber und auch zum besseren Verständnis des geltenden Datenschutzrechts kurz darauf eingegangen.
Informationelle Selbstbestimmung
Die DSGVO kennt den Begriff „informationelle Selbstbestimmung“ als rechtsdogmatischen deutschen Sonderweg nicht. Das Europarecht spricht vom „Recht auf Datenschutz“ (Art. 8 Abs. 1 GRCh).
Das europäische Datenschutzgrundrecht ist ein europäischer Grundrechtsschutz. Das bedeutet, ein „Gang nach Karlsruhe“ – Ausnahme beim Arbeits- und Verwaltungsrecht – ist nicht mehr möglich. Urteile werden im Datenschutzrecht am Europäischen Gerichtshof (EuGH) gefällt.
Der EuGH mit Sitz in Luxemburg ist das oberste rechtsprechende Organ der EU. Nach Art. 19 Abs. 1 Satz 2 EUV sichert er „die Wahrung des Rechts bei der Auslegung und Anwendung der Verträge“. Zusammen mit dem Gericht der Europäischen Union bildet er das Gerichtssystem der EU, das im politischen System der EU die Rolle der Judikative einnimmt.[6]
Funktionsübertragung {Funktionsübertragung}
§ 11 BDSG a. F. ließ die sog. Auftragsdatenverarbeitung zu. Charakteristisch für diese war, dass sich die datenschutzrechtlich verantwortliche Stelle eines Dritten für die Durchführung bestimmter Datenverarbeitungsvorgänge bediente.
Bei der sog. Funktionsübertragung[7] wurde eine Stelle für eine andere dergestalt tätig, dass die „eingeschaltete“ Stelle für die andere einen bestimmten Auftrag wahrnimmt und dazu im eigenen Namen alle erforderlichen Entscheidungen trifft, aber dabei stets im Interesse des „Auftraggebers“ handeln muss.
Im Rahmen der DSGVO hat der Gesetzgeber einige Änderungen vorgesehen. Die Definitionen des Art. 4 Nr. 7 und 8 DSGVO lassen die ursprüngliche Unterscheidung zwischen Auftragsdatenverarbeitung und Funktionsübertragung, wie sie noch unter dem BDSG a. F. vorgenommen wurde, nicht mehr zu.
Was bisher unter einer Funktionsübertragung subsummiert wurde, ist nach der DSGVO entweder
• |
eine Auftragsverarbeitung (Art. 28 DSGVO) oder |
• |
eine gemeinsame Verantwortlichkeit (Art. 26 DSGVO) oder |
• |
eine „normale“ Übermittlung an einen anderen Verantwortlichen. |
Vgl. https://www.menschenrechtskonvention.eu (zuletzt aufgerufen am: 29.01.2020).
Vgl. https://rm.coe.int/1680078b38 (zuletzt aufgerufen am: 29.01.2020).
Mitgliedstaaten der EU: Belgien (1958), Bulgarien (2007), Dänemark (1973), Deutschland (1958), Estland (2004), Finnland (1995), Frankreich (1958), Griechenland (1981), Irland (1973), Italien (1958), Kroatien (2013), Lettland (2004), Litauen (2004), Luxemburg (1958), Malta (2004), Niederlande (1958), Österreich (1995), Polen (2004), Portugal (1985), Rumänien (2007), Schweden (1995), Slowakei (2004), Slowenien (2004), Spanien (1986), Tschechische Republik (2004), Ungarn (2004), Vereinigtes Königreich (1973 bis zum Abschluss der Austrittsverhandlungen), Zypern (2004).
Reding: Sieben Grundbausteine der europäischen Datenschutzreform, ZD 2012, S. 195.
Vgl. https://eur-lex.europa.eu/legal-content/EN/TXT/?qid=1577440017618&uri=CELEX:32016R0679 (zuletzt aufgerufen am: 29.01.2020).
Unter https://curia.europa.eu finden sich sowohl Informationen zum EuGH selbst als auch zu seinen (aktuellen) Urteilen.
Vgl. https://www.baden-wuerttemberg.datenschutz.de/auftragsdatenverarbeitung-und-funktionsuebertragung/ (zuletzt aufgerufen am: 29.01.2020).
1.2 Öffnungsklauseln für nationale Umsetzung
{Öffnungsklausel}
Seit der Veröffentlichung im EU-Amtsblatt hatten die einzelnen Länder bis zum 25.05.2018 Zeit, die EU-Verordnung mit ihrer nationalen Gesetzgebung in Einklang zu bringen. In bestimmten Bereichen hat die DSGVO durch gewisse Öffnungsklauseln Raum für den nationalen Gesetzgeber gelassen, den es vor Inkrafttreten der DSGVO zu regeln galt. Die Liste reichte von Gesundheit und Forschung über den Beschäftigtendatenschutz und den Datenschutzbeauftragten bis hin zu Berufsgeheimnissen. Auch die Bedeutung des Datenschutzrechts für Unternehmen und Betriebe im Detail, sprich für den für die Verarbeitung Verantwortlichen, zählt dazu.
Praxistipp |
|
Die DSGVO ist nicht abschließend. Dabei öffnet sie nicht den Regelungsbereich für die EU-Länder, sie gibt diesen lediglich die Befugnis, einen vorgegebenen Spielraum zu nutzen. Diese Möglichkeiten werden daher auch „Spezifizierungsklauseln“ genannt. |
Die DSGVO sieht „Kann“- und „Muss“-Öffnungsklauseln – je nach Zählweise zwischen 50 und 60 Klauseln – vor. Der deutsche Gesetzgeber in Bund und Ländern hat im Rahmen des Gesetzes zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680 (Datenschutz-Anpassungs- und -Umsetzungsgesetz EU – DSAnpUG-EU) vom 30.06.2017 bzw. im Rahmen des 2. DSAnpUG-EU vom 20.11.2019 (BGBl. 2019 I S. 1626) mit dem novellierten Bundesdatenschutzgesetz (BDSG) davon umfassend Gebrauch gemacht. Dabei war im deutschen Datenschutzrecht hinsichtlich des Anpassungsbedarfs zwischen dem öffentlichen und nicht öffentlichen Bereich zu unterscheiden.
Praxistipp |
|
Die Regelungsmöglichkeiten können auch in anderen Gesetzen der Mitgliedstaaten ausgeübt werden, wie z. B. die Identifikationsnummer in Steuersachen (Steuer-ID) aus § 139a Abgabenordnung (AO). Es ist daher weiterhin zu prüfen, ob es nationale Vorgaben gibt, welche die Vorgaben der DSGVO ergänzen.[1] |
Von den Öffnungsklauseln haben neben Deutschland u. a. Bulgarien, Dänemark, Estland, Finnland, Frankreich, Griechenland, Irland, Italien, Kroatien, Lettland, Litauen, die Niederlande, Österreich, Rumänien, Schweden, Slowakei und das Vereinigte Königreich bereits Gebrauch gemacht.
In den EU-Mitgliedstaaten Luxemburg, Malta, Polen, Portugal, Slowenien, Spanien, Tschechische Republik, Ungarn und Zypern sind die Gesetzgebungsverfahren noch nicht abgeschlossen (Stand Januar 2020).
Praxistipp |
|
Insofern kommt es entgegen der Zielsetzung der DSGVO zu einem Flickenteppich innerhalb der EU bzw. des EWR. Denn in manchen Teilen wird die DSGVO durch nationales Recht verdrängt (z. B. Beschäftigtendatenschutz). |
Die EU-Kommission behält sich jedoch zwei Kompetenzen vor:
• |
Art. 12 Abs. 8 DSGVO: Regelung standardisierter Icons (sog. Bildsymbole) |
• |
Art. 43 Abs. 8 DSGVO: Regelung der Anforderungen an Zertifizierungsverfahren |
Aufseiten der Aufsichtsbehörden besteht auch immer noch Handlungsbedarf im Rahmen des Regulierungsspielraums. Die nachstehenden Punkte sind EU-weit aufsichtsbehördlich zu regeln:
Artt. 40–41 DSGVO – Verhaltensregeln
Verbände oder andere Vereinigungen, die bestimmte Kategorien von Verantwortlichen oder Auftragsverarbeiter vertreten, können in Grenzen der DSGVO Verhaltensregeln ausarbeiten, um eine wirksame Anwendung der DSGVO zu erleichtern (ErwG 98–99 DSGVO).
Artt. 55–56 DSGVO – One-Stop-Shop {One-Stop-Shop}-Verfahren (Zuständigkeiten der Aufsichtsbehörden)
Die DSGVO führte einen sog. One-Stop-Shop-Mechanismus ein. Bei grenzüberschreitenden Datenverarbeitungen wird für ein Unternehmen nur die Aufsichtsbehörde an seinem Hauptsitz als zentraler Ansprechpartner zuständig sein.
Die betroffene Person kann sich bei einer (also jeder) Aufsichtsbehörde beschweren, wenn sie der Ansicht ist, dass die Verarbeitung ihrer personenbezogenen Daten rechtswidrig erfolgt (Art. 77 DSGVO – Recht auf Beschwerde bei einer Aufsichtsbehörde).
Artt. 63–67 DSGVO – Kohärenzverfahren
Sollte es in One-Stop-Shop-Fällen keinen Konsens zwischen den Aufsichtsbehörden geben, trifft der Europäische Datenschutzausschuss (EDSA) einen verbindlichen Beschluss.
Vgl. Eckhardt, Jens/Kramer, Rudi (u. a.): DS-GVO-Kompendium, Bonn: VNR Verlag für die Deutsche Wirtschaft 2019.
1.3 Aufsichtsbehörden
{Aufsichtsbehörden}
1.3.1 Allgemeines zu den Aufsichtsbehörden
Die Datenschutzaufsichtsbehörden haben im Rahmen der DSGVO umfangreiche Befugnisse. Denn ein effektiver Datenschutz fordert auch eine effektive Durchsetzung.
Der europäische Gesetzgeber ermächtigt die Datenschutzaufsichtsbehörden der jeweiligen EU-Länder, für Verstöße gegen die DSGVO Geldbußen i. H. v. bis zu 20 Mio. Euro bzw. 4 % des weltweiten Jahresumsatzes des Vorjahrs zu verhängen – je nachdem, welcher Betrag höher ist. Die Sanktionen sollen „wirksam, verhältnismäßig und abschreckend“ (Art. 83 Abs. 1 DSGVO, ErwG 148, 150, 151 DSGVO) sein.
Art. 83 Abs. 1 DSGVO
Jede Aufsichtsbehörde stellt sicher, dass die Verhängung von Geldbußen gemäß diesem Artikel für Verstöße […] in jedem Einzelfall wirksam, verhältnismäßig und abschreckend ist.
Nach Art. 58 DSGVO können die Aufsichtsbehörden für Datenschutz u. a. auch gegenüber Behörden Anordnungen erlassen, um z. B. die Löschung von personenbezogenen Daten zu erwirken, eine Datenübermittlung in Drittländer zu untersagen oder eine rechtswidrige Datenverarbeitung zu unterbinden. Aufsichtsbehörden im öffentlichen Bereich hatten zumindest in Deutschland diese Befugnisse bisher nicht.
Ein unionsweiter wirksamer Schutz personenbezogener Daten fordert auch eine Verschärfung der Verpflichtungen von Verantwortlichen und Auftragsverarbeitern und gleich starke Befugnisse bei der Überwachung. Aufsichtsbehörden benötigen zur konsequenteren Durchsetzung der Vorschriften neben sonstigen Maßnahmen (Art. 58 DSGVO), die sie gemäß der Verordnung verhängen können, auch die Kompetenz zur Verhängung von Bußgeld, um Verstöße zu sanktionieren, und erforderlichenfalls auch für strafrechtliche Sanktionen (Art. 84 DSGVO).
Praxistipp |
|
Direkt im Anschluss an Kap. 6 finden sich die aktuellen Adressen der deutschen Aufsichtsbehörden. |
1.3.2 Datenschutzkonferenz (DSK)
{Datenschutzkonferenz (DSK)}
Die Datenschutzkonferenz {Aufsichtsbehörden, Datenschutzkonferenz (DSK)} – Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder – ist ein Zusammenschluss der deutschen Aufsichtsbehörden für Datenschutz. Das Ziel der DSK ist es, die europäischen und nationalen Datenschutzgrundrechte zu wahren und zu schützen, eine einheitliche Anwendung des Datenschutzrechts zu erreichen und gemeinsam für seine Fortentwicklung einzutreten. Mehrmals jährlich tagt die DSK unter turnusmäßig wechselndem Vorsitz. Sie verabschiedet abgestimmte Beschlüsse und Entschließungen, um ihre Ansicht und Haltung zu Fragen aus Technik, Recht oder Wirtschaft darzulegen. Die DSK verabschiedete seit dem Inkrafttreten der DSGVO mehrere Kurzpapiere, Orientierungshilfen, Standardisierungen und Stellungnahmen, die die Anwendung der DSGVO erläutern und Hilfestellung in der Anwendung der DSGVO geben.
Praxistipp |
|
Eine Zusammenstellung aller verabschiedeten Kurzpapiere, Anwendungshilfen sowie Entschließungen und Orientierungshilfen findet sich auf der Webseite der DSK unter https://www.datenschutzkonferenz-online.de. |
1.3.3 Der Europäische Datenschutzausschuss (EDSA)
{Aufsichtsbehörden, EDSA}
Der Europäische Datenschutzausschuss, kurz EDSA {EDSA}, ist der Nachfolger der Artikel-29-Datenschutzgruppe, die als {Artikel-29-Datenschutzgruppe}unabhängiges Gremium die EU-Kommission in Datenschutzfragen beriet sowie Leitlinien und Positionspapiere veröffentlichte. Die Datenschutzgruppe wurde mit Art. 29 der Datenschutzrichtlinie 95/46/EG geschaffen und setzte sich aus den Vertretern der in jedem Mitgliedstaat des EWR bestehenden unabhängigen Datenschutz-Kontrollstellen (i. S. d. Art. 28 der Datenschutzrichtlinie 95/46/EG) zusammen.
Mit Geltung der DSGVO zum 25.05.2018 hat der EDSA die Artikel-29-Datenschutzgruppe abgelöst. Der Ausschuss besteht aus den Leitern der Datenschutzbehörden der EU-Mitgliedstaaten und dem Europäischen Datenschutzbeauftragten oder ihren jeweiligen Vertretern. Einige Leitlinien der Artikel-29-Datenschutzgruppe wurden vom EDSA bestätigt.
Aufgaben des EDSA
Der EDSA[1] nimmt folgende Aufgaben wahr:
• |
Überwachung und Sicherstellung der ordnungsgemäßen Anwendung der DSGVO |
• |
Beratung der Europäischen Kommission in Datenschutzfragen |
• |
Bereitstellung von Leitlinien und Empfehlungen (bisher Orientierungshilfen) |
• |
Förderung des Austauschs von Fachwissen und von Dokumentationen über Datenschutzvorschriften und -praxis mit Datenschutzaufsichtsbehörden in aller Welt |
• |
Führen eines öffentlich zugänglichen elektronischen Registers, in dem die Beschlüsse der Datenschutzbehörden und Gerichte in Bezug auf Fragen, die im Rahmen des Kohärenzverfahrens behandelt wurden, dokumentiert sind |
Der EDSA wird v. a. im Rahmen des Kohärenzverfahrens (Art. 63 DSGVO) dafür sorgen, dass die DSGVO in allen Mitgliedstaaten der EU möglichst einheitlich angewendet wird. Sollte es zu keiner Einigung der betroffenen EU-Datenschutzaufsichtsbehörden kommen, kann er strittige Fragen rechtsverbindlich lösen.
Wie wird die deutsche Verhandlungsposition für den EDSA bestimmt?
Die Bestimmung der deutschen Position für Sitzungen des EDSA unterliegt einem formellen Verfahren. Als Grundsatz sieht das BDSG vor, dass die Aufsichtsbehörden des Bundes und der Länder in EU-Angelegenheiten miteinander kooperieren und gemeinsame Standpunkte im Einvernehmen erarbeiten. Dieser Grundsatz der koordinierten Willensbildung gilt für alle Aufgaben, welche die DSGVO dem EDSA überträgt. Können sich die deutschen Aufsichtsbehörden nicht auf einen gemeinsamen Standpunkt einigen, regelt das BDSG ein abgestuftes Verfahren zur Entscheidungsfindung, an dessen Ende die deutsche Position auf der Grundlage von Mehrheitsentscheidungen aller Aufsichtsbehörden bestimmt werden kann.[2]
Die damalige Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI), Andrea Voßhoff (2014–2018) – seit Januar 2019 hat Ulrich Kelber dieses Amt inne und ist damit der gemeinsame Vertreter für die deutschen Datenschutzbehörden im EDSA –, veröffentlichte ein zweiseitiges Infoblatt über die Rolle und Kompetenzen des neuen Gremiums (abrufbar unter https://www.bfdi.bund.de > Stichwort Datenschutz kompakt vom 11.12.2017).
Vgl. https://edpb.europa.eu/about-edpb/about-edpb_de (zuletzt aufgerufen am: 29.01.2020).
Dokumente des EDSA finden sich unter https://edpb.europa.eu/our-work-tools/our-documents_de (zuletzt aufgerufen am: 29.01.2020).