Die Arbeit greift die wichtigsten Grundbestandteile für Unternehmen innerhalb der neuen Datenschutz-Grundverordnung auf und analysiert die Umsetzung aus Unternehmenssicht. Ab dem 25.05.2018 gilt die DSGVO innerhalb der Europäischen Union. Für Unternehmen bedeutet dies eine Anpassung ihrer Datenschutzmanagementsysteme an die neuen Anforderungen der DSGVO. Für deutsche Unternehmen ergeben sich zudem ergänzende Zusatznormen aus dem neuen BDSG, die durch Öffnungsklauseln im DSGVO vom nationalen Gesetzgeber geschaffen wurden.
Die Publikation greift auf die alten Regelungen nach der DS-RL und dem BDSG (alt) zurück, um Neuerungen zu identifizieren. Gleichzeitig werden die Erwägungsgründe der DSGVO und die aktuelle Literatur genutzt, um eine rechtssichere Darstellung der Anforderungen des neuen Datenschutzrechts herzustellen.
Zusätzlich sorgen statistische Daten zum aktuellen Umsetzungstand der neuen Datenschutzregelungen unterschiedlicher Branchen sowie eine Expertenmeinung für die Sensibilisierung der Managementebenen von Unternehmen. Schlussendlich wird mit kritischem Blick auf die DSGVO und auf das BDSG (neu) ein Ausblick in die Zukunft des Datenschutzrechts gegeben und ein abschließendes Fazit gezogen.
Die Ausarbeitung enthält ein Experteninterview.
Inhaltsverzeichnis
Vorwort
Inhaltsverzeichnis
Abkürzungsverzeichnis
Abbildungsverzeichnis
A. Einleitung
I. Problemstellung
II. Gang der Darstellung und Analyse
B. Grundlagen des Datenschutzrechts
I. Hintergrund des Datenschutzrechts
1. Das europäische Datenschutzrecht
2. Die Datenschutzrichtlinie 95/46/EG
3. Das Bundesdatenschutzgesetz (neu)
II. Die Grundprinzipien der DSGVO
1. Rechtmäßigkeit, Treu und Glaube, Transparenz, Art. 5 Abs. 1 a) DSGVO
2. Zweckbindung, Art. 1 Abs. 2 b) DSGVO
3. Datenminimierung, Art. 5 Abs. 1 c) DSGVO
4. Richtigkeit, Art. 5 Abs. 1 d) DSGVO
5. Speicherbegrenzung, Art. 5 Abs. 1 e) DSGVO
6. Integrität und Vertraulichkeit, Art. 5 Abs. 1 f) DSGVO
7. Rechenschaftspflicht, Art. 5 Abs. 2 DSGVO
III. Sachlicher Anwendungsbereich
1. Sachlicher Anwendungsbereich der DSGVO
2. Sachlicher Anwendungsbereich des BDSG (neu)
IV. Räumlicher Anwendungsbereich
1. Das Marktortprinzip, Art. 3 Abs. 2 DSGVO
a) Angebot von Waren oder Dienstleistungen, Art. 3 Abs. 2 a) DSGVO
b) Verhaltensbeobachtung und Profiling, Art. 3 Abs. 2 b) DSGVO
C. Datenschutzrecht aus Unternehmenssicht
I. Die Rolle des Datenschutzbeauftragten
1. Stellung des Datenschutzbeauftragten, Art. 38 DSGVO
2. Öffnungsklausel zur Benennung des Datenschutzbeauftragten
3. Aufgaben und Befugnisse des Datenschutzbeauftragten
4. Erweitertes Haftungsrisiko des Datenschutzbeauftragten?
II. Das Verarbeitungsverzeichnis
1. Das Verarbeitungsverzeichnis des Verantwortlichen
2. Das Verarbeitungsverzeichnis des Auftragsverarbeiters
3. Das Verarbeitungsverzeichnis in der Praxis
III. Die Datenschutz-Folgenabschätzung
1. Der Begriff des ״hohen Risikos“
2. Der Begriff der ״neuen Technologien“ gern. Art. 35 Abs. 1 DSGVO
3. Fallgruppen der Datenschutz-Folgenabschätzung
4. Anforderungen an die Datenschutz-Folgenabschätzung
5. Modell der Datenschutz-Folgenabschätzung
a) Die Risikobewertung (״risk assessment“)
b) Die Risikobehandlung (״risk treatment“)
c) Das Konsultationsverfahren (״risk consultation“)
IV. Die technischen und organisatorischen Maßnahmen
1. Datenschutz durch Technikgestaltung ״privacy by design“
2. Datenschutz durch datenschutzfreundliche Voreinstellungen ״privacy by default“
3. Orientierungshilfen für Lösch- und Sperrkonzepte
a) Einwilligung bei der Erhebung von Daten
b) Ein Vertrag kommt zustande
c) Zusatzleistungen
d) Sonstige Löschfristen
V. Die Betroffenenrechte
1. Informationspflichten, Art. 13, 14 DSGVO
a) Ausnahmenkatalog, Art. 13 Abs. 4 DSGVO i.v.m. § 32 BDSG (neu)
b) Ausnahmenkatalog, Art. 14 Abs. 5 a) DSGVO i.v.m. § 33 BDSG (neu)
2. Auskunftsansprüche, Art. 15 DSGVO
3. Berichtigungsansprüche, Art. 16 DSGVO
4. Löschungsansprüche, Art. 17 DSGVO
5. Das Recht auf Datenübertragbarkeit, Art. 20 DSGVO
VI. Die Auftragsverarbeitung
1. Inhalt einer Auftragsverarbeitungsvereinbarung
2. Abgrenzung Auftragsverarbeitung VS. Joint Controllership
3. Abgrenzung Auftragsverarbeitung VS. Funktionsübertragung
VII. Die Datenübertragung in Drittländer
1. Der Angemessenheitsbeschluss
a) Das Beispiel EU-US-Privacy Shield
2. Die Garantien
a) Binding Corporate Rules (BCR), Art. 46 Abs. 2 b) DSGVO
b) Standarddatenschutzklauseln, Art. 46 Abs. 2 c) DSGVO
c) Codes of Conduct, Art. 46 Abs. 2 e) DSGVO
d) Vertragsklauseln, Art. 46 Abs. 3 a) DSGVO
3. Brexit: Großbritannien und Nordirland als Drittländer
D. Ausblick & Fazit
I. Ausblick auf das Datenschutzrecht aus Unternehmenssicht
II. Ausblick auf das Datenschutzrecht aus Expertensicht
1. Interview mit Herrn Tim Wybitul
2. Resümee zum Interview
III. Fazit
Literatur- und Quellenverzeichnis
Vorwort
Zu Beginn meiner Masterthesis möchte ich einen Dank an alle aussprechen, die mich während meines akademischen Werdegangs stets unterstützt haben.
In erster Linie danke ich meinen beiden Prüfern Herrn Prof. Dr. Matthias Pierson und Herrn Christian Reichel, die mir bei der gemeinsamen Themenfindung und auch während der Bearbeitungszeit durch ihre hochqualitative Betreuung weitergeholfen haben.
Zudem möchte ich mich bei meinen Eltern, meiner Familie und meinen Freunden bedanken, die mir während meiner Studienzeit und darüber hinaus zur Seite standen.
Das neue Datenschutzrecht versucht neben einem harmonisierten Einheitsrecht für die Europäische Union gleichzeitig auch Rahmenbedingungen zu schaffen, die dem disruptiven Wandel durch technologischen Fortschritt in unserer Welt gerecht werden soll. Dabei findet sich die Europäische Union in einem Entwicklungsprozess wieder. Die Rechtsprechung, die Politik und die Wirtschaft versuChen im Einklang mit der Forschung und Lehre nach und nach für Rechtsklarheit im neuen Datenschutzrecht zu sorgen.
Mit meiner Masterthesis möchte ich meinen Teil zu diesem Prozess beitragen.
Abkürzungsverzeichnis
Abbildung in dieser Leseprobe nicht enthalten
Abbildungsverzeichnis
Abbildung 1 : Katalog der Erlaubnistatbestände nach Art. 6 Abs 1. b) - f)
Abbildung 2: Vergleich der Aufgabenkreise des DSB, DSGVO/BDSG (alt)
Abbildung 3: Schadensfälle nach Erwägungsgrund 75 DSGVO
Abbildung 4: Beispiel Risiko-Matrix mit vier stufen
Abbildung 5: Die Risikoklassen
Abbildung 6: Katalog zur Offenlegung von Informationen
Abbildung 7: Erweiterung zum Katalog zur Offenlegung von Informationen
Abbildung 8: Bekanntheit der Datenschutz-Grundverordnung
Abbildung 9: Aktuelle und zukünftige Umsetzung
A. Einleitung
I. Problemstellung
Die Bestrebungen der Europäischen Union (EU) in Form der Datenschutz-GrundVerordnung (DSGVO) ein harmonisiertes Datenschutzrecht für alle Mitgliedsstaaten zu schaffen, hat wirtschaftspolitisch für Verwirrung und Unsicherheit gesorgt. Durch essentielle Änderungen im Gegensatz zur Datenschutzrichtlinie, wie beispielsweise der Beweislastumkehr zulasten von Unternehmen sowie neu auferlegten Pflichten für Verantwortliche, die personenbezogenen Daten verarbeiten und Auftragsverarbeiter, die im Namen anderer personenbezogenen Daten verarbeiten, eröffnen sich besonders in der Wirtschaft dringende Fragen und allgemeine Verunsicherung, die in dieser Arbeit durch eine klare Analyse der aktuellen Rechtslage behandelt werden. Denn die neue Verordnung bringt neben unklaren Formulierungen und Regelungslücken auch ein ganz neues Maß an Sanktionen mit sich, die für viele Unternehmen im ״worst case“ identitätsgefährdend sein können. Auf der anderen Seite zeigt sich durch die Analyse der neuen DSGVO und die zusätzliche Betrachtung des novellierten Bundesdatenschutzgesetzes, wie dringend die Rechtslage an den aktuellen Stand der Technik angepasst werden musste. Der Transfer und die Analyse enorm großer Datenmengen im Zuge von Big Data und Industrie 4.0 nahmen den Gesetzgeber zunehmend in die Pflicht, die Rechte von Betroffenen eingehend zu stärken und dadurch die Grundrechte zu wahren. Inwiefern diese Zielsetzung erreicht wurde, wird in der folgenden Arbeit ebenfalls betrachtet und bewertet.
Aktuell befinden sich viele Unternehmen jedoch in der Situation wieder, bis zum 25.05.2018 ein funktionsfähiges Datenschutzmanagement aufzubauen, welches den Anforderungen der neuen Rechtslage wenigstens in ihren Grundzügen gerecht werden sollte. Die Freiheiten in der Umsetzung des europäischen Datenschutzrechtes bewirken bei Unternehmen unterdessen nur noch mehr RechtsunSicherheit.
Die folgende Darstellung und Analyse der DSGVO und des BDSG (neu) aus Unternehmenssicht soll dieser Rechtsunsicherheit entgegenwirken indem die rechtliehen Anforderungen an Unternehmen mit konkreten Handlungshinweisen für die Praxis versehen werden und dabei die rechtliche Bedeutung beleuchtet wird.
II. Gang der Darstellung und Analyse
Die Struktur der Arbeit orientiert sich an einer, für die Umsetzung der DSGVO und des BDSG (neu) priorisierten Gliederung der Hauptthemengebiete. Nachdem ein historischer Rückblick in die Entwicklung des europäischen Datenschutzrechtes dafür sorgt, den Leser in das Thema einzuführen, um mit Hintergrundinformationen die Wichtigkeit des Datenschutzrechtes deutlich zu machen, werden im Anschluss daran die Grundprinzipien der DSGVO erörtert auf denen die meisten der untersuchten Regelungen aufbauen. Daran anschließend richtet sich die Betrachtung auf den sachlichen sowie den persönlichen Anwendungsbereich, um Adressaten der DSGVO und des BDSG (neu) zu identifizieren. Gleichzeitig wird durch die Analyse des neuen Marktortprinzips die These untermauert, wieso die DSGVO eine Verordnung über die europäischen Unionsgrenzen hinaus ist.
Der daran anknüpfende Teil der Arbeit beleuchtet sodann die für den innerbetrieblichen Datenschutz relevanten Themenschwerpunkte, die einerseits die Rolle des Datenschutzbeauftragten beinhallten aber auch das nach DSGVO vorgeschriebene Verzeichnis für Verarbeitungstätigkeiten, die Datenschutz-Folgenabschätzung und die Implementierung von technischen und organisatorischen Maßnahmen berücksichtigen.
Unternehmen sind auch nach außen hin mit Änderung basierend auf der DSGVO und des BDSG (neu) betroffen. Daher erfolgt im Anschluss eine Analyse der Be- troffenenrechte. Zudem wird die Auftragsverarbeitung dargestellt und von der alten Rechtslage abgegrenzt. Abschließend wird der Datentransfer in Drittländer untersucht. Hierbei wird die aktuelle Rechtslage besonders mit Blick auf internationale Konzernstrukturen und die gültigen Rechtsinstrumente für Unternehmen analysiert, die einen Datentransfer in Drittländer nach der DSGVO ermöglichen.
Schließlich erfolgt ein Ausblick in die Zukunft des Datenschutzrechts mit Blick auf die Weltwirtschaft, neue Technologien und die Belange der Menschen. Um das Blickfeld für Unternehmen zu diversifizieren, wird neben statistischen Werten auch eine Expertenmeinung eingeholt und erörtert.
Das abschließende Fazit versucht den Gesamteindruck des neuen Datenschutzrechts in Form der DSGVO und des novellierten BDSG (neu) einzufangen und dabei den schmalen Grat zwischen der Stärkung der Grundrechte Betroffener und zu hoch angesetzten Anforderungen an Verantwortliche in Unternehmen ausfindig zu machen. Ein besonderer Blick wird hierbei auf die im Laufe der Arbeit entwickelten Flandlungshilfen und Modelle geworfen, die für Unternehmen die kritisch betrachteten Unklarheiten der neuen Rechtslage mit Rechtsklarheit erfüllen sollen.
B. Grundlagen des Datenschutzrechts
I. Hintergrund des Datenschutzrechts
1. Das europäische Datenschutzrecht
Im weiteren Verlauf des nachfolgenden Kapitels wird versucht ein Grundverständnis dazu aufzubauen, weshalb der europäische Datenschutz durch Richtlinien und Verordnungen einem jahrelangen Flarmonisierungsprozess ausgesetzt wurde und welche Ziele dadurch verfolgt werden. Hierbei ist es ebenso wichtig festzustellen, woher sich diese Ziele historisch ergeben haben. Dabei muss ein ebenso deutlicher Blick darauf geworfen werden, inwiefern die historisch erwachsenen Zielsetzungen durch langwierige Prozesse der Rechtsangleichung mit Blick auf den fortwährenden technologischen Wandel erreicht oder verändert wurden.
Der Grundgedanke eines einheitlichen europäischen Datenschutzrechts kann in seinen Anfängen auf die Tätigkeit des 1949 gegründeten Europarats zurückgeführt werden. Dieser hatte es sich zur Aufgabe gemacht eine europäische GrundStruktur zum Schutz der Menschenrechte zu schaffen.[1] Zur Durchsetzung dieses
übergeordneten Ziels trat die Europäische Konvention zum Schutz der Menschenrechte und Grundfreiheiten (EMRK) am 03.09.1953 in Kraft. Als maßgebliches Rechtsprechungsorgan ist der Europäische Gerichtshof für Menschenrechte (EGMR) berufen worden.[2] Ausgehend vom Art. 8 EMRK, dem Recht auf Achtung des Privat- und Familienlebens hat sich bereits 1981 im Rahmen des Übereinkommens zum Schutz der Menschen bei der automatischen Verarbeitung personenbezogener Daten (Konvention Nr. 108) zum ersten Mal der Begriff ״Datenschutz“ namentlich in einem europäischen Rechtstext durchgesetzt. Durch die Konvention wurde somit der erste Grundstein für ein einheitliches Datenschutzrecht auf Menschenrechtsebene gesetzt. Ziel dieses völkerrechtlichen Übereinkommens ist es, das Recht auf einen Persönlichkeitsbereich bei der automatischen Verarbeitung personenbezogener Daten zu schützen.[3]
Die Vereinheitlichung der Datenschutzrechte in Europa könnte neben dem oben aufgeführten grundrechtlichen Charakter auch wirtschaftlich motivierte Ziele abgedeckt haben. Ein erstes Indiz dafür findet sich in Form eines Verbots in der Konvention Nr. 108, die es den Vertragsparteien untersagt, den grenzüberschreitenden Verkehr personenbezogener Daten in das Gebiet einer anderen Vertragspartei zu verbieten oder von besonderen Genehmigungen abhängig zu machen.[4] Die Verwirklichung dieser doppelten Zielsetzung hatte im Anschluss an die Mindestharmonisierung durch die Datenschutzrichtlinie 1995/46/EG aus aktueller Sicht das Inkrafttreten der Datenschutz-Grundverordnung am 24. Mai 2016 zur Folge.
2. Die Datenschutzrichtlinie 95/46/EG
Die Doppelköpfigkeit des europäischen Datenschutzrechts, bestehend aus der grundrechtlichen Motivation des Art. 8 EMRK sowie der Verfolgung wirtschaftli- eher Zwecke durch die Rechtsharmonisierung innerhalb der EU, spiegelte sich gleichwohl in der Datenschutz-Richtlinie (DS-RL) von 1995 wieder. Die Kombinatorik aus dem Schutz der Betroffenen und ihrer Rechte auf der einen Seite und dem Verbot der Beschränkung des personenbezogenen Datenverkehrs auf der anderen Seite, wird bereits im Art. 1 Abs. 1 und 2 der DS-RL als Gegenstand der Richtlinie formuliert.[5]
3. Das Bundesdatenschutzgesetz (neu)
Im Rahmen des Datenschutz-Anpassungs- und Umsetzungsgesetz EU (DSAn- pUG-EU) vom 30. Juni 2017 wurde das reformierte BDSG verabschiedet, welches mit dem Ende der Übergangszeit und der unmittelbaren Gültigkeit der DSGVO am 25. Mai 2018 in Kraft tritt und das bis dahin geltende BDSG (alt) ersetzt. Aus materiellrechtlicher Sicht ergänzen die Regelungen des BDSG (neu) die Ausgangsnormen der DSGVO.[6] Besonders bei der Betrachtung des sachliChen Anwendungsbereiches des BDSG (neu) wird deutlich, dass das nationale Recht für den deutschen Rechtsanwender relevant bleibt.[7]
II. Die Grundprinzipien der DSGVO
Das zweite Kapitel der DSGVO, dass sich über die Artikel 5-11 erstreckt, beginnt mit der Festlegung allgemeiner Grundprinzipien zur Verarbeitung personenbezogener Daten.[8] Diese Auflistung von Grundsätzen für die Verarbeitung personenbezogener Daten aus Art. 5 DSGVO wird im Allgemeinen auch Prinzipienkatalog genannt und erinnert stark an den des Art. 6 DS-RL.[9] Insgesamt listet der Art. 5 DSGVO folgende Prinzipien auf und bildet damit das Grundgerüst der VerOrdnung: Transparenzprinzip Abs. 1 a), Zweckbindung Abs. 1 b), Datenminimierung Art. 1 c), Richtigkeit Art. 1 d), Speicherbegrenzung Art. 1 e), Integrität und Vertraulichkeit Art. 1 f) und die oben genannte Rechenschaftspflicht aus Abs. 2.
Im Vergleich zu den alten Prinzipien aus dem Art. 6 DS-RL wurden die Prinzipien der DSGVO um das Transparenzprinzip in Art. 5 Abs. 1 a) DSGVO sowie um die Rechenschaftspflicht in Art. 5 Abs. 2 DSGVO ergänzt.[10]
Die folgende Beleuchtung der einzelnen Prinzipien im Lichte der Systematik der DSGVO dient dazu, dem Leser ein Grundverständnis zu übermitteln, weshalb bestimmte Artikel der Verordnung die Verarbeitung von personenbezogenen Daten einschränken oder verbieten. Zudem erfolgt für den Leser eine geeignete Einführung in die Regelungen der Verordnung, um den nachfolgenden Kanon der Arbeit korrekt einzuordnen und zu verstehen. Da dies in manchen Fällen nicht einmal unter Inaugenscheinnahme der einzelnen Artikel oder der dazuzählenden Erwägungsgründe schlüssig wird, ist die Betrachtung der Grundprinzipien auf die der nachfolgende Hauptteil der DSGVO aufbaut von hoher Bedeutung. Gleichzeitig werden nationale Ergänzungsnormen des BDSG (neu) sowie gegebenenfalls ein Rückblick auf das BDSG (alt) in den Gesamtkontext mitaufgenommen, um das rechtliche Gefüge für den deutschen Rechtsanwender vollumfänglich zu bedienen. Um die Relevanz aus Unternehmersicht zu stärken, wird dabei außerdem der Blick auf Öffnungsklauseln gerichtet, die das DSGVO durch nationale Regelungen zur Verarbeitung von personenbezogenen Daten nichtöffentlicher Stellen ergänzen.
1. Rechtmäßigkeit, Treu und Glaube, Transparenz, Art. 5 Abs. 1 a) DSGVO
Da die Verarbeitung personenbezogener Daten nach dem Vorbild des Art. 8 GRCh einen Eingriff in die Privatsphäre der Betroffenen darstellt, muss jeder Eingriff gerechtfertigt sein. Hierzu bedarf es im Sinne der Verordnung entweder einer Einwilligung des Betroffenen nach Art. 6 Abs. 1 a) DSGVO oder eines rechtlichen Erlaubnistatbestandes nach Art. 6 Abs. 1 b) - f) DSGVO, die den Eingriff recht- fertigen.[11] Die Systematik des Art. 6 DSGVO nennt ganz bewusst die Einwilligung des Betroffenen zuerst. Dies hängt in erster Linie damit zusammen, dass die Nachweisbarkeit und der allgemeine Begründungsaufwand bei der Einwilligung am niedrigsten sind. Der Gesetzgeber orientiert sich außerdem an der Systematik des Art. 7 DS-RL und wird gleichzeitig dem Wortlaut des Art. 8 Abs. 2 s. 1 GRCh gerecht.[12] Die Rechtmäßigkeit der Verarbeitung kann aber auch auf Grundlage folgender rechtlicher Erlaubnistatbestände gestützt werden:
Abbildung in dieser Leseprobe nicht enthalten
Abbildung 1 : Katalog der Erlaubnistatbestände nach Art. 6 Abs 1. b) - f)IJ
Zudem müssen die Daten nach dem Grundsatz von Treu und Glaube verarbeitet werden. Die ursprüngliche Übersetzung der Terminologie ״Treu und Glaube“ in die englische Sprache ״good faith“ oder in die italienische ״bona fide“ sollten hierbei ins Gedächtnis gerufen werden. Denn der Begriff ״Treu und Glaube“ wird in den oben genannten Amtssprachen der DSGVO nicht etwa mit ״good faith“ oder ״bona fide“ übersetzt, sondern mit ״fairly“ und ״corretto“. Damit distanzieren sich andere Mitgliedsstaaten durch die sprachliche Auslegung von der Rechtswirkung der Terminologie ״Treu und Glaube“.[13] Die Begrifflichkeit ״Treu und Glaube“ soll also nicht die traditionelle Ausprägung des Begriffs, wie man sie aus dem BGB kennt, durchsetzen. Vielmehr wird durch die Betrachtung anderer Amtssprachen deutlich, dass die ״Gewährleistung einer ״fairen“ Verarbeitung“[14] gemeint ist.
Die Einwilligung des Betroffenen nach Art. 6 Abs. 1 a) DSGVO muss zudem klar von der ausdrücklichen Einwilligung nach Art. 9 Abs. 2 a) DSGVO abgegrenzt werden. Eine einfache Einwilligung gemäß Art. 6 Abs. 1 a) DSGVO reicht demnach nicht aus, um die Verarbeitung besonderer Kategorien personenbezogener Daten nach Art. 9 DSGVO zu rechtfertigen. In die besonderen Kategorien nach Art. 9 DSGVO fallen folgende Daten:
- Rassische bzw. ethnische Herkunft
- Politische Meinungen
- Religiöse oder weltanschauliche Überzeugung
- Gewerkschaftszugehörigkeit
- Genetische und biometrische Daten
- Gesundheitsdaten
- Sexualleben und sexuelle Orientierung
Im Art. 9 DSGVO wird die Systematik des Art. 6 DSGVO übernommen. Nach Art. 9 Abs. 2 a) ist demnach die Verarbeitung besonderer Kategorien personenbezogener Daten erlaubt, wenn eine ausdrückliche Einwilligung des Betroffenen vorliegt. Die ausdrückliche Einwilligung unterscheidet sich von der ״Einwilligung“ ge- maß Art. 6 Abs. 1 a) DSGVO dadurch, dass sie nicht konkludent erfolgen kann.[15] Die ausdrückliche Einwilligung muss zudem freiwillig abgegeben worden sein und der Betroffen muss zum Zeitpunkt der Abgabe vollumfänglich über die Folgen seiner Einwilligung und den Zweck der Verarbeitung informiert sein.[16]
Für Unternehmen kann im Zuge der Betrachtung der neuen Einwilligung vor al- lern die fragliche Rechtsgültigkeit von Altvereinbarungen relevant werden. Hierbei kann aus Unternehmenssicht davon ausgegangen werden, dass Alteinwilligungen nach § 4a BDSG (alt) wirksam bleiben.[17] Voraussetzung hierfür ist lediglieh, dass die Einwilligung mit den Anforderungen der DSGVO konform ist. Einwilligungen die nach § 4a BDSG (alt) eingeholt wurden, können mithin als rechtskräftige Einwilligungen zur Verarbeitung personenbezogener Daten subsumiert werden. Die erneute Einholung einer Einwilligung beim Betroffenen wird darüber hinaus auch im Erwägungsgrund 171 deutlich verneint.[18] ״Beruhen die Verarbeitungen auf einer Einwilligung gemäß der Richtlinie 95/46/EG, so ist es nicht erforderlich, dass die betroffene Person erneut ihre Einwilligung dazu erteilt, wenn die Art der bereits erteilten Einwilligung den Bedingungen dieser Verordnung entspricht, so dass der Verantwortliche die Verarbeitung nach dem Zeitpunkt der Anwendung der vorliegenden Verordnung fortsetzen kann.“[19] Somit ist Unternehmen, die bereits über Einwilligungen verfügen, nur zu einer rechtlichen Prüfung zu raten, die die Konformität mit der DSGVO bestätigt. Ergeben sich Abweichungen zu den rechtlichen Anwendungen oder neue Zwecke der Verarbeitung so muss erneut eine Einwilligung eingeholt werden. Dieses Vorgehen begründet sich aus dem Koppelungsverbot, welches unterschiedliche Verarbeitungsvorgänge oder unterschiedliche Zwecke nicht unter eine Einwilligung zusammenfassen lässt.[20]
2. Zweckbindung, Art. 1 Abs. 2 b) DSGVO
Die Zweckbindung, die ebenfalls als ein Grundsatz der DSGVO formuliert ist, existierte als solche bereits im Art. 8 Abs. 2 s. 1 GRCh und war folglich auch in der DS-RL im Art. 6 Abs. 1 b) zu finden.[21] Besonderes Augenmerk ist dabei dem Wortlaut des Art. 5 Abs. 1 b) DSGVO zuzurechnen: ״(...)festgelegte, eindeutige und legitime Zwecke(...)“. Die Zweckbindung der Verarbeitung kann demnach von mehreren Zwecken abhängig gemacht werden. In diesem Zusammenhang ist auch die Mitteilungs- und Informationspflicht aus Art. 12 f. DSGVO zu nennen. Dabei wird der Grundsatz der Zweckbindung dahingehend erweitert und präzisiert, dass die Betroffenen von der Verarbeitung ihrer Daten ״in präziser, transparenter verständlicher und leicht zugänglicher Form in einer klaren und einfaChen Sprache“ informiert werden.[22] Im Gegensatz hierzu vertritt die nationale Rechtsprechung im Rahmen von Einwilligungserklärungen möglichst ausführliche und vollumfängliche Informationen an Betroffene zukommen zu lassen.[23] Im Zentrum der Betrachtung sollte hier jedoch der Praxisbezug Stehen, weshalb ein
Großteil der Praktiker zur einfacheren Herangehensweise der DSGVO tendieren werden. Unternehmen müssen somit eine Infrastruktur sowie Automatismen in ihren Systemen und das Bewusstsein bei den Mitarbeitern schaffen, die es ermöglichen die Zweckbindung und jede dazugehörige Änderung im Rahmen der Informationspflichten der Verantwortlichen und Auftragsverarbeiter an die Betroffenen zu kommunizieren.
3. Datenminimierung, Art. 5 Abs. 1 c) DSGVO
Nach Art. 5 Abs. 1 c) DSGVO muss die Verarbeitung personenbezogener Daten dem Zweck nach angemessen und die dazu verarbeiteten Daten erheblich sein. Zudem muss die Verarbeitung auf das notwendige Maß beschränkt sein. Der Grundsatz der Datenminimierung nimmt somit Bezug auf das ״ultima ratio“ Prinzip wonach die Verarbeitung nur dann zulässig wäre, insoweit es keine andere Art und Weise gibt, durch die sich die Erhebung und Verarbeitung der Daten erübrigen würde.[24] Alternativen, durch die eine Verarbeitung der Daten ausbleiben würde, erhalten stets den Vorzug und könnten sich in der Pseudonymisierung oder Anonymisierung der Daten finden.[25] Eine weitere Anforderung, die sich aus dem Grundsatz der Datenminimierung ergibt, ist die Minimierung der Speicherfrist, die ein Halten von ״Datenvorräten“ untersagt und den Zeitraum der DatenSpeicherung auf ein Minimum reduziert. Die Einführung der sogenannten Löschroutine setzt eine regelmäßige Kontrolle der personenbezogenen Daten voraus, um entscheiden zu können, ob diese gelöscht werden sollten.[26]
Unternehmen sehen sich daher künftig in der Pflicht für ihre IT- und CRM-Sys- teme Löschkonzepte auszuarbeiten, die im Sinne des Grundsatzes der Datenminimierung darauf ausgelegt sind eine solche Löschroutine intern zu etablieren. Entfällt also die Notwendigkeit der Datenverarbeitung und damit die Erheblichkeit der personenbezogenen Daten, müssen Löschfristen und dazugehörige LöschVorgänge entwickelt werden.[27]
4. Richtigkeit, Art. 5 Abs. 1 d) DSGVO
Der Grundsatz der Richtigkeit bezieht sich laut Art. 5 Abs. 1 d) DSGVO auf die sachliche Richtigkeit und den erforderlichenfalls neuesten Stand der Daten. Abweichend von der sprachlichen Auslegung der Richtigkeit ist beispielsweise in der englischen Fassung des Art. 5 Abs. 1 d) DSGVO die Rede von ״accuracy“ also die Genauigkeit der Daten.[28]
Aus dem Grundsatz der Richtigkeit ergeben sich im weiteren Verlauf der DSGVO Ansprüche der Betroffenen, die sich auf die sachliche Richtigkeit und den neuesten Stand der Daten beziehen. Demnach haben Betroffene nach Art. 16 DSGVO ein Recht auf Berichtigung von unrichtigen, personenbezogenen Daten oder auch das Recht auf Löschung, allgemein auch als ״Recht auf Vergessenwerden“ bekannt gemäß Art. 17 DSGVO. Somit unterstreicht das Grundprinzip der Rieh- tigkeit im Grunde zusätzlich die Pflichten des Verantwortlichen aus den vorangegangenen Prinzipien die dem Betroffenen nachhaltig richtige Informationen über die Verarbeitungsvorgänge seiner personenbezogenen Daten verfügbar machen müssen. Der Art. 5 Abs. 1 d) DSGVO sorgt zudem dafür, dass der Informationsgehalt der Betroffenenauskünfte ein gewisses Maß an Qualität bewahren und Unternehmen den Betroffenen durch Verschleierung und Pauschalisierung grundlegende Informationen vorenthalten könnten.
5. Speicherbegrenzung, Art. 5 Abs. 1 e) DSGVO
Der Grundsatz der Speicherbegrenzung bezieht sich weitestgehend auf den bereits aufgegriffenen Grundsatz der Zweckbindung aus lit. b). Demnach gilt eine Höchstdauer der Speicherung genau solange, wie sie zur Realisierung der Zwecke erforderlich sind.[29] Dies erweckt bei den Verantwortlichen Handlungsbedarf, da sich diese mit der Frage auseinandersetzen müssen, wann bestimmte Datensätze den beiden Grundsätzen der Löschung unterstehen.[30] An dieser stelle ist darauf hinzuweisen, dass der Grundsatz der Speicherbegrenzung auf Daten anzuwenden ist, die eine Identifizierung der Betroffenen ermöglichen.[31] Das Zusammenspiel der beiden Prinzipien sollte in den von Unternehmen einzuführenden Lösch- und Sperrkonzepten daher möglichst präzise umgesetzt werden um den gemeinsamen Anforderung gerecht zu werden. Auch Berechtigungskonzepte, die Zugriffe auf Daten auf einen bestimmten Beschäftigtenkreis reduzieren, sind dabei unter den Gesichtspunkten der Art. 5 Abs. 1 b), c) und e) DSGVO zu bewerten.
6. Integrität und Vertraulichkeit, Art. 5 Abs. 1 f) DSGVO
Der neue Grundsatz der Integrität und Vertraulichkeit hat sich aus den beiden Grundsätzen ״Grundsatz der Integrität“ des Europäischen Parlamentes und dem ״Grundsatz der Datensicherheit“ des Rats ergeben.[32] Der Grundsatz, auch als ״IT-Grundrecht“ bekannt, soll die Daten vor Zugriffen Unberechtigter schützen und sowohl technisch als auch organisatorisch eine sichere Umgebung zur Speicherung und Verarbeitung der personenbezogenen Daten gewährleisten.[33] Die Umsetzung von technischen und organisatorischen Maßnahmen kann daher als eines der Hauptthemenschwerpunkte in der Umsetzung der DSGVO aus Unternehmenssicht beschrieben werden.
7. Rechenschaftspflicht, Art. 5 Abs. 2 DSGVO
Die in Art. 5 Abs. 2 DSGVO neu enthaltene Rechenschaftspflicht verpflichtet Verantwortliche dazu, die Anforderungen an die Verarbeitung aus den Art. 5 Abs. 1 a) -f) ordnungsgemäß einzuhalten. Die Rechenschaftspflicht bindet den Verant- wörtlichen dabei an eine Beweislast und eine Nachweispflicht, die die Gesamtheit der oben aufgeführten Grundsätze betrifft.[34] Präzisiert wird der Grundsatz der Rechenschaftspflicht vor allem durch den Art. 24 DSGVO der die Verantwortung des für die Verarbeitung Verantwortlichen regelt. Dieser hat gemäß Absatz 1 durch geeignete technische und organisatorische Maßnahmen sicherzustellen und auch nachzuweisen, dass die Verarbeitung im Sinne der DSGVO vollzogen wird.[35] Basierend auf dem Grundsatz der Rechenschaftspflicht kann zudem der Art. 7 DSGVO genannt werden, da demnach der Verantwortliche die Einwilligung des Betroffenen nachweisen muss oder eine für die Verarbeitung einschlägige Rechtsgrundlage bestehen sollte.
III. Sachlicher Anwendungsbereich
1. Sachlicher Anwendungsbereich der DSGVO
Der sachliche Anwendungsbereich der neuen Datenschutzgrundverordnung ist im Art. 2 DSGVO geregelt. Unter den Anwendungsbereich fallen zum einen die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten, zum anderen jedoch auch die nichtautomatisierte Verarbeitung von personenbezogenen Daten. Bei der nichtautomatisierten Verarbeitung personenbezogener Daten ist es dabei ausschlaggebend, ob diese Daten in einem Dateisystem gespeichert sind oder gespeichert werden sollen.
Besonderes Augenmerk bei der Analyse des sachlichen Anwendungsbereiches ist der Abgrenzung zu weiterhin geltenden EU-Rechtsakten zu widmen. Hierzu zählt sowohl die als ״ePrivacy-Richtlinie“ bekannte Richtlinie 2002/58/EG über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation als auch die Verordnung 45/2001/EG zum Datenschutz in den EU-lnstitutionen.[36]
Die ״ePrivacy-Richtlinie regelt die Bereitstellung öffentlich zugänglicher elektronischer Kommunikationsdienste. Gemäß Art. 95 DSGVO bleibt die ePrivacy-Richt- linie neben der DSGVO bestehen, ohne von ihr neue Pflichten auferlegt zu bekommen. Die ePrivacy-Richtlinie genießt als ״lex specialis“ zudem Vorrang in ihrem Anwendungsbereich.[37] Nichtsdestotrotz steht ihr eine Änderung bevor, um das Verhältnis zur DSGVO klarzustellen und die beiderseitigen Geltungsbereiche festzulegen.[38] Die bevorstehende Änderung wird voraussichtlich mithilfe der geplanten e-Privacy Verordnung vom Gesetzgeber angestrebt werden. Auch hier wird sich das Verhältnis zur DSGVO als Grundsatzfrage etablieren, zumal die e- Privacy Verordnung, wie auch ihr Vorgänger die ePrivacy Richtlinie, weiterhin als spezielleres Recht gesehen werden kann. Es bleibt somit abzuwarten, inwiefern sich Unternehmen demnach einerweiteren Umstellung stellen müssen.
Die Polizei-Richtlinie 2016/680 regelt den grenzüberschreitenden Datenaustausch zwischen den unterschiedlichen Polizei- und Strafverfolgungsbehörden in der EU und wird durch Art. 2 Abs. 2 lit. d) DSGVO vom Anwendungsbereich der DSGVO abgegrenzt. Sie stellt zusammen mit der DSGVO ein Reformpaket dar und wurde von der Kommission bereits im Entwurf der DSGVO thematisch von dieser losgelöst.[39] Der Gesetzgeber reagiert mit der separaten Polizei-Richtlinie auf die politischen Veränderungen bezüglich der polizeilichen und justiziellen Zusammenarbeit der Mitgliedsstaaten durch die Vertragsreform von Lissabon und respektiert gleichzeitig die Souveränität der Mitgliedsstaaten in Sachen strafver- folgung.[40]
Die Verarbeitung personenbezogener Daten zu ausschließlich persönlichen oder familiären Tätigkeiten wird in Art. 2 Abs. 2 lit. c) DSGVO aus dem Anwendungsbereich ausgegrenzt. Diese sogenannte ״Haushaltsausnahme“[41] verhindert, dass die DSGVO fälschlicherweise auf alltägliche Tätigkeiten Bezug nimmt, wie die Nutzung sozialer Netze.[42]
Die Abgrenzung des Anwendungsbereiches der DSGVO erstreckt sich außerdem, beruhend auf dem Grundsatz der begrenzten Einzelermächtigung der Union gemäß Art. 5 Abs. 2 EUV, auf Bereiche, die nationale Sicherheit und Landesverteidigung als Gegenstand haben. In diesem Kontext kann mit Blick auf die Datenverarbeitung im Rahmen der gemeinsamen Außen- und Sicherheitspolitik ebenfalls eine Abgrenzung in Art. 2 Abs. 2 lit. b) DSGVO genannt werden.[43]
2. Sachlicher Anwendungsbereich des BDSG (neu)
Für die Datenverarbeitung personenbezogener Daten nichtöffentlicherstellen gilt der Anwendungsbereich des BDSG (neu) gleichermaßen wie der Anwendungsbereich der DSGVO, Art. 2 Abs. 1 und Abs. 2 c) DSGVO.[44] Zusätzlich gilt das neue BDSG für die Verarbeitung personenbezogener Daten durch öffentliche Stellen des Bundes gemäß § 2 BDSG (neu).
Öffentliche stellen der Länder sind durch das speziellere Recht in den jeweiligen Landesdatenschutzgesetzen (LDSG) geregelt und fallen damit nicht in den Anwendungsbereich des BDSG.[45]
Trotz der Tatsache, dass das BDSG (neu) an den Anwendungsbereich der alten Fassung anknüpft und dadurch einen weiteren Anwendungsbereich als die DSGVO innehat, kristallisiert sich ein besonderer Unterschied zum Vorgängergesetz heraus.[46] Denn im BDSG (neu) erfolgt die Bewertung der Begriffe ״Verar- beitung“ sowie ״personenbezogene Daten“ nach der Begriffsdefinition des Art. 4 Nr. 1 und 2 DSGVO womit im Vergleich zur Vorgängernorm eine Erweiterung der Begrifflichkeiten erfolgt.[47]
Flieraus ergeben sich Fragen für Unternehmen, die sich im Anwendungsbereich der DSGVO befinden und gleichzeitig aufgrund ihres Sitzes den Status des deutsehen Rechtsanwenders innehaben. Fraglich ist vor allem das Zusammenspiel beider Rechtsnormen in der Praxis. Genau bleibt für betroffene Unternehmen offen, welche der gesetzlichen Vorgaben aus DSGVO und BDSG (neu) in welcher Priorisierung für sie relevant werden. Ein erster Hinweis findet sich im Wortlaut des § 1 Abs. 5 BDSG (neu). Demnach wird dem Recht der Europäischen Union und namentlich insbesondere der DSGVO unmittelbare Geltung zugesprochen sodass der Anwendungsvorrang der DSGVO deutlich wird.[48]
Die DSGVO bietet in diversen Regelungen sowohl obligatorische, also ergänzungsbedürftige Öffnungsklauseln sowie fakultative, also ergänzungsoffene öffnungsklauseln, die es den Mitgliedsstaaten erlauben, innerhalb der nationalen
Gesetzgebung, Normen der DSGVO zu ergänzen.[49] Dabei wird den MitgliedsStaaten zwar ein rechtlicher Spielraum geboten, dieser darf aber in keinem Fall mit dem Schutzniveau sowie den Grundsätzen der DSGVO kollidieren. Sobald in einschlägigen Normen also Öffnungsklauseln eingearbeitet sind, lohnt sich ein Blick in das nationale BDSG (neu).
IV. Räumlicher Anwendungsbereich
Die Erweiterung des räumlichen Anwendungsbereiches wird nach herrschender Meinung als eine der weitreichendsten Veränderungen im neuen Datenschutzgesetz wahrgenommen. Um diese schwerwiegende Veränderung nachvollziehen zu können, bedarf es einen Blick zurück auf das alte Datenschutzrecht vor dem Inkrafttreten der DSGVO zu Zeiten der Datenschutz-Richtlinie 95/46/EG. Der nationale Gesetzgeber bediente sich im Rahmen der Umsetzung besagter Richtlinie zwei grundlegenden Prinzipien, die den räumlichen Anwendungsbereich des europäischen Datenschutzrechtes widerspiegeln sollte.
Zum einen wurde durch das Niederlassungsprinzip sichergestellt, dass európai- sehe Datenschutzrechte dann Anwendung finden, wenn ein verantwortliches Unternehmen, durch eine Niederlassung in der EU, Daten verarbeiten lässt. Zum anderen wurde durch das Territorialitätsprinzip gewährleistet, dass auch Unternehmen in den Anwendungsbereich des EU-Datenschutzes fallen, sollten sie sich diversen Hilfsmitteln, wie zum Beispiel Server- oder Rechenzentren, innerhalb der EU bedienen.[50] Aus Sicht der Betroffenen erwies sich diese Konstellation des Niederlassungsprinzips nach Art. 4 Abs. 1 lit. a) DS-RL in Verbindung mit dem Territorialitätsprinzip nach Art. 4 Abs. 1 lit. c) DS-RL als ein unzureichender Schutz ihrer personenbezogenen Daten gemäß Art. 8 GRCh.[51]
Niederlassungen von nicht europäischen Unternehmen innerhalb der EU fallen zwar bereits durch das Niederlassungsprinzip unter den alten Anwendungsbereich. Anders verhält es sich jedoch, wenn besagte nicht europäische Unternehmen hauptsächlich Online-Dienstleistungen innerhalb der EU anbieten. Durch diese Tatsache würden sie dem Anwendungsbereich der DSGVO sowohl im Niederlassungsprinzip als auch im Territorialitätsprinzip entgehen.[52] Um dieser Umgehung entgegenzuwirken, hat der Gesetzgeber bereits im Erwägungsgrund 23 der DSGVO beschlossen, dass ״(...) die Verarbeitung personenbezogener Daten von betroffenen Personen, die sich in der Union befinden, durch einen nicht in der Union niedergelassenen Verantwortlichen oder Auftragsverarbeiter dieser Verordnung unterliegen, wenn die Verarbeitung dazu dient, diesen betroffenen Personen gegen Entgelt oder unentgeltlich Waren oder Dienstleitungen anzubie- ten.(...)“[53].
Der fehlende Schutz konnte dadurch in der DSGVO durch das Marktortprinzip räumlich soweit ausgedehnt werden, dass Unternehmen in dessen Anwendungsbereich fallen, sobald sie Waren oder Dienstleistungen innerhalb der EU anbieten, unabhängig davon, wo sie Ihren Sitz haben oder die personenbezogenen Daten verarbeiten. Durch das Marktortprinzip wird nicht nur der Anwendungsbereich der DSGVO erweitert und die Rechte der Betroffenen gestärkt. Auch Bedingungen außerhalb der Rechtsmaterie lagen mindestens ebenso stark im Fokus des Gesetzgebers.
Denn die DSGVO passt, festgemacht am Beispiel des Marktortprinzips den Rechtsstand an den technologischen Fortschritt und an die weltweit globalisierte Infrastruktur an.[54] Für die heutigen technischen Möglichkeiten der Datenverarbeitung ist die geografische Lage kaum noch maßgebend. Weltkonzerne wie Google oder Facebook die durch Big Data Anwendungen in der Lage sind riesige Datenmengen von überall auf der Welt in Echtzeit zu verarbeiten, müssen ebenso vom räumlichen Anwendungsbereich der DSGVO erfasst werden. Im aktuellen Kontext kann hierbei der Skandal um Facebook im Zusammenhang mit dem Analyseunternehmen Cambridge Analytica aus Großbritannien genannt werden. Umso wichtiger ist es daher, dass die Ausübung einer beliebigen Tätigkeit eines Unternehmens innerhalb der EU dazu ausreicht in den Anwendungsbereich der DSGVO zu fallen.[55] Auch, wenn sich der Gesetzgeber bei der Definition des sachlichen und räumlichen Anwendungsbereiches an der alten DatenschutzRichtlinie 95/46/EG (DS-RL) orientiert hat, so war die Erweiterung des räumlichen Anwendungsbereiches durch das Marktortprinzip maßgebend und notwendig, um auch dem technologischen Stand und damit einhergehend auch der Schutzbedürftigkeit der Betroffenen und ihren Daten gerecht zu werden.
Vom räumlichen Anwendungsbereich abzugrenzen, ist der reine Datentransit durch das Hoheitsgebiet der EU beispielsweise durch einen innereuropäischen Server oder Router. Voraussetzung für diese Ausnahme ist jedoch, dass die transferierten Daten in keiner Weise verarbeitet werden.[56]
1. Das Marktortprinzip, Art. 3 Abs. 2 DSGVO
Aus Unternehmenssicht ist in erster Linie zu klären, ob man mit seinen Gegebenheiten innerhalb des Unternehmens und mit seinem Geschäftszweck in den Anwendungsbereich der DSGVO fällt. Besonders die genauere Betrachtung des Marktortprinzips kann die Antwort auf die Frage bringen wann der räumliche Anwendungsbereich der DSGVO eröffnet ist. Einschlägig wird die DSGVO für Unternehmen demnach in zwei unterschiedlichen Fällen. Zum einen, wenn Waren oder Dienstleistungen angeboten werden, Art. 3 Abs.2 a) DSGVO oder das Unternehmen Daten anhand von Verhaltensbeobachtung sammelt und verarbeitet, Art. 3 Abs. 2 b) DSGVO.[57]
a) Angebot von Waren oder Dienstleistungen, Art. 3 Abs. 2 a) DSGVO
Für das Angebot von Waren und insbesondere von Dienstleistungen spielt es keine Rolle, ob diese frei verfügbar oder gegen Entgelt zu erwerben sind.[58] An dieser stelle ist darauf hinzuweisen, dass der hier festgelegte unentgeltliche Cha- raktér einer Dienstleistung dem im Art. 57 AEUV definierten Begriff der Dienstleistung als Leistung, die in der Regel gegen Entgelt erbracht wird, entgegen- steht.[59] Die DSGVO legt den Begriff der Dienstleistung entgegen des allgemeinen Verständnisses somit bewusst weiter aus, um beispielsweise klassische Suchmaschinenfunktionen von Google oder Bing in den Anwendungsbereich der
Verordnung miteinzubeziehen. Die Verwendung der gewonnenen Daten, unter anderem zu Marketingzwecken, kann nach herrschender Meinung, durch den damit einhergehenden Benefit für das Unternehmen als De-facto-Bezahlung angesehen werden.[60]
Dem Gesetzgeber war es dagegen ein wichtigeres Anliegen, eine Abgrenzung zu schaffen indem Dienstleistung in den Anwendungsbereich der Verordnung einbezogen werden, die ״offensichtlich beabsichtigt“[61] an Gruppen innerhalb der EU gerichtet sind. Ein Indiz gegen eine solche Beabsichtigung könnte gemäß ErwG 23 DSGVO die Verwendung einer Sprache sein, die in einem Drittland gesprochen wird. Die reine Zugänglichkeit der Internetpräsenz des Anbieters, des Auftragsverarbeiters oder des Vermittlers spricht ebenfalls gegen eine offensichtliehe Beabsichtigung. Vielmehr deutet die Verwendung einer Amtssprache der EU oder die Nutzung des Euros als Währung daraufhin, dass die Beabsichtigung vorliegt eine europäische Zielgruppe anzusprechen.[62]
Das Marktortprinzip deutet sprachlich bereits darauf hin, dass es den Gesetzgebern in erster Linie ein Anliegen war, die Reichweite weltweiter Anbieter von Waren oder Dienstleistungen in den Anwendungsbereich der DSGVO zu bringen, die aufgrund ihrer technologischen Hilfsmittel keinen geografischen Bezugspunkt in der EU brauchen um diese anzubieten. Dies erklärt auch, weshalb der entgeltliehe Charakter der angebotenen Waren und Dienstleistungen eher in den Hintergrund gerückt wurde und laut DSGVO keine Rolle für den räumlichen Anwendungsbereich spielt.
b) Verhaltensbeobachtung und Profiling, Art. 3 Abs. 2 b) DSGVO
Der zweite Teil des Art. 3 Abs. 2 DSGVO der die Beobachtung von Verhalten innerhalb der europäischen Union in den Anwendungsbereich der Verordnung bringt, erfährt durch den weit auslegbaren Begriff der ״Beobachtung“ seine wahre Relevanz erst in der Ableitung der beobachteten Daten durch das sogenannte
״Profiling“ oder ״Tracking“.[63] Beim ״Profiling“ werden die aus der Verhaltensbeobachtung gewonnenen personenbezogenen Daten dazu verwendet, dem Betroffenen in Bezug auf seine berufliche sowie wirtschaftliche Lage, Gesundheit, persönliche Vorlieben und Interessen sowie durch seinen Aufenthaltsort und sein Alter ein persönliches Profil zu erstellen, Art. 4 Nr. 4 DSGVO.
Aus Sicht der DSGVO ergeben sich, abhängig von der Art und Weise, wie Unternehmen die personenbezogenen Daten verwenden, unterschiedliche rechtliche Konsequenzen. Ausschlaggebend ist hierbei, welche Wirkung die automatisierte Verarbeitung der durch das Profiling erlangten, personenbezogenen Daten, auf den Betroffenen haben. Laut Art. 22 Abs. 1 DSGVO besteht beispielsweise ein Profiling-Verbot für die Verarbeitung von personenbezogenen Daten die im Rahmen von Profiling erlangt wurden und für den Betroffenen rechtliche oder ähnliche Wirkung entfalten, die eine erhebliche Beeinträchtigung darstellen.[64] In der Praxis findet die Verwendung von Daten durch Profiling besonders im Beschäftigungssektor und im Finanzwesen, beispielsweise bei der Kreditvergabe, Anwen- dung.[65] Für die anderweitige Nutzung von Profiling-Daten ohne rechtliche oder ähnliche Wirkung für den Betroffenen gemäß Art. 22 Abs. 1 DSGVO gelten die allgemeinen Bestimmungen der DSGVO nach Art. 6 DSGVO. Weiterhin bleibt die Frage offen, ob gezielte Werbung, die auf das Profil des Betroffenen Zugeschnitten ist, unter den Anwendungsbereich des Art. 22 DSGVO fällt, zumal dies bereits aus Sicht der DS-RL verneint wurde.[66] Aufgrund dieser und vieler weiterer offenen Fragen, die der teilweise schwammig ausgestalteten Formulierungen innerhalb der DSGVO geschuldet sind, bleibt abzuwarten, inwieweit die im Erwägungsgrund 72 DSGVO angekündigten Leitlinien des eigens durch die Verordnung eingerichteten Europäischen Datenschutzausschusses für Klarheit sorgen können.
C. Datenschutzrecht aus Untemehmenssicht
I. Die Rolle des Datenschutzbeauftragten
Die DSGVO stellt mit den verschärfenden Regelungen zum Datenschutz und den astronomischen Geldbußen auch die Rolle des betrieblichen Datenschutzbeauftragten in ein neues Licht innerhalb des Unternehmens. Die Erhöhung der Sanktionen, die Unternehmen drohen, hat auch eine erhöhte Aufmerksamkeit und Sensibilität in den Vorstandsetagen und Geschäftsführungen der meisten Unternehmen hervorgerufen. Hierarchisch besteht in der DSGVO, anders als im BDSG (alt), keine Pflicht zur unmittelbaren Unterstellung des Datenschutzbeauftragten zur Geschäftsleitung. Einzig die Berichterstattung erfolgt weiterhin unmittelbar an die höchste Managementebene des Verantwortlichen oder Auftragsverarbeiters gemäß Art. 38 Abs. 3 DSGVO.[67] In der Literatur wird derweilen diskutiert, ob die ״neue“ Stellung und das erweiterte Aufgabengebiet des Datenschutzbeauftragten für größere Verantwortung im Unternehmen sorgt, was folglich auch ein erhöhtes Haftungsrisiko bedeuten könnte. Insbesondere hinsichtlich der Umsetzung der neuen Regelungen und Anforderungen aus der DSGVO wird den Unternehmen geraten Arbeitsgruppen zu bilden, die aus den Verantwortlichen der betroffenen Abteilungen bestehen.
Bevor nun die zentralen Aufgabengebiete des Datenschutzbeauftragten nach den neuen Maßgaben der DSGVO erläutert werden, sind die neuen VoraussetZungen zu berücksichtigen, wann ein Datenschutzbeauftragter bestellt werden muss und was dabei zu beachten ist. Zudem ist zu klären, ob der Datenschutzbeauftragte nun tatsächlich ein erweitertes Haftungsrisiko trägt.
1. Stellung des Datenschutzbeauftragten, Art. 38 DSGVO
Ursprünglich war die Bestellung des Datenschutzbeauftragten nach §§ 4 f Abs. 1 BDSG (alt) an die quantitative Anforderung geknüpft, wie viele Personen im Unternehmen personenbezogene Daten automatisiert bzw. nicht-automatisiert verarbeiten. Nach Art. 37 Abs.
[...]
[1] Vgl. Ehmann/Selmayr, DSGVO, s. 145, Rn. 10.
[2] Vgl. Jaeger, System einer Europäischen Gerichtsbarkeit, s. 85.
[3] Vgl. Ehrnann/Selmayr, DSGVO, s. 146, Rn. 11.
[4] Vgl. Ehrnann/Selmayr, DSGVO, S. 147, Rn. 12.
[5] Vgl. Ehmann/Selmayr, DSGVO, s. 147, Rn. 13.
[6] Vgl. Schantz/Wolff, Das neue Datenschutzrecht, s. 117, Rn. 349.
[7] Siehe Punkt III. 2. Sachlicher Anwendungsbereich des BDSG (neu).
[8] Vgl. Wedde, EU-Datenschutz-Grundverordnung, s. 12 f.
[9] Vgl. Harting, Datenschutz-Grundverordnung, s. 25, Rn. 84.
[10] Vgl. Plath, BDSG/DSGVO, s. 998 Rn. 1.
[11] Vgl. Plath, BDSG/DSGVO, s. 999, Rn. 3.
[12] Vgl. Albers, in Wolff/Brink, BeckOK, Art. 6 DSGVO, Rn. 22.
[13] Vgl. Albers, in Wolff/Brink, BeckOK, Art. 6 DSGVO; Quelle: eigene Darstellung. ™Vgl. Paal/Pauly, Datenschutz-Grundverordnung, s 73, Rn. 18.
[14] Ehmann/Selmayr, DSGVO, s. 262, Rn. 9.
[15] Vgl. Ehmann/Selmayr, DSGVO, s. 347, Rn. 28.
[16] Vgl. Ehmann/Selmayr, DSGVO, s. 348, Rn. 29.
[17] Vgl. Franck, ZD 2017, 509 (510).
[18] Vgl. Franck, ZD 2017, 509 (510).
[19] ErwG 171, Satz 3 DSGVO.
[20] Vgl. Gola, DSGVO, s. 181, Rn. 68.
[21] Vgl. Ehmann/Selmayr, DSGVO, s. 263, Rn. 13.
[22] Vgl. Plath, BDSG/DSGVO, s. 1000, Rn. 6.
[23] Vgl. Plath, BDSG/DSGVO, s. 1000, Rn. 6.
[24] Vgl. Wedde, EU-Datenschutz-Grundverordnung, s. 83.
[25] Vgl. Harting, Datenschutz-Grundverordnung, s~28, Rn. 98.
[26] Vgl. Harting, Datenschutz-Grundverordnung, s. 28, Rn. 98.
[27] Siehe Punkt IV. 3. Orientierungshilfen für Losch- und Sperrkonzepte.
[28] Vgl. Plath, BDSG/DSGVO, s. 1002, Rn. 12.
[29] Vgl. Plath, BDSG/DSGVO, s. 1003, Rn. 16.
[30] Vgl. Paal/Pauly, Datenschutz-Grundverordnung, s. 81, Rn. 43.
[31] Vgl. Paal/Pauly, Datenschutz-Grundverordnung, s. 81, Rn. 43.
[32] Vgl. Ehmann/Selmayr, DSGVO, s. 271, Rn. 28ไ
[33] Vgl. Plath, BDSG/DSGVO, s. 1003, Rn. 19.
[34] Vgl. Lepperhoff/Müthlein, Leitfaden zur DSGVO, s. 162.
[35] Vgl. Wybitul, EU-Datenschutz-Grundverordnung im Unternehmen, s. 41.
[36] Vgl. Albrecht/Jotzo, Das neue Datenschutzrecht der EU, s. 64, Rn. 20.
[37] Vgl. Albrecht/Jotzo, Das neue Datenschutzrecht der EU, s. 66, Rn. 29.
[38] Vgl. ErwG 173 DSGVO.
[39] Vgl. Albrecht/Jotzo, Das neue Datenschutzrecht der EU, s. 40, Rn. 10.
[40] Vgl. Albrecht/Jotzo, Das neue Datenschutzrecht der EU, s. 40, Rn. 10.
[41] Harting, Datenschutz-Grundverordnung, s. 71, Rn. 261.
[42] ErwG 18 DSGVO.
[43] Vgl. Albrecht/Jotzo, Das neue Datenschutzrecht der EU, s. 65, Rn. 25 f.
[44] Vgl. Schantz/Wolff, Das neue Datenschutzrecht, S.115, Rn. 344.
[45] Vgl. Ernst in Paal/Pauly, DSGVO BDSG, BDSG § 1 Rn. 4.
[46] Vgl. Ernst in Paal/Pauly, DSGVO BDSG, BDSG § 1 Rn. 2.
[47] Vgl. Ernst in Paal/Pauly, DSGVO BDSG, BDSG § 1 Rn. 3.
[48] Vgl. Kühling, NJW 2017, 1985 (1986).
[49] Vgl. Kühling, NJW2017, 1985(1986).
[50] Vgl. Albrecht/Jotzo, Das neue Datenschutzrecht der EU, s. 67, Rn. 31.
[51] Vgl. Albrecht/Jotzo, Das neue Datenschutzrecht der EU, s. 68, Rn. 31.
[52] Vgl. Paal/Pauly, Datenschutz-Grundverordnung, s. 23, Rn. 9 ff.
[53] ErwG 23 DSGVO.
[54] Siehe ErwG 6 DSGVO.
[55] Vgl. Wedde, EU-Datenschutz-Grundverordnung, s. 12.
[56] Vgl. Paal/Pauly, Datenschutz-Grundverordnung s. 25, Rn. 14.
[57] Vgl. Paal/Pauly, Datenschutz-Grundverordnung s. 24, Rn. 14.
[58] Vgl. DSK, Kurzpapier Nr. 7, Marktortprinzip, s. 1.
[59] Vgl. Ehmann/Selmayr, DSGVO, s. 229, Rn. 17.
[60] Vgl. Ehmann/Selmayr, DSGVO, s. 229, Rn. 17.
[61] ErwG 23 DSGVO.
[62] Vgl. Harting, Datenschutz-Grundverordnung, s. 58, Rn. 222.
[63] Vgl. Harting, Datenschutz-Grundverordnung, s. 59, Rn. 224.
[64] Vgl. Schürmann/Rosenthal/Dreyer, Profiling.
[65] Vgl. Ehmann/Selmayr, DSGVO, s. 244, Rn. 22.
[66] Vgl. Ehmann/Selmayr, DSGVO, s. 534, Rn. 9.
[67] Vgl. Kort, ZD 2017, 3(3).
- Arbeit zitieren
- Cagatay Bilgic (Autor:in), 2018, Die europäische Datenschutz-Grundverordnung und das reformierte BDSG. Das neue Datenschutzrecht aus Unternehmenssicht, München, GRIN Verlag, https://www.grin.com/document/445059
-
Laden Sie Ihre eigenen Arbeiten hoch! Geld verdienen und iPhone X gewinnen. -
Laden Sie Ihre eigenen Arbeiten hoch! Geld verdienen und iPhone X gewinnen. -
Laden Sie Ihre eigenen Arbeiten hoch! Geld verdienen und iPhone X gewinnen. -
Laden Sie Ihre eigenen Arbeiten hoch! Geld verdienen und iPhone X gewinnen. -
Laden Sie Ihre eigenen Arbeiten hoch! Geld verdienen und iPhone X gewinnen. -
Laden Sie Ihre eigenen Arbeiten hoch! Geld verdienen und iPhone X gewinnen. -
Laden Sie Ihre eigenen Arbeiten hoch! Geld verdienen und iPhone X gewinnen. -
Laden Sie Ihre eigenen Arbeiten hoch! Geld verdienen und iPhone X gewinnen. -
Laden Sie Ihre eigenen Arbeiten hoch! Geld verdienen und iPhone X gewinnen. -
Laden Sie Ihre eigenen Arbeiten hoch! Geld verdienen und iPhone X gewinnen. -
Laden Sie Ihre eigenen Arbeiten hoch! Geld verdienen und iPhone X gewinnen. -
Laden Sie Ihre eigenen Arbeiten hoch! Geld verdienen und iPhone X gewinnen. -
Laden Sie Ihre eigenen Arbeiten hoch! Geld verdienen und iPhone X gewinnen. -
Laden Sie Ihre eigenen Arbeiten hoch! Geld verdienen und iPhone X gewinnen. -
Laden Sie Ihre eigenen Arbeiten hoch! Geld verdienen und iPhone X gewinnen. -
Laden Sie Ihre eigenen Arbeiten hoch! Geld verdienen und iPhone X gewinnen. -
Laden Sie Ihre eigenen Arbeiten hoch! Geld verdienen und iPhone X gewinnen. -
Laden Sie Ihre eigenen Arbeiten hoch! Geld verdienen und iPhone X gewinnen. -
Laden Sie Ihre eigenen Arbeiten hoch! Geld verdienen und iPhone X gewinnen.