EU-Datenschutz-Grundverordnung

Die Grundprinzipien des Datenschutzes bleiben im Wesentlichen unverändert: Verbot mit Erlaubnisvorbehalt, Zweckbindung, Erforderlichkeit und Datenvermeidung/-sparsamkeit. Auch ist die Funktion des Datenschutzbeauftragten enthalten, wobei Deutschland im Rahmen einer nationalen Öffnungsklausel im BDSG weiter präzisiert hat. Gegenüber der bisherigen Praxis werden aber dennoch verschiedene Änderungen auf Sie zukommen, so dass die interne Organisation entsprechend geprüft werden muss:

• Änderungen bei der Rechtsauffassung/-auslegung im Hinblick auf die Erlaubnistatbestände
• ggf. Vereinfachungen für Konzerne beim Datenaustausch
• höhere dokumentatorische und Prüfungsanforderungen beispielsweise bei den Datensicherheitsmaßnahmen sowie Notwendigkeit eines kontinuierlichen Verbesserungsprozesses
• höhere Vorabkontroll-Pflichten („Datenschutz-Folgeabschätzung“ unter Einbeziehung der Aufsichtsbehörden)
• Garantien im Rahmen der Auftragsdatenverarbeitung sowie stärkere Eigenverantwortung durch den Auftragnehmer

Auch weiterhin bleibt das „Verbot mit Erlaubnisvorbehalt“ als zentraler Grundsatz des Datenschutzes erhalten, so dass jede Datenverarbeitung einer gesetzlichen Erlaubnis oder Einwilligung des Betroffenen bedarf. In Artikel 6 DSGVO werden diese Erlaubnisnormen wie folgt aufgezählt:

• Einwilligung des Betroffenen
• Erfüllung eines Vertrags zwischen verantwortlicher Stelle und Betroffenen,
• Erfüllung einer rechtlichen Verpflichtung,
• Schutz lebenswichtiger Interessen des Betroffenen,
• Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt,
• Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen.

Im Hinblick auf besondere Kategorien personenbezogener Daten werden zusätzliche Anforderungen gestellt (siehe weiter unten). Auch bei der Verarbeitung von Daten von Kindern sind besondere Regelungen geschaffen worden.

Der Grundsatz der Direkterhebung ist keine explizite Forderung mehr in der DSGVO. Hiervon kann künftig abgewichen werden, wenn die Informationspflichten des Art. 14 DSGVO beachtet werden.

Neu ist die Aufnahme des Auffangtatbestandes von Treu und Glauben. Dies ist aus dem Zivilrecht bereits bekannt (vgl. § 242 BGB). Hierunter werden eine Vielzahl von Fallgruppen gefasst (z. B. Rechtsmissbrauch, widersprüchliches Verhalten), so dass dieser Grundsatz zukünftig insbesondere deswegen von Relevanz für Gerichte oder Aufsichtsbehörden sein wird, weil in der Grundverordnung z. T. recht allgemeine Vorgaben gemacht werden.

Auch wenn die inhaltliche Gestaltung in der Datenschutz-Grundverordnung etwas anders gestaltet ist, so bleibt auch die Zweckbindung weiterhin erhalten. Eine „Zweckerweiterung“ ist aber nach einer Interessenabwägung grundsätzlich möglich.

Analoges gilt für die Datensparsamkeit, so dass „personenbezogene Daten […] dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein [müssen] (“Datenminimierung”)”. Eine „Anonymisierung“ kennt die Grundverordnung aber – zumindest in den Begriffsbestimmungen – nicht mehr.

Es gibt bestimmte Datenkategorien gegenüber „normalen“ personenbezogenen Daten, die besonders geschützt sind. Hierzu zählen auch

• rassische oder ethnische Herkunft,
• politische Meinungen,
• religiöse oder weltanschauliche Überzeugungen,
• Gewerkschaftszugehörigkeit,
• Gesundheitsdaten,
• Sexualleben.

Hinzugekommen sind genetische und biometrische Daten sowie Daten zur sexuellen Orientierung. Stärker als bisher gilt bei diesen „besonderen Kategorien personenbezogener Daten“ das Verbot mit Erlaubnisvorbehalt, so dass in der Regel eine Verarbeitung dieser Daten untersagt ist. Grundsätzlich sind nachfolgende Zulässigkeitsvoraussetzungen vorgesehen:

• Einwilligung
• Zwecke der Gesundheitsvorsorge, Arbeitsmedizin etc.
• im öffentlichen Interesse liegende Wissenschaft und Archivzwecke
• zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen
• Öffnungsklausel für genetische, biometrische oder gesundheitliche Daten
• Schutz lebenswichtiger Interessen
• Daten sind offenkundig durch den Betroffenen öffentlich gemacht

Neu ist eine spezielle Regelung hinsichtlich der Datenverarbeitung von Straftaten oder strafrechtlichen Verurteilungen. So darf eine Datenverarbeitung grundsätzlich nur unter behördlicher Aufsicht oder aufgrund einer expliziten Rechtsvorschrift stattfinden. Demnach dürfen Arbeitgeber nur dann Führungszeugnisse einholen, sofern eine ausdrückliche gesetzliche Grundlage besteht (z. B. bei Aufgaben in der Kinder- und Jugendhilfe).

Ziel der Grundverordnung ist es auch, die Rechte der Betroffenen zu stärken. Hierbei wurden die Rechte der Betroffenen gegenüber dem BDSG ausgebaut.

Die Datenschutz-Grundverordnung sieht teilweise erheblich über die bisherigen Pflichten des BDSG zur Benachrichtigung und Unterrichtung hinausgehende Informationspflichten vor. So müssen beispielsweise künftig neben der Identität der verantwortlichen Stelle auch Kontaktdaten des Verantwortlichen und des Datenschutzbeauftragten angegeben werden. Auch die zugrunde liegende Rechtsgrundlage und die Kategorien von Empfängern müssen mitgeteilt werden. Ebenfalls neu ist beispielsweise die Information zur Übermittlung an ein Drittland, über die Speicherfristen, zu den Betroffenenrechten, über Widerspruchsrechte bei Einwilligungen sowie über Beschwerderechte. Werden Daten nicht beim Betroffenen selbst erhoben, kommen weitere Informationspflichten hinzu.

Ähnlich wie im BDSG kann diese Information unterbleiben, wenn der Betroffene bereits Kenntnis über die besagten Informationen hat. Neu sind aber Vorgaben zu Fristen und zur Form der Information.

Die Rechte auf Auskunft, Löschung („Recht auf Vergessen“), Sperrung („Einschränkung“), Berichtigung oder Widerspruch sind sehr ähnlich im Vergleich zu den aktuellen Regelungen. Neu ist das sog. „Recht auf Datenübertragbarkeit“. Betroffene haben das Recht, „die sie betreffenden personenbezogenen Daten, die sie einem für die Verarbeitung Verantwortlichen bereitgestellt haben, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten“ und „diese Daten einem anderen für die Verarbeitung Verantwortlichen ohne Behinderung durch den für die Verarbeitung Verantwortlichen, dem die Daten bereitgestellt wurden, zu übermitteln.“ Relevanz kann dies beispielsweise beim Wechsel von Internetdiensten haben, wie beispielsweise sozialen Netzwerken, von Providern (Mail, Telekom etc.) oder von Versorgern (Strom, Gas usw.).

Umfassend neu sind die sog. Informationspflichten gemäß Artikel 13 und 14 DSGVO: Werden personenbezogene Daten bei der betroffenen Person erhoben, so sind der betroffenen Person umfassende Informationen zum Zeitpunkt der Datenerhebung mitzuteilen. So sind bspw. Informationen zu den Zwecken, der Rechtsgrundlage, der Datenweitergabe oder den Speicherfristen zu geben. Werden personenbezogene Daten nicht direkt bei der betroffenen Person erhoben, so sind der betroffenen Person über die Informationen zusätzlich noch weitere Informationen innerhalb einer angemessenen Frist nach Erlangung der personenbezogenen Daten, längstens jedoch innerhalb eines Monats, mitzuteilen. Die UIMC hat dies übrigens u. a. in der Datenschutzerklärung umgesetzt.

Die Grundverordnung sieht die Funktion des Datenschutzbeauftragten als obligatorisch an, wenn

• es sich um eine Behörde oder öffentliche Stelle handelt oder
• die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der Durchführung von Verarbeitungsvorgängen besteht,
• die eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen oder
• besondere Kategorien von Daten oder Daten über strafrechtliche Verurteilungen und Straftaten enthalten.

Des Weiteren gibt es eine sog. „Öffnungsklausel“, nach der die Nationalstaaten abweichende Regelungen treffen können. In Deutschland bleibt die bestehende Situation, so dass die Bestellung eines Datenschutzbeauftragten ab 20 Mitarbeitern in der personenbezogenen Datenverarbeitung erforderlich ist [siehe auch Datenschutzbeauftragung].

In der DSGVO wird das Führen eines Verzeichnisses aller Verarbeitungstätigkeiten vorgeschrieben. Inhaltlich ähnelt dies der bekannten Verfahrensübersicht in Deutschland oder Meldung des Datenverarbeitungsregisters (DVR) in Österreich. Ein Jedermann-Verzeichnis ist aber nicht mehr zu führen; vielmehr muss das Verzeichnis der Aufsichtsbehörden auf Antrag zur Verfügung gestellt werden [siehe auch UIMCvv].

Die neue Datenschutz-Folgenabschätzung ähnelt der Vorabkontrolle, doch gibt es kaum Ausnahmenregelungen mehr, so dass diese öfter durchzuführen ist. Hierbei ist bei der Durchführung der Rat des Datenschutzbeauftragten einzuholen. Diese ist zu dokumentieren, was auch gilt, wenn eine Datenschutz-Folgenabschätzung nicht erforderlich erscheint. Die Aufsichtsbehörden haben zum Teil eine Liste jener Verarbeitungsvorgänge erstellt und veröffentlicht, für die eine Datenschutz-Folgenabschätzung durchzuführen ist. Auch gibt es nun inhaltliche Vorgaben an die Dokumentation.

Wenn das Ergebnis der Datenschutz-Folgenabschätzung ist, dass bei der Datenverarbeitung ein hohes Risiko für die Betroffenen besteht, dann ist vor Beginn der Verarbeitung die Aufsichtsbehörde zu konsultieren. Dies gilt aber nur dann, wenn der Verantwortliche keine Maßnahmen zur Eindämmung des Risikos getroffen hat. Nach dem Wortlaut der Grundverordnung kann das Unternehmen der Konsultationspflicht dadurch entgehen, wenn ausreichende Maßnahmen zum Schutz der Betroffenen ergriffen wurden [mehr unter Datenschutz-Folgenabschätzung].

Eine Forderung nach Schulungen ist in Artikel 39 DSGVO erkennbar, nach dem es Aufgabe des Datenschutzbeauftragten ist, eine Unterrichtung und Beratung der Beschäftigten, die Verarbeitungen durchführen, hinsichtlich ihrer Pflichten sowie nach sonstigen Datenschutzvorschriften vorzunehmen. Für eine pragmatische Umsetzung des Datenschutzes ist eine regelmäßige Schulung und Sensibilisierung ohnehin empfehlenswert. Hierzu haben wir verschiedene Kurse im eCollege etabliert. Nähere Informationen hierzu finden Sie in der Rubrik "Schulungen".

Der für die Verarbeitung Verantwortliche ist für die Einhaltung der wesentlichen datenschutzrechtlichen Vorschriften verantwortlich. Der Dienstleister („Auftragsverarbeiter“) ist sorgfältig auszuwählen, wobei der Fokus auf die getroffenen technischen und organisatorischen Schutzmaßnahmen und die Gewährleistung der Rechte der betroffenen Personen zu legen ist. Des Weiteren bleibt die Weisungsgebundenheit des Auftragsverarbeiters erhalten. Für die Begründung eines Auftragsverarbeitungsverhältnisses ist ein Vertrag notwendig. Dieser Vertrag ist nicht zwingend schriftlich abzuschließen; dies bleibt jedoch  empfehlenswert. Zulässig ist aber eine Vereinbarung in einem elektronischen Format (Textform ist demnach ausreichend). Die Kommission kann hierzu „Standardvertragsklauseln“ erarbeiten.

Die Haftung des Auftragsverarbeiters gegenüber den betroffenen Personen und den Aufsichtsbehörden ist in der Datenschutz-Grundverordnung verschärft worden. Anders als aktuell haften Auftraggeber und Auftragsverarbeiter gemeinsam für Datenschutzverstöße gegenüber den betroffenen Personen. Eine Haftung scheidet nur aus, wenn einer der Vertragsparteien nachweisen kann, dass er für den eingetretenen Schaden nicht verantwortlich ist. Neu ist, dass der Auftragsverarbeiter als für die Verarbeitung Verantwortlicher gilt, sofern er Daten entgegen den erteilten Weisungen verarbeitet.

Aber auch in anderen Punkten nimmt die Datenschutz-Grundverordnung den Auftragsverarbeiter stärker in die Verantwortung. Künftig muss auch der Auftragsverarbeiter ein Verzeichnis von Verarbeitungstätigkeiten (vgl. Verfahrensübersicht) führen, welche er für den Verantwortlichen durchführt. Auch ist er per Grundverordnung verpflichtet, den Auftraggeber unverzüglich zu informieren, wenn er Kenntnis von einer Datenpanne bekommt, und hat einen Datenschutzbeauftragten zu bestellen.

Wesentlicher Unterschied zur Auftragsdatenverarbeitung ist, dass die an der Verarbeitung Beteiligten grundsätzlich gleichberechtigt sind (keine Weisungsgebundenheit des Auftragsverarbeiters). Es sind Mittel und Zwecke der Verarbeitung gemeinsam festzulegen. Art. 26 DS-GVO enthält konkrete Vorgaben für die Datenverarbeitung im sog. Joint Control. In einer Vereinbarung sind die datenschutzrechtlichen Aufgaben festzulegen, wie z. B. Informationspflichten und andere Betroffenenrechte.

Die wesentlichen Inhalte sind den betroffenen Personen transparent zu machen. Innerhalb von Unternehmensgruppen und Konzernen kann dies den Austausch personenbezogener Daten zwischen selbstständigen rechtlichen Einheiten vereinfachen. Die in diesem Zusammenhang stattfindenden Datenübermittlungen müssen sich aber im vorgegebenen Rahmen der DSGVO bewegen (insbesondere hinsichtlich einer Rechtsgrundlage).

Auch künftig wird es grundsätzlich kein Konzernprivileg geben, wie es zunächst in der Grundverordnung geplant war. So findet sich in der finalen Fassung der DSGVO keine Privilegierung, sondern nur in den Erwägungsgründen:

“Verantwortliche, die Teil einer Unternehmensgruppe oder einer Gruppe von Einrichtungen sind, die einer zentralen Stelle zugeordnet sind können ein berechtigtes Interesse haben, personenbezogene Daten innerhalb der Unternehmensgruppe für interne Verwaltungszwecke, einschließlich der Verarbeitung personenbezogener Daten von Kunden und Beschäftigten, zu übermitteln. Die Grundprinzipien für die Übermittlung personenbezogener Daten innerhalb von Unternehmensgruppen an ein Unternehmen in einem Drittland bleiben unberührt.” [Erwägungsgrund 48]

Die Erwägungsgründe gehören aber formal nicht zum Gesetzestext, sondern dienen nur als Auslegungshilfe (vgl. Gesetzesbegründung). Doch auch wenn es keine Privilegierung gibt, kann aufgrund der Erwägungsgründe eine Argumentation zum vereinfachten konzerninternen Datentransfer aufgebaut werden. So müssen Aufsichtsbehörden (oder auch Gerichte) selbst triftige Gründe anführen, ein berechtigtes Interesse im Konzern zurückzuweisen. Hierfür ist es aber zwingend erforderlich, dass Konzerne wirksame Maßnahmen zur Gewährleistung eines einheitlichen Datenschutzniveaus ergreifen. Ratsam ist eine analoge Vorgehensweise wie aktuell, indem der Arbeitsbericht der ad-hoc-Arbeitsgruppe „Konzerninterner Datentransfer“ des „Düsseldorfer Kreises“ umgesetzt wird.

Die Anforderungen an eine Dokumentation und Meldung von Datenpannen wurden erweitert. Zum einen ist künftig eine Meldung nicht nur bei „besonders sensiblen“ Daten erforderlich. Des Weiteren sind nicht nur Datenpannen betroffen, die eine „unrechtmäßige Kenntnisnahme von Daten durch einen Dritten“ zur Folge haben, sondern auch interne Datenpannen. Aber nicht alle Datenpannen sind zu melden; vielmehr ist auch weiterhin eine Abwägung erforderlich, ob besondere Risiken bestehen. Zum anderen sind künftig alle Datenschutzverletzungen zu dokumentieren; demnach auch jene, die keine Meldung an die Aufsichtsbehörde erfordern.

Kernaufgabe der Aufsichtsbehörden ist unter der DSGVO die Überwachung und Durchsetzung der Vorschriften zum Schutz personenbezogener Daten sein. Die Aufgaben der Aufsichtsbehörden wurden aber auch erweitert, wie z. B. die Genehmigung von Drittlandtransfers oder Einbindung bei Datenschutz-Folgeabschätzungen. Die Einführung des sog. „One-Stop-Shop“ stellt eine wichtige Änderung für multinationale Unternehmen dar. Dieses kann sowohl den Betroffenen als auch Unternehmen die Kommunikation mit den Aufsichtsbehörden erleichtern. Dies soll zu einer weitgehend vereinheitlichten Rechtsanwendung führen.

Durch den „One-Stop-Shop“ wird bei grenzüberschreitenden Datenverarbeitungen nur noch eine Aufsichtsbehörde am Sitz der „Hauptniederlassung” zuständig sein (für alle Unternehmen einer Unternehmensgruppe), also der zentrale Verwaltungssitz in der EU. Das Prinzip des „One-Stop-Shop“ wird aber durch verschiedene Ausnahmeregelungen relativiert, wie z. B. dann, wenn Entscheidungen über die Zwecke und Mittel der Verarbeitung in einer anderen Niederlassung getroffen und umgesetzt werden. Ähnlich ist es, wenn eine Beschwerde nur eine bestimmte Niederlassung betrifft. In den Fällen des „One-Stop-Shop“, bei denen es zu keiner Einigung kommt, wird das Kohärenzverfahren eingeleitet. In diesem wird der Streit durch einen verbindlichen Beschluss des Europäischen Datenschutzausschusses beigelegt.

In der DSGVO erfahren die Sanktionen eine Verschärfung gegenüber dem aktuell geltenden Recht. So können bei Verstößen Geldbußen – je nach Verstoß – von bis zu 10 oder 20 Millionen EUR oder von bis zu 2 oder 4% des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt werden. Entscheidend ist der jeweils höhere Betrag.

Auch werden zukünftig sämtliche Verstöße gegen die Grundverordnung sanktioniert und nicht nur gegen spezielle gesetzliche Vorgaben, was beispielsweise im alten BDSG aktuell der Fall war. Die definierten Bedingungen für die Bestimmung der Geldbuße im Einzelfall relativieren diesen umfassenden Strafrahmen. So müssen Aufsichtsbehörden die Geldbußen danach festsetzen, dass sie „wirksam, verhältnismäßig und abschreckend“ sind. Hierzu zählen u. a.

„a) Art, Schwere und Dauer des Verstoßes unter Berücksichtigung der Art, des Umfangs oder des Zwecks der betreffenden Verarbeitung sowie der Zahl der von der Verarbeitung betroffenen Personen und des Ausmaßes des von ihnen erlittenen Schadens;
b) Vorsätzlichkeit oder Fahrlässigkeit des Verstoßes;
c) jegliche von dem Verantwortlichen oder dem Auftragsverarbeiter getroffenen Maßnahmen zur Minderung des den betroffenen Personen entstandenen Schadens; […]. (Art. 83 Abs. 2 DSGVO)

Ferner erhalten die Betroffenen die Wahl, Beschwerden entweder bei einer naheliegenden Behörde oder einem Gericht, ggf. auch mit Unterstützung einer entsprechenden Organisation, geltend zu machen. Sollte die angerufene Behörde dabei nicht innerhalb von drei Monaten tätig werden, kann außerdem ein Gericht die „Untätigkeit“ überprüfen. Ferner können Betroffene einen immateriellen Schadensersatzanspruch in Geld beanspruchen. Eines häufig sehr schwer zu beziffernden materiellen Schadens bedarf es somit nicht mehr. Gleichwohl muss es möglich sein, die Höhe des (ebenfalls schwer bezifferbaren) immateriellen Schadens in das Ermessen des jeweiligen Gerichts zu stellen, welches diesen regelmäßig und in angemessener Höhe zuspricht.

Die IT-Sicherheit hat durch die Datenschutz-Grundverordnung einen wesentlich höheren Stellenwert erhalten. Dies zeigt sich einerseits daran, dass die Pflicht, geeignete technische und organisatorische Maßnahmen umzusetzen, als Grundsatz in die DSGVO aufgenommen wurde. Andererseits werden auch Prinzipien wie „Privacy by Design“ und „Privacy by Default“ eingeführt. Auch ist eine Pflicht zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der getroffenen Maßnahmen eingeführt worden.

„Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Sicherheitsmaßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten; […]“ (Art. 32 DSGVO)

Es sind bei der Abwägung neben der Art der Daten auch Zweck der Verarbeitung und der Stand der Technik zu berücksichtigen. Auch muss das ausgehende Risiko zur Beeinträchtigung von Persönlichkeits- und Freiheitsrechten berücksichtigt werden. Die Abschätzung des Risikos ist Vorbereitung und Ergebnis einer Datenschutz-Folgenabschätzung.

Neu ist die Forderung von speziellen Techniken wie die Pseudonymisierung und die Verschlüsselung von personenbezogenen Daten. Auch werden künftig Sicherheitsziele statt Kontrollmaßnahmen in den Fokus gestellt: Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste. Dies ist eine Terminologie, die aus der Informationssicherheit und den Best-Practice-Normen (z. B. ISO 27001) entnommen sind und demnach auch zeitgemäßer sind.

Ferner gilt, dass „ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung“ einzurichten ist (Art. 32 Abs. 1 DSGVO). Somit sind regelmäßig Audits, Revisionen oder gar Penetrationstests durchzuführen. Dies ist auch schon heute die Herangehensweise der UIMC.

Nachdem in der Vergangenheit eine Dokumentation zwar empfehlenswert, aber nicht explizit gefordert war, wird eine solche an vielen Stellen der Grundverordnung jetzt verbindlich vorgeschrieben. Insbesondere die sog. Rechenschaftspflicht ist hierbei aufzuführen:

„Der Verantwortliche ist für die Einhaltung des Absatzes 1 [Grundsätze für die Verarbeitung inkl. technischer und organisatorischer Maßnahmen, Art. 5 DSGVO; Anm.] verantwortlich und muss dessen Einhaltung nachweisen können (“Rechenschaftspflicht”).“ (Art. 32 Abs. 1 DSGVO)

Um Haftungsrisiken zu senken, sollten Unternehmen nicht nur ein Datenschutzhandbuch erstellen, sondern auch ein Audit-System aufbauen.
Des Weiteren enthält die Datenschutz-Grundverordnung folgende Dokumentationspflichten:

• Dokumentation von Verarbeitungsvorgängen der für die Verarbeitung Verantwortlichen und Auftragsverarbeiter (Art. 30 DSGVO)
• Dokumentation von Sicherheitsvorfällen (Art. 33 Abs. 5 DSGVO)
• Datenschutz-Folgenabschätzung (Art. 35 DSGVO)
• Dokumentation geeigneter Drittlandgarantien (Art. 46 DSGVO)

Durch die Grundverordnung werden an verschiedenen Stellen verschärfte Nachweispflichten eingeführt. Somit bekommen Datenschutz-Überprüfungen eine stärkere Bedeutung. Datenschutz-Audits (Datenschutz-Checkup) oder gar Zertifizierungen sollen den Datenschutz fördern; eine Vorgehensweise, die die UIMC schon seit jeher praktiziert hat. Auch die Haftungsrisiken (wie z. B. durch Bußgeld, Schadensersatz, Abmahnungen) werden durch die Datenschutz-Grundverordnung verschärft.

Neben den altbekannten Datenschutzgrundsätzen wie Transparenz, Zweckgebundenheit oder Datensparsamkeit werden künftig Forderungen nach einer Rechenschaftspflicht gestellt. So muss der für die Verarbeitung Verantwortliche die Einhaltung der Datenschutz-Grundsätze nachweisen können. Auch finden sich in verschiedenen Artikel die Anforderungen, Vorgaben zu „gewährleisten“, sich zu „vergewissern“ oder diese „sicherzustellen“. Grundlage für solche Datenschutz-Audits sollen festgelegte Verhaltensregelungen („Kriterien“) und Zertifizierungsverfahren sein.

Ferner wird explizit gefordert, dass eine Datenschutz-Folgenabschätzung durchzuführen ist, wenn „die Form der Verarbeitung ein hohes Risiko für die persönlichen Rechte und Freiheiten zur Folge hat, insbesondere wenn dabei neue Technologien Verwendung finden.“

Wie schon unter den Kontrollanforderungen und Nachweispflichten dargestellt, sollen auf Basis der Grundverorderungen Verhaltensregelungen (Artikel 40 f.) und Zertifizierungsverfahren (Artikel 42) etabliert werden. Diese können klar haftungsmindernd wirken, wie im Erwägungsgrund Nr. 81 dargestellt:

„[…] Die Einhaltung genehmigter Verhaltensregeln oder eines genehmigten Zertifizierungsverfahrens durch einen Auftragsverarbeiter kann als Faktor herangezogen werden, um die Erfüllung der Pflichten des Verantwortlichen nachzuweisen.[…]“.

Grundsätzlich gibt es, anders als aktuell im BDSG, keine konkreten Erlaubnistatbestände zur Werbung. Vielmehr gelten hier die „allgemeinen“ Grundsätze (siehe oben). Hiernach muss die Verarbeitung zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich sein. Zudem dürfen die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, nicht überwiegen. Bei der personalisierten Werbung liegt regelmäßig dann ein berechtigtes Interesse vor, wenn eigene Produkte beworben werden sollen, was auch in den Erwägungsgründen dargestellt wird („Die Verarbeitung personenbezogener Daten zum Zwecke der Direktwerbung kann als eine einem berechtigten Interesse dienende Verarbeitung betrachtet werden.“).

Der Begriff der Werbung (genauer „Direktwerbung“) wird ausschließlich in Artikel 21 DS-GVO verwendet:

„(2) Werden personenbezogene Daten verarbeitet, um Direktwerbung zu betreiben, so hat die betroffene Person das Recht, jederzeit Widerspruch gegen die Verarbeitung sie betreffender personenbezogener Daten zum Zwecke derartiger Werbung einzulegen; dies gilt auch für das Profiling, soweit es mit solcher Direktwerbung in Verbindung steht.
(3) Widerspricht die betroffene Person der Verarbeitung für Zwecke der Direktwerbung, so werden die personenbezogenen Daten nicht mehr für diese Zwecke verarbeitet.“

Eine Abwägung zwischen dem berechtigten Interesse der verantwortlichen Stelle und dem schutzwürdigen Interesse des Betroffenen ist oftmals problematisch. Das schutzwürdige Interesse wird mindestens dann überwiegen, wenn der Betroffene der Datenverarbeitung zum Zwecke der Werbung widersprochen hat. Die Abwägung sollte an ähnlichen Maßstäben wie bisher vorgenommen werden: Art des Betroffenen (B2B oder B2C), Anspracheweg (Post, Telefon, E-Mail), bisheriger Kontakt (Kunde, Interessent, Kalt-Akquise) und Inhalt der Ansprache (ähnliches Produkt oder gänzlich anderes).

So wird der rechtliche Rahmen des § 7 UWG („unzumutbare Belästigung“) sicherlich auch künftig bleiben, so dass eine Ansprache per Mail nur mittels Einwilligung (idealerweise Double-Opt-In) zulässig ist.

In finaler Konsequenz wird die Interessenabwägung oftmals unterschiedlich von Betroffenen und Werbenden beurteilt werden, so dass es zu rechtlichen Auseinandersetzungen kommen wird (auch hier wird u. U. „Treu und Glauben“ berücksichtigt; siehe oben). Daher wird eine gewisse Rechtsunsicherheit bestehen und die Rechtsprechung abzuwarten sein, inwiefern die Werbemöglichkeiten durch die EU-Datenschutz-Grundverordnung ausgeweitet werden kann. Daher scheint das werbende Unternehmen gut darin beraten, die Abwägungsgründe gut zu dokumentieren.