Kategorie: Datenschutz

Einführung

In der Praxis häufig anzutreffen ist das Auslagern ganzer Arbeitsprozesse, die die Verarbeitung personenbezogener Daten umfassen, an unternehmensfremde Dienstleister. Das Bundesdatenschutzgesetz (BDSG) sah bisher detaillierte Regelungen zur Auswahl und Beauftragung solcher Dienstleister vor, um eine Privilegierung des Auftragsdatenverarbeiters zu erreichen.

Änderungen

Mit dem Inkrafttreten der Datenschutz-Grundverordnung (DS-GVO) wird auch dieser Regelungsbereich von der unmittelbaren Wirkung der Verordnung verdrängt werden, sodass sich deutsche Unternehmen auf die im Folgenden zu umreißenden Änderungen einstellen können:

Privilegierung nach §§ 3 Abs. 8 S. 3, 11 BDSG

Bisher galt nach dem BDSG eine Privilegierung von Auftragsdatenverarbeitern im Europäischen Wirtschaftsraum. Diese rechtlich privilegierte Stellung ergibt sich aus § 3 Abs. 8 Satz 3 BDSG, wonach Personen und Stellen im Inland, in einem Mitgliedstaat oder im Europäischen Wirtschaftsraum personenbezogene Daten im Auftrag erheben, verarbeiten oder nutzen, nicht Dritte im Sinne des Gesetzes sind. Sie werden also aus Sicht des Datenschutzrechts dem Verantwortlichen zugerechnet. Konsequenz dessen ist, dass die Weitergabe von personenbezogenen Daten keine Rechtfertigungsbedürftigkeit auslöst, da sie keine Übermittlung iSd § 3 Abs. 3 BDSG darstellt, sondern vielmehr nur eine Weitergabe von Daten innerhalb derselben Organisation des Verantwortlichen. Die Weitergabe an Auftragsdatenverarbeiter in Drittländer ist jedoch von der Privilegierung ausgenommen und wäre wiederum rechtfertigungsbedürftig. 

Wie geht es weiter mit der Privilegierung?

Inwieweit die DS-GVO mit ihrem Inkrafttreten am 18. Mai 2018 Änderungen für diesen Privilegierungstatbestand mit sich bringt ist in Fachkreisen noch sehr umstritten. Einerseits wird vertreten, dass die Privilegierung weiterhin erhalten bleibt, sogar in ihrem örtlichen Anwendungsbereich noch ausgeweitet wird, sodass die Privilegierung nicht nur im Europäischen Wirtschaftsraum gilt, sondern auch in Drittländern. Andererseits werden die Normen der DS-GVO dahingehend ausgelegt, dass die Privilegierung völlig entfällt und nur der örtliche Anwendungsbereich ausgedehnt wird. Danach sind alle Datenverarbeitungen von der DS-GVO betroffen, solange entweder der Verantwortliche oder der Auftragsverarbeiter seinen Sitz in der EU hat; ob die Datenverarbeitung dann auch in der EU stattfindet oder nicht, sei unerheblich. 

Privilegierungstheorie

Die sog. Privilegierungstheorie, sieht keine Rechtfertigungsbedürftigkeit, soweit die Voraussetzungen des Art. 28 DS-GVO erfüllt sind. Die Vertreter dieser Ansicht ziehen Art. 28 Abs. 3 DS-GVO auch gleichsam als Wortlautargument für ihre Ansicht heran: Art. 28 Abs. 3 DS-GVO sieht nämlich vor, dass „die Verarbeitung durch einen Auftragsverarbeiter … auf der Grundlage eines Vertrags oder eines anderen Regelungsinstruments nach dem Unionsrecht oder dem Recht der Mitgliedstaaten…“ erfolgen kann. Daher läge es nahe, die nach Art. 28 DS-GVO geschlossene Vereinbarung als Rechtfertigungsgrundlage anzusehen. 

Darüber hinaus ergäbe sich bei systematischer Auslegung, dass der Verarbeitungsbegriff in Art. 4 Nr. 2 DS-GVO ein einheitlicher Verarbeitungsbegriff sei, der nicht zwischen unterschiedlichen Verarbeitungsstufen unterscheide. Daher sei auch die Übermittlung an einen Auftragsverarbeiter von der Rechtfertigung gedeckt, die für die Datenverarbeitung des Verantwortlichen gilt.

Um die Begrifflichkeiten und Systematik der DS-GVO zutreffend zu verstehen, sollte die DS-GVO historisch nicht als Nachfolge des BDSG, sondern vielmehr als Nachfolge der Datenschutzrichtlinie 95/46/EG (DSRL) eingeordnet werden. Dann ist es auch nachvollziehbar, dass die DSRL die Privilegierung der Auftragsdatenverarbeitung implizit enthält und die DS-GVO diese in expliziterer Form weiterführen will. Denn beide enthalten in ihren Art. 16 DSRL und Art. 29 DS-GVO Regelungen, die ein solches Privileg voraussetzen, da diese Regelungen die weisungsgerechte Verarbeitung erlauben. Und wenn die Verarbeitung erlaubt sein soll, müsse denklogisch auch die Vorstufe der Datenüberlassung an den ordnungsgemäß verpflichteten Auftragsverarbeiter erlaubt sein.

Ein weiteres Argument für diese Betrachtungsweise stützt sich auf den Schutzzweck der Norm: Würde der Rechtfertigungstheorie gefolgt werden, hätte dies zur Folge, dass dem in der Praxis häufig anzutreffenden Outsourcing von Datenverarbeitungen ein Riegel vorgeschoben würden, so dass diese Verarbeitung bei dem Verantwortlichen verbleibt, dessen Kompetenzen aber nicht auf die Verarbeitung personenbezogener Daten ausgerichtet sind. Daher ist dieser viel weniger im Stande die personenbezogenen Daten zu schützen als ein Dienstleister, der sich darauf spezialisiert hat und ein höheres Datenschutzniveau gewährleisten könnte. 

Hinzu käme dieser Ansicht nach auch noch eine Ausweitung des Anwendungsbereichs des Privilegs über die Grenzen des Europäischen Wirtschaftsraumes hinaus, sodass die DS-GVO eine deutliche Erleichterung für Unternehmen mit sich bringen würde, die ihre Datenverarbeitungsprozesse an andere Dienstleister auslagern. 

Theorie der Rechtfertigungsbedürftigkeit 

Die Theorie der Rechtfertigungsbedürftig stellt sich dem entgegen und macht ihre Argumentation hauptsächlich am Verarbeitungsbegriff des Art. 4 Nr. 2 DS-GVO fest. Die darin enthaltene Definition macht nämlich keinen Unterschied zwischen Erheben, Verarbeiten oder Nutzen von Daten, sodass es unerheblich sei, ob es sich um eine „Weitergabe“ oder „Übermittlung“ iSd § 3 Abs. 4 Nr. 3 BDSG handele. Man könne zwar noch unterscheiden, dass nach Art. 4 Nr. 2 DS-GVO die Übermittlung ein Unterfall der Offenlegung und die Offenlegung ein Unterfall der Verarbeitung darstellt. Zu einer anderen rechtlichen Konsequenz führe dies jedoch nicht, da jeder Übermittlungsvorgang einer gesetzlichen Erlaubnis, entweder in Form einer Einwilligung oder der Erfüllung der Voraussetzungen des Art. 6 Abs. 1, 9 Abs. 2 DS-GVO bedürfe. In der Praxis würde dies bedeuten, dass überprüft werden müsste, ob jede Übermittlung an einen externen Dienstleister auf einen Rechtfertigungsgrund des Art. 6 Abs.1 DS-GVO gestützt werden könnte.

Insoweit bleibt es spannend, ob auch unter Geltung der DS-GVO eine Privilegierung der Auftragsdatenverarbeiter stattfinden wird. 

Vertragliche Ausgestaltung

Wie bisher auch, darf die Auftragsverarbeitung nur auf Grundlage eines Vertrages erfolgen, der im Unterschied zur Regelung des § 11 Abs. 2 BDSG nicht schriftlich erfolgen, aber den Anforderungen des Art. 28 Abs. 3 DS-GVO entsprechen muss:

1. Die personenbezogenen Daten dürfen nur auf dokumentierte Weisung des Verantwortlichen verarbeitet werden 
2. Der Datenverarbeiter muss gewährleisten, dass verarbeitende Personen zur Vertraulichkeit verpflichtet sind und einer Verschwiegenheitspflicht unterliegen 
3. Es müssen alle nach Art. 32 erforderlichen Maßnahmen ergriffen werden 
4. Die personenbezogenen Daten müssen nach Abschluss der Dienstleistung entweder gelöscht oder zurückgegeben werden 
5. Dem Verantwortlichen müssen alle erforderlichen Informationen zum Nachweis der Einhaltung der genannten Pflichten zur Verfügung gestellt werden.

Darüber hinaus muss der Verantwortliche seine vorherige Zustimmung gem. Art. 28 Abs. 2 DS-GVO erteilen, falls der Auftragsverarbeiter einen Sub-Unternehmer mit der Verarbeitung beauftragen will. Versteht man die Pflicht des Art. 28 Abs. 4 DS-GVO aber wörtlich, sodass für jeden weiteren Auftragsverarbeiter die gleichen Datenschutzpflichten gelten und demnach der gleiche Vertrag wie zwischen dem Verantwortlichen und dem Auftragsverarbeiter gelten muss, würde in der Praxis die Beauftragung von Unterauftragnehmern sehr wahrscheinlich vereitelt werden. 

Haftungsänderungen in der DS-GVO

Weitere Änderungen sind in den Neuregelungen zur Haftung von Auftragsverarbeitern zu finden: Während zuvor nach § 11 Abs. 1 Satz 1 BDSG nur der Verantwortliche gehaftet hat, ergibt sich aus Art. 82 Abs. 1 DS-GVO nun eine gemeinsame Haftung des Verantwortlichen mit dem Auftragsverarbeiter zusammen. 

Was sind Cookies?

Cookies sind kurze Textdateien, die von einer besuchten Website an den Webbrowser des Nutzers gesendet und auf dessen Computer gespeichert werden. Bei einem erneuten Besuch können diese Dateien von der Website wieder abgerufen werden und enthalten Informationen über besuchte Webseiten, Login-Daten oder privates Surfverhalten. Diese Textdateien sind beispielsweise dafür verantwortlich, dass ein Nutzer auf die hinterlegten Produkte in seinem Einkaufswagen im Online-Shop zurückgreifen, sich nicht immer neu einloggen muss und er Produktvorschläge zugeschnitten auf sein Nutzerprofil erhält.

Dabei sind unterschiedliche Arten von Cookies grundsätzlich zu unterscheiden:

• Sitzungscookie oder persistente Cookies: Zu unterscheiden sind zunächst Sitzungscookies und persistente Cookies. Wird ein Cookie automatisch gelöscht sobald der Nutzer seinen Browser schließt, ohne dass er danach wiederaufleben kann, spricht man von einem Sitzungscookie. Ein persistenter Cookie dagegen ist für einen festgelegten Zeitraum auf dem Endgerät des Nutzers gespeichert und wird erst nach Ablauf dieses Zeitraums gelöscht, der sowohl mehrere Minuten, aber auch Tage oder Jahre andauern kann.
• First- oder Third-Party-Cookies: Abzugrenzen sind auch Cookies von Drittanbietern von sog. First Party Cookies. Unter einem Third-Party-Cookies versteht man Cookies die zwar von einem für die Verarbeitung Verantwortlichen gesetzt werden, dieser ist aber nicht identisch mit dem Betreiber der Website, die der Nutzer besucht.
• Flash-Cookies: Der Flash-Cookie (auch Local Shared Object genannt) ist im Gegensatz zu dem HTTP-Cookie nicht an einen Browser gebunden, sondern wird vom Adobe-Flash-Player verwaltet, hat eine längere Speicherdauer und kann eine größere Menge an benutzerbezogenen Daten enthalten. Dadurch, dass sie vom Flash-Player verwaltet werden, können sie die Daten aller Browser auslesen, die den gemeinsamen Flash-Player nutzen. Daher bergen Flash-Cookies eine größere datenschutzrechtliche Gefahr und können von den Nutzern schwieriger verwaltet oder gelöscht werden.
• Strictly necessary Cookies: Darüber hinaus ist die Verwendung von bestimmten Cookies unbedingt erforderlich, sog. Strictly necessary Cookies, damit eine Webseite genutzt und navigiert werden kann. Sie koordinieren beispielsweise, dass immer die Version einer Website angezeigt wird, die der bandbreitenbezogenen Datenmenge der Internetverbindung des Nutzers entspricht. Diese Cookies bedürfen auch keiner Einwilligung und können auch nicht vom Nutzer eigenständig deaktiviert werden. Da sie ausschließlich von einer Webseite genutzt werden, sind es „First Party Cookies“ und werden nur währen der Dauer einer Browsersession gespeichert.

Bisherige Rechtslage für Cookies: Cookies zwischen der Cookie-RL und dem Telemediengesetz (TMG) 

Auf europäischer Ebene stellt bisher Art. 5 Abs. 3 2009/136/RL (sog. Cookie-Richtlinie) die Bedingung auf, dass die Verwendung von Cookies nur mit Einwilligung des Nutzers zulässig ist. Nach dem Verständnis in den meisten europäischen Mitgliedstaaten, muss diese Einwilligung durch eine aktive Erklärung erfolgen, durch das sog. Opt-In-Prinzip. Diese Richtlinie und damit auch das Opt-In-Prinzip wurde in Deutschland bisher noch nicht formell umgesetzt, was damit begründet wird, dass §§ 12 Abs. 1, 15 Abs. 3 TMG den Schutz ausreichend realisiere. Während § 12 Abs. 1 TMG für personenbezogene Daten eine ausdrückliche Einwilligung verlangt, wird durch die Formulierung in § 15 Abs. 3 TMG „sofern der Nutzer dem nicht widerspricht“ deutlich, dass das TMG das Opt-Out-Prinzip für nicht personenbezogene Daten etabliert, der Nutzer also widersprechen und nicht aktiv einwilligen muss. Da sowohl die Bundesregierung, als auch die Kommission und das OLG Frankfurt in einer Entscheidung aus dem Jahre 2015 (Urt. v. 17.12.2015, Az.: 6 U 30/15) die Ansicht vertreten, das Opt-out reiche aus, sieht es derzeit in der Praxis so aus, dass der deutsche Nutzer seinen Widerspruch typischerweise durch das Entfernen von Häkchen in der Einwilligungsoption äußern muss.

Absehbare Veränderungen durch die neue e-Privacy Verordnung

Der Vorschlag für eine neue e-Privacy Verordnung vom 10.01.2017 soll Klarheit in die unterschiedliche Umsetzung der Mitgliedstaaten bringen und bedeutet für den deutschen Rechtsraum wesentliche Änderungen unter anderem der §§ 12 ff. TMG:

Art. 8 Abs. 1 der Verordnung erlaubt das Speichern, Verarbeiten oder Erhebung von relevanten Informationen nur, wenn es allein dem Zweck des Kommunikationsvorgangs, dem vom Nutzer gewünschten Dienst oder der Messung der Benutzerzahlen dient und dafür nötig ist oder eben wenn der Nutzer seine Einwilligung gegeben hat. Der Begriff der Einwilligung wird hier mit Hinweis auf die Verordnung (EU) 2016/679 als „in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung“ definiert, durch die zu verstehen gegeben wird, dass die betroffene Person mit der Verarbeitung der Daten einverstanden ist (Art. 4 Nr. 11). Demnach sind zwei Elemente erforderlich: Zum einen die Aufklärung des Nutzers und zum anderen sein eindeutiges Einverständnis. Aufgrund ihrer Natur als Verordnung hat diese nach Art. 288 AEUV unmittelbare Wirkung, die im Gegensatz zur Richtlinie nicht mehr umgesetzt werden muss, sodass die dargestellte Einwilligungspflicht bzgl der Verwendung von Cookies unmittelbar gelten und die entgegenstehenden Normen des TMG verdrängen wird.

Der zurzeit veröffentlichte Vorschlag der Verordnung soll im Mai 2018 gemeinsam mit der DSGVO in Kraft treten und so für ein einheitliches Schutzniveau in allen Mitgliedstaaten sorgen. Unternehmen, die grenzüberschreitend tätig sind, wird dadurch zwar die Einhaltung erleichtert, jedoch sind nun alle deutschen Anbieter, die bisher eine Opt-Out-Funktion verwendet haben in Zugzwang diese umzustellen, um Geldbußen in Höhe von 10 000 000 Euro oder 2% des weltweiten Umsatzes eines Unternehmens zu vermeiden. Laut den Erwägungsgründen dürfte dafür auch eine benutzerfreundliche allgemeine Einstellung im Browser ausreichen, die dem Nutzer die Möglichkeit gibt seine Einwilligung zu erteilen. Diese Einwilligungsmöglichkeit sollte möglichst so ausgestaltet sein, dass der Nutzer zwischen hohem Schutz („Cookies niemals annehmen“), mittlerem Schutz („Nur Cookies von Erstanbietern annehmen“) und niedrigem Schutz („Cookies immer annehmen“) in leicht sichtbarer und verständlicher Weise auswählen kann.

Einwilligungsfreie und einwilligungspflichtige Cookies

Neben der Einwilligungspflicht enthält Art. 8 Abs. 1 der e-Privacy Verordnung aber auch noch Tatbestände, die den Einsatz einwilligungsfreier Cookies ermöglichen. Dies ist der Fall, wenn der Cookie a) „für den alleinigen Zweck der Durchführung eines elektronischen Kommunikationsvorgangs über ein elektronisches Kommunikationsnetz nötig“ ist; c) „für die Bereitstellung eines vom Endnutzer gewünschten Dienstes der Informationsgesellschaft nötig“ ist oder d) für die Messung des Webpublikums nötig ist. Daher sollen im Folgenden häufig verwendete Cookies dargestellt werden, mit einer Einordnung, ob diese einwilligungsfrei oder einwilligungspflichtig sind:

• User-Input-Cookie: Oberbegriff für Sitzungscookies zur einheitlichen Verfolgung von Nutzereingaben mit einem Dienstleister und zum temporären Speichern von Nutzereingaben, bspw. Verwendung als Warenkorb oder beim Ausfüllen mehrseitiger Online-Formulare. Solche Cookies sind eindeutig erforderlich für den ausdrücklich gewünschten Dienst, daher einwilligungsfrei nach Art. 8 Abs. 1 lit c).
• Authentifizierungscookie: Verwendung zur Authentifizierung eines Nutzers bei wiederholtem Besuch einer Website und zur Ermöglichung des Zugriffs auf bereits vorhandene Inhalte. Grds. Auch nach Art. 8 Abs. 1 lit.c) einwilligungsfrei, aber nur soweit kein Authentifizierungstoken über mehrere Browsersitzungen gespeichert wird. Daher Einzelfallprüfung empfohlen! 
• Third-Party-Cookies zu Werbezwecken: Dienen der verhaltensorientierten Werbung und sind einwilligungspflichtig. 
• Nutzerorientierte Sicherheitscookies: Sollen die Sicherheit des Nutzers verbessern, indem sie bspw. wiederholt fehlgeschlagene Anmeldeversuche registrieren oder vor anderem Missbrauch von Login-Systemen warnen. Sie sind nach Art. 8 Abs. 1 lit. c) einwilligungsfrei.
• Multimedia-Player-Sitzungscookies: s.o. unter „Flash Cookies“. Besucht der Nutzer eine Webseite mit Videoinhalten, sind diese Inhalte Teil eines ausdrücklich angeforderten Dienstes und damit einwilligungsfrei
  nach Art. 8 Abs. 1 lit c).
• First-Party-Analysecookies: Zur Auswertung der Anzahl der Webseitenbesucher, wichtigster Suchbegriffe oder Anwendungsprobleme zu erfassen, um Statistiken zur Zielgruppenanalyse aufzubauen. Für Webseitenbetreiber zwar nötig, aber aus Sicht des Nutzers für die ausdrücklich gewünschte Funktion nicht unbedingt erforderlich, daher einwilligungspflichtig.
• Content-Sharing-Cookies sozialer Plugins: Ermöglichen es den Nutzern externe Inhalte in eine andere Plattform zu integrieren, häufig zum „Teilen“ von Inhalten mit den eigenen „Freunden“ in sozialen Netzwerken verwendet. Hier ist zu unterscheiden  zwischen angemeldeten oder nicht angemeldeten Nutzern, sowie Mitgliedern und Nicht-Mitgliedern. Einwilligungsfrei sind sie nur für angemeldete Mitglieder; jeder andere Fall müsste eingehender geprüft werden.

Anforderung an Einwilligungserklärungen für Cookies

Aus Art. 8, 9 der e-Privacy Verordnung und der dazugehörigen Erwägungsgründe, ergeben sich einige Anforderungen an die Aufklärung und Einwilligung des Nutzers:

• Eine wirksame Einwilligung kann erst erteilt werden, nachdem der Nutzer über die Zwecke der Cookies aufgeklärt wurde.
• Die Einwilligung muss eingeholt werden, bevor die Cookies platziert und Informationen gesammelt werden.
• Der Nutzer muss „in verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache“ über die Nutzung der Cookies aufgeklärt werden.
• Die Einwilligung muss widerrufbar sein und der Nutzer muss über sein Widerrufsrecht zuvor informiert sein.
• Die Einwilligung kann durch die Datenschutzeinstellungen im Browser erfolgen, soweit der Nutzer sich darüber im Klaren ist, dass er über das Setzen von Cookies einwilligt. Dabei empfiehlt die EU-Kommission alternative Einwilligungsstufen wie „Keine Cookies akzeptieren“, „Third-Party Cookies ablehnen“ und „Nur First-Party Cookies akzeptieren“.
• Lehnt der Nutzer das Setzen von Cookies ab, darf er nicht für die Website gesperrt sein oder andere Nachteile dadurch erhalten.

Einführung

Die „Verordnung des Rates zum Schutz natürlicher Personen“ – Datenschutz-Grundverordnung (DS-GVO) wurde bereits verabschiedet, ist in Kraft und wird ab 2018 Geltung in Deutschland und ganz Europa erhalten.

Wir haben zu dem Thema eine gesonderte Informationsseite aufgebaut, die unter www.rickert.law/gdpr-ninja/ zu finden ist. Dort werden wir gemeinsam mit Experten aus anderen Ländern laufend Informationen über die anstehende Neuregelung einstellen. Nachstehend erhalten Sie aber auch einen schlagwortartigen Überblick über die wichtigsten Änderungen.

Für viele Unternehmen stellt sich nunmehr die Frage, was bis dahin getan werden muss, um auch den neuen Anforderungen entsprechend rechtskonform Daten zu verarbeiten. Die Verordnung stellt keine Revolution des Datenschutzes dar, die alles Bekannte und Bewährte über den Haufen wirft. Dennoch finden sich einige Änderungen in der Verordnung, die es erforderlich machen, die gesamten Datenverarbeitungsprozesse und –systeme noch einmal genau unter die Lupe zu nehmen, um möglichst rechtssicher in die Zukunft zu gehen. Insoweit ist die Frist bis zur unmittelbaren Geltung der Verordnung – die die Geltung des Bundesdatenschutzgesetzes (BDSG) wie wir es kennen aufhebt – nicht so lange, wie sie auf den ersten Blick scheint. 

Denn soweit die Prüfung der Systeme auf Compliance mit kommendem Datenschutzrecht Anpassungsbedarf offenbart, müssen etwaige Änderungen auch noch umgesetzt werden. Soweit dies Anpassungen im Bereich der technischen Infrastruktur oder der bestehenden Datenschutzberechtigungskonzepte erforderlich machen, kann deren Umsetzung erheblich Zeit in Anspruch nehmen. 

Nachfolgend möchten wir Ihnen einen kurzen Überblick über die neue Verordnung und deren Änderungen geben. Gerne stehen wir Ihnen bei der Prüfung und Umsetzung beratend zur Seite und stehen selbstverständlich auch telefonisch und per Email für etwaige Fragen zur Verfügung. 

Ziele der Verordnung 

Ziel der Verordnung ist neben der Vereinheitlichung des Datenschutzrechtes in Europa auch die Stärkung der Rechte der Betroffenen und der Datensicherheit. 

Gleichzeitig wurden die Dokumentations- und Nachweispflichten der Unternehmen erweitert. 

Zeitplan und Geltung der Verordnung

Die Datenschutzgrundverordnung ist bereits seit dem 25.05.2016 in Kraft, entfaltet aber seine unmittelbare Geltung erst ab dem 25.05.2018 gem. Art. 99 DS-GVO. 

Da es sich um eine europäische Verordnung handelt, wird diese – im Gegensatz zu einer Richtlinie, die erst noch in nationales Recht umgesetzt werden muss – unmittelbar ab diesem Stichtag europaweit Geltung haben. 

Aufgrund der vollharmonisierenden Wirkung der Verordnung dürfen ab dem 25.05.2018 keine weitergehenden, strengeren oder abweichenden Regelungen durch nationales Recht mehr bestehen, es sei denn die Verordnung selbst gestattet den Mitgliedstaaten eine solche Regelung (sog. Öffnungsklausel). 

Wesentliche Änderungen zur bisherigen Rechtslage

Die Verordnung hält an vielen altbewährten Konzepten und Prinzipien fest. Entsprechend bleibt es weiter bei dem generellen Verbot der Verarbeitung personenbezogener Daten mit einem Erlaubnisvorbehalt wie bislang unter Geltung des Bundesdatenschutzgesetzes (BDSG). Dennoch wurden selbstverständlich einige Punkte neu oder anders als bislang geregelt. Insoweit möchten wir nachfolgend kurz die wesentlichen Aspekte der neuen Regelungen hervorheben:

Marktortprinzip/Räumlicher Anwendungsbereich

Nunmehr gilt das europäische Datenschutzrecht auch für Unternehmen, die keinen Sitz in der europäischen Union haben, aber Waren oder Dienstleistungen im europäischen Markt anbieten. 

Auftragsdatenverarbeitung

Nach bisherigem Recht war die Auftragsdatenverarbeitung aus § 11 BDSG eine Möglichkeit der privilegierten Verarbeitung personenenbezogener Daten durch Dritte, z.B. im Falle des Outsorcings. Dabei wurde der Auftragsdatenverarbeiter dadurch privilegiert, dass er nicht als „Dritter“ im Sinne des BDSG galt, so dass eine Weitergabe der Daten an diesen für die Verarbeitung weiter keiner Rechtfertigung bedurfte. Eine Privilegierung wie in § 11 BDSG findet sich nunmehr nicht mehr im Gesetz. 

Vielmehr muss auch im Rahmen der Auftragsdatenverarbeitung eine Abwägung der Interessen des Betroffenen mit denen der verantwortlichen Stelle stattfinden. Eine solche wird regelmäßig in den bisherigen Fällen der Auftragsdatenverarbeitung wohl auch weiterhin zu Gunsten einer Verarbeitung ausgehen. 

Geltungsbereich der Auftragsdatenverarbeitung 

Wo eine Auftragsdatenverarbeitung allerdings bisher lediglich innerhalb Europas möglich war, ist diese nunmehr auch mit außereuropäischen Auftragnehmern möglich, soweit die weiteren Anforderungen erfüllt sind. Hierzu zählen insbesondere die sorgfältige Auswahl des Auftragnehmers und die Prüfung seiner technischen und organisatorischen Maßnahmen mit Bezug auf den Datenschutz. 

Beschäftigtendatenschutz

Es findet sich in der Verordnung keine gesonderte Regelung zum Beschäftigtendatenschutz. Allerdings erlaubt Art. 88 der Verordnung es, dass Mitgliedstaaten eine eigene bereichsspezifische Regelung des Beschäftigtendatenschutzes schaffen. Hierzu ist vorgesehen, den alten § 32 BDSG in das neue Bundesdatenschutzgesetz zu überführen. 

Konzernprivileg

Auch die Verordnung kennt kein Konzernprivileg, das heißt, auch die Weitergabe von Daten an Unternehmen des gleichen Konzernverbundes ist eine Weitergabe an einen Dritten im Sinne des Gesetzes und bedarf insoweit einer Rechtfertigung. 

Kleines Konzernprivileg

Vielfach lässt sich aber nunmehr vom sog. „kleinen Konzernprivileg“ lesen. Dies bezieht sich auf den Erwägungsgrund 48 der Verordnung, wo der Gesetzgeber erklärt, dass ein Verantwortlicher, der Teil eines Konzernverbundes ist ein berechtigtes Interesse daran haben kann, personenbezogene Daten für interne Verwaltungszwecke innerhalb der Unternehmensgruppe zu übermitteln. Hieraus lässt sich eine argumentative Grundlage für die Rechtfertigung einer solchen Weitergabe im Rahmen der allgemeinen Interessenabwägung des Art. 6 der Verordnung ableiten. Insoweit besteht keine eindeutige Regelung, aber es wird Unternehmen eine Möglichkeit der Rechtfertigung an die Hand gegeben, soweit die weiteren Voraussetzungen der Datenverarbeitung erfüllt sind. 

Informationspflichten 

Die Verordnung verschärft die Informationspflichten des Unternehmers erheblich, um die Transparenz der Datenverarbeitung zu stärken. 

Datenerhebung 

Art. 13 und 14 der Verordnung definieren die Informationspflichten im Rahmen der Datenerhebung beim Betroffenen und haben aufgrund ihres Umfangs teils den Charakter einer Rechtsmittelbelehrung. Hier ist zu prüfen, welche Anpassungen an den Systemen und Verträgen bzw. Allgemeinen Geschäftsbedingungen eines Unternehmens erforderlich sind, um allen Informationspflichten der Verordnung gerecht zu werden. 

Weitere Informationspflichten

Ein Unternehmen muss auch über Datenschutzverletzungen, die Aufhebung einer Einschränkung der Verarbeitung, einmaligen Dritttransfer oder bei der Weiterverarbeitung zu einem anderen Zweck informieren. Insbesondere die letztgenannte Pflicht kann für viele Unternehmen relevant werden, da es schnell zu einer Zweckänderung kommen kann. 

Privacy by Design/Privacy by Default

In Art. 25 der Verordnung werden nunmehr die Grundsätze des Datenschutz durch Technikgestaltung (Privacy by Design) und durch datenschutzfreundliche Voreinstellung (Privacy by Default) aufgestellt. Danach wird den Unternehmen aufgegeben, bereits in der Planungs- und Konzeptionsphase die Belange des Datenschutzes im Auge zu haben, und die Grundsätze bereits hier umzusetzen. Dabei soll bei der Konzeption und Beschaffung technischer Verarbeitungsanlagen darauf geachtet werden, dass die technischen und organisatorischen Vorkehrungen bestehen, dass der Datenschutz wirksam eingehalten werden kann. Gleiches gilt für die Voreinstellung solcher Geräte und Systeme. So muss beispielsweise geprüft werden, ob eine Verarbeitungssoftware die Möglichkeit bietet, verschiedene Berechtigungskonzepte zu hinterlegen, um somit der Zugriff auf Daten auf diejenigen Personen beschränken zu können, die diesen Zugriff tatsächlich haben müssen. 

Hierbei ist zu beachten, dass die Verordnung ausschließlich die verantwortliche Stelle verpflichtet, nicht aber die Hersteller von Verarbeitungsanlagen und –systemen. Der Gedanke ist hier, dass die verantwortliche Stelle bei den Herstellern aufgrund der eigenen Verpflichtung auf die entsprechenden Anpassungen zur Umsetzung der Anforderungen hinwirkt. 

Hier müssen entsprechend die bestehenden Geräte und Systeme überprüft werden. Darüber hinaus muss im Rahmen der Planung neuer Systeme stets geprüft werden, ob diese den Anforderungen entsprechen und es sollten die Angebote, Allgemeinen Geschäftsbedingungen und Verträge etwaiger Anbieter geprüft werden, um eine Umsetzung dieser neuen Anforderungen sicherzustellen. 

Einwilligung

Die Anforderungen an eine wirksame Einwilligung in die Datenverarbeitung wurden in mehrfacher Hinsicht angepasst. So wird künftig grundsätzlich auch eine stillschweigende Einwilligung ausreichend sein, sofern sie eindeutig ist. Entsprechend bestehen erhebliche Informationspflichten entsprechend der neuen Verordnung mit Blick auf wirksame Einwilligungen.

Kopplungsverbot

Auch wurde ein Koppelungsverbot im Rahmen der Einwilligung in die Verordnung aufgenommen, welches nicht mehr auf Fälle der Monopolstellung beschränkt ist, wie es noch unter § 28 Abs. 3b BDSG der Fall war. Allerdings ist in Art. 7 Abs. 4 der Verordnung lediglich vorgegeben, dass die Koppelung bei der Beurteilung der Freiwilligkeit der Einwilligung im größtmöglichen Umfang zu berücksichtigen sei. Hier besteht einiges an Spielraum zur Interpretation und zur Auslegung. 

Fortgeltung oder Erneuerung bestehender Einwilligungen

Es stellt sich die Frage, ob Unternehmen unter Geltung der neuen Verordnung nunmehr verpflichtet sind, auch für Bestandskunden neue Einwilligungen einzuholen, die den Anforderungen der Verordnung entsprechen. Hierzu erklärt die Verordnung in Erwägungsgrund 171 einen Bestandsschutz bestehender Einwilligungen, soweit diese den Bedingungen der Verordnung bereits entsprechen. Entsprechend sind Unternehmen gehalten, alle bestehenden Einwilligungen entsprechend auf die Anforderungen der Verordnung in formeller und materieller Hinsicht zu überprüfen, um sicherzustellen, dass eine weitere Verwendung dieser Daten nicht rechtswidrig ist. 

Sanktionen

Für den Fall des Verstoßes gegen die verschiedenen Anforderungen und Vorgaben der Verordnung sieht diese einen umfangreichen und einschneidenden Bußgeldkatalog vor.

 Im Rahmen des BDSG war das Höchstmaß eines Bußgeldes 300.000 EUR. Nunmehr sieht die Verordnung Bußgelder bis zu 10.000.000 EUR oder 2 % des weltweiten Jahresumsatzes bzw. 20.000.000 EUR oder 4 % des weltweiten Jahresumsatzes je nach Verstoß vor. Damit erfolgt eine drastische Erhöhung des Bußgeldrahmens für Datenschutzverstöße. 

Selbstverständlich werden diese Summen nicht sofort bei jedem Verstoß gegen die Verordnung fällig. Allerdings ist auch anzunehmen, dass der Gesetzgeber diese empfindlichen Summen nicht aufgenommen hat, damit die Behörden sie nicht ausreizen. Entsprechend ist davon auszugehen, dass erheblich höhere Bußgelder verhängt werden, sobald die Verordnung Geltung erlangt hat. 

Aus nachfolgender Übersicht der bußgeldbewährten Verstöße lässt sich erkennen, dass beinahe sämtliche Pflichten der Unternehmen nunmehr bußgeldbewährt sind. Entsprechend sollten Unternehmen zeitnah damit beginnen, ihre Compliance mit den Vorgaben der Verordnung zu überprüfen, um einem möglichen bösen Erwachen mit erheblichen Sanktionen zu entgehen. 

Maßnahmen

Für Unternehmen in Deutschland wird die Regelungslage der DSGVO an Komplexität gewinnen. Gerade am Anfang ist damit ein erhöhter Aufwand für die Umstellung auf die neuen rechtlichen Vorgaben zu erwarten. Dieses gilt umso mehr, als dass das bestehende Datenschutzniveau Ihres Unternehmens noch nicht auf dem derzeitigen Stand des BDSG ist. 

Gerne beraten wir Sie bei der Implementierung und Umsetzung der bestehenden und zukünftigen Rechtslage. 

Einführung

Für international tätige Konzerne stellt es eine große Herausforderung des Datenschutzrechts dar, personenbezogene Daten den einzelnen, juristisch selbstständigen Konzernunternehmen zu übermitteln, die teilweise nicht nur im europäischen Ausland sitzen, sondern auch außerhalb des Europäischen Wirtschaftsraums. Dennoch haben Konzerne ein Interesse daran, personenbezogene Daten, beispielsweise für eine zentralisierte Personalverwaltung oder für ein konzernübergreifendes Kommunikationsverzeichnis, auch über die Grenzen eines Konzernunternehmens hinweg zu übermitteln und zu erheben.

Bisherige Lage nach BDSG, § 28 Abs. 1 BDSG

Im Lichte des BDSG kann sich für eine solche Datenübermittlung ein Erlaubnistatbestand aus § 28 Abs. 1 Nr. 2 BDSG ergeben. Dieser erlaubt eine Datenübermittlung, wenn es zur Wahrung berechtigter Interessen des Unternehmens erforderlich ist und das schutzwürdige Interesse des Betroffenen nicht überwiegt. Es ist also eine Interessenabwägung zwischen Unternehmensinteressen und derjenigen des Betroffenen vorzunehmen. Kann der Betroffene eigene Interessen geltend machen, führt dies nicht automatisch dazu, dass die Rechte des Einzelnen regelmäßig überwiegen. Es ist vielmehr im Rahmen einer gerechten Interessenabwägung auszumachen, welche der geltend gemachten Interessen überwiegt. Dass dabei die Recht des Einzelnen im Einzelfall auch einmal zurücktreten müssen ist nicht ausgeschlossen. Das berechtigte Interesse muss aber ein rechtlich gebilligtes wirtschaftliches, tatsächliches oder ideelles Interesse darstellen. Ein „allgemeines Konzerninteresse“ reicht zur Begründung aber nicht aus, da sich der Gesetzgeber bewusst gegen ein Konzernprivileg entschieden hat, also gegen eine erleichterte Übermittlung personenbezogener Daten zwischen verschiedenen Gesellschaften eines Konzerns. Darüber hinaus darf es nicht bloß um irgendein Interesse gehen, sondern es muss sich aus der beabsichtigten Datenverarbeitung ergeben und auch erforderlich sein. Eine bloße Zweckförderung reicht dafür nicht aus.

Datenverarbeitung im Beschäftigtenverhältnis

Für die Datenverarbeitung eines Beschäftigten gilt neben § 28 Abs. 1 Nr. 2 BDSG, oder nach anderer Meinung auch verdrängend, die Spezialvorschrift des § 32 BDSG, der eine Datenverarbeitung von personenbezogenen Daten von Beschäftigten nur erlaubt, wenn dies zur Begründung oder Durchführung eines Beschäftigtenverhältnisses erforderlich ist. Die Rechtfertigung hierfür kann nicht über einen bloß nützlichen Zweck erreicht werden. Beispielsweise ist die Errichtung einer konzernübergreifenden Datenbank über Mitarbeiterdaten nicht erforderlich, obwohl sie für die Zwecke der Human Resources Abteilung eindeutig nützlich ist. Ein Erlaubnistatbestand über § 32 BDSG kann aber dadurch erreicht werden, dass das Arbeitsverhältnis bereits einen Konzernbezug aufweist, beispielsweise wenn der betreffende Mitarbeiter regelmäßig an unterschiedlichen Standorten des Unternehmens tätig wird oder von Anfang an dazu bereit ist, konzernweit eingesetzt zu werden.

Betriebsvereinbarungen

Die konzerninterne Datenverarbeitung kann auch durch Betriebsvereinbarungen ermöglicht werden, da diese gem. § 77 Betriebsverfassungsgesetz „andere Rechtsvorschriften“ im Sinne des § 4 Abs. 1 S. 1 Var. 3 BDSG darstellen und damit einen datenschutzrechtlichen Erlaubnistatbestand begründen können. Wird die Datenverarbeitung von Mitarbeiterdaten also grundlegend in den Betriebsvereinbarungen geregelt, können solche Daten auch an andere Konzernunternehmen übermittelt werden. Dies gilt allerdings nur beim Transfer zwischen inländischen Konzernunternehmen.

Die Datenschutz-Grundverordnung und das „kleine Konzernprivileg“

Mit Einführung der europäischen Datenschutz-Grundverordnung (DS-GVO) war zunächst nicht klar, inwieweit die bestehende Rechtslage Veränderungen erfährt. Entgegen aller Veränderungsbefürchtungen wird der Erlaubnistatbestand der Interessenabwägung durch Art. 6 Abs. 1 lit. f DS-GVO weitgehend parallel zu § 28 Abs. 1 Nr. 2 BDSG beibehalten. Für die Konzerne stellt es allerdings eine Erleichterung dar, dass bei der Interessenabwägung sowohl eigene Zwecke als auch berechtigte Interessen Dritter berücksichtigt werden können. Alle Hoffnungen von Unternehmen auf die Einführung eines Konzernprivilegs durch die DS-GVO wurden wiederum enttäuscht. Allerdings beinhaltet der Erwägungsgrund 48 ein sog. „kleines Konzernprivileg“, welches klarstellt, dass Unternehmensgruppen ein berechtigtes Interesse daran haben können, personenbezogene Daten innerhalb der Unternehmensgruppe zu übermitteln. Dabei wird Bezug genommen auf Daten von Kunden, sowie von Beschäftigten gleichermaßen. Damit ist aber nicht vielmehr gesagt, als dass Konzerninteressen in der Interessenabwägung des Art. 6 Abs. 1 lit. f DS-GVO Berücksichtigung finden müssen.

Der Begriff der berechtigten Interessen sollte unter Bezugnahme auf den Erwägungsgrund 47 S.2, 6, 7 weit ausgelegt werden. Beispielsweise reicht für die Begründung eines berechtigten Interesses bereits das Bestehen eines Rechtsverhältnisses zwischen dem Verantwortlichen und dem Betroffenen. Ausreichend ist laut Erwägungsgrund dabei schon, wenn die betroffene Person Kunde des Verantwortlichen ist oder in seinen Diensten steht. Aber auch die Direktwerbung wird als mögliches berechtigtes Interesse genannt. Erschwerend kommt allerdings hinzu, dass die Datenverarbeitung aufgrund einer Interessenabwägung ein größeres Risiko mit sich bringt als zuvor, da dem Betroffenen das Recht zum Widerspruch gegen die Datenverarbeitung gem. Art. 21 Abs. 1 DS-GVO zukommt und er hierüber auch informiert und aufgeklärt werden muss.

Company-to-Company Agreement

Durch einen internen Vertrag zur konzernweiten Datenübertragung, der auch als konzerninterne Datenschutzvereinbarung oder Company-to-Company-Agreement bezeichnet wird, kann die Datenübermittlung zwischen den Konzernunternehmen ermöglicht werden. Dieser Vertrag soll dazu dienen, dass das Datenschutzniveau höher angesetzt wird, als gesetzlich vorgesehen, um damit zu garantieren, dass die Interessen des Betroffenen nicht beeinträchtigt werden. Eine Interessenabwägung wird damit nicht obsolet, sondern unter Einbeziehung der Schutzfunktion des Company-to-Company Agreement für die Interessen des Berechtigten, wird diese regelmäßig zugunsten der Konzerninteressen ausfallen. Dementsprechend niedriger sind auch die inhaltlichen Anforderungen an die Interessen des Unternehmens. Um eine solche Wirkung zu entfalten, muss das Company-to-Company Agreement aber bestimmte inhaltliche Anforderungen erfüllen und tatsächlich das gesetzliche Schutzniveau des BDSG bzw. der DSGVO übersteigen.

Betriebsvereinbarungen

Im Vergleich zur bisherigen Rechtslage nach dem BDSG stellt sich die Frage, ob auch Betriebsvereinbarungen einen Erlaubnistatbestand im Sinne des § 4 Abs. 1 S. 1 Var. 3 BDSG darstellen können. Diese Frage beantwortet die Öffnungsklausel des Art. 82 DS-GVO in Verbindung mit dem dazugehörigen Erwägungsgrund positiv: Auch unter der Geltung der DS-GVO besteht die Möglichkeit, durch Gesetz oder Kollektivvereinbarung spezifische Vorschriften zur Gewährleistung des Schutzes der Rechte und Freiheiten der Betroffenen hinsichtlich der Verarbeitung personenbezogener Daten im Beschäftigtenkontext zu schaffen. Damit ist ein weitgehender Gleichlauf mit der Vorschrift des § 28 Abs. 1 Nr. 2 BDSG gegeben.

Datenübermittlung außerhalb der EU

Die bisherigen Ausführungen beziehen sich zwar größtenteils auf grenzüberschreitende Sachverhalte, jedoch begrenzt auf die Mitgliedstaaten der EU bzw. des Europäischen Wirtschaftsraumes. Bei einer Datenübermittlung zwischen einem Konzernunternehmen mit Sitz in Deutschland zu einem Unternehmen mit Sitz außerhalb der EU, muss eine sog. 2-Stufenprüfung vorgenommen werden. Zu den grundsätzlichen Voraussetzungen, nämlich das Vorliegen eines Erlaubnistatbestandes bzw. einer Einwilligung, muss zusätzlich in dem adressierten Drittstaat ein „angemessenes Datenschutzniveau“ vorliegen. Ob ein solches Datenschutzniveau vorliegt, muss in Drittstaaten, im Unterschied zu EU-Mitgliedstaaten, gesondert geprüft werden. Dabei kann eine solche Feststellung unter Bezug der Art der Daten, der Zweckbestimmung, der Dauer der geplanten Verarbeitung sowie das Herkunfts- und Endbestimmungsland vorgenommen werden.

Gesondert kann die EU-Kommission auf Grundlage von Art. 25 Abs. 4, 6 EG-DSRL eine solche Feststellung in verbindlicher Weise treffen. Für die Länder Argentinien, Australien, Schweiz und Kanada hat die Kommission verbindlich ein angemessenes Schutzniveau festgestellt, nicht jedoch etwa für China, Indien, Brasilien, Japan oder Russland.

Mangels angemessenen Schutzniveaus kann auch auf die Tatbestände des § 4c Abs. 1 BDSG oder auf § 4 Abs. 2 S. 1 BDSG zurückgegriffen werden. Letzterer bietet die Alternative, dass die zuständige Datenschutzbehörde die Datenübermittlung in den Drittstaat genehmigen kann, wenn das datenübermittelnde Konzernunternehmen ausreichende Garantien zum Schutz der personenbezogenen Daten aufweist. Solche Garantien können in Form von Vertragsklauseln oder „Binding Corporate Rules“, also verbindlichen Unternehmensregelungen, abgegeben werden.

Fazit und Handlungsempfehlung

Obwohl durch Inkrafttreten der DS-GVO die zentralen Regelungsregime des BDSG zur konzerninternen Datenverarbeitung gleichbleiben werden, so bringt sie doch auch einige Neuerungen mit sich. Daher ist es zu empfehlen, soweit Betriebsvereinbarungen oder Company-to-Company-Agreements als Erlaubnistatbestände gebraucht werden, diese inhaltlich mit den Anforderungen der DS-GVO zu überprüfen. Insbesondere ist in Zukunft darauf zu achten, dass klare und leicht verständliche Informationen zur Datenverarbeitung vorhanden sind (Art. 12 DS-GVO), die Aufklärungs- und Informationspflichten erfüllt wurden (Art. 14, 14a DS-GVO) und der Betroffene hinreichend über seine Rechte und deren Ausübung informiert wurde (Art. 15 ff. DS- GVO).