Controller-Controller-Vertrag

Controller-Controller-Vertrag Abschluss unter Einhaltung der DSGVO zwischen zwei Personen an einem Schreibtisch.

Ist ein Vertrag zwischen Verantwortlichen, die nicht gemeinsame Verantwortliche sind, notwendig? Werden zwischen Unternehmen personenbezogene Daten ausgetauscht oder nutzen zwei oder mehrere Unternehmen einen gemeinsamen Datenpool, das findet sich häufig in Konzernkonstellationen, regelt die DSGVO zwei Fallkonstellationen: Die Auftragsverarbeitung (Art. 28 DSGVO) und die gemeinsame Verantwortlichkeit (Art. 26 DSGVO). Ein Unternehmen ist dann Auftragsverarbeiter (Begriffsbestimmung … Weiterlesen

Outlook E-Mails verschlüsseln

Ein Geschäftsmann der auf einen virtuellen Breifumschlag zeigt um E-Mails zu symbolisieren. Installation von Gpg4win um Ihre Microsoft Outlook E-Mails zu verschlüsseln.

Immer wieder geht es beim Thema DSGVO und Datenschutz um das Problem, wie unsicher der Versand von E-Mail ist. Zumindest immer dann, wenn sensible personenbezogene Daten (sog. besondere Kategorien personenbezogener Daten gemäß Art. 9 DSGVO) oder eine große Anzahl personenbezogener Daten übermittelt werden sollen, sind dem risiko-basierten Ansatz der DSGVO folgend weitere Sicherheitsmaßnahmen erforderlich. Bei … Weiterlesen

Berliner Aufsichtsbehörde kämpft weiter gegen Deutsche Wohnen

Bußgeld gegen Deutsche Wohnen von Berliner Aufsichtsbehörde

Im Oktober 2019 hatte die Berliner Aufsichtsbehörde (BlnBDI) ein Bußgeld in Höhe von 14,5 Millionen EUR gegen die Deutsche Wohnen SE erlassen. Sie warf der Deutschen Wohnen vor, ein Archivsystem für Mieterdaten nicht DSGVO-konform geführt zu haben. Die Gesellschaft, die mit einem Bestand von rund 165.700 Einheiten zu den größten Vermietern der Hauptstadt zählt, habe darin … Weiterlesen

Datenschutz und Brexit – Besteht Handlungsbedarf?

Datenschutz im Brexit. Ein Mann im Anzug hält einen Gegenstand nach vorne auf dem die UK- und EU-Flaggen abgebildet sind.

Die Übergangsregelung für das Datenschutzrecht bezüglich des Brexits verschafft erneut Zeit für alle betroffenen Unternehmen, um sich für einen etwaigen Datenverkehr ins Vereinigte Königreich abzusichern. Es ist dabei nicht ratsam, dass sich betroffene Unternehmen auf den fristgerechten Abschluss eines Angemessenheitsbeschlusses der EU-Kommission verlassen. Unternehmen sollten sich vielmehr auf die Situation vorbereiten, dass das Vereinigte Königreich zumindest vorübergehend zu einem Drittland wird.

Homeoffice und Datenschutz – Was ist zu beachten?

Mann im Homeoffice am Laptop auf dem Sofa mit Datenschutz beschäftigt.

Homeoffice und mobiles Arbeiten manifestieren sich als Arbeitsform in Unternehmen. Der Lockdown und die seit dem 27.01.2021 geltende SARS-CoV-2-Arbeitsschutzverordnung (Corona-ArbSchV) befördern das. Unternehmen müssen neben den organisatorischen und arbeitsrechtlichen Voraussetzungen auch die Datenschutzaspekte beachten und umsetzen. Schwerpunkt ist der technische Datenschutz.

“EU-US Privacy Shield” – EuGH kippt Datendeal

Flagge der USA und Videokamera

Der EuGH hat die Vereinbarung zwischen der EU und den USA über den Transfer personenbezogener Daten, das sogenannte “Privacy Shield”, für ungültig erklärt. In seinem Urteil stellt der EuGH fest, dass die Zugriffsmöglichkeiten der US-Behörden und insbesondere das Fehlen geeigneter Garantien, durchsetzbarer Rechte und wirksamer Rechtsbehelfe den Anforderungen an den Datenschutz der EU widersprechen. Eine weitere Möglichkeit den Transfer von personenbezogenen Daten in die USA zu rechtfertigen, die sog. Standardvertragsklauseln, hat das Gericht jedoch grundsätzlich bestätigt. Im Ergebnis helfen die Standardvertragsklauseln den Unternehmen jedoch in den meisten Fällen nicht weiter, denn der EuGH hat Einschränkungen formuliert. Es ist laut EuGH zu prüfen, ob im Zielland ein Schutzniveau gewährleistet ist, das im Wesentlichen dem in der EU garantierten Schutzniveau entspricht. Dies ist für die USA mit den bereits gegen das Privacy Shield angeführten Argumenten als problematisch zu bewerten. Über die Frage, wie dieses Problem zu lösen ist, ist eine Debatte entbrannt.

BGH Urteil zu Cookies – Verschärfte Anforderungen an die Einwilligung

BGH Urteil zu Cookies und Einwilligung

Der BGH hat entschieden, dass Cookies nur mit expliziter Einwilligung des Webseitenbesuchers gesetzt werden dürfen. Entsprechende Cookie-Banner sind damit nun unumgänglich. Vorausgewählte Checkboxen für eine Einwilligung sind nicht zulässig.

Meldefrist bei Datenschutz-Verletzung: (keine) Probleme bei der Berechnung?

Ein Kalender mit Fragezeichen zur Symbolisierung der Meldefrist bei Datenschutz-Verletzung

Nach Artikel 33 Abs. 1 der Datenschutzgrundverordnung (DSGVO) hat der Verantwortliche eine Verletzung des Schutzes personenbezogener Daten unverzüglich und möglichst binnen 72 Stunden, bei der zuständigen Aufsichtsbehörde nach deren Bekanntwerden zu melden. Aber wie wird die Meldefrist bei Datenschutz-Verletzung berechnet? 1. Anwendbare Normen Zunächst ist festzustellen, dass die aus dem deutschen Recht bekannten Normen zur … Weiterlesen

M&A Transaktionen und Datenschutz

Gestikulation während einer sozialen Interaktion

Integraler Bestandteil jeder Unternehmenstransaktion (M&A Transaktionen) ist die sorgfältige Prüfung des zu erwerbenden Unternehmens im Hinblick auf seine wirtschaftliche, rechtliche, steuerliche und finanzielle Situation. Im Allgemeinen haben potenzielle Erwerber ein erhebliches Interesse daran, das Zielunternehmen mit all seinen Informationen möglichst umfassend zu analysieren. Beziehen sich die übermittelten Informationen auf Lieferanten, Kunden oder die Beschäftigten der … Weiterlesen

Cookies & Einwilligung – Höchstrichterliche Stellungnahme des EUGH

BGH Urteil zu Cookies und Einwilligung

Am 1. Oktober 2019 hat der Europäische Gerichtshof (EuGH) in einem sog. Vorabentscheidungsverfahren (Az.: C-673/17) hinsichtlich des Setzens von Cookies entschieden, dass eine aktive Einwilligung des Internetnutzers erforderlich ist. Ein voreingestelltes Ankreuzkästchen, das der Nutzer zur Verweigerung seiner Einwilligung abwählen muss, genüge diesen Anforderungen nicht. Das Betätigen einer Schaltfläche für die Teilnahme am Gewinnspiel stelle … Weiterlesen

Anpassung des § 38 BDSG durch das zweite Datenschutzanpassungsgesetz

Bestellung eines Datenschutzbeauftragten

Was bringt die Absenkung der Anforderungen an die Bestellung eines Datenschutzbeauftragten? Nachdem nun der Bundesrat dem zweiten Datenschutzanpassungsgesetz (Zweites Datenschutz-Anpassungs- und Umsetzungsgesetz EU –  2. DSAnpUG-EU) zugestimmt hat, ist die von Wirtschaft, Verbänden und Vereinen geforderte Absenkung der Anforderungen an die Bestellungen eines Datenschutzbeauftragten (DSB) in greifbare Nähe gerückt. Sobald das Gesetz in Kraft tritt, … Weiterlesen

Zulässigkeit von Videoüberwachung zu privaten Zwecken – obiter dictum schafft Klarheit für die Praxis

Videoueberwachung

Das BVerwG hat mit seinem Urteil vom 27.03.2019 klargestellt, dass sich die Zulässigkeit von Videoüberwachungen zu privaten Zwecken direkt nach Art. 6 Abs. 1 Unterabs. 1 Buchstabe f DSGVO richte. Die Öffnungsklauseln des Art. 6 Abs. 2 und 3 DSGVO für eine Verarbeitung von Daten nach Art. 6 Abs. 1 Unterabs. 1 Buchst. e DSGVO … Weiterlesen

Schonfrist abgelaufen (Update)

Schonfrist abgelaufen

Die französische Datenschutzbehörde hat gegen Google aufgrund von Verstößen gegen die Datenschutzgrundverordnung (DSGVO) ein Bußgeld in Höhe von 50 Millionen Euro verhängt. Die britische Datenschutzbehörde Information Commissioner’s Office (ICO) hat angekündigt gegen die Hotelkette Marriott ein Bußgeld von 99,2 Millionen britischen Pfund, umgerechnet rund 110 Millionen Euro, zu verhängen. Gegen die Fluggesellschaft British Airways hat die … Weiterlesen

Consent Management Database: Verwaltung von Einwilligungserklärungen

Consent_Management_Mip_Consult_GmbH

Auch mit der Datenschutz-Grundverordnung (DSGVO) bleibt es beim bisher in Deutschland bestehenden grundlegenden Prinzip des Datenschutzrechts: Grundsätzlich ist jede Verarbeitung personenbezogener Daten verboten; nur wenn es im Gesetz eine Rechtsgrundlage für die Verarbeitung personenbezogener Daten gibt, dürfen diese Daten verarbeitet werden. Neben den unter anderem in Art. 6 DSGVO Abs. 1 b bis f geregelten … Weiterlesen

DSGVO: Datenschutz-Folgenabschätzung

Datenschutz-Folgenabschätzung

Unternehmen sollten sich im Zuge der Vorbereitung auf die Datenschutzgrundverordnung (DSGVO) rechtzeitig mit der Datenschutz-Folgenabschätzung vertraut machen. Diese ist immer dann durchzuführen, wenn eine Verarbeitung personenbezogener Daten ein voraussichtlich hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat (Art. 35 Abs. 1 DSGVO). Im Rahmen der Datenschutz-Folgenabschätzung sind Unternehmen gehalten, vor Einführung eines Datenverarbeitungsverfahrens eine Risikoeinschätzung vorzunehmen und zu dokumentieren 1). Es handelt sich insofern um eine Pflicht zur vorherigen Analyse der Folgen, welche die Verarbeitung für den Schutz personenbezogener Daten mit sich bringt. Völlig unbekannt ist die Vornahme einer solchen Prüfung nicht, denn mit der Vorabkontrolle in § 4 d Abs. 5 BDSG waren Unternehmen auch bisher schon verpflichtet, bestimmte Verfahren speziellen Prüfungen zu unterziehen. Dieser Artikel gibt einen Überblick über die Datenschutz-Folgenabschätzung.

Wozu ist die Datenschutz-Folgenabschätzung notwendig?

Die Datenschutz-Folgenabschätzung ist eine Ausprägung des datenschutzrechtlichen Grundsatzes Privacy by Design 2). Dieser hält dazu an, durch datenschutzfreundliche Technikgestaltung und Voreinstellung, zur Verringerung des Gefahrenpotenzials beizutragen. Im Kern geht es um die Wahrung des informationellen Selbstbestimmungsrechts der betroffenen Personen. Damit knüpft die Datenschutz-Folgenabschätzung (genau wie bisher die Vorabkontrolle) bereits vor Implementierung eines Verfahrens an, um Risiken bei der Verarbeitung personenbezogener Daten einzuschätzen und letztlich durch organisatorische Vorkehrungen einzudämmen.

Die Datenschutz-Folgenabschätzung ist als Instrument zur Risikoerkennung und -bewertung zu verstehen. Ihr Ziel ist es, das persönlichkeitsgefährdende Potenzial eines Verfahrens zu erkennen, welches dem Individuum in seinen unterschiedlichen Rollen (als Bürger, Mitarbeiter eines Unternehmens, Kunde etc.) durch den Einsatz einer bestimmten Technologie oder eines Systems droht 3). Die Abschätzung dient als Basis für sinnvolle Gegenmaßnahmen.

Wann kommt die Datenschutz-Folgenabschätzung zum Einsatz?

Eine Folgenabschätzung ist immer dann durchzuführen, wenn das geplante Verfahren auf die Verarbeitung personenbezogener Daten abzielt und dies ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat.4)

Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Als identifizierbar wird dabei eine Person angesehen, die anhand direkter oder indirekter Merkmale bestimmt werden kann, also insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten oder zu einer Online-Kennung.5) Der Begriff der personenbezogenen Daten wird dabei im Sinne eines effektiven Schutzes von Betroffenen sehr weit ausgelegt, d.h. ein Personenbezug ist immer schon dann anzunehmen, wenn ein solcher nicht auszuschließen ist. Beispiele für personenbezogene Daten sind Name, Anschrift, Familienstand, Geburtsdatum, Staatsangehörigkeit, Beruf und Ausbildungsstand.

Ferner muss ein hohes Risiko vorliegen. Ein Risiko ist jedenfalls dann als hoch einzustufen, wenn eine Prognose ergibt, dass mit hoher Wahrscheinlichkeit ein Schaden für die Rechte und Freiheiten natürlicher Personen droht. Droht ein hoher Schaden, genügt eine geringe Eintrittswahrscheinlichkeit. Bei hoher Wahrscheinlichkeit genügt bereits ein geringer zu erwartender Schaden.6)

Beispielhaft werden in der DSGVO u.a. folgende Fälle genannt, bei denen eine Folgenabschätzung grundsätzlich zu erfolgen hat:

  • Verarbeitung besonderer Kategorien personenbezogener Daten; diese Daten werden umgangssprachlich auch sensible oder sensitive Daten bezeichnet und umfassen nach Art. 9 Abs. 1 DSGVO:
    • Rassische oder ethnische Herkunft
    • Politische Meinung
    • Religiöse und weltanschauliche Überzeugung
    • Gewerkschaftszugehörigkeit
    • Genetische Daten
    • Biometrische Daten
    • Gesundheitsdaten
    • Sexualleben sowie sexuelle Orientierung
  • Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten
  • Systematische und weiträumigen Überwachungen öffentlich zugänglicher Bereiche (z.B. durch Videokameras)
  • Automatisierte Verarbeitungen und Profilbildungsmaßnahmen mit rechtlichen oder ähnlich intensiven Folgen für die betroffenen Personen (z.B. Scoring, Online Kreditanträge oder Online-Einstellungsverfahren)

Die Aufsichtsbehörden werden eine Liste der Verarbeitungsvorgänge erstellen und veröffentlichen, für die eine Folgenabschätzung unerlässlich ist (black list). Ebenso können diese auch Listen erstellen, bei denen festgelegt wird, dass keine Folgenabschätzung gemacht werden muss (white list).

Hinweis: Wurden für die bereits laufenden Verarbeitungsverfahren bisher keine Prüfungen auf etwaige notwendige Folgenabschätzungen durchgeführt, sollte dies nachgeholt werden, um das Risiko etwaiger Persönlichkeitsrechtsverletzungen zu vermeiden.

Wie wird eine Datenschutz-Folgenabschätzung durchgeführt?

In Art. 35 Abs. 7 DSGVO ist der Mindestinhalt einer Datenschutz-Folgenabschätzung geregelt. Zusammengefasst beinhaltet eine Folgenabschätzung folgende schriftlich zu dokumentierende Schritte:

  1. Beschreibung des vorgesehenen Verarbeitungsverfahrens und der Zwecke der Verarbeitung, Art. 35 Abs. 7 lit. a DSGVO
  2. Ggf. Einholung des Standpunkts der betroffenen Personen (konkret betroffenen Personen bzw. aber auch Gruppen wie Verbraucherverbände), Art. 35 Abs. 9 DSGVO
  3. Bewertung, Art. 35 Abs. 7 lit. b und c DSGVO
    • Verarbeitungsverfahren notwendig?
    • Verhältnismäßigkeitsprüfung bezüglich Verarbeitungszwecks
    • Bewertung der Risiken hinsichtlich der Rechte und Freiheiten der betroffenen Personen
  4. Ausarbeitung von Abhilfemaßnahmen zum Schutz der Daten, Art. 35 Abs. 7 lit. d DSGVO

In der Folge ist eine Überprüfung und Überwachung der Vorgaben auch der Folgenabschätzung, auch im Hinblick auf eventuelle Änderungen, erforderlich.

Im Gegensatz zur Vorabkontrolle, für die bisher die Zuständigkeit explizit beim Datenschutzbeauftragten lag, obliegt die Durchführung der Folgenabschätzung nach Art. 35 Abs. 2 DSGVO dem Verantwortlichen, also dem jeweiligen Unternehmen. Allerdings ist der Rat des Datenschutzbeauftragte einzuholen.

Benachrichtigung der Aufsichtsbehörde

Verbleiben bei dem geplanten Verfahren trotz Maßnahmen zur Eindämmung der Risiken potenzielle Gefahren für Betroffenem, so hat das Unternehmen nach Art 36 Abs. 1 DSGVO die Pflicht, die Aufsichtsbehörde vor Beginn einer solchen Datenverarbeitung zu benachrichtigen. Kommt der Unternehmer dieser Pflicht nicht nach, kann die Aufsichtsbehörde ein Bußgeld von bis zu 10 Millionen Euro oder bis zu 2% des weltweit erzielten Jahresumsatzes verhängen; je nachdem, welcher der Beträge höher ist.7) Nach Konsultation der Aufsichtsbehörde sind diese angehalten, auf das Ersuchen innerhalb von acht Wochen zu antworten.

Folgen der Nichtdurchführung

Wird eine erforderliche Datenschutz-Folgenabschätzung erst gar nicht durchgeführt, kann dies eine Geldbuße von bis zu 10 Millionen Euro oder bis zu 2% des weltweit erzielten Gesamtjahresumsatzes zur Folge haben. Auch hier gilt, genau wie bei Verletzung der Konsultationspflicht, dass jeweils der höhere der beiden Beträge angesetzt wird.8)

Fazit

Mit Inkrafttreten der DSGVO wird das bestehende Prüfungsverfahren der Vorabkontrolle durch die Datenschutz-Folgenabschätzung abgelöst. Grundsätzlich sind beide Instrumente ähnlich. Allerdings weist die Datenschutz-Folgenabschätzung gegenüber ihrem Vorgänger unter anderem einen erweiterten Anwendungsbereich auf und erfasst sämtliche Verarbeitungen (nicht nur automatisierte Verarbeitungen). Ferner wird die grundsätzliche Zuständigkeit der Durchführung auf das Unternehmen verlagert. Allerdings bleibt die Einbeziehung eines Datenschutzbeauftragten als Ansprechpartner weiterhin unausweichlich, Art 35 Abs. 2 DSGVO.

Nach der Konzeption der DSGVO versteht sich die Datenschutz-Folgenabschätzung nicht nur als Last für Unternehmen. Sie eröffnet auch die Chance, ungewollte Datenschutzrisiken frühzeitig zu erkennen, aufsichtsbehördliches Verhalten zu antizipieren und spätere Anpassungsnotwendigkeiten durch „Privacy by Design“-Maßnahmen zu vermeiden – und dadurch im Idealfall Ressourcen zu sparen.9)

Sollten Sie Unterstützung im Bereich der Erfüllung datenschutz-rechtlicher Anforderungen benötigen, können wir Ihnen als zertifizierte Datenschutzbeauftragte gerne helfen. Nehmen Sie dazu Kontakt zu uns auf.

Der richtige Weg zum Beratungsgespräch