Home / Aktuelles & Termine / it.sec blog

Die EU-Justizkommissarin Vera Jourova droht mit Kündigung des Privacy Shield. Von Beginn an stand das Privacy Shield Abkommen zwischen der Europäischen Union und den USA unter Kritik.

Das Privacy Shield (Nachfolger von Safe Harbour) ist ein informelles Übereinkommen im Bereich des Datenschutzrechts, das zwischen der Europäischen Union und den USA ausgehandelt wurde. Die Kommission hat am 12. Juli 2016 beschlossen, dass die Vorgaben des Privacy Shields dem Datenschutzniveau der Europäischen Union entsprechen.

Das Übereinkommen regelt den Schutz personenbezogener Daten, die aus einem Mitgliedsstaat der Europäischen Union in die USA übertragen werden.

Jetzt soll damit eventuell schon wieder Schluss sein. Die EU-Justizkommissarin will sich Ende März mit Vertretern der neuen US-Regierung treffen um das Thema neu zu besprechen. Nach Trumps Executive Order vom 25.01.2017 werden Nicht-US-Bürger nämlich vom Schutz des Privacy Act ausgenommen. Das US-Justizministerium hat jedoch versichert, dass die USA weiter zum Privacy Shield stehe. Bei dem Termin Ende März soll nun geklärt werden, ob die bisher zugesagten Bedingungen von der USA tatsächlich eingehalten werden.

Andernfalls will die EU-Justizkommissarin das Privacy Shield-Abkommen außer Kraft setzen.

Dr. Bettina Kraft
Beraterin für Datenschutz
Justiziarin

Ein Grundprinzip des Datenschutzes ist es, dass personenbezogene Daten nur solange gespeichert werden, wie man sie für die Zwecke, für die sie erhoben wurden, benötigt gemäß Art. 5 Abs. 1 lit. e) Datenschutzgrundverordnung (DSGVO).

Art. 17 DSGVO verpflichtet daher den Verantwortlichen, personenbezogene Daten in den Fällen des Art. 17 Abs. 1 DSGVO unverzüglich zu löschen: So sind u.a. personenbezogene Daten zu löschen, sobald die Zwecke, für welche die Daten erhoben worden sind, wegfallen. Beispiel: Sofern einem Bewerber nach Sichtung seiner Bewerbungsunterlagen eine Absage erteilt wird, benötigt man die Bewerbungsunterlagen anschließend nicht mehr.

Art. 17 Abs. 3 DSGVO sieht jedoch Ausnahmen von der Datenlöschung vor, d.h. trotz Vorliegen eines Falls gemäß Art. 17 Abs. 1 DSGVO, dürfen die personenbezogenen Daten weiterhin verarbeitet werden, u.a. wenn gesetzliche Aufbewahrungspflichten der Löschung entgegenstehen oder der Verantwortliche die Daten zur Geltendmachung und Ausübung von Rechtsansprüchen oder zur Verteidigung gegen Rechtsansprüche weiterhin benötigt. Beispiel: Zur Entkräftung etwaiger Diskriminierungsvorwürfe dürfen Bewerbungsunterlagen des Bewerbers noch für 3 Monate, nachdem ihm eine Absage erteilt wurde, aufbewahrt werden.

Die Datenschutzgrundverordnung (DSGVO) enthält zwar keine Definition des Begriffs "Löschen". Dennoch sollte eine Art der Datenlöschung gewählt werden, durch welche die personenbezogenen Daten nach dem Vorgang nicht mehr vorhanden oder in einer Weise unkenntlich sind, dass sie nicht mehr verwendet oder rekonstruiert werden können.

Im Rahmen der Datenlöschung treffen den Verantwortlichen zudem Informationspflichten: So muss der Verantwortliche im Verzeichnis von Verarbeitungstätigkeiten die Regellöschfristen dokumentieren, die betroffenen Personen, deren Daten er verarbeitet, über die Speicherdauer informieren und andere Verantwortliche, denen gegenüber er die Daten öffentlich gemacht hat, benachrichtigen, wenn eine betroffene Person die Löschung dieser Daten verlangt.

Da Verstöße gegen die Prinzipien in Art. 5 DSGVO sowie ein Verstoß gegen Art. 17 DSGVO bußgeldbewehrt sind, sollte jeder Verantwortliche hinsichtlich der von ihm verarbeiteten Daten die für ihn geltenden Regellöschfristen sowie die Arten der Datenlöschung bestimmen, die datenschutzgerechte Umsetzung der Datenlöschung in seinem Unternehmen überwachen und seinen Informationspflichten nachkommen.

S. Kieselmann
Beraterin für Datenschutz

Sowohl bei Arbeitgebern als auch bei Arbeitnehmern wird das Home-Office immer beliebter. Es bringt sehr viele Vorteile für beide Seiten mit sich! Jedoch sollte aus datenschutzrechtlicher Sicht so einiges beachtet werden. Um nur ein paar Punkte zu nennen, sollten sowohl Arbeitgeber als auch Arbeitnehmer in Sachen Datenschutz zusammenarbeiten und folgende Vorgaben beachten:

  • Der zur Verfügung gestellte PC/Notebook ist in einem von den anderen Wohnungsräumen klar separierten Arbeitszimmer aufzustellen, wobei das Arbeitszimmer verschließbar sein muss.
  • Der Bildschirm ist so aufzustellen, dass keine unbefugte Einsichtnahme (weder im Zuge des Betretens des betreffenden Arbeitszimmers noch durch Beobachtung durch etwaige Fenster) stattfinden kann.
  • Ordnungsgemäße Entsorgung datenschutzrelevanter Datenträger und Unterlagen, wenn diese nicht mehr benötigt werden.
  • Sollten Unterlagen mit Daten, die dem Datengeheimnis unterliegen, am häuslichen Arbeitsplatz bearbeitet werden, dürfen diese außerhalb der Telearbeit ausschließlich in verschließbaren Behältnissen gelagert werden. Dies gilt auch für den Transport von Unterlagen zwischen Dienststelle und häuslichem Arbeitsplatz.
  • Die mit Telearbeit betrauten Mitarbeiter haben für ihre betriebliche Tätigkeit im Home-Office ausschließlich IT-Komponenten (Hardware und Software) vom Arbeitgeber einzusetzen und dürfen an den Einstellungen keine Änderungen vornehmen sowie keine weiteren IT-Komponenten anschließen.
  • Auf dem PC/Notebook ist ein aktueller Virenscanner zu installieren.
  • Die Zugangs- und Zugriffspassworte sind unter Einhaltung der Komplexitätsvorschriften nach 90 Tagen zu ändern.
  • Die Bildschirmsperre wird bei einer fehlenden Aktivität von 5 Minuten automatisch aktiviert und darf nur gegen entsprechende Authentifizierung (Passworteingabe) aufgehoben werden.

Damit Ihnen datenschutzrechtlich auch im Home-Office nichts anbrennt, sollten Sie einheitliche Regelungen implementieren und diese auch regelmäßig kontrollieren. Andernfalls machen Sie sich schnell haftbar, wenn im Home-Office Datenpannen passieren. Dies kann mit In-Kraft-Treten der Datenschutzgrundverordnung im Mai 2018 richtig teuer werden.

Dr. Bettina Kraft
Beraterin für Datenschutz
Justiziarin

In Art. 15 bis 22 der Datenschutzgrundverordnung (DSGVO) werden die Rechte der betroffenen Personen geregelt, die jede betroffene Person gegenüber dem Verantwortlichen, der ihre personenbezogenen Daten verarbeitet, per Antrag geltend machen kann:

  • Recht auf Auskunft über die beim Verantwortlichen verarbeiteten personenbezogenen Daten gemäß Art. 15 DSGVO.
  • Recht auf Berichtigung unrichtiger personenbezogener Daten, die die betroffene Person betreffen, gemäß Art. 16 DSGVO.
  • Recht auf Löschung der beim Verantwortlichen verarbeiteten personenbezogenen Daten in den Fällen des Art. 17 Abs. 1 lit. a) bis f) DSGVO.
  • Recht auf Einschränkung / Sperrung der beim Verantwortlichen verarbeiteten personenbezogenen Daten gemäß Art. 18 Abs. 1 DSGVO.
  • Recht auf Datenübertragbarkeit, d.h. die betroffene Person kann, sofern die Voraussetzungen des Art. 20 Abs. 1 DSGVO vorliegen, verlangen, dass der Verantwortliche die bei ihm verarbeiteten personenbezogenen Daten in einem strukturierten, gängigen und maschinenlesbaren Format der betroffenen Person selbst oder einem von der betroffenen Person bestimmten Dritten übermittelt.
  • Recht, der weiteren Datenverarbeitung beim Verantwortlichen zu widersprechen gemäß Art. 21 DSGVO.
  • Recht, keiner automatisierten Einzelentscheidung unterworfen zu werden, gemäß Art. 22 Abs. 1 DSGVO bzw. Einspruchsrecht gegen eine erfolgte automatisierte Einzelentscheidung gemäß Art. 22 Abs. 3 i.V.m. Art. 22 Abs. 2 lit. a) oder c) DSGVO.

Die Informationen über die ergriffenen Maßnahmen auf den Antrag der betroffenen Person hin, sind der betroffenen Person unverzüglich, spätestens jedoch einen Monat nach Eingang des Antrags der betroffenen Person zur Verfügung zu stellen. Sofern es erforderlich ist, die Frist aufgrund der Komplexität und Anzahl von Anträgen um 2 Monate zu verlängern, unterrichtet der Verantwortliche die betroffene Person spätestens einen Monat nach Eingang des Antrags über die Fristverlängerung sowie die Gründe für die Verzögerung.

Wird der Verantwortliche auf Antrag der betroffenen Person nicht tätig, unterrichtet er die betroffene Person ohne Verzögerung, spätestens jedoch einen Monat nach Eingang des Antrags der betroffenen Person über die Gründe hierfür. Insbesondere unterrichtet der Verantwortliche die betroffene Person, wenn er in den Fällen des Art. 11 Abs. 2 DSGVO nicht in der Lage ist, die betroffene Person im System zu identifizieren, dies glaubhaft darlegt und daher ihrem Antrag nicht nachkommen kann.

Im Fall einer Pflicht zur Berichtigung, Löschung oder Einschränkung der Daten, informiert der Verantwortliche die Empfänger der personenbezogenen Daten gemäß Art. 19 DSGVO, damit diese etwaige bei ihnen vorhandene Kopien oder Replikationen dieser personenbezogenen Daten ebenfalls berichtigen, löschen oder einschränken.

S. Kieselmann
Beraterin für Datenschutz
Dipl.sc.pol.Univ.

Die Datenschutzgrundverordnung regelt die Auftragsverarbeitung europaweit einheitlich. Die neuen Regelungen orientieren sich inhaltlich weitestgehend an § 11 BDSG. Über die in Art. 28 DSGVO enthaltenen Neuerungen gegenüber dem alt Bekannten möchten wir Sie heute in unserem Blogbeitrag informieren.

Zum einen finden sich sprachliche Änderungen in der neuen Gesetzesnorm. So wird nicht mehr vom Auftragsdatenverarbeiter gesprochen, sondern lediglich nur noch vom Auftragsverarbeiter. Neu ist zudem, dass eine Datenverarbeitung im Auftrag nun auch außerhalb der Europäischen Union stattfinden kann. Der Auftragsverarbeiter hat ferner den Verantwortlichen zu unterstützen, damit dieser seiner Pflicht zur Beantwortung von Anträgen auf Wahrnehmung der Betroffenenrechte nachkommen kann. Des Weiteren muss eine Unterstützungsleistung bezüglich der Pflichten des Verantwortlichen aus Art. 32 ff DSGVO erfolgen. Diese neuen Pflichten müssen in die aktuell bestehenden Verträge zur Auftrags(daten)verarbeitung bis Mai 2018 mit aufgenommen werden.

Unabhängig vom Vertragswerk werden künftig einige neue Regelungen und Pflichten für die Auftragsverarbeiter zu beachten sein. Nach Art. 30 Abs. 2 DSGVO beispielsweise, müssen anders als nach dem BDSG auch Auftragsverarbeiter ein Verzeichnis über die Verarbeitungstätigkeiten führen.

Als Unternehmen sollten Sie bereits in der aktuell bestehenden Übergangsphase Ihre bestehenden Prozesse und Verträge zur Auftragsverarbeitung überprüfen und die erforderlichen Änderungen zeitnah und zügig vornehmen. Neue Verträge sollten Sie bereits auf Grundlage der DSGVO schließen. Ein entsprechendes Muster hierzu hat it.sec bereits in deutscher und englischer Sprache für ihre Kunden erstellt.

Dr. Bettina Kraft
Beraterin für Datenschutz
Justiziarin

Bei Anmeldungen an Datenverarbeitungssystemen müssen die Benutzer eindeutig identifiziert und authentisiert werden, um eine ausreichende Vertraulichkeit und Integrität der Daten (Zugangs-, Zugriffs- und Eingabekontrolle), wie es in Art. 32 Datenschutzgrundverordnung (DSGVO) gesetzlich vorgeschrieben ist, zu gewährleisten. Dies ist mit einem unpersonalisierten Benutzer-Account nicht ohne Weiteres möglich:

  • Bei nicht-personalisierten Benutzerkonten ist es nicht möglich, je nach Aufgabenstellung oder Tätigkeitswechsel, die Zugriffsrechte der einzelnen Benutzer innerhalb des Datenverarbeitungssystems differenziert zu vergeben (Lesen, Ändern, Löschen).
  • Eine Eingabekontrolle kann effektiv nur erfolgen, wenn Benutzerkonten nicht von verschiedenen Personen verwendet werden, da nur so nachvollziehbar ist, wer wann auf welche Daten Zugriff genommen hat.
  • Die Vertraulichkeit der Passwörter als auch Passwortlänge, -komplexität sowie ein regelmäßiger Passwortwechsel sind so ebenfalls nicht gewährleistet: Bei einem Passwortwechsel müsste das Passwort den anderen Benutzern, die ebenfalls über diese Kennung, Zugang erhalten, mitgeteilt werden. Die Gefahr, dass Passwörter durch Dritte ausgespäht werden, ist hierbei sehr hoch. Insbesondere wenn die Passwörter aus pragmatischen Gründen notiert und z.B. per E-Mail weitergegeben werden. Zudem besteht die Gefahr, dass einfache Passwörter gewählt werden, da sie leichter mitteilbar und für diejenigen Benutzer, die das Passwort nicht selbst gewählt haben, besser zu merken sind oder aus Bequemlichkeit das Kennwort oft nicht zeitnah bzw. gar nicht mehr geändert wird oder Wiederholungen vergangener Passwörter verwendet werden. Hierbei ist die Gefahr, dass potentielle Angreifer durch Ausprobieren das Passwort leicht erraten, sehr hoch.
  • Bei einem ggf. erfolgten missbräuchlichem Einsatz von Zugangsdaten, die von mehreren Benutzern gleichzeitig genutzt werden können, kann niemals zweifelsfrei nachgewiesen werden, wer nicht den festgestellten Missbrauch begangen hat, da die Kennung und auch das Passwort nicht eindeutig einem Benutzer zugeordnet werden können. Nicht-personalisierte Benutzerkonten werden in der Praxis daher bevorzugt von Unbefugten genutzt, um zu verschleiern, wer für ein entsprechendes Handeln verantwortlich ist.

Sabrina Kieselmann
Beraterin für Datenschutz

Profiling wird in Art. 4 Nr. 4 DSGVO wie folgt definiert: Jede Art der automatisierten Verarbeitung personenbezogener Daten, die darin besteht, dass diese personenbezogenen Daten genutzt werden, um bestimmte persönliche Aspekte, die sich auf eine natürliche Person beziehen, anhand von Algorithmen zu bewerten, insbesondere um Aspekte bezüglich Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persönliche Vorlieben, Interessen, Zuverlässigkeit, Verhalten, Aufenthaltsort oder Ortswechsel dieser natürlichen Person zu analysieren oder vorherzusagen.

Die Rechtmäßigkeit der damit verbundenen Datenverarbeitung bestimmt sich nach Art. 6 Abs. 1 DSGVO.

Der betroffenen Person steht aber ein Widerspruchsrecht gegen das Profiling, also gegen die systematische und umfassende Bewertung der über sie erfassten Daten und Werte, gemäß Art. 21 DSGVO zu.

Die betroffenen Personen müssen gemäß Art. 13 Abs. 2 lit. f), Art. 14 Abs. 2 lit. g) DSGVO über das Bestehen eines Profiling sowie die involvierte Logik, die Tragweite und die angestrebten Auswirkungen für die betroffenen Personen informiert und auf ihr Widerspruchsrecht gemäß Art. 13 Abs. 2 lit. b), Art. 14 Abs. 2 lit. c) DSGVO, Art. 21 Abs. 4 DSGVO hingewiesen werden.

Sofern das Profiling zu einer automatisierten Einzelentscheidung führt, richtet sich diese Datenverarbeitung darüber hinaus nach Art. 22 DSGVO.

Eine automatisierte Einzelentscheidung liegt vor, wenn die Entscheidung ausschließlich algorithmenbasiert getroffenen wird ohne zusätzlich durch einen Menschen überprüft worden zu sein.

Eine solche automatisierte Einzelentscheidung lässt Art. 22 Abs. 2 DSGVO nämlich nur in den folgenden drei Ausnahmefällen zu:

  • Die automatisierte Einzelentscheidung ist für die Erfüllung eines Vertrages, der zwischen dem Betroffenen und dem Verantwortlichen geschlossen wurde, erforderlich (Art. 22 Abs. 2 lit. a) DSGVO).
  • Die automatisierte Einzelentscheidung beruht auf Unionsrecht oder dem Recht eines Mitgliedstaats (Art. 22 Abs. 2 lit. b) DSGVO).
  • Die automatisierte Einzelentscheidung erfolgt mit ausdrücklicher Einwilligung der betroffenen Person (Art. 22 Abs. 2 lit. c) DSGVO).

Eine automatisierte Einzelentscheidung, basierend auf besonderen Kategorien personenbezogener Daten und Werte, darf darüber hinaus gemäß Art. 22 Abs. 4 DSGVO nur stattfinden

  • mit Einwilligung der betroffenen Person gemäß Art. 22 Abs. 4 i.V.m. Art. 9 Abs. 1 lit. a) DSGVO oder
  • auf Grundlage des Unionsrechts oder des Rechts eines Mitgliedstaats gemäß Art. 22 Abs. 4 i.V.m. Art. 9 Abs. 1 lit. g) DSGVO.

Eine automatisierte Einzelentscheidung, basierend auf personenbezogenen Daten und Werten minderjähriger betroffenen Personen, sollte nach Erwägungsgrund 71 Abs. 1 S. 5 DSGVO nicht erfolgen.

Auch über das Bestehen einer automatisierten Einzelentscheidung sowie die damit verbundene Logik, Tragweite und Auswirkung müssen die betroffenen Personen gemäß Art. 13 Abs. 2 lit. f), Art. 14 Abs. 2 lit. g) DSGVO informiert werden und, sofern die automatisierte Einzelentscheidung auf der Einwilligung der betroffenen Person beruht, über ihr Widerrufsrecht gemäß Art. 13 Abs. 2 lit. c) DSGVO, Art. 14 Abs. 2 lit. d) DSGVO, Art. 7 Abs. 3 S. 3 DSGVO in Kenntnis gesetzt werden. Der betroffenen Person muss zudem ein Einspruchsrecht gegen die Analyseergebnisse der automatisierten Einzelentscheidung eingeräumt werden gemäß Art. 22 Abs. 3 DSGVO.

Des Weiteren muss der Verantwortliche zusätzliche technische und organisatorische Maßnahmen zum Schutz der Rechte und Freiheiten sowie der berechtigten Interessen der betroffenen Personen ergreifen.

S. Kieselmann
Beraterin für Datenschutz
Dipl.sc.pol.Univ.

Verarbeiten zwei oder mehr Verantwortliche dieselben personenbezogenen Daten arbeitsteilig oder gemeinsam für jeweils eigene Zwecke ("joint control") gilt Art. 26 Datenschutzgrundverordnung (DSGVO).

Beispiele:

  • Reisebüro, Hotelkette und Fluggesellschaft betreiben gemeinsam eine Internet-Plattform, über die sie die Daten erheben und verarbeiten.
  • Unternehmen, die derselben Unternehmensgruppe angehören, betreiben eine gemeinsame Webseite

Die Übermittlung z.B. von Beschäftigtendaten durch den Arbeitgeber an das Finanzamt wäre dagegen von Art. 26 DSGVO nicht erfasst, da das Finanzamt und der Arbeitgeber die Zwecke und Mittel der Datenverarbeitung schon gar nicht gemeinsam festlegen oder die Datenverarbeitung arbeitsteilig vornehmen dürfen und somit zwei separate Verantwortliche sind ("separate controllers").

Gemäß Art. 26 Abs. 1 und 2 DSGVO müssen die gemeinsam Verantwortlichen dann in einer Vereinbarung die folgenden Regelungen treffen:

  • Firmenname und Rechtsform der Verantwortlichen
  • Vertreter der Verantwortlichen
  • Anschrift und Kontaktdaten der Verantwortlichen
  • Übersicht der tatsächlichen Funktionen und Beziehungen der gemeinsam Verantwortlichen
  • Zwecke und Mittel der Datenverarbeitung
  • Aufteilung der Pflichten aus der DSGVO zwischen den Verantwortlichen
  • Wahrnehmung der Informationspflichten gemäß Art. 13 und Art. 14 DSGVO
  • Wahrnehmung der Rechte der betroffenen Personen aus den Art. 15 bis Art. 22 DSGVO
  • Wahrnehmung der Pflichten aus Art. 12 Abs. 3 und 4 DSGVO
  • Einrichtung einer Anlaufstelle für betroffene Personen

Das Wesentliche der Vereinbarung ist den betroffenen Personen zur Verfügung zu stellen.

S. Kieselmann
Beraterin für Datenschutz
Dipl.sc.pol.Univ.

Gemäß Art. 6 Abs. 1 DSGVO ist eine Verarbeitung personenbezogener Daten nach der Datenschutzgrundverordnung nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist:

  • Die betroffene Person hat ihre Einwilligung Art. 6 Abs. 1 lit. a DSGVO zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben.
    • Form: ausdrückliche Erklärung oder zumindest unmissverständliche Handlung, die auch durch Mausklick oder per E-Mail erfolgen kann. Wichtig ist, dass der Verantwortliche nachweisen kann, dass eine Einwilligung abgegeben wurde (Dokumentation).
    • Informiertheit: Der Betroffene ist vorab über die Identität des Datenverarbeiters, über die Zwecke der Datenverarbeitung und über sein jederzeitiges, freies Widerrufsrecht ohne entsprechende Rückwirkung zu informieren.
    • Bei Unterbringung u.a. in Allgemeinen Geschäftsbedingungen muss die Einwilligung deutlich hervorgehoben und klar verständlich sein.
    • Vertragliche Einwilligungsklauseln sind in der Regel unwirksam, wenn sie sich auf Daten erstrecken, die für die Erfüllung des Vertrages nicht erforderlich sind.
    • Einwilligungserklärungen sind unwirksam, wenn ein klares Ungleichgewicht zwischen dem Verantwortlichen und dem Betroffenen besteht. Ein solches ist in der Regel beispielsweise, wie bisher auch schon, zwischen Arbeitgeber und Arbeitnehmer gegeben. Da auch im Massenverkehr zwischen Unternehmern und Verbrauchern regelmäßig davon auszugehen ist, wird der rechtskonforme Datenverkehr mit Verbrauchern erheblich erschwert.
    • Das Mindestalter für die Einwilligung beträgt in der Regel 16 Jahre.

Zusammenfassend lässt sich sagen, dass die Rechtslage zur „Einwilligung” im Großen und Ganzen unverändert bleibt. Letztlich bleiben alle Erfordernisse, die bisher bestanden, bestehen. Hinzu gekommen sind das Mindestalter sowie die Problematik eines möglichen Ungleichgewichts zwischen dem Verantwortlichen und dem Betroffenen. Teilweise wurden Regelungen, die bisher nicht explizit niedergeschrieben wurden, in den Gesetzestext aufgenommen.

  • Die Verarbeitung ist für die Erfüllung eines Vertrags, Art. 6 Abs. 1 lit. b DSGVO, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgt.
  • Die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung, Art. 6 Abs. 1 lit. c DSGVO, erforderlich, der der Verantwortliche unterliegt. Die Rechtsgrundlage für eine solche Verarbeitung wird durch Unionsrecht oder das Recht der Mitgliedsstaaten, dem der Verantwortliche unterliegt, festgelegt.
  • Die Verarbeitung erforderlich ist, um lebenswichtige Interessen, Art. 6 Abs. 1 lit. d DSGVO, der betroffenen Person oder einer anderen natürlichen Person zu schützen.
  • Die Verarbeitung ist für die Wahrnehmung einer Aufgabe, Art. 6 Abs. 1 lit. e DSGVO, erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde.
  • Die Verarbeitung ist zur Wahrung der berechtigten Interessen, Art. 6 Abs. 1 lit. f DSGVO, des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.
    • Mit jeder Form der Datenverarbeitung wird ein bestimmtes Interesse von unterschiedlichen Ausprägungen verfolgt.
    • Ob das verfolgte Interesse berechtigt ist, ist eine reine Wertungsfrage, deren Maßstäbe aus den allgemeinen Datenschutzgrundsätzen abzuleiten sind.
    • Nach Erwägungsgrund 47 S. 1-4 DSGVO kommt es dabei auf die vernünftigen Erwartungen der Betroffenen an.

Erfolgt im Anschluss eine Weiterverarbeitung von Daten zu einem vereinbaren Zweck, so bedarf es keiner gesonderten Rechtsgrundlage für eine solche Weiterverarbeitung, Art. 6 Abs. 4 DSGVO. Um festzustellen, ob ein Zweck der Weiterverarbeitung mit dem Zweck, für den die personenbezogenen Daten ursprünglich erhoben wurden, vereinbar ist, sollte der Verantwortliche nach Einhaltung aller Anforderungen für die Rechtmäßigkeit der ursprünglichen Verarbeitung unter anderem prüfen:

  • ob ein Zusammenhang zwischen den Zwecken, für die die personenbezogenen Daten erhoben wurden, und den Zwecken der beabsichtigten Weiterverarbeitung besteht,
  • in welchem Kontext die Daten erhoben wurden, insbesondere die vernünftigen Erwartungen der betroffenen Person, die auf ihrer Beziehung zu dem Verantwortlichen beruhen,
  • in Bezug auf die weitere Verwendung dieser Daten, um welche Art von personenbezogenen Daten es sich handelt,
  • welche Folgen die beabsichtigte Weiterverarbeitung für die betroffenen Personen hat und ob sowohl beim ursprünglichen als auch beim beabsichtigten Weiterverarbeitungsvorgang geeignete Garantien bestehen.

Mit der EU-Datenschutzgrundverordnung kommt somit viel Neues aber auch viel alt Bekanntes und Bewehrtes. Die Unternehmen sind gefordert, hier schnell geeignete Umsetzungsorganismen zu implementieren.

Bettina Kraft
Justiziarin, Consultant für Datenschutz
bkraft@it-sec.de

Im folgenden Artikel wollen wir einmal auf die Vorzüge der Datenschutzgrundverordnung (DSGVO) eingehen. Sie gilt ab dem 25.05.2018 verbindlich für alle EU-Mitgliedstaaten. Der folgende Artikel soll zeigen, dass mit dem Inkrafttreten der DSGVO viel Positives in der europäischen Rechtsordnung geschaffen wurde.

Harmonisierung des Datenschutzrechts
Aktuell haben alle 28 Mitgliedstaaten eigene Datenschutzgesetzte mit unterschiedlichem Niveau. Mit der DSGVO wird das Datenschutzrecht innerhalb der Europäischen Union sowohl für den privaten als auch den öffentlichen Bereich über weite Strecken vereinheitlicht.

Stark erhöhte Bußgelder
Die erhöhten Bußgelder sind für den Datenschutz durchaus als Vorzug zu betrachten. Mit der Erhöhung auf bis zu 4 % des weltweiten Jahresumsatzes eines Unternehmens kommt dem Datenschutz in den Unternehmen endlich die gewünschte Bedeutung zu.

Informierte und eindeutige Einwilligung
Die DSGVO bestimmt, dass nur eine informierte und unmissverständlich abgegebene Einwilligung in Form einer Erklärung oder einer sonstigen eindeutigen Handlung wirksam ist. Des Weiteren besteht über die erteilte Einwilligung eine Beweispflicht. Die Rechte der Betroffenen werden durch diese Regelung somit gestärkt.

One-Stop Shop
Betroffene können sich bei Beschwerden immer an die Datenschutzaufsichtsbehörde ihres Mitgliedstaates wenden, unabhängig davon, in welchem Mitgliedstaat der Datenverstoß geschehen ist.

Pflicht zur Bestellung eines Datenschutzbeauftragten auf Europaebene
Nach Art 37 DSGVO gibt es für bestimmte Fälle eine Verpflichtung zur Bestellung eines betrieblichen Datenschutzbeauftragten. Dies gilt nun für alle europäischen Mitgliedsstaaten!

Konzernprivileg
Die DSGVO gewährt Unternehmen eine Art Konzernprivileg. Danach können gruppeninterne Datenweitergaben zwischen verbundenen Unternehmen unter erleichterten Voraussetzungen erfolgen. Alle Unternehmen benötigen jedoch immer noch ein angemessenes Datenschutzniveau.

Recht auf Vergessenwerden
Unternehmen müssen personenbezogene Daten von Betroffenen löschen, wenn die betroffene Person dies wünscht und es keine zulässigen Gründe für eine weitere Speicherung der Daten gibt.

Bettina Kraft
Justiziarin, Consultant für Datenschutz

An dieser Stelle wollen wir von Zeit zu Zeit unsere Web-Logs ("blogs") pflegen und unsere Meinung zu bestimmten Themen kundtun.

Die einzelnen Posts stellen jeweils die Meinung des Autors dar und nicht zwangsläufig jene der it.sec. Die Inhalte sind stellen keine Beratung dar und übernehmen für die Inhalte keine Haftung.

Mo Di Mi Do Fr Sa So
    1 2 3 4 5
6 7 8 9 10 11 12
13 14 15 16 17 18 19
20 21 22 23 24 25 26
27 28 29 30 31