Mitautor: Christian Frerix*
Die grundlegenden Voraussetzungen der Datenverarbeitung nach der DSGVO – Von Einwilligungen und Erlaubnistatbeständen
Mit großen Schritten stapft die DSGVO auf Europa zu. Seit Mai 2016 ist sie in Kraft. Ab Mai 2018 wird sie ihre Wirkung über den Kontinent entfalten. Ach? Das sagten wir schon mal? Stimmt. In Teil 1 und Teil 2 unserer kleinen Serie zur europäischen Datenschutzgrundverordnung (DSGVO).
Nachdem in Teil 1 der grundlegende Aufbau des neuen (unmittelbar wirkenden) Gesetzes erläutert wurde und wir uns in Teil 2 den wichtigsten Begriffen der DSGVO zugewendet hatten, stellen wir hier nun die Grundprinzipien vor, auf denen der Datenschutz in Europa künftig fußt.
Das heißt, wir gucken uns heute an, unter welchen Voraussetzungen eine Datenverarbeitung nach der DSGVO künftig möglich sein wird.
Voraussetzungen? Grundprinzipien? Datenschutz? Ja, ja, ich kann ihre Gedanken lesen. Heimlich drücken Sie gerade das Kotz-Emoj. (Erwischt! Ich weiß.) Auch wenn Ihnen per se Spannenderes einfällt, als den Ausführungen einer Anwältin zu den Voraussetzungen einer rechtmäßigen Datenverarbeitung nach der DSGVO zu lauschen/lesen, ist das dennoch sehr empfehlenswert. Schließlich sind Sie bzw. Ihr Unternehmen sowie alle Datenverarbeiter im europäischen Raum an diese Verordnung gebunden. Und wenn Sie sich nicht dran halten, dann erwarten Sie – je nach dem gegen welche Norm Sie verstoßen haben – Bußgelder in Höhe von bis zu 10 000 000 Euro bzw. bis zu 2 % des weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres gemäß Art. 83 Abs. 4 DSGVO oder in Höhe von bis zu 20 000 000 Euro bzw. bis zu 4 % des weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres gemäß Art. 83 Abs. 5 DSGVO (siehe dazu bereits Teil 2).
Ja, das sind Summen, da bilden die meisten Unternehmen nicht „mal eben“ eine Rückstellung für. Also, vielleicht doch weiterlesen…
I. Verbot mit Erlaubnisvorbehalt
Die wichtigste Erkenntnis vorweg: Nein, der Datenschutz wurde vom Verordnungsgeber, insbesondere aus deutscher Perspektive, nicht neu erfunden. Soll heißen, dass die Verarbeitung personenbezogener Daten auch weiterhin dem bereits aus dem BDSG bekannten Verbot mit Erlaubnisvorbehalt unterliegt. Die treue Blog-Leserschaft erinnert sich dunkel, dass danach eine Verarbeitung der Daten nur dann zulässig ist, wenn der Betroffene einwilligt oder eine gesetzliche Vorschrift diese erlaubt. Erlaubnisvorschriften finden sich beispielsweise für die Fälle der Vertragsdurchführung, in Arbeitsverhältnissen oder im Rahmen von Interessensabwägungen. An diesem Prinzip hält – glücklicherweise – auch die DSGVO fest. Dort wird dies wie folgt geregelt:
Artikel 6 – Rechtmäßigkeit der Verarbeitung
(1) Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist:
a) Die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben;
b) die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen;
c) die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt;
d) die Verarbeitung ist erforderlich, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen;
e) die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde;
f) die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.
(Hervorhebungen durch die Verfasserin)
Mit anderen Worten:
Die Datenverarbeitung bleibt weiterhin grundsätzlich verboten, es sei denn, es gibt dafür einen guten Grund. Der kann z.B. darin liegen, dass der Betroffene in die Datenverarbeitung einwilligt (per Opt-In zu einer Datenschutzbedingung), die Daten zur Vertragsabwicklung gebraucht werden (z.B. beim Versand von Waren) oder der Gesetzgeber das Unternehmen zur Verarbeitung verpflichtet (z.B. Anmeldung zur Sozialversicherung). Das ist zwar bislang auch schon so, nur steht das nicht so schön übersichtlich im Gesetz. Und das ist doch mal was Positives.
1. Einwilligung
Ein Erlaubnisgrund ist also die in Art. 6 Abs. 1 lit. a) erwähnte Einwilligung des Betroffenen. Diese definiert die DSGVO in Art. 4 als jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist. Die Einwilligung ist damit nur wirksam, wenn sie:
- freiwillig,
- eindeutig/unmissverständlich und
- für einen festgelegten Zweck abgegeben und
- der Betroffene vor der Verarbeitung über den Zweck hinreichend informiert wird.
Auch hier ist im Vergleich zur jetzigen Rechtslage nach § 4a BDSG also noch gar nichts wirklich anders. Auch in Zukunft muss der Betroffene freiwillig und in Kenntnis aller Umstände darüber entscheiden können, zu welchen Zwecken „seine“ Daten verarbeitet werden.
Wann eine Einwilligung diese Bedingungen erfüllt, ergibt sich weiter aus Art. 7 DSGVO. Dort heißt es:
Artikel 7 – Bedingungen für die Einwilligung
(1) Beruht die Verarbeitung auf einer Einwilligung, muss der Verantwortliche nachweisen können, dass die betroffene Person in die Verarbeitung ihrer personenbezogenen Daten eingewilligt hat.
Na, huch! Was sehen wir denn hier. Ein Formerfordernis. Jedenfalls indirekt. Denn: Will einer eine Einwilligung nachweisen können, dann muss jener irgendwas aus der Tasche zaubern, was eben diese Einwilligung dokumentiert. Aus deutscher Sicht wird hier aber eigentlich auch nur „laaaangweilig“ geschrien. Schließlich kannte das BDSG zwar bislang solche „Formvorgaben“ nicht, aber aus § 13 Abs. 2 Nr. 2 TMG ergab sich auch bisher schon eine Protokollierungspflicht und die Rechtsprechung hat darüber hinaus mit der Double-Opt-In-Rechtsprechung ziemlich klar gemacht, wo die Latte für einen erfolgreichen Nachweis von Einwilligungen – jedenfalls in diesem Bereich – liegt.
Aber auch hier gilt: Wie schön, dass das soweit nun mal klargestellt ist.
Weiter heißt es in Artikel 7 Abs. 2 DSGVO
(2) Erfolgt die Einwilligung der betroffenen Person durch eine schriftliche Erklärung, die noch andere Sachverhalte betrifft, so muss das Ersuchen um Einwilligung in verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache so erfolgen, dass es von den anderen Sachverhalten klar zu unterscheiden ist. Teile der Erklärung sind dann nicht verbindlich, wenn sie einen Verstoß gegen diese Verordnung darstellen.
Diese etwas umständliche Formulierung sagt im Kern nichts anderes aus, als ihr Pendant im BDSG (§ 4a Abs. 1 S. 4): Werden neben der Einwilligung noch andere Erklärungen abgegeben, so muss die Einwilligung für den Leser deutlich von den anderen Erklärungen abzugrenzen sein, so dass der Betroffene erkennt, was er da tut (in was er einwilligt.)
Gemäß Art. 7 Abs. 3 DSGVO darf der Betroffene seine Einwilligung jederzeit widerrufen. So weit, so ebenfalls altbekannt. Hieraus ergeben sich im Vergleich zur jetzigen Rechtslage keine Unterschiede.
Doch Obacht bei Art 7 Abs. 4 DSGVO
(4) Bei der Beurteilung, ob die Einwilligung freiwillig erteilt wurde, muss dem Umstand in größtmöglichem Umfang Rechnung getragen werden, ob unter anderem die Erfüllung eines Vertrags, einschließlich der Erbringung einer Dienstleistung, von der Einwilligung zu einer Verarbeitung von personenbezogenen Daten abhängig ist, die für die Erfüllung des Vertrags nicht erforderlich sind.
Dieser vierte Absatz befasst sich mit der „Freiwilligkeit“ der Einwilligung und wirkt so harmlos. Doch hatten die Macher der DSGVO hierbei ein ganz klare Intention. Mit Absatz 4 wird klargestell: Bezieht sich eine Einwilligung auf Daten, die der Verarbeiter für die Vertragserfüllung benötigt, dann ist alles in Ordnung (klar…). Bezieht sich dieselbe Einwilligung dagegen auch auf Daten, die der Verarbeiter zur Vertragserfüllung nicht braucht, so spricht das erst einmal gegen die Freiwilligkeit der Abgabe. Das heißt, wir haben hier ein sogenanntes Kopplungsverbot. Ein Unternehmen darf also nicht eine erweiterte Datenpreisgabe (aka „Du darfst erst meinen Dienst nutzen, wenn Du mir all Deine Vorlieben und die Deiner Großeltern verrätst“) für die Nutzungs eines Dienstes fordern, wenn eben diese Daten an sich gar nicht für die Erbringung des Dienstes notwendig sind. Die Vertragserfüllung darf folglich nicht von einer Einwilligung abhängig gemacht wird, die für die Erfüllung gar nicht erforderlich ist. Dies steht explizit in Erwägungsgrund 43 (also in den Auslegungshilfen, die der DSGVO vorangestellt sind). Und weiter heißt es eben dort, dass die Freiwilligkeit bei einem großen Ungleichgewicht zwischen Verantwortlichem und Betroffenen anzuzweifeln ist.
Nachtigall, ick hör Dir trapsen, wa! Wer hier adressiert werden soll, ist ziemlich offensichtlich. Nämlich, Google, Twitter, Amazon, Facebook und wie sie nicht alle heißen. Schließlich läuft gerade bei diesen oligopol- bis monopolartig agierenden Konzernen das „Freiwilligkeits“-Kriterium relativ ins Leere, wenn dem Nutzer kaum eine andere Möglichkeit bleibt, als den Datenschutzbedingungen dieses einen Konzerns zuzustimmen, wenn er diese Dienste – zu denen keine wirklichen Alternativen vorhanden sind – nutzen will. (Oder haben Sie schon einmal erfolgreich die Datenschutzbedingungen zur Nutzung etwa mit Facebook erfolgreich individuell verhandelt?!) Und diese Konzerne wollen in der Regel viel.
Doch nach dem Vorstehenden müssen nicht nur Google & Co, sondern alle Unternehmen künftig bei den Formulierungen ihrer Datenschutz-Einwilligung(en) erhebliche Sorgfalt aufwenden. Denn ein Verstoß gegen Art. 7 DSGVO führt zu den horrenden Bußgeldtatbeständen des Art. 83 Abs. 5 DSGVO und das heißt: Wir reden über Bußgelder von bis zu 20 Millionen EUR …
Ob nun unter anderem mit Artikel 7 DSGVO tatsächlich Bewegung in den Datenschutz kommt, bzw. vielmehr die „Macht des Betroffenen“ gegenüber den Konzernen zunimmt, werden wir sehen.
Wir halten also als Zwischenfazit zur Einwilligung einmal fest: Inhaltlich unterscheiden sich die Voraussetzungen der Einwilligung kaum zur bisherigen Rechtslage, aber die Regelungen sind nun umfangreicher und detaillierter geworden. Daneben wurden die Bußgelder gerade hinsichtlich der Einhaltung dieser Norm massiv erhöht.
2. Einwilligung bei Kindern (!)
Eines ist aber tatsächlich neu. Und zwar dass nach Art. 8 DSGVO Kindern unter 16 Jahren ein besonderer Schutz zukommen soll:
Artikel 8 – Bedingungen für die Einwilligung eines Kindes in Bezug auf Dienste der Informationsgesellschaft
(1) Gilt Artikel 6 Absatz 1 Buchstabe a bei einem Angebot von Diensten der Informationsgesellschaft, das einem Kind direkt gemacht wird, so ist die Verarbeitung der personenbezogenen Daten des Kindes rechtmäßig, wenn das Kind das sechzehnte Lebensjahr vollendet hat. Hat das Kind noch nicht das sechzehnte Lebensjahr vollendet, so ist diese Verarbeitung nur rechtmäßig, sofern und soweit diese Einwilligung durch den Träger der elterlichen Verantwortung für das Kind oder mit dessen Zustimmung erteilt wird. […]
Danach hängt die Zulässigkeit der Verarbeitung personenbezogener Daten von unter 16-Jährigen von der Einwilligung oder Zustimmung ihrer Eltern ab. Art. 8 räumt den Mitgliedstaaten jedoch einen Ermessensspielraum hinsichtlich der Altersgrenze ein (sog. Öffnungsklausel; siehe dazu auch Teil 1). Das bedeutet, dass der deutsche Gesetzgeber von dieser Altersgrenze abweichen könnte. In jedem Fall darf diese aber nicht unter das 13. Lebensjahr fallen.
Tja, bleibt die praktische Frage: Wie stellt sich das der Verordnungsgeber in der Umsetzung vor? Und daran anknüpfend die Frage, inwieweit Unternehmen für die Einhaltung dieser Vorschrift haften? Reicht die Einholung einer Bestätigung aus, dass der Nutzer ein bestimmtes Alter erreicht hat? Müssen Alterskontrollen durchgeführt oder sonstige Zugangshürden eingebaut werden? Wenn ja, welche Anforderungen haben diese dann zu erfüllen? Viele Fragen, auf die es bislang leider noch keine Antworten gibt.
2. Datenverarbeitung zur Erfüllung rechtlicher Pflichten u.a.
Daneben werden in der DSGVO – wie o.g. – weitere Fälle geregelt, in denen eine Datenverarbeitung auch ohne Einwilligung zulässig sein kann (Art. 6 Abs. 1 lit. b-e DSGVO). Diese Regelungen werden vom Verordnungsgeber allgemein gehalten und stellen auf die Erforderlichkeit der Verarbeitung als maßgebliches Kriterium ab.
Danach ist die Verarbeitung in den Fällen
- der Erfüllung eines Vertrages (ohne Postadresse kann ein Versandhändler kaum Ware versenden) oder
- sonstiger rechtlicher Verpflichtungen (z.B. Dokumentations- oder Aufbewahrungspflichten, denen der Datenverarbeiter unterliegt),
- des Schutzes lebenswichtiger Interessen oder
- der Wahrnehmung öffentlicher Interessen
erforderlich. Die letzten beiden Punkte werden Unternehmen allerdings kaum betreffen.
3. Berechtigtes Interesse zur Datenverarbeitung
Etwas versteckt normiert die DSGVO in lit. f., dass die Datenverarbeitung immer dann
zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich [ist], sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen.
Anders ausgedrückt: Wenn ich als Unternehmen ein berechtigtes Interesse an einer Datenverarbeitung vorweisen kann (z.B. eigener Geschäftszweck) und zeitgleich der Nutzer keine Schutzbedürftigkeit hinsichtlich dieser Daten geltend machen kann, dann, ja dann kann es losgehen!
Gänzlich unbekannt sind derartige Interessenabwägungen dem BDSG nicht. Sie finden sich in ähnlicher Form zum Bespiel in § 28 Abs. 1 Satz 1 Nr. 2 BDSG (die Datenerhebung und –speicherung für eigene Geschäftszwecke) oder faktisch auch in § 32 BDSG (Datenerhebung, -verarbeitung und -nutzung für Zwecke des Beschäftigungsverhältnisses. Die DSGVO sieht in dem „berechtigten Interesse unter Interessensabwägung“ jedoch einen allgemeinen, grundsätzlichen Erlaubnistatbestand zur Datenerhebung. Und das ist neu. Und gut.
Wer Big Data Analysen und ähnlichem zugeneigt ist, der darf sich zumindest zu einem kleinen „Hurra“ hinreißen lassen. Allerdings nur zu einem kleinen. Denn zum einen kommt es natürlich nicht auf die Sicht des Unternehmens an, wann das eigene Interesse über das Interesse des Betroffenen zu stellen ist, sondern entscheidend ist bzw. wird sein, wie dieses Merkmal von Behörden und Gerichten ausgelegt werden wird. Und hier ist nahezu alles derzeit denkbar. (Man kann dazu zwar Erwägungsgrund 47 lesen. Viel schlauer wird man dadurch aber auch nicht.)
Denkbar wäre zum Beispiel die Haltung, dass Daten, die öffentlich in Netzwerken preisgegeben wurden, keinen besonderen Schutz erfahren dürfen, da sich die Betroffenen selbst durch die Preisgabe im Rahmen der informationellen Selbstverantwortung dieses Schutzes begeben haben (meint, dass der Betroffene sich durch sein Verhalten dem Schutz des Grundrechtes selbst entzogen hat) . Die Hardliner unter den Datenschützern werden hier jedoch argumentieren, dass man sich seines persönlichkeits- und datenschutzrechtlichen Schutzes so gar nicht begeben könne und deswegen trotzdem die Rechte des Betroffenen vollumfänglich berücksichtigt werden müssten. (In diese Gedankenspielereien werden wir uns noch ein anderes Mal vertiefen).
Dazu kommt, dass es jeweils auf den konkreten Einzelfall und dessen Interessensabwägung ankommt. Dies zeigte eindrucksvoll die wohl bekannteste Abwägung aus der jüngeren Datenschutzvergangenheit (Google Spain ./. AEPD). Hier wurde ein überwiegendes Interesse des Einzelnen, nicht in der Ergebnisliste einer Suchmaschine aufzutauchen, gegenüber dem wirtschaftlichen Interesse des Suchmaschinenbetreibers und des öffentlichen Informationsinteresses angenommen.
Daneben ist zu berücksichtigen, dass es auf ein „berechtigtes Interesse“ im Sinne der Allgemein-Klausel der DSGVO nicht mehr ankommen kann, wenn die Mitgliedstaaten auf Grund einer Öffnungsklausel in bestimmten Regelungsbereichen – wie z.B. dem Beschäftigtendatenschutz – eine speziellere Regelung treffen. Denn diese dürfte dann entsprechend Vorrang genießen.
4. Zweckvereinbarung als Erlaubnistatbestand
Ja, jetzt neu. In Art. 6 Abs. 4. DSGVO. Siehe dazu jedoch später. Unter dem Punkt „Zweckbindung“.
II. Weitere Grundsätze
Doch Erlaubnisgrund hin oder her, auch wenn ein solcher vorliegt, darf der Verantwortliche auch weiterhin nicht wahl- und ziellos Daten verarbeiten. Vielmehr hat er sich an weiteren Grundsätzen zu orientieren. Das ist dem Grunde nach ebenfalls nicht neu, da solche Grundsätze auch im BDSG schon normiert sind (z.B. der Grundsatz der Datensparsamkeit (§ 3a)). In der DSGVO fasst Art. 5 die dort zugrunde gelegten Grundsätze zusammen. Neben altbekannten finden sich dort auch einige neue Grundsätze:
1. Grundsatz der Rechtmäßigkeit, Transparenz und Verarbeitung nach Treu und Glauben
In Art. 5 Abs. 1 a heißt es:
Personenbezogene Daten müssen auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden („Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz“);
Ja, nun. Dass die Daten nur rechtmäßig verarbeitet werden dürfen, versteht sich von selbst. Auch das Transparenzerfordernis altbekannt. (Vgl. § 4 Abs. 3 BDSG bzw. § 13 TMG) Erhebt der Verantwortliche Daten eines Betroffenen, so ist dieser über den Zweck und den Umfang usw. grundsätzlich zu informieren. (Im Gegensatz zum BDSG macht die DSGVO hier jedoch noch weiterreichende Vorgaben, wie diese Informationspflichten künftig gehen, aber dazu mehr im im vierten Teil dieser Serie).
„Neu“ ist dagegen der Grundsatz von „Treu und Glauben“ – jedenfalls gab es diese Formulierung im Datenschutzrecht so bislang nicht. Aber weder handelt es ich um einen großen Aufreger noch um eine bahnbrechende Hilfe. Denn es handelt sich hier um (einen weiteren) unbestimmten Begriff. Das heißt, er wird im Gesetz nicht weiter definiert und wird darüber hinaus ganz sicher von den unterschiedlichsten Protagonisten unterschiedlich ausgelegt. Dass es dann zu Abgrenzungsproblemen kommen kann, liegt auf der Hand. Doch wie immer in solchen Fällen bzw. bei derart unbestimmten Rechtsbegriffen werden Auseinandersetzungen, Fachaufsätze und vor allem die Gerichte diesem Begriff im datenschutzrechtlichen Sinne im Laufe der Zeit Leben einhauchen. Also gilt es, dann wohl erstmal bei den Zivilrechtlern zu spionieren. 😉
2. Zweckbindung und Zweckvereinbarung als Erlaubnistatbestand
Weiter stellt Art. 5 Abs. 1 b) klar, dass die Daten nur
für festgelegte, eindeutige und legitime Zwecke erhoben werden und […] nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden dürfen.
Laangweilig. Kennen wir auch aus dem BDSG bzw. dem TMG. Spannend wird es deshalb dann, wenn die Daten für einen anderen Zweck verarbeitet werden sollen, als für den, für den sie ursprünglich erhoben wurden. Hier kennt das BDSG nichts. Das geht so nicht.
Die DSGVO kennt nun aber die Zweckänderung. Sprich die Daten sollen für was anderes, als usprünglich gedacht, verwendet werden (dürfen?!). Das regelt Art. 6 Abs. 4. DSGVO.
Art. 6 Abs. 4 DSGVO ist jedoch lang und verschwurbelt. Und es macht weder Spaß, die Norm hier zu zitieren, noch hätte das vermutlich irgendeinen Mehrwert. Deswegen in aller Kürze die Abwägungs- und Erforderlichkeitskriterien der Norm unter einem Blick auf Erwägungsgrund 50 heruntergebrochen:
Wenn auch dieser Verarbeitungszweck durchaus für den Betroffenen erwartbar war, es sich nicht um hochsensible Daten (Gesundheitsdaten etc.) handelt und was für die Datensicherheit getan wird, dann ist das okay.
Allerdings darf der Datenverarbeiter das auch nicht heimlich tun, sondern muss den Betroffenen über die Zweckänderung informieren.
3. Datenminimierung & Speicherbegrenzung
Art. 5 Abs. 1 c) spricht dann von der Datenminimierung, Ziffer e) von der Speicherbegrenzung. Unter der Datenminimierung versteht die DSGVO die dem Zweck angemessene und auf das notwendige Maß beschränkte Verarbeitung. Unter der Speicherbegrenzung wird verstanden, dass die Identifizierung der betroffenen Personen nur so lange möglich ist, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist. Wird der Speicherungszweck erreicht oder fällt er weg, dann sind die Daten zu löschen. Bis auf einige Ausnahmen (z.B. Statistik- oder Archivzwecke) dürfen die Daten darüber hinaus nicht gespeichert werden.
Tja, was fällt dem alten Datenschutz-Haudegen auf? Irgendwie entspricht das schlicht den Grundsätzen der Datenvermeidung und Datensparsamkeit nach § 3a BDSG – auch wenn dazu hier ein paar mehr Worte verloren werden. Also, de facto schon wieder nichts Neues im Westen.
4. Richtigkeit der Daten
Nach Ziffer d) müssen personenbezogene Daten sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein; es sind alle angemessenen Maßnahmen zu treffen, damit personenbezogene Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung unrichtig sind, unverzüglich gelöscht oder berichtigt werden. Wem vor Schreck die Kaffeetasse aus der Hand gefallen ist, der sei nun beruhigt, da diese Regelung gar nicht so schlimm ist, wie sie sich liest. Denn da steht nicht umsonst „erforderlichenfalls“. Gemeint ist damit, dass diejenigen Daten auf dem aktuellen Stand zu sein haben, die für eine vertragsmäßige Erfüllung benötigt werden. Bestellt also der langjährige Kunde Online-Artikel, so muss natürlich gewährleistet sein, dass der Versender diese an die richtige Adresse schickt. Befindet sich im System eine alte und damit falsche Adresse, so muss diese durch die Neue ersetzt werden. Zu diesem Zweck hat der Verantwortliche „angemessene Maßnahmen“ zu schaffen. Nicht erforderlich ist dagegen die Überprüfung sämtlicher im System gespeicherten Daten auf ihre Richtigkeit hin.
5. Integrität und Vertraulichkeit
Dieser Grundsatz betrifft die IT-Sicherheit. Laut Art. 5 Absatz 1 lit. f hat der Verarbeiter dafür zu sorgen, dass Daten in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen. Für Datenverarbeiter bedeutet das also, dass diese sowohl technisch als auch organisatorisch ein angemessenes Schutzniveau gewährleisten müssen. … Klingeling! Genau. Wir denken an § 9 BDSG und die TOM. Also schon wieder nichts weltbewegend Neues.
Ausgefüllt wird Art. 5 Abs. 1 f) von Art. 32 DSGVO. Hier lassen sich Kriterien finden, die Unternehmen bei der Beurteilung des „angemessenen Schutzniveaus“ zu berücksichtigen haben. So spielt der Stand der Technik ebenso eine Rolle wie das Risiko und die Schwere einer möglichen Verletzung von Betroffenenrechten und –freiheiten oder, ob es sich um die Verarbeitung beispielsweise pseudonymisierter oder hoch sensibler Daten handelt. Je nach Einzelfall ergeben sich daraus unterschiedliche Schutzniveaus und damit auch unterschiedliche Sicherungspflichten.
Wir werden auf die TOM der DSGVO noch einmal zurückkommen.
6. Rechenschaftspflicht
Unter der Rechenschaftspflicht nach Art. 5 Abs. 2 versteht die DSGVO, dass der Verantwortliche für die Einhaltung der eben genannten Grundsätze nicht nur verantwortlich ist, sondern diese auch gefälligst nachzuweisen hat. – Ja, ich sehe ihr Gesicht, werter Leser. Es stimmt. Damit sind die Dokumentationspflichten der Unternehmen gemeint. Es nützt nichts. Aber ich verspreche, auch darauf werden wir noch einmal gesondert zurückkommen.
III. Und nun?! (Fazit)
Tja. Nun. Wie oben schon gesagt. Es macht bei den im Raum stehenden Bußgeldandrohungen Sinn, sich mit den neuen Regelungen auseinanderzusetzen und sich im Unternehmen entsprechend aufzustellen. Sollten Sie die Summen verdrängt haben – einfach noch mal nach oben scrollen.
Sooo schlimm ist es nun aber auch wieder nicht. Schließlich müssten Ihnen die allermeisten Voraussetzungen und Prinzipien bekannt vorkommen. Und dazu müssten Sie vieles von dem, was die DSGVO fordert, doch sowieso schon im Unternehmen umgesetzt/implementiert haben. Und das haben Sie ja auch… nicht wahr?! Und von daher ist der Schritt zur Erweiterung der bisherigen TOM und anderweitiger Dokumentationspflichten und die Anpassung Ihrer Einwilligungserklärungen und der begleitenden Prozesse doch kein großer. Hurra!
(Ok, ok. Bitte. Ein wenig Polemik muss auch der Anwältin nach 3.500 Wörtern Datenschutzrecht mal aufgrund von Erschöpfung erlaubt sein. 😉 )
Wie das nun genau gehen soll? Wie die TOM und sonstigen Datensicherheitsvorschriften auszufüllen sind und wie Sie es vermeiden können sich endgültig mit Ihren Dokumentationsordnern zu erschlagen? Ja, darauf kommen wir zurück. Sagte ich doch schon. Machen wir noch. Versprochen.
In diesem Sinne, bis zum nächsten Mal!
*Der Jurist Christian Frerix arbeitet seit September 2015 als Wissenschaftlicher Mitarbeiter in der Anwaltskanzlei Diercks und promoviert derzeit an der Universität Hamburg.
Bisher in der Reihe zur DSGVO außerdem erschienen:
Teil 1 – Der erste einordnende Überblick zur neuen EU-Datenschutzgrundverordnung
Teil 2 – Die wichtig(st)en Begriffe der Datenschutzgrundverordnung kurz erklärt.
Teil 5 – Die Pflichten der Unternehmen, genau genommen: Informationspflichten und Auskunftspflichten
Teil 6 – Big Data im Zeitalter der EU-Datenschutzgrundverordnung (DSGVO)
Teil 8 – Der Datenschutzbeauftragte unter der DSGVO
Teil 9 – Active Sourcing und Talent Relationship Management (TRM) unter der DSGVO – I