Читать книгу Datenschutz 2020 - Regina Mühlich - Страница 15
Оглавление1.8.1 Betroffenenrechte im Überblick
{Betroffenenrechte}
Mit Kap. III der DSGVO werden die Rechte der betroffenen Person ( Kap. 6.1) gestärkt und auch modernisiert. So normiert z. B. Art. 12 DSGVO die Anforderungen an die Transparenz der Informationen, an die Kommunikation und die Modalitäten für die Ausübung der Rechte der betroffenen Person.
Die wichtigsten Rechte für die betroffene Person sind:
Bild 5: Betroffenenrechte (Quelle: © 2020 Regina Mühlich)
Bei allem gilt der Grundsatz gem. Art. 5 Abs. 1 DSGVO (ErwG 39 DSGVO): „Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz“. Im Rahmen des Art. 12 Abs. 1 DSGVO trifft der Verantwortliche geeignete Maßnahmen, um der betroffenen Person alle Informationen, die sich auf die Verarbeitung beziehen, „in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln; dies gilt insbesondere für Informationen, die sich speziell an Kinder richten“ (Informationspflichten).
In der DSGVO nimmt, im Gegensatz zum BDSG, der Kinder- und Jugendschutz eine wichtige Rolle ein. Die zentrale Norm hierfür ist Art. 6 DSGVO, soweit es um die Beurteilung der Rechtmäßigkeit einer Datenverarbeitung geht. Wichtigster Auffangtatbestand ist Art. 6 Abs. 1 lit. f DSGVO, der die Datenverarbeitung auf Basis von berechtigten Interessen der Unternehmen erlaubt:
Art. 6 Abs. 1 DSGVO
Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist: […]
| f) | die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt. |
Artikel 8 DSGVO hat eine Altersgrenze eingeführt: Ab 16 Jahre können Kinder und Jugendliche {Betroffenenrechte, Kinder} in die Verarbeitung ihrer personenbezogenen Daten wirksam einwilligen. Ansonsten, also bei Kindern und Jugendlichen unter 16 Jahre, ist eine Einwilligung der Erziehungsberechtigten erforderlich. Nach der DSGVO muss ein Erziehungsberechtigter seine Einwilligung erteilen, wenn es sich um ein Angebot von Diensten einer Informationsgesellschaft handelt, das einem Kind oder Jugendlichen direkt gemacht wird (Art. 8 Abs. 1 DSGVO). Die DSGVO definiert allerdings nicht, was unter „Angebot von Diensten der Informationsgesellschaft“ zu verstehen ist.
Art. 8 DSGVO – Bedingungen für die Einwilligung eines Kindes in Bezug auf Dienste der Informationsgesellschaft
(1) Gilt Artikel 6 Absatz 1 Buchstabe a bei einem Angebot von Diensten der Informationsgesellschaft, das einem Kind direkt gemacht wird, so ist die Verarbeitung der personenbezogenen Daten des Kindes rechtmäßig, wenn das Kind das sechzehnte Lebensjahr vollendet hat. Hat das Kind noch nicht das sechzehnte Lebensjahr vollendet, so ist diese Verarbeitung nur rechtmäßig, sofern und soweit diese Einwilligung durch den Träger der elterlichen Verantwortung für das Kind oder mit dessen Zustimmung erteilt wird. Die Mitgliedstaaten können durch Rechtsvorschriften zu diesen Zwecken eine niedrigere Altersgrenze vorsehen, die jedoch nicht unter dem vollendeten dreizehnten Lebensjahr liegen darf.
(2) Der Verantwortliche unternimmt unter Berücksichtigung der verfügbaren Technik angemessene Anstrengungen, um sich in solchen Fällen zu vergewissern, dass die Einwilligung durch den Träger der elterlichen Verantwortung für das Kind oder mit dessen Zustimmung erteilt wurde.
(3) Absatz 1 lässt das allgemeine Vertragsrecht der Mitgliedstaaten, wie etwa die Vorschriften zur Gültigkeit, zum Zustandekommen oder zu den Rechtsfolgen eines Vertrags in Bezug auf ein Kind, unberührt.
Der ErwG 38 DSGVO gibt hier weitere Anhaltspunkte für die Beurteilung:
ErwG 38 DSGVO
Kinder verdienen bei ihren personenbezogenen Daten besonderen Schutz, da Kinder sich der betreffenden Risiken, Folgen und Garantien und ihrer Rechte bei der Verarbeitung personenbezogener Daten möglicherweise weniger bewusst sind. Ein solcher besonderer Schutz sollte insbesondere die Verwendung personenbezogener Daten von Kindern für Werbezwecke oder für die Erstellung von Persönlichkeits- oder Nutzerprofilen und die Erhebung von personenbezogenen Daten von Kindern bei der Nutzung von Diensten, die Kindern direkt angeboten werden, betreffen. Die Einwilligung des Trägers der elterlichen Verantwortung sollte im Zusammenhang mit Präventions- oder Beratungsdiensten, die unmittelbar einem Kind angeboten werden, nicht erforderlich sein.
Die DSGVO stellt Unternehmen bei der Verarbeitung von personenbezogenen Daten von Kindern und Jugendlichen vor besondere Herausforderungen. Im Zentrum steht das besondere Schutzbedürfnis von Kindern, welchem Rechnung zu tragen ist. Artikel 40 Abs. 2 lit. g DSGVO sagt hierzu noch:
Art. 40 Abs. 2 lit. g DSGVO
Unterrichtung und Schutz von Kindern und Art und Weise, in der die Einwilligung des Trägers der elterlichen Verantwortung für das Kind einzuholen ist;
Neu
Im Hinblick auf die Bestimmung des Alters eines Kindes konnte der nationale Gesetzgeber von seiner nationalen Regelungsbefugnis Gebrauch machen. Im BDSG hat der deutsche Gesetzgeber nicht darauf zurückgegriffen. Die zulässige Einwilligung durch einen Minderjährigen kann lt. DSGVO erst ab dem 16. Lebensjahr erbracht werden.
In der EU gelten z. B. folgende Altersgrenzen (Stand: 20.12.2019)[1]:
| Belgien: | 13 Jahre | Malta: | 13 Jahre |
| Bulgarien: | 14 Jahre | Niederlande: | 16 Jahre |
| Dänemark: | 13 Jahre | Österreich: | 14 Jahre |
| Deutschland: | 16 Jahre | Polen: | 16 Jahre |
| Estland: | 13 Jahre | Portugal: | 13 Jahre |
| Finnland: | 13 Jahre | Rumänien: | 16 Jahre |
| Frankreich: | 15 Jahre | Schweden: | 13 Jahre |
| Griechenland: | 15 Jahre | Slowakei: | 16 Jahre |
| Irland: | 16 Jahre | Slowenien: | 16 (15) Jahre |
| Italien: | 14 Jahre | Spanien: | 14 Jahre |
| Kroatien: | 16 Jahre | Tschechien: | 15 Jahre |
| Lettland: | 13 Jahre | Ungarn: | 16 Jahre |
| Litauen: | 14 Jahre | Vereinigtes Königreich: | 13 Jahre |
| Luxemburg: | 16 Jahre | Zypern: | 14 Jahre |
Bei der Zurverfügungstellung der Information an die betroffene Person gilt es außerdem, eine Frist einzuhalten. Artikel 12 Abs. 3 DSGVO spricht von „unverzüglich, in jedem Fall aber innerhalb eines Monats“. Diese Unterrichtung hat den Grundsatz der Unentgeltlichkeit.
Die betroffene Person hat das Recht, vom Verantwortlichen darüber Auskunft {Betroffenenrechte, Auskunft} zu erhalten, ob personenbezogene Daten verarbeitet werden (Art. 15 Abs. 1 DSGVO; Kap. 6.1.4). Die Auskunft hat unentgeltlich zu erfolgen und nachstehende Informationen zu beinhalten:
| • | Verarbeitungszweck |
| • | Kategorien personenbezogener Daten, die verarbeitet werden |
| • | Empfänger oder Kategorien von Empfängern (vgl. Art. 4 Nr. 9 DSGVO; hierzu gehören u. a. Auftragsverarbeiter und Dritte) |
| • | falls möglich die geplante Dauer |
| • | Recht auf Berichtigung, Recht auf Löschung sowie Recht auf Einschränkung der Verarbeitung |
| • | Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde |
| • | Herkunft der Daten, wenn nicht bei der betroffenen Person erhoben |
| • | automatisierte Entscheidungsfindung einschließlich Profiling |
Art. 4 Nr. 4 DSGVO
„Profiling“ {Profiling} [bezeichnet] jede Art der automatisierten Verarbeitung personenbezogener Daten, die darin besteht, dass diese personenbezogenen Daten verwendet werden, um bestimmte persönliche Aspekte, die sich auf eine natürliche Person beziehen, zu bewerten, insbesondere um Aspekte bezüglich Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persönliche Vorlieben, Interessen, Zuverlässigkeit, Verhalten, Aufenthaltsort oder Ortswechsel dieser natürlichen Person zu analysieren oder vorherzusagen;
Die DSGVO enthält allerdings keine detaillierten Regelungen zur Profilbildung und ist somit im materiellen Datenschutzrecht nicht klar und abschließend geregelt.
| Praxistipp |
| Der Bayerische Landesbeauftragte für den Datenschutz erläutert in der Orientierungshilfe „Das Recht auf Auskunft nach der Datenschutz-Grundverordnung“[2] Art. 15 DSGVO. Dabei geht er auch auf ausgewählte nationale Bestimmungen ein, die Anspruchshindernisse vorsehen oder sonst für die Verwirklichung dieser Vorschrift von Bedeutung sind. Im Anhang finden sich veröffentlichte Papiere, die Verständnishilfen im Zusammenhang mit Art. 15 DSGVO beinhalten. Die Orientierungshilfe richtet sich zwar in erster Linie an bayerische öffentliche Stellen und an behördliche Datenschutzbeauftragte. Der Schwerpunkt liegt aber generell auf der praktischen Umsetzung der Betroffenenrechte. |
Begriffsbestimmung
Das materielle Recht, auch als sachliches Recht bezeichnet, ist dabei die Gesamtheit aller Rechtsnormen, die Inhalt, Entstehung, Veränderung und Löschung von Rechten regeln. Das Gegenstück wird als formelles Recht bezeichnet (z. B. Prozessrecht).
Das sog. Auskunftsrecht {Betroffenenrechte, Auskunft} schließt auch das Recht der betroffenen Person auf Auskunft über ihre eigenen gesundheitsbezogenen Daten ein, z. B. Patientenakten, Diagnosen, Untersuchungsergebnisse, Befunde der behandelnden Ärzte oder Eingriffe (ErwG 63 DSGVO).
Nach Möglichkeit sollte der Verantwortliche einen sicheren Fernzugang zu seinem System bereitstellen, um der betroffenen Person einen direkten Zugang zu ihren personenbezogenen Daten zu ermöglichen. In Unternehmen bieten sich hier z. B. Wikis oder das Intranet an.
1.8.2 Recht auf Datenübertragbarkeit (Datenportabilität)
{Datenportabilität}
In Art. 20 DSGVO ist das Recht der betroffenen Person auf Datenübertragbarkeit ( Kap. 6.1.8) geregelt. Der Grundgedanke der Datenübertragbarkeit ist es, dass die betroffene Person, wenn sie es wünscht, von dem Verantwortlichen die personenbezogenen Daten erhält, die sich auf ihre Person beziehen. Sie soll dadurch die Möglichkeit erhalten, diese Daten in das Verarbeitungssystem eines anderen Verantwortlichen übertragen zu können bzw. direkt zwischen den Verantwortlichen übertragen zu lassen.
Die betroffene Person soll im Fall der Verarbeitung von personenbezogenen Daten eine bessere Kontrolle über die eigenen Daten haben. Außerdem hat sie einen Anspruch darauf, dass sie die sie betreffenden personenbezogenen Daten, die sie einem Verantwortlichen bereitgestellt hat, in einem strukturierten, gängigen maschinenlesbaren und interoperablen Format erhält. Das Recht gilt nur, sofern die betroffene Person die personenbezogenen Daten mit ihrer Einwilligung zur Verfügung gestellt hat oder die Verarbeitung zur Erfüllung eines Vertrags erforderlich ist. Das Recht gilt nicht, wenn die Verarbeitung auf einer anderen Rechtsgrundlage – z. B. sonstigen Rechtsvorschriften – erfolgt.
Diese Anforderung stellt die Verantwortlichen und Auftragsverarbeiter vor eine Herausforderung. Was dies für datenverarbeitende Unternehmen bedeuten kann, hat die Artikel-29-Datenschutzgruppe in einer ersten Empfehlung am 13.12.2016 veröffentlicht, welche am 05.04.2017[3] zuletzt überarbeitet wurde.
So können Nutzer sozialer Netzwerke vom Anbieter des Netzwerks die Herausgabe ihrer personenbezogenen Daten verlangen. Das „Recht auf Datenübertragbarkeit“ besteht auch im Beschäftigungsverhältnis. Ein Mitarbeiter kann ebenso von diesem Recht Gebrauch machen.[4]
| Praxistipp |
| Die Stiftung Datenschutz widmete sich in einer Studie der „Praktischen Umsetzung des Rechts auf Datenübertragbarkeit“[5]: Darin untersuchte sie die rechtlichen, technischen und verbraucherbezogenen Implikationen des Rechts auf Datenportabilität und gibt Empfehlungen, wie das neue Instrument nutzbar gemacht werden kann. |
{Betroffenenrechte, Löschung}
Die betroffene Person hat gem. Art. 17 DSGVO das Recht, von dem Verantwortlichen zu verlangen, dass die sie betreffenden personenbezogenen Daten unverzüglich gelöscht werden ( Kap. 6.1.6). Das „Recht auf Löschung {Löschung}“ ist nicht neu (§§ 20, 35 BDSG a. F.) und wurde auf das Internet ausgeweitet. Mit dem „Recht auf Vergessenwerden“ wird der Verantwortliche, der die personenbezogenen Daten öffentlich gemacht hat, verpflichtet, den Verantwortlichen, die diese personenbezogenen Daten verarbeiten, mitzuteilen, dass alle Links zu diesen personenbezogenen Daten bzw. Kopien oder Replikationen der personenbezogenen Daten zu löschen sind.
Mit dem „Recht auf Vergessenwerden“ {Betroffenenrechte, Vergessenwerden} werden die Rechte der betroffenen Person gestärkt. Denn damit erhält sie das Recht eines Löschungsanspruchs auch gegenüber Dritten von der verantwortlichen Stelle. Auf Grundlage des EuGH-Urteils zu Google Spain und Google Inc. vom 13.05.2014 (Rs. C-131/12) ist das Recht auf Löschung bzw. auf Vergessenwerden als subjektives Recht eine spezielle Ausprägung der Grundrechte auf Achtung des Privatlebens und auf Schutz personenbezogener Daten, wie sie nun in Artt. 7 und 8 Abs. 1 GRCh und in Art. 16 Abs. 1 AEUV niedergelegt sind.[6]
Das Urteil des EuGH, das die Verbraucherrechte in der digitalen Welt stärkt, ist wegweisend gewesen. Internetdienste müssen unter bestimmten Voraussetzungen Links zu Daten über Verbraucher löschen, wenn diese sich mit dem Wunsch an die Betreiber von Suchmaschinen wenden. Das Urteil des EuGH bezieht sich ausdrücklich nur auf Links und Verweise in Suchmaschinen und nicht auf Inhalte im Netz. Hintergrund dafür ist, dass eine Suche in den Suchmaschinen sofort strukturierte und umfassende Ergebnislisten liefert, anders als bspw. die Suche in Zeitungsarchiven, in denen man immer nur punktuelle Ergebnisse findet. Der EuGH stärkt somit das Recht des Verbrauchers auf Privatsphäre und Selbstbestimmtheit. Er sieht die Suchmaschinenbetreiber als Verantwortliche und somit als richtige Ansprechpartner für die Verbraucher an.[7]
Mit diesem umstrittenen Google-Urteil hat der Art. 17 DSGVO allerdings nur am Rande zu tun. Die Vorschrift regelt das Recht von betroffenen Personen auf die korrespondierende Pflicht von verantwortlichen Unternehmen, personenbezogene Daten zu löschen, sobald keine Zweckbindung mehr vorliegt. Dies gilt auch für Beschäftigtendaten und ist nicht neu (§ 35 BDSG a. F.). Das Recht zwingt den Verantwortlichen, ein entsprechendes und umfassendes Löschkonzept zu erstellen und umzusetzen – dies unter Berücksichtigung der gesetzlichen Aufbewahrungsfristen, die sich u. a. aus HGB, SGB X oder AO ergeben.
Begriffsbestimmung
Das „Recht auf Vergessenwerden“ {Betroffenenrechte, Vergessenwerden} (engl.: right to be forgotten) soll sicherstellen, dass digitale Informationen mit einem Personenbezug nicht dauerhaft zur Verfügung stehen („digitaler Radiergummi“). Der Begriff geht auf Viktor Mayer-Schönberger zurück. Der österreichische Rechtswissenschaftler schlug vor, elektronisch gespeicherte Informationen mit einem Ablauf- oder Verfallsdatum zu versehen.
{Direkterhebung}
Einer der wichtigsten Grundsätze des Datenschutzrechts war das Gebot der Direkterhebung. Der § 4 Abs. 2 BDSG a. F. schrieb vor: „Personenbezogene Daten sind beim Betroffenen zu erheben […]“.
Wenn Staat und Wirtschaft Daten der Bürger sammeln, sollte dies offen (direkt beim Bürger) und nicht heimlich (bei Dritten) geschehen. Jedwede Befugnis, über einen Bürger hinter dessen Rücken Informationen zu sammeln, bedurfte nach dem Grundsatz der Direkterhebung einer sorgfältigen Begründung (vgl. Plath in: Plath, BDSG, 4 BDSG Rn. 20).
Die DSGVO hat den Grundsatz der Direkterhebung nicht übernommen. Werden personenbezogene Daten nicht bei der betroffenen Person erhoben, bedarf es hierfür nach der DSGVO keines besonderen Grundes (mehr). Allerdings sind bei einer sog. Dritterhebung – die personenbezogenen Daten wurden also nicht direkt bei der betroffenen Person erhoben – ein paar Dinge zu beachten. Denn in diesem Fall hat der Verantwortliche der betroffenen Person entsprechende Informationen gem. Art. 14 DSGVO (Informationspflichten) mitzuteilen. Über die Erhebung der Daten hat der Verantwortliche die betroffene Person gem. Art. 14 Abs. 1 DSGVO zu informieren. Diese Information über die Erlangung der personenbezogenen Daten sind der betroffenen Person innerhalb einer angemessenen Frist, längstens jedoch innerhalb eines Monats (Art. 14 Abs. 3 DSGVO), zur Verfügung zu stellen.
Der Verantwortliche hat die erforderliche Transparenz außerhalb der Direkterhebung herzustellen. Artikel 14 DSGVO enthält keine nähere Bestimmung über die Form der Information. Insbesondere gilt Art. 12 Abs. 1 DSGVO. Die Frage nach dem zulässigen Medienbruch wird vom Gesetz ebenfalls nicht beantwortet. Es wird allerdings der leichte Zugang betont. Insofern dürfte neben der unmittelbaren Angabe essenzieller Informationen z. B. ein Verweis auf eine Kurz-URL nebst QR-Code genügen (Gola, Datenschutz-Grundverordnung Kommentar, Art. 13 Rn. 34).
{Marktortprinzip}
Der europäische Gesetzgeber erstreckt den räumlichen Anwendungsbereich der DSGVO mit Einführung des Marktortprinzips auf datenschutzrechtlich relevante Geschäftsaktivitäten von Unternehmen, die keine Niederlassungen in der EU besitzen und damit an sich außerhalb des territorialen Anwendungsbereichs nach Art. 3 Abs. 1 DSGVO liegen würden.
Unternehmen, die keine Niederlassung in der EU haben, auf dem europäischen Markt aber Waren und Dienstleistungen anbieten, müssen die DSGVO uneingeschränkt anwenden. Diese Unternehmen sind außerdem verpflichtet, einen Vertreter in der EU zu benennen. Mit der Einführung des Marktortprinzips will man die Rechte der EU-Bürger stärken und diese gegenüber Unternehmen in Drittstaaten durchsetzen.
Begriffsbestimmung
Das Marktortprinzip regelt und erweitert den räumlichen Anwendungsbereich des europäischen Datenschutzrechts durch datenverarbeitende Stellen außerhalb der EU bei der Verarbeitung personenbezogener Daten, sofern das jeweilige Angebot auf den europäischen Markt („Marktort“) gerichtet ist (Schantz, NJW 2016, 1841, 1842).
Der Marktort ist der Ort, an dem die Interessen von Leistungsanbieter und Leistungsempfänger aufeinandertreffen, d. h., wenn EU-Bürgern (betroffene Personen) Waren oder Dienstleistungen angeboten werden (Art. 3 Abs. 2 lit. a DSGVO) oder deren Verhalten beobachtet wird (Art. 3 Abs. 2 lit. b DSGVO) und weder der Sitz noch eine Niederlassung des Anbieters sich in der EU befinden ( Kap. 1.9.4).
Nach dem Herkunftslandprinzip dagegen findet das Recht des Staates Anwendung, in dem das Unternehmen seinen Sitz hat.
1.8.6 „Privacy by Design“ und „Privacy by Default“
{Privacy by Design}
{Privacy by Default}
Die DSGVO schreibt Prinzipien wie „Privacy by Design“ (Art. 25 Abs. 1 DSGVO) und „Privacy by Default“ (Art. 25 Abs. 2 DSGVO) verbindlich vor. Diese gelten u. a. auch für Apps und Smart Home.
Das existierende Grundprinzip im Datenschutzrecht lautet: Personenbezogene Daten dürfen nicht verarbeitet werden – es sei denn, es liegt eine Einwilligung vor oder eine gesetzliche Vorschrift gestattet den Datenumgang. Einem Gerätehersteller ist es bspw. gesetzlich gestattet, jene personenbezogenen Daten des Kunden zu verarbeiten, die für die richtige Durchführung des Kaufvertrags oder aber für die Erbringung von Dienstleistungen notwendig sind.
Die geregelten Konzepte des Datenschutzes durch Technikgestaltung („Privacy by Design“) und datenschutzfreundliche Voreinstellungen („Privacy by Default“) sind nicht neu. Bereits in den 1990er-Jahren wurden sie von der Informationsfreiheits- und Datenschutzbeauftragten Ann Cavoukian (Ontario/Kanada) aufgegriffen, um das Risikopotenzial von Datenverarbeitungssystemen und -prozessen mittels proaktiver technischer Gestaltung zu vermindern.
Ein effektiver Datenschutz kann nicht nur durch eine reaktive Ex-post-Betrachtung eines Verarbeitungsvorgangs realisiert werden. Die Einhaltung der Anforderungen der DSGVO ist nur dann möglich, wenn technische Prozesse ex ante, also im Vorhinein, mit dem Datenschutz in Einklang gebracht werden.
Artikel 25 DSGVO ist eine reine Verfahrensvorschrift und keine Voraussetzung für die Rechtmäßigkeit einer Verarbeitung i. S. d. Artt. 5 ff. DSGVO (sog. Erlaubnistatbestand).
Privacy by Design {Privacy by Design} (Art. 25 Abs. 1 DSGVO)
„Privacy by Design“ bedeutet „Datenschutz durch Technikgestaltung“. Der Datenschutz ist am besten einzuhalten, wenn er bereits bei der Einführung eines Verarbeitungsvorgangs technisch integriert ist. Anders formuliert: Der Schutz personenbezogener Daten erfolgt durch das früh- und rechtzeitige Ergreifen technischer und organisatorischer Maßnahmen (TOM).
Diese sollten dafür ausgelegt sein, gesetzlich geforderte Datenschutzgrundsätze wirksam umzusetzen und die notwendigen Garantien in die Verarbeitung aufzunehmen, um
| a) | gesetzeskonform zu sein und |
| b) | die Rechte der betroffenen Person zu schützen. |
Privacy by Default {Privacy by Default} (Art. 25 Abs. 2 DSGVO)
„Privacy by Default“ bedeutet „Datenschutz durch datenschutzfreundliche Voreinstellungen“. Die Werkeinstellungen sind also „datenschutzfreundlich“ auszugestalten. Der Gedanke dahinter ist, dass die Nutzer und deren Privatsphäre entsprechend geschützt sind, sie aber nicht aktiv entsprechende Einstellungen selbst vornehmen müssen.
Der Verantwortliche hat dabei sicherzustellen, dass nur personenbezogene Daten verarbeitet werden, deren Verarbeitung für den jeweiligen Verarbeitungszweck erforderlich sind (Zweckbindung und Datenminimierung). Dies gilt ebenfalls für die Rahmenbedingungen der Verarbeitung wie Art, Umfang, Speicherfristen und Zugänglichkeit.
Absatz 2 bezieht sich hauptsächlich auf internetbasierte Dienste wie Online-Shops oder soziale Netzwerke, bei denen durch die standardmäßige Konfiguration von Privatsphäre-Einstellungen sicherzustellen ist, dass Nutzer ihre Daten nur dem Personenkreis und nur in dem Umfang zugänglich machen, die sie vorab festgelegt haben.
Hintergrund für diese Voreinstellung ist, das Horten von Daten in Form eines „Data Warehousing“ zu vermeiden. Eigentlich ergibt sich das bereits aus den beiden Grundsätzen der Zweckbindung und Datenminimierung.
Bei den Anforderungen aus Art. 25 DSGVO handelt es sich um extrem praxisrelevante Regelungen, die allerdings keine Standardantwort erlauben und ermöglichen. Insbesondere „Privacy by Design“ ist sehr früh zu berücksichtigen und entsprechende Auswirkungen auf das gesamte Datenverarbeitungssystem sind zu beachten. Der Verantwortliche hat sich also früh- und rechtzeitig mit den Anforderungen zu befassen.
1.8.7 Datenschutz-Folgenabschätzung
Der europäische Gesetzgeber hat die bisherige Vorabkontrolle (§ 4d Abs. 5 BDSG a. F.) nicht in die DSGVO übernommen. Sie wurde durch die Datenschutz-Folgenabschätzung (Art. 35 DSGVO; Kap. 4.6) abgelöst und ersetzt. Der Datenschutz-Folgenabschätzung (engl.: data protection impact assessment) kann sich eine verpflichtende Konsultation der zuständigen Aufsichtsbehörde anschließen (Art. 36 DSGVO).
Die Datenschutz-Folgenabschätzung (DSFA {DSFA (Datenschutz-Folgenabschätzung)}) ist ein Instrument, um das Risiko zu erkennen und zu bewerten, das für die betroffene Person (z. B. Kunde, Patient, Mitarbeiter) durch den Einsatz einer bestimmten Technologie oder eines Systems durch das Unternehmen entsteht.
Ziel einer DSFA ist es, Kriterien des operationalisierten Grundrechtsschutzes zu definieren, die Folgen von Datenverarbeitungspraktiken möglichst umfassend zu erfassen sowie objektiv und nachvollziehbar mit Blick auf die verschiedenen Rollen und die damit verbundenen Interessen so zu bewerten, dass typischen Angriffen durch Organisationen mit adäquaten Gegenmaßnahmen begegnet werden kann.
Jede Verarbeitung und jedes Verfahren personenbezogener Daten ist daher vor Beginn durch den Verantwortlichen dahin gehend zu prüfen, ob die Verarbeitung voraussichtlich ein hohes Risiko für die betroffenen Personen birgt. Für die Durchführung ist das Unternehmen verantwortlich, sprich die Stelle, die für die Verarbeitung verantwortlich ist. Der Rat des Datenschutzbeauftragten kann bei der Durchführung eingeholt werden (Art. 35 Abs. 2 DSGVO).
Die Durchführung einer DSFA gehört somit nicht zu den Aufgaben eines Datenschutzbeauftragten (DSB). Der DSB hat nach Erstellung und Zurverfügungstellung durch den Verantwortlichen die Dokumentation {Dokumentationspflichten} der DSFA zu prüfen, seiner Kontroll- und Überwachungsfunktion gem. Art. 39 DSGVO nachzukommen und das Ergebnis zu dokumentieren. Dies ist ggf. verbunden mit Empfehlungen von Abhilfemaßnahmen und Minimierung des Verarbeitungsrisikos für die betroffene Person.
Die DSFA ist vor Beginn einer Verarbeitung durchzuführen und regelmäßig zu überprüfen. Bei mehreren ähnlichen Verarbeitungsvorgängen mit ähnlich hohen Risiken reicht eine gemeinsame Abschätzung.
Erweiterte Dokumentationspflichten entstehen bei einem Datentransfer in ein Drittland. Hier sind die Risikoabschätzung und die ergriffenen Schutzmaßnahmen nach Art. 28 DSGVO zu dokumentieren (Art. 49 DSGVO) und zum Gegenstand des Verarbeitungsverzeichnisses (Art. 30 DSGVO) zu machen.
Weitere umfangreiche Dokumentationspflichten bestehen zwecks Erfüllung der Transparenzregelungen gegenüber den betroffenen Personen (Artt. 12–22, 34 DSGVO). Der Verantwortliche muss also jederzeit in der Lage sein, die Rechtmäßigkeit seiner Verarbeitungen nachzuweisen. Außerdem ist der Verantwortliche für die Einhaltung rechenschafts- und nachweispflichtig (accountability). Der Nachweis ist mittels entsprechender Dokumentationen zu führen.
Eine fehlende Dokumentation {Dokumentationspflichten} kann mit einem Bußgeld belegt werden. Die Nichtdurchführung einer DSFA und die dadurch fehlende Dokumentation einer Risikoabschätzung können mit bis zu 10 Mio. Euro bzw. 2 % des weltweiten Jahresumsatzes, je nachdem, was höher ist, sanktioniert werden. Eine besonders genaue Prüfung und Risikoabschätzung von Verarbeitungen ist somit erforderlich und wichtig.
{Sanktionen}
Ein Grund, warum die DSGVO so viel Aufmerksamkeit erlangt, sind die maßgeblichen Änderungen hinsichtlich der Bußgelder und Sanktionen. So können gem. Art. 83 Abs. 4 DSGVO bei Verstößen gegen
Art. 83 Abs. 4 lit. a–c DSGVO
| a) | die Pflichten der Verantwortlichen und der Auftragsverarbeiter gemäß den Artikeln 8, 11, 25 bis 39, 42 und 43; |
| b) | die Pflichten der Zertifizierungsstelle gemäß den Artikeln 42 und 43; |
| c) | die Pflichten der Überwachungsstelle gemäß Artikel 41 Absatz 4 |
Geldbußen von bis zu 10 Mio. Euro oder im Fall eines Unternehmens von bis zu 2 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt werden, je nachdem, welcher der Beträge höher ist. Gemäß Art. 83 Abs. 5 DSGVO können bei Verstößen gegen
Art. 83 Abs. 5 lit. a–e DSGVO
| a) | die Grundsätze für die Verarbeitung, einschließlich der Bedingungen für die Einwilligung, gemäß den Artikeln 5, 6, 7 und 9; |
| b) | die Rechte der betroffenen Person gemäß den Artikeln 12 bis 22; |
| c) | die Übermittlung personenbezogener Daten an einen Empfänger in einem Drittland oder an eine internationale Organisation gemäß den Artikeln 44 bis 49; |
| d) | alle Pflichten gemäß den Rechtsvorschriften der Mitgliedstaaten, die im Rahmen des Kapitels IX erlassen wurden; |
| e) | Nichtbefolgung einer Anweisung oder einer vorübergehenden oder endgültigen Beschränkung oder Aussetzung der Datenübermittlung durch die Aufsichtsbehörde gemäß Artikel 58 Absatz 2 oder Nichtgewährung des Zugangs unter Verstoß gegen Artikel 58 Absatz 1 |
sogar Geldbußen von bis zu 20 Mio. Euro oder im Fall eines Unternehmens von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt werden, je nachdem, welcher der Beträge höher ist.
Die auf den ersten Blick drakonischen Strafen relativieren sich: Artikel 83 Abs. 1 und 2 DSGVO normiert die Bedingungen für die Geldbußen im Einzelfall. Die Aufsichtsbehörden für Datenschutz haben die Geldbußen danach für jeden Einzelfall so festzusetzen, dass sie gem. Art. 83 Abs. 1 DSGVO „wirksam, verhältnismäßig und abschreckend“ sind.
Laut Art. 83 Abs. 2 DSGVO sind dabei zu berücksichtigen:
Art. 83 Abs. 2 lit. a–k DSGVO
| a) | Art, Schwere und Dauer des Verstoßes unter Berücksichtigung der Art, des Umfangs oder des Zwecks der betreffenden Verarbeitung sowie der Zahl der von der Verarbeitung betroffenen Personen und des Ausmaßes des von ihnen erlittenen Schadens; |
| b) | Vorsätzlichkeit oder Fahrlässigkeit des Verstoßes; |
| c) | jegliche von dem Verantwortlichen oder dem Auftragsverarbeiter getroffenen Maßnahmen zur Minderung des den betroffenen Personen entstandenen Schadens; |
| d) | Grad der Verantwortung des Verantwortlichen oder des Auftragsverarbeiters unter Berücksichtigung der von ihnen gemäß den Artikeln 25 und 32 getroffenen technischen und organisatorischen Maßnahmen; |
| e) | etwaige einschlägige frühere Verstöße des Verantwortlichen oder des Auftragsverarbeiters; |
| f) | Umfang der Zusammenarbeit mit der Aufsichtsbehörde, um dem Verstoß abzuhelfen und seine möglichen nachteiligen Auswirkungen zu mindern; |
| g) | Kategorien personenbezogener Daten, die von dem Verstoß betroffen sind; |
| h) | Art und Weise, wie der Verstoß der Aufsichtsbehörde bekannt wurde, insbesondere ob und gegebenenfalls in welchem Umfang der Verantwortliche oder der Auftragsverarbeiter den Verstoß mitgeteilt hat; |
| i) | Einhaltung der nach Artikel 58 Absatz 2 früher gegen den für den betreffenden Verantwortlichen oder Auftragsverarbeiter in Bezug auf denselben Gegenstand angeordneten Maßnahmen, falls solche Maßnahmen angeordnet wurden; |
| j) | Einhaltung von genehmigten Verhaltensregeln nach Artikel 40 oder genehmigten Zertifizierungsverfahren nach Artikel 42 und |
| k) | jegliche anderen erschwerenden oder mildernden Umstände im jeweiligen Fall, wie unmittelbar oder mittelbar durch den Verstoß erlangte finanzielle Vorteile oder vermiedene Verluste. |
Sicherlich sind die festgesetzten Rechtsbehelfe und Sanktionen eine Verschärfung und „abschreckend“. Andererseits bieten sie genügend Spielraum für die Rechtsprechung. Bevor Unternehmen Bußgelder zu befürchten haben, gibt es eine Reihe von Benachrichtigungen und Prüfungen. Geldbußen sind nur der letzte Schritt.
Es bleibt in den nächsten Jahren der Gültigkeit der DSGVO abzuwarten, wie die Datenschutzaufsichtsbehörden mit diesem erweiterten Bußgeldrahmen und ihren damit einhergehenden Befugnissen umgehen werden.
Neu
Die DSK veröffentlichte am 14.10.2019 ein „Konzept der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder zur Bußgeldzumessung in Verfahren gegen Unternehmen“[8]. Das Konzept ist nicht für grenzüberschreitende Fälle oder für andere Datenschutzaufsichtsbehörden der EU bindend. Ferner entfaltet es keine Bindung hinsichtlich der Festlegung von Geldbußen durch Gerichte.
Fußnoten:
Milkaite, Ingrida/Lievens, Eva: „Status quo regarding the child's article 8 GDPR age of consent for data processing across the EU“, auf: https://www.betterinternetforkids.eu/web/portal/practice/awareness/detail?articleId=3017751 (zuletzt aufgerufen am: 29.01.2020).
Vgl. https://www.datenschutz-bayern.de/verwaltung/OH_Recht_auf_Auskunft.pdf (zuletzt aufgerufen am: 29.01.2020).
Vgl. https://www.bfdi.bund.de/SharedDocs/Publikationen/DokumenteArt29Gruppe_EDSA/Guidelines/WP242_DataPortabilityDE.pdf (zuletzt aufgerufen am: 29.01.2020).
Vgl. Gola, Peter/Pötters, Stephan (u. a.): Handbuch Arbeitnehmerdatenschutz, Frechen: DATAKONTEXT 2016, Kap. 9 Ziff. 4.5.
Vgl. https://stiftungdatenschutz.org/fileadmin/Redaktion/Datenportabilitaet/kurzversion_studie_datenportabilitaet.pdf (zuletzt aufgerufen am: 20.01.2020).
Vgl. Kamann, Hans-Georg/Braun, Martin: Kapitel III, in: Ehmann, Eugen/Selmayr, Martin (Hg.): Datenschutz-Grundverordnung. Kommentar, München: C.H. Beck, 2. Aufl. 2018, Rn. 8.
Vgl. Verbraucherzentrale NRW e. V.: „Ihre Daten, Ihre Rechte: die Datenschutzgrundverordnung (DSGVO)“ (Stand: 10.12.2019), auf: https://www.verbraucherzentrale.nrw/wissen/digitale-welt/datenschutz/ihre-daten-ihre-rechte-die-datenschutzgrundverordnung-dsgvo-25152 (zuletzt aufgerufen am: 29.01.2020).
Vgl. https://www.datenschutzkonferenz-online.de/media/ah/20191016_bußgeldkonzept.pdf (zuletzt aufgerufen am: 29.01.2020).
