Kategorie: Datenschutz

Einführung

Die „Verordnung des Rates zum Schutz natürlicher Personen“ – Datenschutz-Grundverordnung (DS-GVO) wurde bereits verabschiedet, ist in Kraft und wird ab 2018 Geltung in Deutschland und ganz Europa erhalten.

Wir haben zu dem Thema eine gesonderte Informationsseite aufgebaut, die unter www.rickert.law/gdpr-ninja/ zu finden ist. Dort werden wir gemeinsam mit Experten aus anderen Ländern laufend Informationen über die anstehende Neuregelung einstellen. Nachstehend erhalten Sie aber auch einen schlagwortartigen Überblick über die wichtigsten Änderungen.

Für viele Unternehmen stellt sich nunmehr die Frage, was bis dahin getan werden muss, um auch den neuen Anforderungen entsprechend rechtskonform Daten zu verarbeiten. Die Verordnung stellt keine Revolution des Datenschutzes dar, die alles Bekannte und Bewährte über den Haufen wirft. Dennoch finden sich einige Änderungen in der Verordnung, die es erforderlich machen, die gesamten Datenverarbeitungsprozesse und –systeme noch einmal genau unter die Lupe zu nehmen, um möglichst rechtssicher in die Zukunft zu gehen. Insoweit ist die Frist bis zur unmittelbaren Geltung der Verordnung – die die Geltung des Bundesdatenschutzgesetzes (BDSG) wie wir es kennen aufhebt – nicht so lange, wie sie auf den ersten Blick scheint. 

Denn soweit die Prüfung der Systeme auf Compliance mit kommendem Datenschutzrecht Anpassungsbedarf offenbart, müssen etwaige Änderungen auch noch umgesetzt werden. Soweit dies Anpassungen im Bereich der technischen Infrastruktur oder der bestehenden Datenschutzberechtigungskonzepte erforderlich machen, kann deren Umsetzung erheblich Zeit in Anspruch nehmen. 

Nachfolgend möchten wir Ihnen einen kurzen Überblick über die neue Verordnung und deren Änderungen geben. Gerne stehen wir Ihnen bei der Prüfung und Umsetzung beratend zur Seite und stehen selbstverständlich auch telefonisch und per Email für etwaige Fragen zur Verfügung. 

Ziele der Verordnung 

Ziel der Verordnung ist neben der Vereinheitlichung des Datenschutzrechtes in Europa auch die Stärkung der Rechte der Betroffenen und der Datensicherheit. 

Gleichzeitig wurden die Dokumentations- und Nachweispflichten der Unternehmen erweitert. 

Zeitplan und Geltung der Verordnung

Die Datenschutzgrundverordnung ist bereits seit dem 25.05.2016 in Kraft, entfaltet aber seine unmittelbare Geltung erst ab dem 25.05.2018 gem. Art. 99 DS-GVO. 

Da es sich um eine europäische Verordnung handelt, wird diese – im Gegensatz zu einer Richtlinie, die erst noch in nationales Recht umgesetzt werden muss – unmittelbar ab diesem Stichtag europaweit Geltung haben. 

Aufgrund der vollharmonisierenden Wirkung der Verordnung dürfen ab dem 25.05.2018 keine weitergehenden, strengeren oder abweichenden Regelungen durch nationales Recht mehr bestehen, es sei denn die Verordnung selbst gestattet den Mitgliedstaaten eine solche Regelung (sog. Öffnungsklausel). 

Wesentliche Änderungen zur bisherigen Rechtslage

Die Verordnung hält an vielen altbewährten Konzepten und Prinzipien fest. Entsprechend bleibt es weiter bei dem generellen Verbot der Verarbeitung personenbezogener Daten mit einem Erlaubnisvorbehalt wie bislang unter Geltung des Bundesdatenschutzgesetzes (BDSG). Dennoch wurden selbstverständlich einige Punkte neu oder anders als bislang geregelt. Insoweit möchten wir nachfolgend kurz die wesentlichen Aspekte der neuen Regelungen hervorheben:

Marktortprinzip/Räumlicher Anwendungsbereich

Nunmehr gilt das europäische Datenschutzrecht auch für Unternehmen, die keinen Sitz in der europäischen Union haben, aber Waren oder Dienstleistungen im europäischen Markt anbieten. 

Auftragsdatenverarbeitung

Nach bisherigem Recht war die Auftragsdatenverarbeitung aus § 11 BDSG eine Möglichkeit der privilegierten Verarbeitung personenenbezogener Daten durch Dritte, z.B. im Falle des Outsorcings. Dabei wurde der Auftragsdatenverarbeiter dadurch privilegiert, dass er nicht als „Dritter“ im Sinne des BDSG galt, so dass eine Weitergabe der Daten an diesen für die Verarbeitung weiter keiner Rechtfertigung bedurfte. Eine Privilegierung wie in § 11 BDSG findet sich nunmehr nicht mehr im Gesetz. 

Vielmehr muss auch im Rahmen der Auftragsdatenverarbeitung eine Abwägung der Interessen des Betroffenen mit denen der verantwortlichen Stelle stattfinden. Eine solche wird regelmäßig in den bisherigen Fällen der Auftragsdatenverarbeitung wohl auch weiterhin zu Gunsten einer Verarbeitung ausgehen. 

Geltungsbereich der Auftragsdatenverarbeitung 

Wo eine Auftragsdatenverarbeitung allerdings bisher lediglich innerhalb Europas möglich war, ist diese nunmehr auch mit außereuropäischen Auftragnehmern möglich, soweit die weiteren Anforderungen erfüllt sind. Hierzu zählen insbesondere die sorgfältige Auswahl des Auftragnehmers und die Prüfung seiner technischen und organisatorischen Maßnahmen mit Bezug auf den Datenschutz. 

Beschäftigtendatenschutz

Es findet sich in der Verordnung keine gesonderte Regelung zum Beschäftigtendatenschutz. Allerdings erlaubt Art. 88 der Verordnung es, dass Mitgliedstaaten eine eigene bereichsspezifische Regelung des Beschäftigtendatenschutzes schaffen. Hierzu ist vorgesehen, den alten § 32 BDSG in das neue Bundesdatenschutzgesetz zu überführen. 

Konzernprivileg

Auch die Verordnung kennt kein Konzernprivileg, das heißt, auch die Weitergabe von Daten an Unternehmen des gleichen Konzernverbundes ist eine Weitergabe an einen Dritten im Sinne des Gesetzes und bedarf insoweit einer Rechtfertigung. 

Kleines Konzernprivileg

Vielfach lässt sich aber nunmehr vom sog. „kleinen Konzernprivileg“ lesen. Dies bezieht sich auf den Erwägungsgrund 48 der Verordnung, wo der Gesetzgeber erklärt, dass ein Verantwortlicher, der Teil eines Konzernverbundes ist ein berechtigtes Interesse daran haben kann, personenbezogene Daten für interne Verwaltungszwecke innerhalb der Unternehmensgruppe zu übermitteln. Hieraus lässt sich eine argumentative Grundlage für die Rechtfertigung einer solchen Weitergabe im Rahmen der allgemeinen Interessenabwägung des Art. 6 der Verordnung ableiten. Insoweit besteht keine eindeutige Regelung, aber es wird Unternehmen eine Möglichkeit der Rechtfertigung an die Hand gegeben, soweit die weiteren Voraussetzungen der Datenverarbeitung erfüllt sind. 

Informationspflichten 

Die Verordnung verschärft die Informationspflichten des Unternehmers erheblich, um die Transparenz der Datenverarbeitung zu stärken. 

Datenerhebung 

Art. 13 und 14 der Verordnung definieren die Informationspflichten im Rahmen der Datenerhebung beim Betroffenen und haben aufgrund ihres Umfangs teils den Charakter einer Rechtsmittelbelehrung. Hier ist zu prüfen, welche Anpassungen an den Systemen und Verträgen bzw. Allgemeinen Geschäftsbedingungen eines Unternehmens erforderlich sind, um allen Informationspflichten der Verordnung gerecht zu werden. 

Weitere Informationspflichten

Ein Unternehmen muss auch über Datenschutzverletzungen, die Aufhebung einer Einschränkung der Verarbeitung, einmaligen Dritttransfer oder bei der Weiterverarbeitung zu einem anderen Zweck informieren. Insbesondere die letztgenannte Pflicht kann für viele Unternehmen relevant werden, da es schnell zu einer Zweckänderung kommen kann. 

Privacy by Design/Privacy by Default

In Art. 25 der Verordnung werden nunmehr die Grundsätze des Datenschutz durch Technikgestaltung (Privacy by Design) und durch datenschutzfreundliche Voreinstellung (Privacy by Default) aufgestellt. Danach wird den Unternehmen aufgegeben, bereits in der Planungs- und Konzeptionsphase die Belange des Datenschutzes im Auge zu haben, und die Grundsätze bereits hier umzusetzen. Dabei soll bei der Konzeption und Beschaffung technischer Verarbeitungsanlagen darauf geachtet werden, dass die technischen und organisatorischen Vorkehrungen bestehen, dass der Datenschutz wirksam eingehalten werden kann. Gleiches gilt für die Voreinstellung solcher Geräte und Systeme. So muss beispielsweise geprüft werden, ob eine Verarbeitungssoftware die Möglichkeit bietet, verschiedene Berechtigungskonzepte zu hinterlegen, um somit der Zugriff auf Daten auf diejenigen Personen beschränken zu können, die diesen Zugriff tatsächlich haben müssen. 

Hierbei ist zu beachten, dass die Verordnung ausschließlich die verantwortliche Stelle verpflichtet, nicht aber die Hersteller von Verarbeitungsanlagen und –systemen. Der Gedanke ist hier, dass die verantwortliche Stelle bei den Herstellern aufgrund der eigenen Verpflichtung auf die entsprechenden Anpassungen zur Umsetzung der Anforderungen hinwirkt. 

Hier müssen entsprechend die bestehenden Geräte und Systeme überprüft werden. Darüber hinaus muss im Rahmen der Planung neuer Systeme stets geprüft werden, ob diese den Anforderungen entsprechen und es sollten die Angebote, Allgemeinen Geschäftsbedingungen und Verträge etwaiger Anbieter geprüft werden, um eine Umsetzung dieser neuen Anforderungen sicherzustellen. 

Einwilligung

Die Anforderungen an eine wirksame Einwilligung in die Datenverarbeitung wurden in mehrfacher Hinsicht angepasst. So wird künftig grundsätzlich auch eine stillschweigende Einwilligung ausreichend sein, sofern sie eindeutig ist. Entsprechend bestehen erhebliche Informationspflichten entsprechend der neuen Verordnung mit Blick auf wirksame Einwilligungen.

Kopplungsverbot

Auch wurde ein Koppelungsverbot im Rahmen der Einwilligung in die Verordnung aufgenommen, welches nicht mehr auf Fälle der Monopolstellung beschränkt ist, wie es noch unter § 28 Abs. 3b BDSG der Fall war. Allerdings ist in Art. 7 Abs. 4 der Verordnung lediglich vorgegeben, dass die Koppelung bei der Beurteilung der Freiwilligkeit der Einwilligung im größtmöglichen Umfang zu berücksichtigen sei. Hier besteht einiges an Spielraum zur Interpretation und zur Auslegung. 

Fortgeltung oder Erneuerung bestehender Einwilligungen

Es stellt sich die Frage, ob Unternehmen unter Geltung der neuen Verordnung nunmehr verpflichtet sind, auch für Bestandskunden neue Einwilligungen einzuholen, die den Anforderungen der Verordnung entsprechen. Hierzu erklärt die Verordnung in Erwägungsgrund 171 einen Bestandsschutz bestehender Einwilligungen, soweit diese den Bedingungen der Verordnung bereits entsprechen. Entsprechend sind Unternehmen gehalten, alle bestehenden Einwilligungen entsprechend auf die Anforderungen der Verordnung in formeller und materieller Hinsicht zu überprüfen, um sicherzustellen, dass eine weitere Verwendung dieser Daten nicht rechtswidrig ist. 

Sanktionen

Für den Fall des Verstoßes gegen die verschiedenen Anforderungen und Vorgaben der Verordnung sieht diese einen umfangreichen und einschneidenden Bußgeldkatalog vor.

 Im Rahmen des BDSG war das Höchstmaß eines Bußgeldes 300.000 EUR. Nunmehr sieht die Verordnung Bußgelder bis zu 10.000.000 EUR oder 2 % des weltweiten Jahresumsatzes bzw. 20.000.000 EUR oder 4 % des weltweiten Jahresumsatzes je nach Verstoß vor. Damit erfolgt eine drastische Erhöhung des Bußgeldrahmens für Datenschutzverstöße. 

Selbstverständlich werden diese Summen nicht sofort bei jedem Verstoß gegen die Verordnung fällig. Allerdings ist auch anzunehmen, dass der Gesetzgeber diese empfindlichen Summen nicht aufgenommen hat, damit die Behörden sie nicht ausreizen. Entsprechend ist davon auszugehen, dass erheblich höhere Bußgelder verhängt werden, sobald die Verordnung Geltung erlangt hat. 

Aus nachfolgender Übersicht der bußgeldbewährten Verstöße lässt sich erkennen, dass beinahe sämtliche Pflichten der Unternehmen nunmehr bußgeldbewährt sind. Entsprechend sollten Unternehmen zeitnah damit beginnen, ihre Compliance mit den Vorgaben der Verordnung zu überprüfen, um einem möglichen bösen Erwachen mit erheblichen Sanktionen zu entgehen. 

Maßnahmen

Für Unternehmen in Deutschland wird die Regelungslage der DSGVO an Komplexität gewinnen. Gerade am Anfang ist damit ein erhöhter Aufwand für die Umstellung auf die neuen rechtlichen Vorgaben zu erwarten. Dieses gilt umso mehr, als dass das bestehende Datenschutzniveau Ihres Unternehmens noch nicht auf dem derzeitigen Stand des BDSG ist. 

Gerne beraten wir Sie bei der Implementierung und Umsetzung der bestehenden und zukünftigen Rechtslage. 

Einführung

Für international tätige Konzerne stellt es eine große Herausforderung des Datenschutzrechts dar, personenbezogene Daten den einzelnen, juristisch selbstständigen Konzernunternehmen zu übermitteln, die teilweise nicht nur im europäischen Ausland sitzen, sondern auch außerhalb des Europäischen Wirtschaftsraums. Dennoch haben Konzerne ein Interesse daran, personenbezogene Daten, beispielsweise für eine zentralisierte Personalverwaltung oder für ein konzernübergreifendes Kommunikationsverzeichnis, auch über die Grenzen eines Konzernunternehmens hinweg zu übermitteln und zu erheben.

Bisherige Lage nach BDSG, § 28 Abs. 1 BDSG

Im Lichte des BDSG kann sich für eine solche Datenübermittlung ein Erlaubnistatbestand aus § 28 Abs. 1 Nr. 2 BDSG ergeben. Dieser erlaubt eine Datenübermittlung, wenn es zur Wahrung berechtigter Interessen des Unternehmens erforderlich ist und das schutzwürdige Interesse des Betroffenen nicht überwiegt. Es ist also eine Interessenabwägung zwischen Unternehmensinteressen und derjenigen des Betroffenen vorzunehmen. Kann der Betroffene eigene Interessen geltend machen, führt dies nicht automatisch dazu, dass die Rechte des Einzelnen regelmäßig überwiegen. Es ist vielmehr im Rahmen einer gerechten Interessenabwägung auszumachen, welche der geltend gemachten Interessen überwiegt. Dass dabei die Recht des Einzelnen im Einzelfall auch einmal zurücktreten müssen ist nicht ausgeschlossen. Das berechtigte Interesse muss aber ein rechtlich gebilligtes wirtschaftliches, tatsächliches oder ideelles Interesse darstellen. Ein „allgemeines Konzerninteresse“ reicht zur Begründung aber nicht aus, da sich der Gesetzgeber bewusst gegen ein Konzernprivileg entschieden hat, also gegen eine erleichterte Übermittlung personenbezogener Daten zwischen verschiedenen Gesellschaften eines Konzerns. Darüber hinaus darf es nicht bloß um irgendein Interesse gehen, sondern es muss sich aus der beabsichtigten Datenverarbeitung ergeben und auch erforderlich sein. Eine bloße Zweckförderung reicht dafür nicht aus.

Datenverarbeitung im Beschäftigtenverhältnis

Für die Datenverarbeitung eines Beschäftigten gilt neben § 28 Abs. 1 Nr. 2 BDSG, oder nach anderer Meinung auch verdrängend, die Spezialvorschrift des § 32 BDSG, der eine Datenverarbeitung von personenbezogenen Daten von Beschäftigten nur erlaubt, wenn dies zur Begründung oder Durchführung eines Beschäftigtenverhältnisses erforderlich ist. Die Rechtfertigung hierfür kann nicht über einen bloß nützlichen Zweck erreicht werden. Beispielsweise ist die Errichtung einer konzernübergreifenden Datenbank über Mitarbeiterdaten nicht erforderlich, obwohl sie für die Zwecke der Human Resources Abteilung eindeutig nützlich ist. Ein Erlaubnistatbestand über § 32 BDSG kann aber dadurch erreicht werden, dass das Arbeitsverhältnis bereits einen Konzernbezug aufweist, beispielsweise wenn der betreffende Mitarbeiter regelmäßig an unterschiedlichen Standorten des Unternehmens tätig wird oder von Anfang an dazu bereit ist, konzernweit eingesetzt zu werden.

Betriebsvereinbarungen

Die konzerninterne Datenverarbeitung kann auch durch Betriebsvereinbarungen ermöglicht werden, da diese gem. § 77 Betriebsverfassungsgesetz „andere Rechtsvorschriften“ im Sinne des § 4 Abs. 1 S. 1 Var. 3 BDSG darstellen und damit einen datenschutzrechtlichen Erlaubnistatbestand begründen können. Wird die Datenverarbeitung von Mitarbeiterdaten also grundlegend in den Betriebsvereinbarungen geregelt, können solche Daten auch an andere Konzernunternehmen übermittelt werden. Dies gilt allerdings nur beim Transfer zwischen inländischen Konzernunternehmen.

Die Datenschutz-Grundverordnung und das „kleine Konzernprivileg“

Mit Einführung der europäischen Datenschutz-Grundverordnung (DS-GVO) war zunächst nicht klar, inwieweit die bestehende Rechtslage Veränderungen erfährt. Entgegen aller Veränderungsbefürchtungen wird der Erlaubnistatbestand der Interessenabwägung durch Art. 6 Abs. 1 lit. f DS-GVO weitgehend parallel zu § 28 Abs. 1 Nr. 2 BDSG beibehalten. Für die Konzerne stellt es allerdings eine Erleichterung dar, dass bei der Interessenabwägung sowohl eigene Zwecke als auch berechtigte Interessen Dritter berücksichtigt werden können. Alle Hoffnungen von Unternehmen auf die Einführung eines Konzernprivilegs durch die DS-GVO wurden wiederum enttäuscht. Allerdings beinhaltet der Erwägungsgrund 48 ein sog. „kleines Konzernprivileg“, welches klarstellt, dass Unternehmensgruppen ein berechtigtes Interesse daran haben können, personenbezogene Daten innerhalb der Unternehmensgruppe zu übermitteln. Dabei wird Bezug genommen auf Daten von Kunden, sowie von Beschäftigten gleichermaßen. Damit ist aber nicht vielmehr gesagt, als dass Konzerninteressen in der Interessenabwägung des Art. 6 Abs. 1 lit. f DS-GVO Berücksichtigung finden müssen.

Der Begriff der berechtigten Interessen sollte unter Bezugnahme auf den Erwägungsgrund 47 S.2, 6, 7 weit ausgelegt werden. Beispielsweise reicht für die Begründung eines berechtigten Interesses bereits das Bestehen eines Rechtsverhältnisses zwischen dem Verantwortlichen und dem Betroffenen. Ausreichend ist laut Erwägungsgrund dabei schon, wenn die betroffene Person Kunde des Verantwortlichen ist oder in seinen Diensten steht. Aber auch die Direktwerbung wird als mögliches berechtigtes Interesse genannt. Erschwerend kommt allerdings hinzu, dass die Datenverarbeitung aufgrund einer Interessenabwägung ein größeres Risiko mit sich bringt als zuvor, da dem Betroffenen das Recht zum Widerspruch gegen die Datenverarbeitung gem. Art. 21 Abs. 1 DS-GVO zukommt und er hierüber auch informiert und aufgeklärt werden muss.

Company-to-Company Agreement

Durch einen internen Vertrag zur konzernweiten Datenübertragung, der auch als konzerninterne Datenschutzvereinbarung oder Company-to-Company-Agreement bezeichnet wird, kann die Datenübermittlung zwischen den Konzernunternehmen ermöglicht werden. Dieser Vertrag soll dazu dienen, dass das Datenschutzniveau höher angesetzt wird, als gesetzlich vorgesehen, um damit zu garantieren, dass die Interessen des Betroffenen nicht beeinträchtigt werden. Eine Interessenabwägung wird damit nicht obsolet, sondern unter Einbeziehung der Schutzfunktion des Company-to-Company Agreement für die Interessen des Berechtigten, wird diese regelmäßig zugunsten der Konzerninteressen ausfallen. Dementsprechend niedriger sind auch die inhaltlichen Anforderungen an die Interessen des Unternehmens. Um eine solche Wirkung zu entfalten, muss das Company-to-Company Agreement aber bestimmte inhaltliche Anforderungen erfüllen und tatsächlich das gesetzliche Schutzniveau des BDSG bzw. der DSGVO übersteigen.

Betriebsvereinbarungen

Im Vergleich zur bisherigen Rechtslage nach dem BDSG stellt sich die Frage, ob auch Betriebsvereinbarungen einen Erlaubnistatbestand im Sinne des § 4 Abs. 1 S. 1 Var. 3 BDSG darstellen können. Diese Frage beantwortet die Öffnungsklausel des Art. 82 DS-GVO in Verbindung mit dem dazugehörigen Erwägungsgrund positiv: Auch unter der Geltung der DS-GVO besteht die Möglichkeit, durch Gesetz oder Kollektivvereinbarung spezifische Vorschriften zur Gewährleistung des Schutzes der Rechte und Freiheiten der Betroffenen hinsichtlich der Verarbeitung personenbezogener Daten im Beschäftigtenkontext zu schaffen. Damit ist ein weitgehender Gleichlauf mit der Vorschrift des § 28 Abs. 1 Nr. 2 BDSG gegeben.

Datenübermittlung außerhalb der EU

Die bisherigen Ausführungen beziehen sich zwar größtenteils auf grenzüberschreitende Sachverhalte, jedoch begrenzt auf die Mitgliedstaaten der EU bzw. des Europäischen Wirtschaftsraumes. Bei einer Datenübermittlung zwischen einem Konzernunternehmen mit Sitz in Deutschland zu einem Unternehmen mit Sitz außerhalb der EU, muss eine sog. 2-Stufenprüfung vorgenommen werden. Zu den grundsätzlichen Voraussetzungen, nämlich das Vorliegen eines Erlaubnistatbestandes bzw. einer Einwilligung, muss zusätzlich in dem adressierten Drittstaat ein „angemessenes Datenschutzniveau“ vorliegen. Ob ein solches Datenschutzniveau vorliegt, muss in Drittstaaten, im Unterschied zu EU-Mitgliedstaaten, gesondert geprüft werden. Dabei kann eine solche Feststellung unter Bezug der Art der Daten, der Zweckbestimmung, der Dauer der geplanten Verarbeitung sowie das Herkunfts- und Endbestimmungsland vorgenommen werden.

Gesondert kann die EU-Kommission auf Grundlage von Art. 25 Abs. 4, 6 EG-DSRL eine solche Feststellung in verbindlicher Weise treffen. Für die Länder Argentinien, Australien, Schweiz und Kanada hat die Kommission verbindlich ein angemessenes Schutzniveau festgestellt, nicht jedoch etwa für China, Indien, Brasilien, Japan oder Russland.

Mangels angemessenen Schutzniveaus kann auch auf die Tatbestände des § 4c Abs. 1 BDSG oder auf § 4 Abs. 2 S. 1 BDSG zurückgegriffen werden. Letzterer bietet die Alternative, dass die zuständige Datenschutzbehörde die Datenübermittlung in den Drittstaat genehmigen kann, wenn das datenübermittelnde Konzernunternehmen ausreichende Garantien zum Schutz der personenbezogenen Daten aufweist. Solche Garantien können in Form von Vertragsklauseln oder „Binding Corporate Rules“, also verbindlichen Unternehmensregelungen, abgegeben werden.

Fazit und Handlungsempfehlung

Obwohl durch Inkrafttreten der DS-GVO die zentralen Regelungsregime des BDSG zur konzerninternen Datenverarbeitung gleichbleiben werden, so bringt sie doch auch einige Neuerungen mit sich. Daher ist es zu empfehlen, soweit Betriebsvereinbarungen oder Company-to-Company-Agreements als Erlaubnistatbestände gebraucht werden, diese inhaltlich mit den Anforderungen der DS-GVO zu überprüfen. Insbesondere ist in Zukunft darauf zu achten, dass klare und leicht verständliche Informationen zur Datenverarbeitung vorhanden sind (Art. 12 DS-GVO), die Aufklärungs- und Informationspflichten erfüllt wurden (Art. 14, 14a DS-GVO) und der Betroffene hinreichend über seine Rechte und deren Ausübung informiert wurde (Art. 15 ff. DS- GVO).