EU-DATENSCHUTZ-GRUNDVERORDNUNG - VERORDNUNG (EU) 2016/679 DES EUROPÄISCHEN PARLAMENTS UND DES RATES - datenschutz.rlp.de
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
EU-DATENSCHUTZ- GRUNDVERORDNUNG VERORDNUNG (EU) 2016/679 DES EUROPÄISCHEN PARLAMENTS UND DES RATES www.datenschutz.rlp.de
Inhalt
HERAUSGEBER
Der Landesbeauftragte
für den Datenschutz und die
Informationsfreiheit Rheinland-Pfalz
Hintere Bleiche 34 | 55116 Mainz
Postfach 30 40 | 55020 Mainz
Telefon +49 (0) 6131 208-2449
Telefax +49 (0) 6131 208-2497
poststelle@datenschutz.rlp.de
www.datenschutz.rlp.de
GESTALTUNG
LABOR - Agentur für moderne Kommunikation GmbH
Fischtorplatz 21
55116 Mainz, Germany
T. +49 (0) 6131 3046762
www.labor.digital
Februar 2018
3Inhalt Inhalt
INHALT
VORWORT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6
Kapitel I: Allgemeine Bestimmungen. . . . . . . . . . . . . . . . 80
I. DIE EU-DATENSCHUTZ- Kapitel II: Grundsätze . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 85
GRUNDVERORDNUNG. . . . . . . . . . . . . . . . . . . . . . 8
Kapitel III: Rechte der betroffenen Person. . . . . . . . . . . . 91
1. Einleitung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10
Kapitel IV: Verantwortlicher und
1.1 Öffnungsklauseln. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10
Auftragsverarbeiter . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 102
1.2 Gesetzlicher Änderungs- und Anpassungsbedarf. . . . . . . . 10
1.3 Kollisionsregeln. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11 Kapitel V: Übermittlungen personenbezogener
Daten an Drittländer oder an internationale
1.4 Konfliktfälle und Lösungsansätze. . . . . . . . . . . . . . . . . . . . . . 11 Organisationen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 120
1.5 Praktische Handhabung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12
Kapitel VI: Unabhängige Aufsichtsbehörden . . . . . . . . . 127.
1.6 Informationspflichten und Auskunftsrechte . . . . . . . . . . . . 12
1.7 Inhalt der Informationspflicht. . . . . . . . . . . . . . . . . . . . . . . . . 12 Kapitel VII: Zusammenarbeit und Kohärenz . . . . . . . . . . 134
1.8 Das Auskunftsrecht der betroffenen Personen. . . . . . . . . . 12
Kapitel VIII: Rechtsbehelfe, Haftung und
1.9 Mögliche Beschränkungen durch den Gesetzgeber Sanktionen. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 146
und Sanktionen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
Kapitel IX: Vorschriften für besondere
1.10 Rolle der Aufsichtsbehörden . . . . . . . . . . . . . . . . . . . . . . . . . 13
Verarbeitungssituationen . . . . . . . . . . . . . . . . . . . . . . . . . . 151
1.11 Durchsetzungsstärkende Befugnisse . . . . . . . . . . . . . . . . . . 13
KAPITEL X: Delegierte Rechtsakte und
Durchführungsrechtsakte . . . . . . . . . . . . . . . . . . . . . . . . 154
2. Fragen & Antworten zur Datenschutz-
Grundverordnung. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15 KAPITEL XI: Schlussbestimmungen . . . . . . . . . . . . . . . . 155
II. ERWÄGUNGSGRÜNDE . . . . . . . . . . . . . . . . . . . . . 26
ANHANG . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 158
III. VERORDNUNGSTEXT. . . . . . . . . . . . . . . . . . . . . . . 78
4 DER LANDESBEAUFTRAGTE FÜR DEN DATENSCHUTZ UND DIE INFORMATIONSFREIHEIT RHEINLAND-PFALZ VERORDNUNG (EU) 2016/679 DES EUROPÄISCHEN PARLAMENTS UND DES RATES 5Vorwort Vorwort
VORWORT
Der Datenschutz tritt in ein neues Zeitalter Diese Publikation soll Grundlage für Diskussionen bilden. Diese Diskus-
ein. Mit der Datenschutz-Grundverordnung sionen werden bereits geführt und werden weiter geführt werden. Dies
der Europäischen Union wird eine umfassende gilt nicht nur bis zum Zeitpunkt des Wirksamwerdens der Verordnung,
Europäisierung vorgenommen. Nicht alle Inhal- sondern auch danach, denn es gibt viel zu diskutieren. Dies liegt insbe-
te, aber viele sind anders und eine Reihe von sondere daran, dass in einer digitalen Welt die Wahrung der Freiheit des
Regelungen enthält Tücken im Detail. Die erste Einzelnen, selbstbestimmt zu kommunizieren, immer größeres Gewicht
und wichtigste Unterstützung bei der Prüfung erhält.
der neuen Rechtslage bietet der Text. Diesen
Text möchten wir den Bürgerinnen und Bür-
Prof. Dr. Dieter Kugelmann gern hiermit vorlegen, um die Möglichkeit zu
eröffnen, sich selbst ein Bild zu machen.
Zum Verständnis der Datenschutz-Grundverordnung tragen die Erwä-
gungsgründe bei, die gleichfalls abgedruckt sind. Dabei handelt es sich
um die Begründung und Erläuterung der einzelnen Vorschriften. Sie Prof. Dr. Dieter Kugelmann
sollen die Anwendung erleichtern und die Zielrichtung der Artikel der
Datenschutz-Grundverordnung präzisieren. Zwar fehlen angesichts der Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit
Vielfalt von Einzelfragen komplizierte Einzelaussagen nicht. Jedoch ist Rheinland-Pfalz
das Bemühen der Normsetzung erkennbar, möglichst umfassend und
praxisorientiert Regeln für die Wirtschaft, die Verwaltung und die Einzel-
nen aufzustellen.
Manche sind der Auffassung, der Text der Datenschutz-Grundverord-
nung sei schwer verständlich und kompliziert. Andere sind der Meinung,
hier werde endlich umfassend und nachvollziehbar der Datenschutz ge-
regelt. Wahrscheinlich treffen beide Auffassungen zu. Mit der Daten-
schutz-Grundverordnung liegt eine umfassende Regelung vor, die an vie-
len Stellen weniger technisch und kompliziert als Vorgängerregelungen
ist und für den Bürger und die Bürgerin die einschlägigen Vorschriften
enthält. Andererseits ist die Datenschutz-Grundverordnung ein politi-
scher Kompromiss. Diesen kompromisshaften Charakter merkt man dem
Text an vielen Stellen an. An dem einen oder anderen Punkt gibt es auch
Widersprüche im Detail. Unter dem Strich gelingt aber der Verordnung
nicht nur eine für die ganze Europäische Union geltende Festlegung für
die Regeln des Datenschutzes. Es gelingt auch gerade hinsichtlich der
Rechte betroffener Personen eine übersichtliche und klare Regelung der
Rechtslage. Damit wird deutlich, wie sich die Rolle des Nutzers und der
Nutzerin im Datenschutz in der Zukunft darstellt.
6 DER LANDESBEAUFTRAGTE FÜR DEN DATENSCHUTZ UND DIE INFORMATIONSFREIHEIT RHEINLAND-PFALZ VERORDNUNG (EU) 2016/679 DES EUROPÄISCHEN PARLAMENTS UND DES RATES 7I.
DIE EU-DATEN-
SCHUTZ-GRUND-
VERORDNUNG
8 DER LANDESBEAUFTRAGTE FÜR DEN DATENSCHUTZ UND DIE INFORMATIONSFREIHEIT RHEINLAND-PFALZ VERORDNUNG (EU) 2016/679 DES EUROPÄISCHEN PARLAMENTS UND DES RATES 9DIE EU-DATENSCHUTZ-GRUNDVERORDNUNG / Einleitung DIE EU-DATENSCHUTZ-GRUNDVERORDNUNG / Einleitung
I. DIE EU-DATEN- 1.1 Öffnungsklauseln Öffnungsklausel, gilt unmittelbar die Daten- ist, dass es sich um einen Anwendungsvorrang
SCHUTZ-GRUND- Allerdings lässt die Datenschutz-Grundver-
schutz-Grundverordnung. Lücken sind ggf.
durch Auslegung der Verordnung zu schließen.
handelt, nicht um einen Geltungsvorrang. Das
innerstaatliche Recht tritt nicht außer Kraft,
VERORDNUNG ordnung – für eine Verordnung untypisch – an sondern es behält seine Geltung für die Sach-
einer Reihe von Stellen nationale Regelungen Auf Bundesebene wird – ähnlich wie auch bis- verhalte, die vom Unionsrecht nicht berührt
ausdrücklich zu (sog. Öffnungsklauseln) und lang – primär die Datenverarbeitung durch werden.
erteilt darüber hinaus an die Mitgliedstaaten nicht-öffentliche Stellen sowie durch öffentli-
1. EINLEITUNG eine Vielzahl von Regelungsaufträgen. Da- che Stellen des Bundes geregelt werden kön-
durch ermöglicht sie den Mitgliedstaaten, nen, soweit dies infolge einer Regelungsbefug- 1.4 Konfliktfälle und Lösungsansätze
Am 24. Mai 2016 ist die EU-Datenschutz-Grund- eigene nationale Regelungen – insbesondere nis bzw. eines Regelungsauftrages weiterhin
verordnung (DS-GVO) in Kraft getreten. Damit zur Konkretisierung der Bestimmungen der möglich ist. Das BDSG-neu (Datenschutzan- Die konkrete Auswirkung des Anwendungsvor-
kam ein langjähriger Prozess zum Abschluss, Datenschutz-Grundverordnung – zu treffen passungs- und Umsetzungsgesetz) wurde am rangs hängt von der jeweiligen Situation des
der eine Vereinheitlichung von Datenschutz- bzw. bereits vorhandene Regelungen aufrecht- 12. Mai 2017 verabschiedet und tritt am 25. Falles ab. Zwei Fallgruppen sind hier besonders
standards in Europa zum Ziel hatte. Wirksam zuerhalten – dies trotz des eigentlichen Ziels Mai 2018 in Kraft. Daneben werden auch die maßgeblich.
wird sie nach einer zweijährigen Übergangszeit der Datenschutz-Grundverordnung, eine Har- übrigen bundesrechtlichen Datenschutzrege-
zum 25. Mai 2018. monisierung der Vorschriften zum Schutz der lungen zu überprüfen und ggf. an die Daten- Die erste Fallgruppe betrifft die Situation, dass
Grundrechte und Grundfreiheiten natürlicher schutz-Grundverordnung anzupassen sein. der deutsche Gesetzgeber noch keine Anpas-
Die nationalen Gesetzgeber – sowohl auf Bun- Personen bei der Datenverarbeitung sowie die sungsleistung erbracht hat. Es ist nicht auszu-
des- als auch auf Landesebene – verfügten damit Gewährleistung des freien Verkehrs personen- Soweit die Regelungskompetenz des Bundes im schließen, dass nach dem 25. Mai 2018 noch
über insgesamt ca. zwei Jahre Zeit, um die na- bezogener Daten zwischen den Mitgliedstaa- Datenschutzrecht reicht, bleibt für landesrecht- Fachrecht bestehen wird, das nicht an die
tionalen Gegebenheiten und Vorschriften an die ten zu erreichen. Folglich verfügen die natio- liche Regelungen kein Raum. Die Kompetenz Datenschutz-Grundverordnung angepasst ist.
neuen Vorgaben der Europäischen Union infolge nalen Gesetzgeber trotz zukünftig unmittelbar des Landesgesetzgebers liegt daher vorrangig Enthält das Bundes- oder Landesrecht einzelne
der Datenschutz-Grundverordnung anzupassen. geltender Datenschutz-Grundverordnung über bei der Regelung des Datenschutzes der öffent- Bestimmungen, die nicht modifiziert wurden,
gewisse Spielräume für das nationale Daten- lichen Stellen der Länder. Hier sind auch die we- geht im Konfliktfall die Regelung der Daten-
Da Verordnungen gemäß Art. 288 AEUV grund- schutzrecht. sentlichen Spielräume des Landesgesetzgebers schutz-Grundverordnung vor. Die vorrangige
sätzlich allgemeine und unmittelbare Geltung für das Fachrecht zu sehen. Wie die zukünftigen Regelung der Datenschutz-Grundverordnung
haben, wird auch die Datenschutz-Grundver- nationalen Regelungen allerdings im Einzelnen ist anzuwenden und nicht das widersprechende
ordnung in großen Teilen direkte Wirkung ent- 1.2 Gesetzlicher Änderungs- und aussehen werden, ist derzeit noch nicht endgül- innerstaatliche Altrecht.
falten. Entgegenstehendes und auch gleichlau- Anpassungsbedarf tig absehbar und bleibt daher abzuwarten.
tendes nationales Recht ist daher grundsätzlich Die zweite Fallgruppe betrifft das neu geschaf-
aufzuheben. Um das Bundes- bzw. Landesrecht mit der fene Recht, insbesondere das Bundesdaten-
Datenschutz-Grundverordnung in Einklang zu 1.3 Kollisionsregeln schutzgesetz und das jeweilige Landesdaten-
Für die Wirtschaft wird damit insgesamt ein bringen, haben die nationalen Gesetzgeber schutzgesetz. Sollte hier ein Widerspruch zur
verlässlicher Rechtsrahmen geschaffen, um in daher die nationalen Datenschutzregelungen Im Falle inhaltlicher Konflikte des Rechts – Datenschutz-Grundverordnung vorliegen,
der ganzen Europäischen Union tätig werden zu überprüfen, ggf. anzupassen, dabei die Re- d.h. wenn eine Regelung im Einzelfall eine geht die Regelung der Datenschutz-Grund-
zu können. Die Datenschutzregeln der EU gel- gelungsaufträge umzusetzen und – soweit bestimmte Rechtsfolge anordnet, die der verordnung dem Grunde nach gleichermaßen
ten dann auch für amerikanische oder andere gewünscht – die gegebenen Regelungsbefug- Rechtsfolge einer anderen Bestimmung wi- vor. Allerdings ist hier sehr viel sorgfältiger zu
Unternehmen, die in Europa ihre Dienste an- nisse zu nutzen. Nationale Regelungen müssen derspricht – bedarf es der Kollisionsregeln. prüfen, ob und wie der innerstaatliche Gesetz-
bieten. Damit werden Wettbewerbsnachteile mit denen der Datenschutz-Grundverordnung Für das Unionsrecht greift die allgemeine geber aus seiner Sicht zulässige Spielräume der
gegenüber Drittstaaten ohne vergleichbares vereinbar sein. Widersprechen sich die Bestim- Konfliktregel des Anwendungsvorrangs. Da- Datenschutz-Grundverordnung genutzt hat.
Datenschutzniveau ausgeglichen. Umgekehrt mungen des Unionsrechts und des nationalen nach ist in einem konkreten Konfliktfall eine
gilt: Ein funktionierender Datenschutz wird Rechts, geht die Datenschutz-Grundverord- bestimmte innerstaatliche Rechtsvorschrift Da die Datenschutz-Grundverordnung Öff-
zum Wettbewerbsvorteil für deutsche und eu- nung vor. Enthält das nationale Recht keine Re- unanwendbar, weil sie mit einer vorrangigen nungsklauseln enthält, die eine Spezifizie-
ropäische Unternehmen. gelung trotz Regelungsbefugnis infolge einer Vorschrift des Unionsrechts kollidiert. Wichtig rung durch den innerstaatlichen Gesetzgeber
10 DER LANDESBEAUFTRAGTE FÜR DEN DATENSCHUTZ UND DIE INFORMATIONSFREIHEIT RHEINLAND-PFALZ VERORDNUNG (EU) 2016/679 DES EUROPÄISCHEN PARLAMENTS UND DES RATES 11DIE EU-DATENSCHUTZ-GRUNDVERORDNUNG / Einleitung DIE EU-DATENSCHUTZ-GRUNDVERORDNUNG / Einleitung
zulassen, kommt insoweit auch eine europa- onspflicht. Wurden die Daten bei Dritten erhoben, tungszweck. Dies entspricht der bisherigen 1.10 Rolle der Aufsichtsbehörden
rechtskonforme Auslegung innerstaatlichen ist auch bisher die betroffene Person hierüber zu Rechtslage. Zukünftig muss die Auskunft aber
Rechts in Betracht. Zunächst ist also zu prüfen, benachrichtigen. Neu und wichtig ist die Benach- auch über die geplante Speicherdauer (zumin- Die Datenschutz-Grundverordnung gibt einen
ob die innerstaatliche Bestimmung einer Weise richtigungspflicht im Fall der Zweckänderung, dest die Kriterien für deren Festlegung), die umfangreichen Katalog an Aufgaben der Auf-
ausgelegt werden kann, dass sie mit den euro- wenn also die Daten zu einem anderen Zweck ver- Betroffenenrechte, das Bestehen einer auto- sichtsbehörden vor, der unmittelbare Geltung
parechtlichen Vorgaben in Einklang gebracht arbeitet werden sollen als zu dem Zweck, zu dem matisierten Entscheidungsfindung einschließ- hat (siehe Art. 57 Abs. 1 DS-GVO). Zuvörderst
werden kann. der Verantwortliche sie erlangt hat. lich Profiling und letztlich bei einer Datenüber- sind die Überwachung und die Durchsetzung
mittlung an ein Drittland über die geeigneten (Verlinkung Beitrag Anwendungsvorrang) der
Garantien unterrichten. Datenschutz-Grundverordnung als zentrale
1.5 Praktische Handhabung 1.7 Inhalt der Informationspflicht Aufgaben erfasst, die durch weitere detaillierte
Neu ist auch, dass die Auskunft grundsätz- Aufgaben konkretisiert werden. Aufgaben, die
Behörden selbst können das Recht in einem Grundsätzlich ist auch in Zukunft über den Ver- lich innerhalb einer bestimmten Frist, näm- bereits zum Selbstverständnis der deutschen
tatsächlich vorliegenden Konfliktfall unange- antwortlichen, über die Zweckbestimmung, die lich innerhalb eines Monats nach Eingang des Datenschutzaufsichtsbehörden gehören, wer-
wendet lassen, ohne dass eine Gerichtsent- Empfänger der Daten und die Rechtsgrund- Antrags, zu erteilen ist. Sie bleibt grundsätz- den in dem Katalog manifestiert. Zu nennen
scheidung erforderlich ist. Der Europäische lage der Verarbeitung zu informieren. Werden lich kostenlos. Neu ist zudem das Recht auf sind insbesondere die Aufklärung der Öffent-
Gerichtshof (EuGH) hat festgehalten, dass bei die Daten direkt bei der betroffenen Person Datenübertragbarkeit nach Art. 20 DS-GVO, lichkeit über die Risiken, Rechte und Garantien,
Vorliegen der Voraussetzungen für die unmit- erfragt, ist dieser auf eine ggf. bestehende um etwa bei einem Wechsel des Telekommu- die bei der Verarbeitung personenbezogener
telbare Anwendung des Unionsrechts alle Trä- Verpflichtung zur Angabe hinzuweisen. Zudem nikationsanbieters die Daten komplikations- Daten ein Rolle spielen, die Unterstützung der
ger hoheitlicher Verwaltung einschließlich der sind zukünftig die Kontaktdaten des internen los und vollständig mitnehmen zu können. betroffenen Person bei der Wahrnehmung ih-
kommunalen Behörden an diese Anwendung Datenschutzbeauftragten anzugeben. Um eine Das Recht auf Löschung wird durch Art. 17 rer Betroffenenrechte, die Beratung des Parla-
gebunden sind. Nur so kann dem Unionsrecht faire und transparente Verarbeitung zu ge- DS-GVO ausdrücklich auf die Löschung von ments und der Regierung zu datenschutzrecht-
in der gesamten Europäischen Union zur ein- währleisten, werden zusätzlich Angaben zur Links etwa in Suchmaschinen, die zu der Per- lichen Fragen sowie die Sensibilisierung der
heitlichen Anwendung verholfen werden. Speicherdauer, ein Hinweis auf Betroffenen- son führen, erstreckt („Recht auf Vergessen- verantwortlichen Stellen über ihre Pflichten im
rechte, die Widerrufbarkeit der Einwilligung werden“). Zusammenhang mit dem Schutz personenbe-
Die innerstaatlichen Gerichte können im sowie das Bestehen einer automatisierten zogener Daten.
Streitfall angerufen werden. Sie werden die Einzelfallentscheidung einschließlich Profiling
Zweifelsfrage hinsichtlich der Anwendung des gefordert. Von diesen Informationen kann nur 1.9 Mögliche Beschränkungen durch den
Unionsrechts dem EuGH zur Vorabentschei- unter engen Voraussetzungen abgesehen wer- Gesetzgeber und Sanktionen 1.11 Durchsetzungsstärkende Befugnisse
dung vorlegen. Der EuGH hat das letzte Wort den, z.B. wenn die betroffene Person bereits
über Auslegung und Wirkung des Unionsrechts. über die Angaben verfügt. Informationspflichten und Auskunftsrechte Die Aufgaben zur Durchsetzung der Vor-
können nach Art. 23 DS-GVO unter engen schriften der Datenschutz-Grundverordnung
Voraussetzungen u.a. durch den nationalen werden durch einen ausführlichen Katalog
1.6 Informationspflichten und 1.8 Das Auskunftsrecht der betroffenen Gesetzgeber eingeschränkt werden, z.B. dann, an Befugnissen flankiert, der erheblich über
Auskunftsrechte Personen wenn durch die Information oder Auskunft die bisher bestehenden Befugnisse hinaus-
die nationale Sicherheit gefährdet ist oder geht. Art. 58 DS-GVO stattet die Aufsichts-
Verantwortliche, also Stellen, die personen- Um Auskunft von einem Verantwortlichen zu die Rechte Dritter unverhältnismäßig einge- behörden mit zahlreichen Untersuchungs-,
bezogene Daten verarbeiten, sind verpflichtet, erhalten, kann die betroffene Person nach Art. schränkt werden. Abhilfe- und Genehmigungsbefugnissen aus.
die von der Verarbeitung betroffenen Personen 15 DS-GVO zunächst eine Bestätigung darüber Diese Befugnisse gelten gegenüber öffentli-
darüber zu informieren. Dabei unterscheidet die verlangen, ob überhaupt sie betreffende per- Bei Verstößen gegen die Bestimmungen der chen und nicht-öffentlichen Stellen gleicher-
Datenschutz-Grundverordnung, ob die Daten di- sonenbezogene Daten vorhanden sind. Wenn Artikel zu den Betroffenenrechten können die maßen. Dies stellt zumindest in der deutschen
rekt bei der betroffenen Person (Art. 13 DS-GVO) dies der Fall ist, erstreckt sich dann ihr kon- Aufsichtsbehörden nach Art. 87 Abs. 5 DS- Tradition der Zusammenarbeit der Daten-
oder bei Dritten erhoben worden sind (Art. 14 kretes Auskunftsrecht auf die gespeicherten GVO Geldbußen von bis zu 20 Millionen Euro schutzaufsichtsbehörden mit den öffentlichen
DS-GVO). Auch das zurzeit geltende Landes- und Daten bzw. Datenkategorien, die Herkunft und oder bei Unternehmen von bis zu vier Prozent Stellen, also insbesondere den Behörden, eine
Bundesdatenschutzgesetz kennt diese Informati- die Empfänger der Daten sowie den Verarbei- des Jahresumsatzes verhängen. Neuerung dar, die angesichts des Ziels der
12 DER LANDESBEAUFTRAGTE FÜR DEN DATENSCHUTZ UND DIE INFORMATIONSFREIHEIT RHEINLAND-PFALZ VERORDNUNG (EU) 2016/679 DES EUROPÄISCHEN PARLAMENTS UND DES RATES 13DIE EU-DATENSCHUTZ-GRUNDVERORDNUNG / Einleitung DIE EU-DATENSCHUTZ-GRUNDVERORDNUNG / Fragen & Antworten
Datenschutz-Grundverordnung – eine flä- 2. FRAGEN & ANTWORTEN ordnung z.B. an Behörden, Einrichtungen und
chendeckende Harmonisierung und ein ein- ZUR DATENSCHUTZ- Unternehmen gleichermaßen, es sei denn es
heitliches Datenschutzniveau zu erreichen – GRUNDVERORDNUNG wird ausdrücklich unterschieden.
begrüßenswert ist.
Der räumliche Anwendungsbereich des Euro-
Die Durchsetzungsmechanismen erhalten päischen Datenschutzrechts wird durch die Da-
durch die Befugnis der Aufsichtsbehörden 2.1 Was ist die EU-Datenschutz- tenschutz-Grundverordnung erheblich erwei-
zur Verhängung empfindlicher Geldbußen Grundverordnung? tert. Durch das sog. Marktortprinzip bildet die
und anderer Sanktionen eine besondere Datenschutz-Grundverordnung auch für außer-
Tragweite. Diese können neben Verstößen Die VERORDNUNG (EU) 2016/679 DES EU- europäische Unternehmen, die auf dem euro-
gegen die DS-GVO (siehe Art. 83 Abs. 4 – 6 ROPÄISCHEN PARLAMENTS UND DES RA- päischen Markt tätig sind, indem sie dort Waren
DS-GVO) u.a. bzgl. der Zuwiderhandlung von TES vom 27. April 2016 zum Schutz natürlicher und Dienstleistungen anbieten, in deren Zusam-
Anordnungen nach Art. 58 DS-GVO erhoben Personen bei der Verarbeitung personenbezo- menhang personenbezogene Daten betroffe-
werden. gener Daten, zum freien Datenverkehr und zur ner Personen in der EU verarbeitet werden, den
Aufhebung der Richtlinie 95/46/EG („Daten- datenschutzrechtlichen Rechtsrahmen. Davon
schutz-Grundverordnung“) ist am 25. Mai 2016 betroffen werden z.B. eine Reihe von Anbietern
in Kraft getreten und wird ab dem 25. Mai 2018 sozialer Medien mit Sitz in den USA sein.
in den Mitgliedstaaten unmittelbar gelten. Sie
löst die Datenschutzrichtlinie 95/46/EG ab. Vom Anwendungsbereich der Datenschutz-
Grundverordnung ausgenommen sind dagegen
Als Verordnung der Europäischen Union im wie bisher die Datenverarbeitung durch natürliche
Sinne des Art. 288 Abs. 2 AEUV hat sie im Ge- Personen zur Ausübung ausschließlich persönli-
gensatz zur Datenschutzrichtlinie 95/46/EG cher oder familiärer Tätigkeiten.
allgemeine Geltung; sie ist in allen ihren Teilen
verbindlich und gilt unmittelbar in jedem Mit- Für Datenverarbeitungen im Rahmen einer Tä-
gliedstaat. tigkeit, die nicht in den Anwendungsbereich des
Unionsrechts fällt oder für Datenverarbeitun-
Bei der Datenschutz-Grundverordnung handelt gen durch die Mitgliedstaaten im Rahmen der
sich um die neue Grundlage des Datenschutzes Gemeinsamen Außen- und Sicherheitspolitik
in der EU, die nationale Regelungen zu großen auf Unionsebene gilt die Datenschutz-Grund-
Teilen ersetzt. Sie schafft einen einheitlichen verordnung nicht.
datenschutzrechtlichen Rahmen für Europa.
2.3 Welche Neuerungen erfährt
2.2 Wen betrifft die EU-Datenschutz- der Datenschutz durch die EU-
Grundverordnung? Datenschutz-Grundverordnung?
Die Datenschutz-Grundverordnung betrifft Die Datenschutz-Grundverordnung führt nicht
sowohl die öffentlichen als auch die nicht-öf- zu einem völlig neuen Datenschutzrecht, son-
fentlichen Stellen. Diese werden gesamt als dern erhält viele bewährte Prinzipien.
„Verantwortliche“ bezeichnet. Eine Unter-
scheidung, wie es die Datenschutzgesetze bis- ›› W
ie bisher wird für die Verarbeitung perso-
lang vorsahen, besteht insoweit nicht mehr. nenbezogener Daten eine Rechtsgrundlage
Damit richtet sich die Datenschutz-Grundver- erforderlich sein.
14 DER LANDESBEAUFTRAGTE FÜR DEN DATENSCHUTZ UND DIE INFORMATIONSFREIHEIT RHEINLAND-PFALZ VERORDNUNG (EU) 2016/679 DES EUROPÄISCHEN PARLAMENTS UND DES RATES 15DIE EU-DATENSCHUTZ-GRUNDVERORDNUNG / Fragen & Antworten DIE EU-DATENSCHUTZ-GRUNDVERORDNUNG / Fragen & Antworten
›› P ersonenbezogene Daten müssen weiterhin Datenschutzbehörde wenden, die dann das ergänzende nationale Regelungen u.a. für Un- Eine Zusammenstellung der Kurzpapiere findet
für eindeutig festgelegte Zwecke erhoben Verfahren wenn nötig europäisch fortführt. ternehmen trifft (Datenschutzanpassungs- und man hier: https://www.datenschutz.rlp.de/de/
werden und dürfen nur soweit verarbeitet ›› Die europaweite Zusammenarbeit der Auf- Umsetzungsgesetz vom 12. Mai 2017; es tritt themenfelder-themen/datenschutz-grundver-
werden, wie dies mit diesen Zwecken verein- sichtsbehörden in grenzüberschreitenden am 25. Mai 2018 in Kraft). Anders als bisher re- ordung/kurzpapiere-zur-auslegung-der-ds-gvo/
bar und für sie erforderlich ist. Fällen wurde detailliert geregelt (Kohärenz- gelt das Bundesdatenschutzgesetz aber nicht
›› Die betroffenen Personen haben ein Rei- verfahren). grundlegend alles rund um den Datenschutz bei Auch die Artikel-29-Gruppe erarbeitet Leit-
he von Rechten, mit denen sie Einfluss auf privaten Datenverarbeitern; das erledigt jetzt linien (Guidelines) zur Umsetzung und An-
die Verarbeitung ihrer personenbezogenen weit überwiegend die Datenschutz-Grundver- wendung der Datenschutz-Grundverordnung.
Daten nehmen können, z.B. Auskunft, Be- 2.4 Was wird aus den bewährten ordnung. Das Bundesdatenschutzgesetz ent- Nach Konstituierung des Europäischen Daten-
richtigung, Löschung. Landesdatenschutzgesetzen und dem hält lediglich ergänzende Regelungen. schutzausschusses (EDSA) sollen diese vom
›› Die Verarbeitung personenbezogener Da- Bundesdatenschutzgesetz? EDSA übernommen werden, der zukünftig zur
ten im Auftrag ist auch nach der Daten- Parallel zur Wirksamkeit der Datenschutz-Grund- Sicherstellung der einheitlichen Anwendung
schutz-Grundverordnung möglich. Da die Datenschutz-Grundverordnung als Ver- verordnung soll es ab 25. Mai 2018 auch ein neu- der Datenschutz-Grundverordnung Leitlinien
›› Die Datenschutz-Grundverordnung enthält ordnung im Sinne des Art. 288 Abs. 2 AEUV un- es Landesdatenschutzgesetz Rheinland-Pfalz erlässt (Art. 70 ff. DS-GVO).
aber auch Neuerungen. Einige Beispiele: mittelbar in den einzelnen Mitgliedstaaten gilt, geben, mit ergänzenden Regelungen insbeson-
›› Das Datenschutzrecht der EU wird zukünftig ist entgegenstehendes und auch gleichlauten- dere für die Datenverarbeitung durch die öf-
nicht lediglich für in der EU niedergelasse- des nationales Recht grundsätzlich aufzuheben. fentlichen Stellen des Landes Rheinland-Pfalz. 2.6 Welcher Schritte bedarf es für die
ne Unternehmen gelten, sondern auch für Verantwortlichen zur Umsetzung der
außereuropäische Unternehmen, die auf Nationale Gesetzgebung wird zukünftig grund- EU-Datenschutz-Grundverordnung?
dem europäischen Markt tätig sind (Markt- sätzlich im Bereich des Datenschutzrechts nur 2.5 Wo kann man sich über die EU-
ortprinzip). dort möglich sein, wo die Datenschutz-Grund- Datenschutz-Grundverordnung Die Verantwortlichen müssen ihre Verarbei-
›› Unternehmen sind zu umfangreicheren In- verordnung keine Anwendung findet oder sie näher informieren? Welche Interpre tungsvorgänge, Verarbeitungssysteme und
formation der betroffenen Personen und explizit nationale Regelungen zulässt (sog. tationshilfen und Anleitungen gibt es? ihre organisatorischen Strukturen bis zum 25.
größerer Transparenz verpflichtet als bisher. Öffnungsklauseln) bzw. den Mitgliedstaaten Mai 2018 an die Datenschutz-Grundverord-
›› Die Verpflichtungen zu technischem und or- konkrete Regelungsaufträge erteilt. Die Da- Mit Hilfe des Internetangebots des Landesbe- nung anpassen. Dies umfasst eine ganze Reihe
ganisatorischem Datenschutz werden fort- tenschutz-Grundverordnung enthält allerdings auftragten für den Datenschutz und die Infor- von Aufgaben, u.a.:
entwickelt. – für eine Verordnung untypisch – eine Reihe mationsfreiheit Rheinland-Pfalz können sich die
›› Die Datenschutz-Grundverordnung fördert von Öffnungsklauseln und erteilt eine Vielzahl Bürgerinnen und Bürger, Unternehmen und Ver- ›› D ie Anpassung der eigenen Verarbeitungsvor-
die Selbstregulierung der Verantwortlichen von Regelungsaufträgen, sodass trotz der un- waltungen über die Neuerungen und die Inhalte gänge an die Rechtsgrundlagen der Daten-
und hält hierzu mit Regeln für Codes of mittelbaren Geltung der Datenschutz-Grund- der Datenschutz-Grundverordnung informie- schutz-Grundverordnung (insb. Art. 6 DS-GVO).
Conduct, Binding Corporate Rules und Zer- verordnung nationale Gesetzgebung an vielen ren. Das Angebot wird fortlaufend aktualisiert: ›› Die Anpassung datenschutzrechtlicher Ein-
tifizierungsverfahren mehrere Instrumente Stellen möglich bleibt. https://www.datenschutz.rlp.de/de/themen- willigungen (Art. 7 und 8 DS-GVO)
bereit. felder-themen/datenschutz-grundverordnung/ ›› Die Umsetzung der Pflichten zur Informa-
›› Verantwortliche werden in Zukunft in vielen Es wird daher auch weiterhin sowohl Landes- tion und Auskunft an die betroffenen Perso-
Bereichen verpflichtet sein, Datenschutz-Fol- datenschutzgesetze als auch ein Bundes- Die unabhängigen Datenschutzbehörden des nen (Art. 12 ff. DS-GVO).
genabschätzungen durchzuführen. datenschutzgesetz geben, sowie datenschutz- Bundes und der Länder (DSK) veröffentlichen ›› Die Anpassung von Aufträgen im Sinne der
›› Die Aufsichtsbehörden bekommen eine rechtliche Regelungen in bereichsspezifischen Kurzpapiere, in denen die Neuerungen durch Auftragsverarbeitung (Art. 28 DS-GVO).
große Anzahl neuer Aufgaben zugewiesen nationalen Gesetzen. Die bisherigen Regelungen die Datenschutz-Grundverordnung themen- ›› Die Umsetzung eines Datenschutz-Manage-
und können viel höhere Geldbußen verhän- können allerdings nicht unverändert bestehen spezifisch für die Verantwortlichen und die ments (Art. 24 DS-GVO).
gen als bisher. bleiben, sondern sie sind bis zum 25. Mai 2018 an betroffenen Personen aufbereitet werden. Da- ›› Die Umsetzung des technischen Daten-
›› Für jedes Unternehmen wird eine Daten- die Datenschutz-Grundverordnung anzupassen. durch sollen die Verantwortlichen – insbeson- schutzes (Art. 25 DS-GVO) und der Daten-
schutzbehörde federführend zuständig sein dere aus dem nicht-öffentlichen Bereich – bei sicherheit (Art. 32 DS-GVO)
(One stop shop). Jede Bürgerin oder je- Der Bundesgesetzgeber hat bereits ein neues der Vorbereitung auf die Rechtslage ab dem ›› Die Einrichtung eines Verfahrensverzeich-
der Bürger wird sich mit Eingaben an seine Bundesdatenschutzgesetz verabschiedet, das 25. Mai 2018 unterstützt werden. nisses (Art. 30 DS-GVO).
16 DER LANDESBEAUFTRAGTE FÜR DEN DATENSCHUTZ UND DIE INFORMATIONSFREIHEIT RHEINLAND-PFALZ VERORDNUNG (EU) 2016/679 DES EUROPÄISCHEN PARLAMENTS UND DES RATES 17DIE EU-DATENSCHUTZ-GRUNDVERORDNUNG / Fragen & Antworten DIE EU-DATENSCHUTZ-GRUNDVERORDNUNG / Fragen & Antworten
›› D
ie Durchführung von Datenschutz-Folgen- Aufgrund einer Öffnungsklausel in der Daten- Konkret obliegen dem Datenschutzbeauftrag- 2.9 Was passiert, wenn bis Mai 2018 trotz
abschätzungen (Art. 35 DS-GVO) und vor- schutz-Grundverordnung (Art. 37 Abs. 4) ist es für ten nach Art. 39 Abs. 1 DS-GVO künftig die fol- bestehender Benennungspflicht kein
herigen Konsultationen (Art. 36 DS-GVO). den nationalen Gesetzgeber möglich, weitere Fälle genden Aufgaben: interner Datenschutzbeauftragter
››
Die Benennung eines Datenschutzbeauf- einer Benennungspflicht zu regeln. Davon hat der benannt worden ist?
tragten (Art. 37 ff. DS-GVO). Bundesgesetzgeber Gebrauch gemacht (siehe § ›› U nterrichtung und Beratung des Verant-
››
Die Schulung der eigenen Mitarbeiter im 38 Abs. 1 Bundesdatenschutzgesetz) und unter wortlichen und der Beschäftigten, die Ver- Benennt ein Verantwortlicher oder Auftrags-
Hinblick auf die neue Rechtslage. anderem ein bereits bekanntes Kriterium beibehal- arbeitungen durchführen, hinsichtlich ihrer verarbeiter trotz bestehender Benennungs-
ten. Nach dem neuen Bundesdatenschutzgesetz Datenschutz-Pflichten (lit. a); pflicht keinen Datenschutzbeauftragten, so
besteht eine Pflicht zur Benennung – wie bislang ›› Überwachung der Einhaltung der Daten- kann von der zuständigen Aufsichtsbehörde
2.7 Wann ist künftig ein interner – auch dann, wenn bei einem Verantwortlichen schutzvorschriften sowie der Strategien eine Geldbuße verhängt werden (Art. 83 Abs.
Datenschutzbeauftragter zu in der Regel mindestens zehn Personen ständig des Verantwortlichen für den Schutz per- 4 lit. a DS-GVO).
benennen? mit der automatisierten Verarbeitung personen- sonenbezogener Daten einschließlich
bezogener Daten beschäftigt sind, unabhängig der Zuweisung von Zuständigkeiten, der
Eine Folge der Datenschutz-Grundverordnung davon, ob die Voraussetzungen des Art. 37 Abs. Sensibilisierung und Schulung der an den 2.10 Was gilt es beim Verzeichnis
ist die erstmalige Einführung einer europawei- 1 lit. b oder c DS-GVO vorliegen. Zudem besteht Verarbeitungsvorgängen beteiligten Mit- von Verarbeitungstätigkeiten zu
ten Pflicht für alle Verwaltungen und bestimm- nunmehr nach dem neuen Bundesdatenschutz- arbeiterinnen und Mitarbeiter und der dies- beachten?
te Unternehmen, einen Datenschutzbeauf- gesetz auch dann eine Benennungspflicht, wenn bezüglichen Überprüfungen (lit. b);
tragten zu benennen. Für Deutschland galt dies Verarbeitungen vorgenommen werden, die einer ›› Beratung im Zusammenhang mit der Daten- Das bisher von den Verantwortlichen zu füh-
unter bestimmten Voraussetzungen bereits Datenschutz-Folgenabschätzung nach Art. 35 schutz-Folgenabschätzung nach Art. 35 DS- rende Verfahrensverzeichnis wird abgelöst und
bisher schon. DS-GVO unterliegen oder wenn personenbezo- GVO und Überwachung ihrer Durchführung modifiziert. Gegenstand des Verzeichnisses
gene Daten geschäftsmäßig zum Zweck der Über- (lit. c); sind nunmehr sämtliche automatisierte Ver-
Zukünftig haben Behörden und öffentliche mittlung, der anonymisierten Übermittlung oder ›› Zusammenarbeit mit der Aufsichtsbehörde arbeitungen und auch nichtautomatisierte Ver-
Stellen immer einen Datenschutzbeauftragten für Zwecke der Markt- oder Meinungsforschung (lit. d) und Tätigkeit als Anlaufstelle für die arbeitungen, sofern sie in einem Dateisystem
zu benennen, unabhängig davon wie viele Be- verarbeitet werden, unabhängig von der Anzahl Aufsichtsbehörde (lit. e). gespeichert sind. Das Verzeichnis bildet dabei
schäftigte dort regelmäßig personenbezoge- der mit der Verarbeitung beschäftigten Personen. die Summe der durch den Verantwortlichen
ne Daten verarbeiten (Art. 37 Abs. 1 lit. a DS- Hinzu kommt die Beratung der betroffenen durchgeführten Verarbeitungen.
GVO). Personen zu allen mit der Verarbeitung ihrer
2.8 Welche Aufgaben hat künftig ein personenbezogenen Daten und mit der Wahr- Das Verzeichnis ist zukünftig intern zu führen
Private Verantwortliche oder Auftragsverar- interner Datenschutzbeauftragter? nehmung ihrer Rechte gemäß der Daten- und dient damit zum einen der Einhaltung der
beiter, d.h. insbesondere Unternehmen, haben schutz-Grundverordnung im Zusammenhang nach der Datenschutz-Grundverordnung den
nach der Datenschutz-Grundverordnung (Art. Künftig wird der Datenschutzbeauftragte ne- stehenden Fragen (Art. 38 Abs. 4 DS-GVO). Verantwortlichen auferlegten Dokumentati-
37 Abs. 1 lit. b und c) einen Datenschutzbeauf- ben seiner Beratungsfunktion verstärkt die Rolle onspflichten und deren internen Organisation
tragten zu benennen, wenn deren Kerntätigkeit eines Compliance-Beauftragten zum Daten- Bei der Erfüllung dieser Aufgaben hat der als auch – auf Anfrage – der Kontrolle der Da-
in der Durchführung von Verarbeitungsvorgän- schutz einnehmen, der intern nicht nur die Ein- Datenschutzbeauftragte dem mit den Ver- tenschutzaufsichtsbehörden.
gen besteht, welche aufgrund ihrer Art, ihres haltung der datenschutzrechtlichen Vorgaben arbeitungsvorgängen verbundene Risiko ge-
Umfangs und / oder ihrer Zwecke eine umfang- überwachen, sondern auch die dazu innerhalb bührend Rechnung zu tragen, wobei er die Art, Der Inhalt des Arbeitsverzeichnisses des Ver-
reiche regelmäßige und systematische Über- seiner Organisation entwickelten Strategien den Umfang, die Umstände und die Zwecke antwortlichen richtet sich nach Art. 30 Abs. 1
wachung von betroffenen Personen erforder- zum Schutz personenbezogener Daten inhalt- der Verarbeitung berücksichtigt (Art. 39 Abs. DS-GVO. Danach sind in dem Verzeichnis die
lich machen oder wenn deren Kerntätigkeit in lich bewerten soll. Vor allem diese eher risiko- 2 DS-GVO). Kontaktdaten des Verantwortlichen aufzuneh-
der umfangreichen Verarbeitung besonderer orientierten, koordinierenden und bewertenden men und wesentliche Angaben zu der Verarbei-
Kategorien von Daten oder von personenbe- Aufgaben stellen im Vergleich zu der bisheri- Der Datenschutzbeauftragte kann darüber hi- tung zu dokumentieren, wie z.B. der Zweck der
zogenen Daten über strafrechtliche Verurtei- gen Rechtslage eine gravierende Änderung der naus andere Pflichten und Aufgaben überneh- Verarbeitung, die Kategorien der personenbe-
lungen und Straftaten (Artikel 9, 10 DS-GVO) praktischen Tätigkeit der Datenschutzbeauf- men, soweit es dabei nicht zu Interessenkon- zogenen Daten, die verarbeitet werden, und die
besteht. tragten und damit auch ihrer internen Rolle dar. flikten kommt (Art. 38 Abs. 6 DS-GVO). Kategorien der davon betroffenen Personen.
18 DER LANDESBEAUFTRAGTE FÜR DEN DATENSCHUTZ UND DIE INFORMATIONSFREIHEIT RHEINLAND-PFALZ VERORDNUNG (EU) 2016/679 DES EUROPÄISCHEN PARLAMENTS UND DES RATES 19DIE EU-DATENSCHUTZ-GRUNDVERORDNUNG / Fragen & Antworten DIE EU-DATENSCHUTZ-GRUNDVERORDNUNG / Fragen & Antworten
Außerdem sind die Empfänger aufzuführen, Sicherheit der Verarbeitung meint also IT-Si- organisatorische Abläufe des Verantwortlichen ›› D ie zwingenden Inhalte des Auftrags wur-
die Aufbewahrungs- bzw. Löschfristen und die cherheit im Hinblick auf das Schutzgut der sind Teil dieser Pflicht. den in Art. 28 Abs. 3 DS-GVO detailliert ge-
technisch-organisatorischen Maßnahmen, die personenbezogenen Daten. Art. 5 Abs. 1 lit. f regelt und enthalten zahlreiche kleinere Un-
der Verantwortliche ergreift. und Art. 32 Abs. 1 DS-GVO enthalten daher als Art. 25 Abs. 2 DS-GVO enthält außerdem terschiede zur bisherigen Rechtslage. Daher
Anforderungen u.a. auch klassische IT-Sicher- die Pflicht zu datenschutzfreundlichen Vor- ist es notwendig, bestehende Aufträge bis
Die wesentliche Neuerung in Bezug auf das heitsziele wie Vertraulichkeit, Integrität und einstellungen (privacy by default). Dies zum 25. Mai 2018 anzupassen.
Verzeichnis von Verarbeitungstätigkeiten ist, Verfügbarkeit, aber auch konkrete Maßnahmen bedeutet, dass Voreinstellungen von Ver- ›› Die Auftragserteilung kann gemäß Art. 28
dass die Pflicht zum Führen eines solchen wie Pseudonymisierung und Verschlüsselung. arbeitungssystemen die Verarbeitung perso- Abs. 9 DS-GVO in Zukunft auch in einem
Verzeichnisses auch die Auftragsverarbeiter nenbezogener Daten auf das für den Zweck elektronischen Format erfolgen. Das stren-
trifft. Das Verzeichnis ist weniger umfang- Die Sicherheit der Verarbeitung ist eine Ge- absolut erforderliche Maß begrenzen müs- ge Schriftformerfordernis (handschriftliche
reich als das des Verantwortlichen. So muss staltungsaufgabe für die Verantwortlichen, die sen. Wollen betroffene Personen, etwa in so- Unterschrift) gilt damit nicht mehr. Ausrei-
es neben den Kontaktdaten des Auftragsver- die technischen und organisatorischen Maß- zialen Netzwerken, eine weitergehende Ver- chend für das elektronische Format ist jedes
arbeiters und jedes Auftraggebers, für den er nahmen bis zum 25. Mai 2018 umzusetzen arbeitung ihrer personenbezogenen Daten elektronische Dokument, das dauerhaft wie-
tätig ist, lediglich Angaben zu den Kategorien und in der Folge regelmäßig zu überprüfen erlauben, müssen sie diese Voreinstellungen dergegeben werden kann (vergleichbar mit
von Verarbeitungen, etwaigen Übermittlun- haben. Verstöße gegen die Pflicht zur Siche- bewusst ändern. der Textform in § 126b BGB).
gen in Drittländer und eine Beschreibung rung der Verarbeitung können nach der Daten- ›› Gemäß Art. 32 Abs. 2 DS-GVO haben die
der technisch-organisatorischen Maßnahmen schutz-Grundverordnung zu empfindlichen Auftragsverarbeiter in Zukunft ein eigenes
enthalten. Geldbußen führen. 2.13 Was ist neu bei der Auftrags(daten)- Verzeichnis von Verarbeitungstätigkeiten zu
verarbeitung? führen.
Neben einem Kurzpapier hat die DSK außer- ›› Art. 82 DS-GVO enthält einen eigenen
dem Hinweise zum Führen des Verzeichnisses 2.12 Was meint „privacy by design“? Die Verarbeitung personenbezogener Daten Schadensersatzanspruch betroffener Per-
erstellt, insbesondere Beispiele für die jeweili- im Auftrag wird es auch unter der Daten- sonen gegenüber den Auftragsverarbeitern.
gen Kategorien und Inhalte. Privacy by Design, oder auf Deutsch auch schutz-Grundverordnung geben. Sie heißt Die Auftragsverarbeiter haften dann, wenn
“Datenschutz durch Technikgestaltung“ be- dort „Auftragsverarbeitung“ und ist in Art. sie gegen ihre speziellen Pflichten aus der
2.11 Welche Anforderungen an die Sicher- deutet, dass der Datenschutz sozusagen in die 28 DS-GVO geregelt. Das BDSG-neu enthält DS-GVO oder gegen die Anweisungen des
heit der Verarbeitung sind zu berück- Datenverarbeitungssysteme eingebaut werden keine diesbezüglichen Regelungen mehr, für Auftraggebers verstoßen.
sichtigen? soll. Privacy by Design beruht auf dem Gedan- die Landesdatenschutzgesetze ist dies eben- ››
Verstoßen Auftragsverarbeiter gegen die
ken, dass Datenschutzverstöße, die technisch so zu erwarten. Ab dem 25. Mai 2018 wird Anweisungen des Auftraggebers und be-
Die Sicherheit der Verarbeitung ist in Art. 5 nicht möglich sind, auch nicht passieren. Das damit für alle öffentlichen und nichtöffent- stimmen selbst die Zwecke der Verarbei-
Abs. 1 lit. f DS-GVO als Grundsatz der Integrität Konzept ist nicht völlig neu, hat aber in Art. 25 lichen Verantwortlichen Art. 28 DS-GVO an- tung, gelten sie insofern außerdem gemäß
und Vertraulichkeit verankert und wird in Art. DS-GVO nun eine prominente und sanktions- wendbar sein. Art. 28 Abs. 10 DS-GVO selbst als Verant-
32 DS-GVO konkretisiert. bewehrte Regelung erfahren. wortliche, mit allen Konsequenzen.
Die Auftragsverarbeitung wird nicht grund-
Verantwortliche und Auftragsverarbeiter müs- Gemäß Art. 25 Abs. 1 DS-GVO haben die Ver- legend umgestaltet. Die Auftragnehmer müs- Für eine Übermittlung an Auftragnehmer außer-
sen geeignete technische und organisatori- antwortlichen sowohl zum Zeitpunkt der Fest- sen sorgfältig ausgewählt werden und dürfen halb der EU gelten zusätzlich die Anforderungen
sche Maßnahmen treffen, um einen adäquaten legung der Verarbeitungsmittel als auch zum personenbezogene Daten nur im Rahmen der aus den Art. 44 ff. DS-GVO über die Übermitt-
Schutz gegen Risiken für die Rechte und Frei- Zeitpunkt der Verarbeitung durch technische Anweisungen des Auftraggebers verarbeiten. lung personenbezogener in Drittländer.
heiten natürlicher Personen zu schaffen. und organisatorische Maßnahmen sicherzu- Insgesamt kann festgestellt werden, dass sich
stellen, dass die Anforderungen der Verord- die Datenschutz-Grundverordnung klar zum
Solche Risiken bestehen insbesondere durch nung eingehalten werden. Dies kann z.B. durch Modell der Auftragsverarbeitung bekennt und 2.14 Was bedeutet das „Recht auf
die Möglichkeit des unbefugten Zugriffs den Einkauf datenschutzgerechter Software dieses sogar fortentwickelt. Datenübertragbarkeit?“
auf personenbezogene Daten und Verarbei- oder durch die eigene Entwicklung solcher
tungssysteme durch externe und interne Produkte umgesetzt werden. Auch die daten- Es ergeben sich aber im Detail einige Änderun- Das Recht auf Datenübertragbarkeit in Art. 20
Angreifer. schutzgerechte Einbettung solcher Systeme in gen, insbesondere: DS-GVO ist eine echte Neuerung. Betroffene
20 DER LANDESBEAUFTRAGTE FÜR DEN DATENSCHUTZ UND DIE INFORMATIONSFREIHEIT RHEINLAND-PFALZ VERORDNUNG (EU) 2016/679 DES EUROPÄISCHEN PARLAMENTS UND DES RATES 21DIE EU-DATENSCHUTZ-GRUNDVERORDNUNG / Fragen & Antworten DIE EU-DATENSCHUTZ-GRUNDVERORDNUNG / Fragen & Antworten
Personen haben das Recht, von einem Verant- In der Folge ist die Aufsichtsbehörde, bei der mit Pflichtinhalten für die Information je nach Neu im Zusammenhang mit der Freiwilligkeit der
wortlichen, die Daten, die sie ihm bereitgestellt die Beschwerde eingereicht wurde, verpflich- Art der Datenverarbeitung. Art. 12 DS-GVO Einwilligung ist das in der Datenschutz-Grund-
haben, in einem gängigen Format herausge- tet, die Beschwerdeführerin oder den Be- enthält außerdem allgemeine Anforderungen verordnung nunmehr ausdrücklich geregelte,
geben zu bekommen, so dass sie mit ihnen zu schwerdeführer über den Stand und die Er- an die Zugänglichkeit und Verständlichkeit der generell geltende sog. Kopplungsverbot (Art. 7
einem anderen Verantwortlichen „umziehen“ gebnisse der Beschwerde, einschließlich der Information. Abs. 4 DS-GVO bzw. Erwägungsgrund 43 der
können. So können betroffene Personen z.B. Möglichkeit eines gerichtlichen Rechtsbehelfs DS-GVO). Dieses besagt, dass eine Einwilligung
von einem sozialen Netzwerk verlangen, ihre nach Art. 78 DS-GVO zu unterrichten (Art. 77 keine gültige Rechtsgrundlage liefert, wenn
Profildaten so zu bekommen, dass sie zu einem Abs. 2 DS-GVO). 2.17 Wann wird künftig eine Einwilligung zwischen der betroffenen Person und dem
anderen sozialen Netzwerk umziehen können, für eine Datenverarbeitung benötigt? Verantwortlichen ein klares Ungleichgewicht
ohne dort ihr Profil wieder von „Null“ aufbauen besteht, insbesondere wenn es sich bei dem
zu müssen. 2.16 Welche Informationspflichten haben Im Datenschutzrecht gilt sowohl derzeit als Verantwortlichen um eine Behörde handelt,
die Verantwortlichen künftig den auch künftig unter der Datenschutz-Grundver- und es deshalb in Anbetracht aller Umstände
Das Recht auf Datenübertragbarkeit kann mit- betroffenen Personen gegenüber? ordnung das sog. Verbot mit Erlaubnisvorbe- in dem speziellen Fall unwahrscheinlich ist, dass
telbar den Datenschutz befördern, indem es halt (siehe Art. 6 DS-GVO). Die Verarbeitung die Einwilligung freiwillig gegeben wurde.
„Lock-in-Effekte“ abschwächen und es den Der Grundsatz der Transparenz bei der Ver- von personenbezogenen Daten ist auch unter
Nutzern erleichtern soll, in ein datenschutz- arbeitung personenbezogener Daten in Art. 5 Geltung der Datenschutz-Grundverordnung Zudem ist unter der Datenschutz-Grundver-
freundlicheres Netzwerk zu wechseln. Abs. 1 lit. a DS-GVO wird durch eine ganze Rei- nur zulässig, wenn die betroffene Person ein- ordnung geregelt, dass eine Einwilligung von
he von Informationspflichten der Verantwort- gewilligt hat oder eine gesetzliche Vorschrift der betroffenen Person jederzeit widerrufen
Das Recht auf Datenübertragbarkeit beinhaltet lichen gegenüber den betroffenen Personen diese erlaubt. werden kann und dass die betroffene Person
nicht automatisch die Löschung beim ersten konkretisiert. Im Gegensatz zum Auskunfts- auf diese Widerrufsmöglichkeit hinzuweisen ist.
Verantwortlichen. Diese muss gemäß Art. 17 recht, bei dem betroffene Personen die Aus- Zur Verarbeitung von personenbezogenen
DS-GVO zusätzlich verlangt werden. kunft verlangen müssen, müssen die Verant- Daten ist eine Einwilligung also dann erforder- Es wird zukünftig unter der Datenschutz-Grund-
wortlichen bei den Informationspflichten von lich, wenn keine gesetzliche Erlaubnisnorm verordnung aber nicht mehr erforderlich sein,
sich aus aktiv werden. existiert. dass die Einwilligung in aller Regel schriftlich
2.15 Wie und wo können Bürgerinnen erfolgt. Vielmehr ist diese grundsätzlich form-
und Bürger sich ab Mai 2018 Die wichtigsten Informationspflichten sind: Vorhandene Einwilligungen können weiter gel- frei möglich. Erforderlich ist allerdings nach
über Datenschutzverletzungen ten, wenn sie bereits den Anforderungen der der Datenschutz-Grundverordnung, dass der
beschweren? ›› Information über Widerrufsrecht bei der Datenschutz-Grundverordnung genügen. Verantwortliche die Einwilligung nachweisen
Einwilligung (Art. 7 Abs. 3 DS-GVO), kann. Deshalb wird sich auch zukünftig eine
Bürgerinnen und Bürger können sich bei der ›› Informationspflicht bei Erhebung der Daten schriftliche Einwilligung anbieten.
jeweiligen Aufsichtsbehörde ihrer Wahl be- bei der betroffenen Person (Art. 13 Abs. 1 2.18 Was sind die Voraussetzungen für
schweren, wenn sie der Auffassung sind, dass DS-GVO), eine wirksame Einwilligung nach der
die Verarbeitung der sie betreffenden per- ›› Informationspflicht, wenn die Daten nicht EU-Datenschutz-Grundverordnung? 2.19 Können Kinder und Jugendliche
sonenbezogenen Daten gegen die Daten- bei der betroffenen Person erhoben werden zukünftig selbst eine wirksame
schutz-Grundverordnung verstößt (Art. 77 (Art.14 Abs. 1 DS-GVO), Die Bedingungen für die Einwilligung regelt Einwilligung abgeben?
Abs. 1 DS-GVO). ›› Informationspflicht bei Zweckänderung (Art. Art. 7 DS-GVO.
13 Abs. 3 und Art. 14 Abs. 4 DS-GVO), Für die Verarbeitung personenbezogener Da-
Die Aufsichtsbehörden haben das Einreichen ›› Benachrichtigungspflicht bei Datenschutz- Wirksamkeitsvoraussetzung für die Einwilli- ten von Kindern auf Grundlage einer Einwilli-
solcher Beschwerden durch bestimmte Maß- verletzungen (Art. 34 DS-GVO), gung ist derzeit und wird auch unter der Da- gung in Bezug auf Dienste der Informations-
nahmen zu erleichtern, wie z.B. durch das Be- ›› Veröffentlichung der Kontaktdaten des Da- tenschutz-Grundverordnung sein, dass diese gesellschaft gelten Besonderheiten (Art. 8
reitstellen eines Beschwerdeformulars, das auch tenschutzbeauftragten (Art. 37 DS-GVO). freiwillig und informiert erfolgt. Auch die Zweck- DS-GVO).
elektronisch ausgefüllt werden kann, ohne dass gebundenheit der Einwilligung ist ein derzeit
allerdings andere Kommunikationsmittel ausge- Die zentralen Informationspflichten in Art. 13 herrschender Grundsatz, der weiter gelten wird; Grundsätzlich ist die Erteilung der Einwilligung
schlossen sein dürfen (Art. 57 Abs. 2 DS-GVO). und 14 DS-GVO enthalten jeweils einen Katalog d.h. pauschale Einwilligungen sind unwirksam. durch den gesetzlichen Vertreter oder zumindest
22 DER LANDESBEAUFTRAGTE FÜR DEN DATENSCHUTZ UND DIE INFORMATIONSFREIHEIT RHEINLAND-PFALZ VERORDNUNG (EU) 2016/679 DES EUROPÄISCHEN PARLAMENTS UND DES RATES 23DIE EU-DATENSCHUTZ-GRUNDVERORDNUNG / Fragen & Antworten DIE EU-DATENSCHUTZ-GRUNDVERORDNUNG / Fragen & Antworten
dessen Zustimmung zur Einwilligung erforder- darin zum Ausdruck gekommene Konkretisie-
lich, um eine Datenverarbeitung auf dieser rung und Präzisierung bestimmter Regelungen
Grundlage rechtmäßig vorzunehmen. Erst der Verordnung berufen.
nach Vollendung des sechzehnten Lebensjah-
res können Minderjährige selbst eine wirksame Verhaltensregeln haben zum anderen an meh-
Einwilligung zur Verarbeitung ihrer personen- reren Stellen als vorteilhafte Auswirkungen für
bezogenen Daten abgeben. den Verantwortlichen:
Die Mitgliedstaaten können diese o.g. Altersgren- ›› Im Rahmen der Erfüllung der Pflichten nach
ze absenken, allerdings darf diese jedenfalls nicht Art. 24 DS-GVO,
unter dem vollendeten dreizehnten Lebensjahr ›› Im Rahmen der Auftragsverarbeitung nach
liegen. Der Bundesgesetzgeber hat davon aller- Art. 28 DS-GVO,
dings bislang keinen Gebrauch gemacht. ›› Im Rahmen der Erfüllung von Pflichten nach
Art. 32 DS-GVO,
›› Im Rahmen der Datenschutz-Folgenab-
2.20 Was ist ein „Code of Conduct“ schätzung nach Art. 35 DS-GVO,
und welche Wirkungen hat ein ›› Im Rahmen der Datenübermittlung in Dritt-
solcher unter der EU-Datenschutz- länder nach Art. 46 DS-GVO,
Grundverordnung? ›› Im Rahmen der Festlegung der Höhe von
Geldbußen nach Art. 83 DS-GVO.
„Codes of Conduct“ werden im Deutschen „Ver-
haltensregeln“ genannt und sind in Art. 40 und
41 DS-GVO geregelt. Sie sind ein Instrument
der regulierten Selbstregulierung. Verbände
und Vereinigungen, die Kategorien von Verant-
wortlichen oder Auftragsverarbeitern können
Verhaltensregeln erarbeiten und von den Auf-
sichtsbehörden genehmigen lassen. Diese Ver-
haltensregeln konkretisieren und präzisieren die
abstrakten Vorgaben der Datenschutz-Grund-
verordnung für Verarbeitungssituationen in spe-
zifischen Branchen und Bereichen.
Die Aufsicht über die Befolgung der Verhal-
tensregeln kann auf private Stellen übertragen
werden, die von den Aufsichtsbehörden akkre-
ditiert werden.
Genehmigte Verhaltensregeln bringen mehre-
re Vorteile für die Verantwortlichen mit sich.
Die Verantwortlichen können sich zum einen
gegenüber den Aufsichtsbehörden auf die von
diesen genehmigten Verhaltensregeln und die
24 DER LANDESBEAUFTRAGTE FÜR DEN DATENSCHUTZ UND DIE INFORMATIONSFREIHEIT RHEINLAND-PFALZ VERORDNUNG (EU) 2016/679 DES EUROPÄISCHEN PARLAMENTS UND DES RATES 25Sie können auch lesen
