Datenschutzgrundverordnung (DSGVO) – Konzept, Neuerungen, Umsetzungs- und Praxishinweise

Die CBH-Partner Dr. Sascha Vander und Niklas Kinting stellen wesentliche Aspekte der Datenschutzgrundverordnung (DSGVO) vor, erläutern zentrale Neuerungen und geben Umsetzungs- sowie Praxishinweise. Das entsprechende Handout steht im Volltext als PDF-Datei zum Download bereit. Wir wünschen eine instruktive Lektüre.

Textwiedergabe Handout

Datenschutzgrundverordnung (DSGVO)
VO (EU) 2016/679
Konzept, Neuerungen, Umsetzungs- und Praxishinweise (Überblick)

Inhaltsübersicht
I. Hintergrund
II. Anwendungsbereich der Datenschutzgrundverordnung
1. Personenbezogene Daten
2. Räumlicher Anwendungsbereich
III. Technische und organisatorische Anforderungen
1. Bestellung eines betrieblichen Datenschutzbeauftragten
2. Datensicherheit
3. Privacy by Design und Privacy by Default
4. Dokumentations- und Meldepflichten
5. Datenschutzfolgenabschätzung
IV. Rechtmäßigkeit der Verarbeitung personenbezogener Daten
1. Einwilligung
a) Form und Nachweisbarkeit
b) Opt-in-Konzept und Freiwilligkeit
c) Einwilligung von Kindern
d) Schicksal von „Alteinwilligungen“
2. Gesetzlich normierte Erlaubnistatbestände
a) Verarbeitungszweck und öffentliches Interesse
b) Interessenabwägung
c) Besonders sensible Daten
3. Zweckbindungsgrundsatz und Big Data
V. Mitarbeiterdatenschutz
VI. Individuelle Rechte von Betroffenen
1. Informationspflichten
a) Inhalte
b) Art und Weise
c) Zeitpunkt
d) Verzichtbarkeit
2. Auskunftsrechte
3. „Recht auf Vergessenwerden“
4. Datenübertragbarkeit
5. Widerspruchsrecht
VII. Auftragsdatenverarbeitung
1. Neuausrichtung und Konzeptionsänderung
2. Auftragsverarbeitungsvertrag
3. Subunternehmer
4. Auftragsverzeichnis
5. Standardregelungen?
VIII. Datenübermittlung an Drittländer und internationale Organisationen
1. Prinzipien
2. Angemessenheitsbeschlüsse
3. Geeignete Garantien
4. Sonderproblem: Safe Harbor / Privacy Shield
5. Ausnahmefälle
IX. Datenschutz im Konzern
1. Konzerndatenschutzbeauftragter
2. Konzernprivileg?
X. Verhaltensregeln und Zertifizierung
1. Verhaltensregeln
2. Zertifizierungen und Akkreditierung
XI. Datenschutzaufsicht
1. Einheitliche Anlaufstelle (One Stop Shop-Prinzip)
2. Zuständigkeiten und Befugnisse
3. Europäischer Datenschutzausschuss
4. Zusammenarbeit und Kohärenz
XII. Rechtsbehelfe, Haftung und Sanktionen
1. Rechtsbehelfe
2. Haftung
3. Sanktionen
XIII. Schlussanmerkung und Ausblick

I. Hintergrund

Nach langjährigen und höchst kontrovers geführten Diskussionen hat das EU-Parlament am 14. April 2016 die Verordnung (EU) 2016/679 (Datenschutzgrundverordnung; DSGVO) verabschiedet. Die Verkündung im Amtsblatt der Europäischen Union erfolgte in den jeweiligen Sprachfassungen am 4. Mai 2016 (Abl. L 119 v. 04.05.2016, S. 1). Die DSGVO trat am 20. Tag nach ihrer Verkündung in Kraft und wird nach einer Umsetzungsfrist von zwei Jahren ab dem 25. Mai 2018 unmittelbar anzuwenden sein. Sie kann in sämtlichen Sprachfassungen der Mitgliedstaaten abgerufen werden unter:

http://eur-lex.europa.eu/legal-content/DE/ALL/?uri=OJ%3AL%3A2016%3A119%3ATOC

Eine komfortable – ebenfalls in diversen Sprache verfügbare – Lesehilfe mit automatisierten Verweisen und Verknüpfungen von Erwägungsgründen ist verfügbar unter:

http://www.privacy-regulation.eu/

Inhaltlich wird die DSGVO weite Teile des bestehenden nationalen Datenschutzrechts, das u. a. auf der Datenschutzrichtlinie 95/46/EG beruht, ablösen und damit insbesondere das Bundesdatenschutzgesetz (BDSG) weitgehend ersetzen.

Auch wenn die Umsetzungsfrist bis zum 25. Mai 2018 noch vergleichsweise lange erscheint, sind Unternehmen und Behörden gut beraten, sich frühzeitig mit den Anforderungen der neuen Regeln auseinanderzusetzen und Vorbereitungen für die Anpassung der bestehenden Strukturen an die neue Rechtslage zu treffen. Da die Ziele und Grundsätze der Datenschutzrichtlinie nach dem Willen des Gesetzgebers nach wie vor gültig sind (vgl. Erwägungsgrund 9 DSGVO) und in der DSGVO fortgeschrieben werden sollen, bleiben wesentliche Grundprinzipien des geltenden Datenschutzrechts zwar erhalten, wobei in Teilen durchaus eine Orientierung an den Bestimmungen der Datenschutzrichtlinie und des BDSG erkennbar ist. Gleichwohl dürfte sich für deutsche Unternehmen erheblicher Anpassungsbedarf ergeben, so dass die zweijährige Umsetzungsfrist für die Praxis eher knapp bemessen erscheint.

In rechtstechnischer Hinsicht ersetzt die DSGVO die bislang geltende Datenschutzrichtlinie 95/46/EG zum 25. Mai 2018 (Art. 94 Abs. 1 DSGVO). Anders als die Datenschutzrichtlinie wird t die DSGVO in allen EU-Mitgliedstaaten unmittelbar gelten, ohne dass es nationaler Umsetzungsakte bedarf. Dadurch wird eine weitgehende Harmonisierung des europäischen Datenschutzrechts angestrebt, wobei einer echten Vollharmonisierung zahlreiche Öffnungsklauseln, auf deren Grundlagen die Mitgliedstaaten Sonderregelungen treffen können, entgegenstehen. Der Umfang der Öffnungsklauseln ist dabei durchaus beträchtlich, wie insbesondere die nachfolgend referenzierte grafische Aufbereitung der betroffenen Bereiche veranschaulicht:

https://www.flickr.com/photos/winfried-veil/24134840885/in/dateposted/

Der eigentlich angedachte Ansatz eines „europäischen Datenschutzrechts“ dürfte insoweit jedenfalls in Teilbereichen nicht zu erreichen sein. Die länderspezifische Beurteilung datenschutzrechtlicher Vorgaben wird in den nicht harmonisierten Bereichen vielmehr auch künftig eine wesentliche Rolle spielen.

II. Anwendungsbereich der Datenschutzgrundverordnung

Die DSGVO ist ausschließlich im Hinblick auf den Umgang mit personenbezogenen Daten natürlicher Personen zu beachten. Insoweit ergeben sich also keine Änderungen zur bestehenden Rechtslage im deutschen Recht. Wie sich aus Erwägungsgrund 14 ergibt, gilt die Verordnung ausdrücklich nicht für die Verarbeitung personenbezogener Daten juristischer Personen, wie dies hingegen etwa nach bisherigem Recht in Österreich der Fall ist. Die DSGVO findet auch – wie bislang auch schon nach deutschem Recht vorgesehen – auf Datenverarbeitungen, die ohne Bezug zu einer beruflichen oder wirtschaften Tätigkeit vorgenommen werden, keine Anwendung (vgl. Erwägungsgrund 18).

1. Personenbezogene Daten

Die Bestimmung personenbezogener Daten ist im Übrigen – wie schon nach bestehendem Recht – vergleichsweise weit erfasst (vgl. zur Definition Art. 4 Nr. 2 DSGVO). So sollen gemäß Erwägungsgrund 26 der DSGVO alle Informationen umfasst sein, die sich auf eine identifizierte oder identifizierbare Person beziehen. Gemäß Erwägungsgrund 30 der DSGVO zählen hierzu ausdrücklich auch IP-Adressen und Cookies. Der insbesondere in Deutschland in Teilen emotional geführte Streit, ob für die Bewertung eines Personenbezugs bzw. einer Personenbeziehbarkeit eine relative oder absolute Betrachtungsweise geboten ist, dürfte damit ungeachtet des Umstandes, dass die Bestimmungen der Verordnung keine eindeutige Regelung treffen, im letzteren Sinne beantwortet sein. Dies dürfte insbesondere für künftige datenschutzrechtliche Bewertungen etwa im Bereich Big Data oftmals zu einer vergleichsweise raschen Einstufung von Daten als personenbeziehbare Daten und einer Geltung der DSGVO-Bestimmungen führen. Ob hierdurch die Entwicklung in diesem Bereich gehemmt wird, bleibt abzuwarten.

2. Räumlicher Anwendungsbereich

Eine wesentliche Änderung in räumlicher Hinsicht wird im Vergleich zur bisherigen Rechtslage durch die Einführung des sog. „Marktortprinzips“ bewirkt. Danach müssen künftig auch außerhalb der EU ansässige Unternehmen – Datenverarbeitungen innerhalb der EU sind per se umfasst (vgl. Art. 3 Abs. 1 DSGVO) – die Vorgaben der DSGVO einhalten, wenn Unternehmen Daten von Personen verarbeiten, die sich in der EU „befinden“ (vgl. Art. 3 Abs. 2 DSGVO). Es kommt insoweit nicht darauf an, wo die Datenverarbeitung physisch erfolgt, sondern ob Waren oder Dienstleistungen in der EU angeboten oder Personen in der EU „beobachtet“ werden.

III. Technische und organisatorische Anforderungen

Die DSGVO legt einen Schwerpunkt auf Fragen technischer und organisatorischer Anforderungen und entwickelt relevante Prinzipien in Teilen weiter. So wurden bspw. die Grundsätze der Datenvermeidung und Datensparsamkeit bewusst bereits auf technischer Ebene durch eine explizite Verankerung der Vorgaben für Privacy by Design und Privacy by Default konkretisiert und gestärkt.

1. Bestellung eines betrieblichen Datenschutzbeauftragten

Die DSGVO erlegt Unternehmen gemäß Art. 37 Abs.1 DSGVO die Verpflichtung auf, einen betrieblichen Datenschutzbeauftragten zu benennen, wenn die Kerntätigkeit eines Verantwortlichen bzw. eines Auftragsverarbeiters in der Durchführung solcher Verarbeitungsvorgänge liegt, die eine umfangreiche, regelmäßige und systematische Überwachung betroffener Personen erforderlich machen oder wenn die Verarbeitungsvorgänge die Verarbeitung sensibler Daten umfassen. Die Verpflichtung zur Bestellung eines Datenschutzbeauftragten besteht zwar bereits nach geltendem deutschem Datenschutzrecht; die nach deutschem Recht vorgesehenen Schwellenwerte (vgl. § 4f Abs. 1 BDSG) finden sich in der DSGVO allerdings nicht wieder. Eine Öffnungsklausel in Art. 37 Abs. 4 DSGVO ermöglicht es dem nationalen Gesetzgeber, die Bestellung eines Datenschutzbeauftragen auch in weiteren Fällen vorzuschreiben. Es ist wahrscheinlich, dass der deutsche Gesetzgeber von dieser Möglichkeit Gebrauch machen wird, so dass die derzeit geltende Bestellpflicht auch in Zukunft gelten wird; ob dies auch für Sonderregelungen zum Status des Datenschutzbeauftragten der Fall sein wird und kann, ist mit Blick auf den begrenzten Regelungsgehalt der Öffnungsklausel hingegen keineswegs sicher.

Eine wesentliche Neuerung im Vergleich zur bisherigen Rechtslage besteht zudem darin, dass künftig gemäß Art. 37 Abs. 2 DSGVO für eine Unternehmensgruppe ein gemeinsamer Datenschutzbeauftragter benannt werden kann. Die Möglichkeit der Einrichtung eines Konzerndatenschutzbeauftragten ist begrüßenswert und dürfte die einheitliche Handhabung datenschutzrechtlicher Belange auf Konzernebene erleichtern.

Die Aufgaben und Verantwortlichkeiten des Datenschutzbeauftragten unter der DSGVO werden sich in Teilbereichen ändern bzw. leicht verschieben. Besonders relevant ist, dass dem Datenschutzbeauftragten neben den etablierten Unterrichtungs- und Beratungsverantwortlichkeiten gemäß Art. 39 Abs. 1 lit. b DSGVO eine konkrete Überwachungszuständigkeit zukommt („Überwachung der Einhaltung der DSGVO, anderer Datenschutzvorschriften der Union bzw. der Mitgliedstaaten“). Mit den erweiterten bzw. konkretisierten Zuständigkeiten und Verantwortlichkeiten dürfte nicht zuletzt auch eine erweiterte (Innen-)Haftung des Datenschutzbeauftragten verbunden sein, so dass anzunehmen ist, dass Datenschutzbeauftragte unter der DSGVO ein valides Eigeninteresse an einer rechtskonformen Handhabung datenschutzrechtlicher Belange im Unternehmen entwickeln werden.

2. Datensicherheit

Die Gewährleistung der Datensicherheit als zentrales Prinzip des Datenschutzes wurde ebenfalls geregelt. In diesem Zusammenhang „ersetzt“ Art. 32 DSGVO den bislang geltenden § 9 BDSG nebst Anlage. Abweichend von der bisherigen Rechtslage werden nach neuem Recht keine konkret benannten Schutzmaßnahmen mehr gefordert, sondern die Einhaltung von Schutzzielen unter Verfolgung eines risikobasierten Ansatzes. Als Schutzziele ausdrücklich benannt werden die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit. Insoweit haben verantwortliche Stellen bzw. Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen zu treffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Die erforderlichen Maßnahmen umfassen insbesondere eine Pseudonymisierung und Verschlüsselung personenbezogener Daten, die Fähigkeit zur Sicherstellung von Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit von Systemen, die Fähigkeit zur raschen Wiederherstellung von Daten und den Zugang zu Daten nach einem Zwischenfall sowie ein Verfahren zur Überprüfung der Wirksamkeit technischer und organisatorischer Maßnahmen zur Gewährleistung der Sicherheit.

Da diese Vorgaben naturgemäß vage und wenig greifbar sind, kann es zweckmäßig sein, sich an den Vorgaben öffentlicher Stellen, wie den Empfehlungen des Bundesamtes für Sicherheit in der Informationstechnik (www.bsi.de), zu orientieren, um ein entsprechendes Sicherheitsniveau abzubilden.

3. Privacy by Design und Privacy by Default

Neu eingeführt wird in Art. 25 DSGVO die Verpflichtung zur Beachtung der – bislang lediglich als Zielvorgaben geltenden – Grundsätze „Privacy by Design“ und „Privacy by Default“. Diese Verpflichtungen sind namentlich für Unternehmen von Relevanz, die in der Entwicklung oder in der Produktion tätig sind.

Im Rahmen des „Datenschutzes durch Technik“ gemäß Art. 25 Abs. 1 DSGVO („Privacy by Design“) sollen die Belange des Datenschutzes bereits bei der Entwicklung von Produkten bzw. Systemen berücksichtigt werden, indem die Technik, die zur Datenverarbeitung verwendet wird, so zu konzipieren ist, dass datenschutzrechtliche Anforderungen abgebildet werden. Dahinter steckt der Gedanke, dass sich Verstöße gegen das Datenschutzrecht eher vermeiden lassen, wenn datenschutzrechtliche Anforderungen schon im Entwicklungsprozess und produktseitig berücksichtigt werden.

Weiterhin muss im Rahmen des „Datenschutzes durch datenschutzfreundliche Voreinstellungen“ gemäß Art. 25 Abs. 2 DSGVO („Privacy by Default“) sichergestellt werden, dass standardmäßig nur in einem Umfang personenbezogene Daten verarbeitet werden, wie es dem jeweiligen Zweck entsprechend erforderlich ist. Datensparsame Grundeinstellungen sollen hiernach also bereits systemseitig als „Standardeinstellung“ vorgegeben sein; dies könnte insbesondere bei den Anbietern sozialer Medien und Softwareherstellern zu einem Paradigmenwechsel führen. Insoweit gilt es zu beachten, dass gegenwärtig zahlreiche Produkte in der Grundeinstellung nach dem Opt-out-Prinzip konzipiert sind und der Nutzer Aufwand betreiben muss, um eine datenschutzfreundliche Konfiguration vorzunehmen. Hinsichtlich der datenschutzfreundlichen Konfiguration von Windows 10 sei bspw. auf die Empfehlungen des Landesdatenschutzbeauftragten des Landes Baden-Württemberg verwiesen:

http://www.baden-wuerttemberg.datenschutz.de/wp-content/uploads/2016/04/2016-04_leitfaden_win10.pdf

4. Dokumentations- und Meldepflichten

Die DSGVO erweitert die Dokumentations- und Meldepflichten von Unternehmen. Dies bedingt in Teilbereichen einen nicht unerheblichen Umsetzungsbedarf.

Die in der DSGVO geregelten Dokumentationspflichten entsprechen zwar grundsätzlich den bereits nach der bisherigen Rechtslage geltenden Pflichten. Diese werden in einzelnen Bereichen allerdings erheblich erweitert. So verlangt etwa Art. 28 DSGVO, dass die Dokumentation von Verarbeitungsvorgängen sowohl durch den für die Verarbeitung Verantwortlichen als auch durch den Auftragsdatenverarbeiter vorgenommen werden muss. Zudem hat der Verantwortliche – und auch der Auftragsdatenverarbeiter – gemäß Art. 30 DSGVO ein Verzeichnis über Verarbeitungstätigkeiten zu führen. Dies stellt zwar keine grundlegende Neuerung dar, da dieses im Wesentlichen dem schon nach bisheriger Rechtslage zu führenden Verfahrensverzeichnis entspricht. Die Verpflichtung entfällt zudem für solche Unternehmen, die weniger als 250 Mitarbeiter beschäftigen. Dies gilt nach Absatz 5 allerdings nur dann, wenn der Verantwortliche bzw. der Auftragsverarbeiter keine „kritischen“ Datenverarbeitungen vornimmt; namentlich Unternehmen, die Gesundheitsdaten verarbeiten, wären damit auch bei weniger als 250 Beschäftigten nicht aus der Pflicht zur Führung eines Verfahrensverzeichnisses entlassen. Insbesondere kleinere Anbieter „Apps“ im Gesundheitsbereich, z. B. Fitness-Tracker, etc. werden insoweit nicht von den betreffenden Verpflichtungen befreit.

Im Rahmen datenschutzrechtlicher Meldepflichten müssen etwaige Datenschutzverletzungen gemäß Art. 33 Abs. 1 DSGVO unverzüglich und möglichst innerhalb von 72 Stunden nach Kenntniserlangung an die zuständige Aufsichtsbehörde gemeldet werden. Während eine Meldepflicht nach § 42a BDSG bisweilen nur bei der Verletzung besonders sensibler Daten gilt, die unrechtmäßig übermittelt oder Dritten auf sonstige Weise unrechtmäßig zur Kenntnis gelangt sind und bei denen schwerwiegende Beeinträchtigungen für die Betroffenen drohen, verlangt Art. 33 Abs. 1 DSGVO lediglich die Verletzung des „Schutzes personenbezogener Daten“; von einer deutlichen Zunahme entsprechender Meldungen ist daher auszugehen. Die Meldepflicht gilt für jeden Fall der rechtswidrigen Datenverarbeitung und sieht damit eine deutliche Verschärfung vor, da hiervon auch etwa die versehentliche rechtswidrige Vernichtung von Daten erfasst sein kann. Ausgenommen von der Meldepflicht sind lediglich solche Verletzungen, die „voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen“ führen. Die Handhabung dieser unscharfen Ausnahmevorschrift könnte die betriebliche Praxis bis zum Vorliegen einschlägiger Gerichtsentscheidungen vor Abwägungsprobleme stellen, so dass die Bereitstellung von Auslegungshilfen durch den Europäischen Datenschutzausschuss wünschenswert wäre (vgl. Art. 70 Abs. 1 lit. g DSGVO und zum Begriff des „hohen Risikos“ Art. 35 Abs. 3 DSGVO).

Eine unverzügliche Benachrichtigungspflicht besteht ebenfalls gegenüber den Betroffenen, wobei Art. 34 Abs. 1 DSGVO diese Pflicht auf solche Fälle beschränkt, in denen die Verletzung voraussichtlich ein „hohes Risiko für die persönlichen Rechte und Freiheiten“ des Betroffenen mit sich bringt. Letzteres dürfte insbesondere bei Diebstahl von Zahlungsdaten oder vollständiger Anmeldedaten der Fall sein.

5. Datenschutzfolgenabschätzung

Eine wesentliche Neuerung im organisatorischen Bereich stellt die Datenschutzfolgenabschätzung dar, welche die bislang in Teilbereichen vorgesehene Vorabkontrolle gemäß § 4d Abs. 5 BDSG ablöst. Die Datenschutzfolgenabschätzung, die formal der verantwortlichen Stelle unmittelbar selbst obliegt, dient wie schon die Vorabkontrolle nach geltendem Recht der Bewertung von Risiken und möglichen Folgen für die persönlichen Rechte und Freiheiten der Betroffenen. Sie muss unabhängig davon, ob ein Datenschutzbeauftragter bestellt wird, gemäß Art. 35 DSGVO grundsätzlich vor der Datenverarbeitung durchgeführt werden, wenn die konkrete Form der Datenverarbeitung aufgrund von Art, Umfang, Umstand oder Verarbeitungszweck voraussichtlich hohe Risiken für die persönlichen Rechte und Freiheiten der Betroffenen mit sich bringen wird und daher als besonders kritisch anzusehen ist. Als Beispiel hierfür ist etwa das Profiling, d. h. die systematische und umfassende Bewertung persönlicher Aspekte, herauszustellen (vgl. Art. 35 Abs. 3 lit. a DSGVO). Entsprechendes dürfte auch für die Verarbeitung von Gesundheitsdaten sowie Videoüberwachungsmaßnahmen (offenbar jedenfalls implizit in Bezug genommen unter Art. 35 Abs. 3 lit. c DSGVO), insbesondere im öffentlichen Raum, gelten, wobei darauf hinzuweisen ist, dass die DSGVO abweichend vom BDSG keine Sondervorschriften für die Videoüberwachung enthält.

Im Rahmen der Datenschutzfolgenabschätzung sollen vor allem die Eintrittswahrscheinlichkeit und die Schwere von Risiken bewertet werden. Die Datenschutzfolgenabschätzung muss eine systematische Beschreibung der geplanten Verarbeitungen und ihrer Zwecke umfassen, eine Bewertung ihrer Notwendigkeit und Verhältnismäßigkeit, eine Bewertung der Risiken für die Freiheitsrechte Betroffener sowie Abhilfemaßnahmen, die zur Eindämmung dieser Risiken getroffen werden können. Ergibt sich hierbei ein hohes Risiko der Datenverarbeitung, ist gemäß Art. 36 DSGVO eine vorherige Konsultation der Aufsichtsbehörde angezeigt. Zukünftig muss also in bestimmten Fällen die Aufsichtsbehörde konsultiert werden, was bislang durch die Bestellung eines Datenschutzbeauftragten „umgangen“ werden konnte. Dies begründet für Unternehmen zusätzliche organisatorische Anforderungen. Für die Datenschutzfolgenabschätzung sowie insgesamt für die interne Handhabung datenschutzrelevanter Themen ist dringend eine hinreichende Dokumentation zu empfehlen, um die Erfüllung der Pflichten im Prüfungsfalle darlegen zu können.

IV. Rechtmäßigkeit der Verarbeitung personenbezogener Daten

Wie bereits nach der geltenden Rechtslage gilt auch künftig im Datenschutzrecht das sog. Verbot mit Erlaubnisvorbehalt. Danach ist eine Verarbeitung personenbezogener Daten grundsätzlich verboten, sofern diese nicht durch eine ausdrückliche gesetzliche Regelung oder die Einwilligung des Betroffenen erlaubt ist.

Das von der DSGVO verfolgte Rechtsmäßigkeitskonzept dürfte im Unterschied zum deutschen Recht eine wesentliche Erleichterung begründen. Während es jedenfalls nach deutschem Recht umstritten war, ob eine Datenverarbeitung im Ergebnis kumulativ auf eine Einwilligung und einen gesetzlichen Erlaubnistatbestand gestützt werden konnte (hier wird zum Teil die Position vertreten, dass eine verantwortliche Stelle, die sich im Ergebnis für eine Einwilligungslösung entscheidet, gehindert ist, sich im Falle der Verweigerung oder eines Widerrufs einer Einwilligung alternativ auf einen gesetzlichen Erlaubnistatbestand zu berufen), sieht Art. 6 DSGVO vergleichsweise deutlich vor, dass eine „Alternativrechtfertigung“ gangbar ist (vgl. Art. 6 Abs. 1 DSGVO: „Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist: […]“).

1. Einwilligung

Die Einwilligung in die Datenverarbeitung als Ausdruck der informationellen Selbstbestimmung wird weiterhin eine wichtige Rolle im Datenschutzrecht spielen, wenngleich Einwilligungskonzepte in verschiedenen Bereichen mit Blick auf die Widerruflichkeit einer Einwilligung oftmals keine adäquate Absicherung datenschutzrelevanter Vorgänge darstellen. Zudem ist zu bemerken, dass die Einwilligung unter der DSGVO offenbar nicht mehr – wie bislang nach deutschem Recht – als „Königsweg“ zur Absicherung datenschutzrelevanter Vorgänge angesehen wird, sondern vielmehr eine gewisse Aktzentverschiebung in Richtung gesetzlicher Erlaubnistatbestände zu verzeichnen ist.

a) Form und Nachweisbarkeit

Die Wirksamkeitsvoraussetzungen für eine Einwilligung werden im Rahmen der DSGVO stärker konturiert. Beruht die Datenverarbeitung auf einer Einwilligung, muss der Verantwortliche gemäß Art. 7 Abs. 1 DSGVO insbesondere nachweisen können, dass die Einwilligung erteilt worden ist. Wie der Nachweis in der Praxis konkret geführt werden soll, wird nicht geregelt. Zur Vermeidung von Haftungsrisiken empfiehlt sich daher eine umfassende Dokumentation etwaiger Einwilligungen, wie dies etwa bereits nach bestehender Rechtslage vom Bundesgerichtshof für das E-Mail-Marketing verlangt wird.

Die Einhaltung einer speziellen Form der Einwilligung wird von der DSGVO – anders als nach § 4a BDSG, nach dem die Einwilligung grundsätzlich schriftlich zu erteilen ist – nicht vorgeschrieben. Damit sind neben schriftlichen auch mündliche oder elektronische Einwilligungen zulässig. Hier dürften sich jedoch im Hinblick auf den Nachweis der Einwilligung Schwierigkeiten ergeben, so dass die verantwortliche Stelle gut beraten sein dürfte, bspw. die derzeit nach den telemedienrechtlichen Vorschriften vorgesehenen Anforderungen an elektronische Einwilligungen umzusetzen. Auch bei mündlichen Einwilligungen ist eine angemessene Dokumentation, ggf. eine Bestätigung in Textform, höchst sinnvoll.

b) Opt-in-Konzept und Freiwilligkeit

Aus Erwägungsgrund 32 der DSGVO ergibt sich die Notwendigkeit sog. „Opt-In“-Konzepte zur Erteilung von Einwilligungen. Die Einwilligung kann also beispielsweise auf einer Website per Mausklick mittels „Ankreuzlösung“ erteilt werden. „Opt-Out“-Modelle, im Rahmen derer mit Vorauswahlfeldern gearbeitet wird und die Einwilligung durch bloßes „Nichtstun“ erteilt würde, sind hingegen unzureichend. Wie streng die Anforderungen an die Ausgestaltung eines Opt-in im Ergebnis künftig ausfallen werden, ist derzeit noch nicht so recht sicher absehbar, zumal die DSGVO in Erwägungsgrund 32 den Hinweis enthält, dass eine Einwilligung nicht nur etwa durch „Anklicken“ eines Kästchens beim Besuch einer Internetseite, sondern bereits durch „Auswahl technischer Einstellungen für Dienste der Informationsgesellschaft“ erfolgen kann; ob damit künftig die oftmals störenden Cookie-Belehrungsleisten in Internet-Auftritten wieder verschwinden werden, bleibt auch mit Blick auf laufende Anpassungsbemühungen im Hinblick auf die E-Privacy-Richtlinie abzuwarten.

Zudem muss die Einwilligung auch weiterhin „freiwillig“ erfolgen. Dies ist nach Art. 7 Abs. 4 DSGVO regelmäßig nicht der Fall, wenn die Erfüllung eines Vertrages von der Einwilligung abhängig und diese nicht für die Vertragserfüllung erforderlich ist (sog. Kopplungsverbot). Weiterhin soll eine Einwilligung im Falle eines „klaren Ungleichgewichts“ zwischen dem Verantwortlichen und dem Betroffenen unwirksam sein, wenn in Anbetracht aller Umstände unwahrscheinlich ist, dass die Einwilligung freiwillig erfolgt ist (Erwägungsgrund 43 Satz 1). Dies kann – wie auch bisher – insbesondere in Arbeitsverhältnissen aufgrund der Abhängigkeit des Arbeitnehmers und des damit verbundenen faktischen Zwangs zu Erteilung der Einwilligung problematisch sein, wobei in jüngerer Vergangenheit namentlich im Bereich der Rechtsprechung Einwilligungskonzepte auch im Arbeitsverhältnis nicht per se beanstandet wurden.

c) Einwilligung von Kindern

Neu und daher besonders hervorzuheben ist die in Art. 8 DSGVO normierte Sonderregelung zur Einwilligung von Kindern. Danach muss jedenfalls für Kinder unter 16 Jahren die Einwilligung entweder durch die Eltern oder mit deren Zustimmung erfolgen; wie dies in der Praxis realisiert werden soll, ist derzeit noch völlig offen. Es steht den Mitgliedstaaten gemäß Art. 8 Abs. 1 letzter Satz DSGVO zudem offen, die vorgenannte Altersgrenze weiter herabsetzen, wobei die Grenze von 13 Jahren nicht unterschritten werden darf. Die Regelungen über Einwilligungen Minderjähriger werden insbesondere im Zusammenhang mit Social Media Anwendungen wie WhatsApp oder Facebook besonders relevant werden, wobei namentlich die Möglichkeit einer länderabhängig unterschiedlichen Altersgrenze erhöhten Umsetzungsaufwand nach sich ziehen könnte. Dem Interesse jedenfalls EU-grenzüberschreitender einheitlicher Angebote wird dies sicherlich nicht gerecht.

d) Schicksal von „Alteinwilligungen“

Zu der spannenden Frage, was denn eigentlich mit bereits unter geltendem Recht eingeholten Einwilligungen nach „Scharfschalten“ der DSGVO passieren wird, enthält Erwägungsgrund 171 höchst relevante Feststellungen. Insoweit klingt es zunächst recht positiv, wenn es heißt: „Beruhen die Verarbeitungen auf einer Einwilligung gemäß der Richtlinie 95/46/EG, so ist es nicht erforderlich, dass die betroffene Person erneut ihre Einwilligung dazu erteilt.“ Der sprichwörtliche Teufel steckt dann aber im Detail bzw. genauer in der sich anschließenden Formulierung, „wenn die Art der bereits erteilten Einwilligung den Bedingungen dieser Verordnung entspricht, so dass der Verantwortliche die Verarbeitung nach dem Zeitpunkt der Anwendung der vorliegenden Verordnung fortsetzen kann.“ Das bedeutet im Klartext, dass „Alt-Einwilligungen“ nur dann eine Rechtfertigung unter der DSGVO darstellen können, wenn diese bereits den Anforderungen an eine Einwilligung unter der DSGVO entsprochen haben, was namentlich im Offline-Bereich aufgrund der dort bis dato geltenden begrenzten Informationspflichten oftmals nicht der Fall sein dürfte.

2. Gesetzlich normierte Erlaubnistatbestände

Neben der Einwilligung kommt den gesetzlich normierten Erlaubnistatbeständen nach dem Regelungskonzept der DSGVO erhebliche Bedeutung zu. In Art. 6 Abs. 1 lit. b bis lit. f DSGVO sind zahlreiche Erlaubnistatbestände vorgesehen, die eine Datenverarbeitung rechtfertigen können.

a) Verarbeitungszweck und öffentliches Interesse

Die Verarbeitung von Daten ist – wie schon nach bestehendem Recht – insbesondere zulässig, wenn die Datenverarbeitung zur Erfüllung eines Vertrages oder zur Durchführung vorvertraglicher Maßnahmen erforderlich ist. Zulässig ist eine Datenverarbeitung zudem zur Erfüllung einer rechtlichen Verpflichtung des Verantwortlichen oder um lebenswichtige Interessen der betroffenen Personen oder einer anderen Person zu schützen. Dies gilt ebenso für Datenverarbeitungen, die zur Wahrnehmung einer Aufgabe erforderlich sind, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt.

b) Interessenabwägung

Besondere Relevanz wird der in Art. 6 Abs. 1 lit. f DSGVO geregelten datenschutzrechtlichen „Generalklausel“ zukommen. Hiernach ist eine Datenverarbeitung zulässig, wenn diese zur Wahrung berechtigter Interessen des Verantwortlichen oder eines Dritten erforderlich ist und die Interessen des Betroffenen nicht überwiegen. Die insoweit vorgesehene Interessenabwägung eröffnet dabei einen ganz erheblichen Spielraum, bedingt jedoch in gleicher Weise Auslegungsfragen und Anwendungsunsicherheiten, die aller Voraussicht nach zu einer Vielzahl von Rechtsfragen führen werden.

Diese Auslegungsprobleme werden auch durch Erwägungsgrund 47 der DSGVO nicht beseitigt, wonach im Rahmen der Interessenabwägung die „vernünftigen Erwartungen“ der betroffenen Person, die auf ihrer Beziehung zu dem Verantwortlichen beruhen, zu berücksichtigen sind. Was sich insgesamt unter die „vernünftige Erwartung“ subsumieren lassen wird, ist im Ergebnis wenig trennscharf. Umfasst dies etwa schlicht verbreitete Praktiken, z. B. den Einsatz von Tracking-Technologien im Internet? Genügt es, wenn ein Anbieter deutlich auf einen vorgesehenen Umgang mit personenbezogenen Daten hinweist, um eine entsprechende „Erwartungshaltung“ zu generieren? Hier stehen nicht gerade triviale Wertungsfragen in Rede, wobei tendenziell davon auszugehen ist, dass allein Hinweise auf eine vorgesehene Datennutzung oder eine schlichte „Praxis“ kaum dazu führen dürften, dass von einer „vernünftigen Erwartungshaltung“ auszugehen ist, da andernfalls jeglicher Umgang mit personenbezogenen Daten qua faktischer Verhältnisse bzw. entsprechender reiner Hinweise legitimiert werden könnte. Es steht zu vermuten, dass für diverse Bereiche von institutioneller Seite Empfehlungen bzw. Maßgaben an die Hand gegeben werden, um hier zumindest eine Orientierungsgrundlage zu schaffen.

Dass die Interessenabwägung gemäß Art. 6 Abs. 1 lit. f DSGVO von Unternehmensseite durchaus weitreichend genutzt werden kann, wird durch Erwägungsgrund 47 letzter Satz indiziert. Hiernach „kann“ ein überwiegendes Interesse des Verantwortlichen etwa im Falle der Verarbeitung personenbezogener Daten zu Zwecken des Direktmarketings anzunehmen sein. Der Deutsche Dialogmarketing Verband (DDV), der in dieser Hinsicht eine weite Auslegung vertritt, hat in einer Veröffentlichung zur DSGVO bereits entsprechende Ansätze dargestellt:

https://www.ddv.de/verband/publikationen/best-practice-guides.html

Mit Blick auf den Wegfall des sog. Listenprivilegs unter dem Regime der DSGVO erscheint es jedenfalls vorprogrammiert, dass eine Legitimierung solcher Datennutzungen künftig über Art. 6 Abs. 1 lit. f DSGVO angestrebt wird, wobei lauterkeitsrechtliche Vorgaben neben den datenschutzrechtlichen Anforderungen selbstredend gesondert zu beachten wären (vgl. insbesondere § 7 UWG). Entsprechendes dürfte auch für die bislang unter § 15 Abs. 3 TMG – die Vorschrift dürfte künftig „fallen“ – mögliche Verwendung von pseudonymisierten Nutzerprofilen gelten.

c) Besonders sensible Daten

Höchst restriktiv wird der Umgang mit besonders sensiblen personenbezogenen Daten gemäß Art. 9 DSGVO gehandhabt. Zu diesen Daten zählen etwa die ethnische Herkunft, religiöse Anschauungen, Gewerkschaftsangehörigkeit oder der für aktuelle Geschäftsmodelle zunehmend interessante und relevante Bereich der Gesundheitsdaten. Ein Schwerpunkt der in Art. 9 Abs. 2 DSGVO normierten Erlaubnistatbestände knüpft an Einwilligungskonzepte sowie zwingend erforderliche Datenverarbeitungsvorgänge an, einschließlich einer Datenverarbeitung von besonders sensiblen Daten im Arbeitsverhältnis (vgl. Art. 9 Abs. 2 lit. b DSGVO). Ein zusätzlicher Rückgriff auf die allgemeinen Rechtfertigungstatbestände gemäß Art. 6 DSGVO sieht Art. 9 DSGVO nicht vor und dürfte insoweit als abschließend zu bewerten sein, wobei darauf hinzuweisen ist, dass namentlich für den Bereich von Gesundheitsdaten gemäß Art. 9 Abs. 4 DSGVO eine Öffnungsklausel vorsieht, dass Mitgliedstaaten zusätzliche Bedingungen einführen oder aufrechterhalten können.

3. Zweckbindungsgrundsatz und Big Data

Der schon bislang geltende Zweckbindungsgrundsatz bleibt bestehen (vgl. Art. 5 Abs. 1 lit. b i. V. m. Art. 6 Abs. 4 DSGVO). Danach dürfen Daten, die ursprünglich zulässigerweise erhoben wurden, grundsätzlich nicht für andere als die ursprünglichen Zwecke verarbeitet werden. Zulässig ist eine Zweckänderung nur dann, wenn der neue Zweck mit dem ursprünglichen Zweck vereinbar ist.

Kriterien für die Beurteilung der Zulässigkeit, wie z. B. die Verbindung zwischen den Zwecken der Erhebung und den Zwecken der beabsichtigten Weiterverarbeitung, werden von Art. 6 Abs. 4 lit. a bis lit. e DSGVO – nicht abschließend – normiert. Dies wird vor allem im Bereich von Industrie 4.0 und Anwendungen im Bereich Big Data eine Rolle spielen, da Daten insoweit oftmals aus ihrem ursprünglichen Zusammenhang gerissen, mit anderen Daten zusammengeführt und ausgewertet werden. Ob sich in der Praxis unter Heranziehung der in Art. 6 Abs. 4 lit. a bis lit. e DSGVO genannten Kriterien und der sich daraus ergebenden Interpretationsmöglichkeiten eine unternehmensfreundlichere Auslegung des Zweckbindungsgrundsatzes entwickeln wird, bleibt abzuwarten. Eigentlich hätte es nahe gelegen, im Rahmen der DSGVO insbesondere für die Fragen rings um das Thema Big Data konkretere Leitlinien zu etablieren, um entsprechende Geschäftsmodelle auf eine valide Grundlage zu stellen; diese Chance wurde verpasst. Der Umstand, dass dies im Ergebnis nicht erfolgt ist, darf durchaus als ein Versäumnis der DSGVO betrachtet werden, da sich Unternehmen im Kontext von Big Data im Wesentlichen den Unwägbarkeit einer Bestimmung einer Personenbeziehbarkeit und der Interessenabwägung zu stellen haben werden; entsprechende Entscheidungsprozesse sollten mit besonderer Sorgfalt und transparent dokumentiert erfolgen.

V. Mitarbeiterdatenschutz

Der Mitarbeiterdatenschutz ist naturgemäß ein für Unternehmen sowohl bedeutender wie auch sensibler und streitanfälliger Bereich. Gleichwohl trifft die DSGVO insoweit keine konkreten oder gar abschließenden Regelungen, vielmehr können die Mitgliedstaaten im Wege einer Öffnungsklausel gemäß Art. 88 DSGVO durch Rechtsvorschriften oder Kollektivvereinbarungen spezifischere Vorschriften zur Gewährleistung des Schutzes der Rechte und Freiheiten hinsichtlich der Verarbeitung von Beschäftigtendaten vornehmen (vgl. hierzu auch Erwägungsgrund 155 der DSGVO). Rahmenvorgaben enthält insbesondere Art. 88 Abs. 2 DSGVO.

Nach aktuellem Stand wird der deutsche Gesetzgeber vermutlich eine Zwischenlösung dergestalt verfolgen, dass der bestehende § 32 BDSG als nationale Vorschrift zum Beschäftigtendatenschutz anwendbar bleiben wird; dieser wäre dann allerdings wohl vorsorglich um eine explizite Öffnungsklausel für Kollektivvereinbarungen zu ergänzen. Möglicherweise wird in diesem Zusammenhang bzw. in der Folgezeit die Diskussion um das schon lange geplante und stets gescheiterte Vorhaben eines Gesetzes zum Beschäftigtendatenschutz wieder aufleben. Ob hier mit Blick auf den im Übrigen bereits erheblichen Regelungsbedarf zur Anpassung des deutschen Datenschutzrechts an die DSGVO (Schätzungen entsprechend sind zwischen 200 und 400 Gesetze unter deutschem Recht zu verifizieren) mit einer Konkretisierung und Spezifizierung des Arbeitnehmerdatenschutzes gerechnet werden darf, ist auch mit Blick auf die schon in der Vergangenheit sehr schwierigen Verhandlungen höchst fraglich.

Im Hinblick auf Kollektivvereinbarungen ist die Formulierung des Art. 88 DSGVO im Übrigen sicherlich unglücklich, da die Mitgliedstaaten selbst kaum Kollektivvereinbarungen bestimmen können. Art. 88 DSGVO wird daher so auszulegen sein, dass die Mitgliedstaaten die Möglichkeit haben, im Rahmen einer Öffnungsklausel eine Legitimationsmöglichkeit durch Kollektivvereinbarungen zu schaffen. Betriebsvereinbarungen spielen unter dem derzeit geltenden Datenschutzrecht eine zentrale Rolle. Um nach der Datenschutzgrundverordnung eine Rechtsgrundlage für die Verarbeitung von Beschäftigtendaten bilden zu können, müssen entsprechende Kollektivvereinbarungen künftig mit den Vorgaben der DSGVO vereinbar sein. Insoweit dürften bestehende Betriebsvereinbarungen im Hinblick auf die rechtlichen Anforderungen zu überprüfen und ggf. anzupassen bzw. zu aktualisieren sein, was einen nicht unerheblichen Aufwand begründen dürfte.

VI. Individuelle Rechte von Betroffenen

Die DSGVO sieht in den Art. 12 ff. eine erhebliche Ausweitung der Betroffenenrechte vor. Zahlreiche der dort normierten Rechte gelten zwar bereits unter den noch aktuellen Bestimmungen, es bestehen jedoch gewichtige Neuerungen und Erweiterungen im Vergleich zur bisherigen Rechtslage.

1. Informationspflichten

Da es ein zentrales Ziel der DSGVO darstellt, für Betroffene die Nachvollziehbarkeit und Transparenz von Datenverarbeitungen sicherzustellen, wurden die schon bislang vorgesehenen Informationspflichten nochmals deutlich erweitert.

a) Inhalte

Werden personenbezogene Daten erhoben, sind den Betroffenen zunächst stets Pflichtinformationen gemäß Art. 13 Abs. 1, Art. 14 Abs. 1 DSGVO zur Verfügung zu stellen. Die Informationspflichtenkataloge gemäß Art. 13 und 14 DSGVO haben es durchaus in sich und sind höchst umfangreich bzw. detailliert. So sind neben Verarbeitungszwecken auch verpflichtend Daten eines etwaig bestellten Datenschutzbeauftragten anzugeben – eine Pflicht, die es bislang in dieser Form nicht gab; Entsprechendes gilt für eine Verpflichtung zur per-se-Belehrung über Widerspruchsrechte. Der Betroffene muss auch und insbesondere gemäß Art. 13 Abs. 1 lit. f DSGVO über die berechtigten Interessen der verantwortlichen Stelle informiert werden, wenn die Rechtsgrundlage für eine Datenverarbeitung auf einer Interessenabwägung beruht; derartige Begründungserfordernisse kennt das bisherige Recht in dieser Art und Detailtiefe insbesondere außerhalb des E-Commerce-Segments bislang nicht. Darüber hinaus sind weitergehende Informationen zu erteilen, wenn dies für eine „faire und transparente Datenverarbeitung“ erforderlich ist (vgl. Art. 13 Abs. 2, Art. 14 Abs. 2 DSGVO). Zu diesen Informationen zählen beispielsweise die Speicherdauer der Daten bzw. diejenigen Kriterien, nach denen sich die Speicherdauer richtet. Besonders umfangreich fallen die Informationspflichten im Falle von betroffenen Verfahren für eine automatisierte Entscheidungsfindung einschließlich Profiling aus (vgl. Art. 13 Abs. 2 lit. f bzw. Art. 14 Abs. 2 lit g. DSGVO); umfasst sind insbesondere „aussagekräftige Informationen über die involvierte Logik“, was namentlich für den Bereich „Scoring“ zu einer verständlichen Beschreibung des in Rede stehenden Verfahrens führend dürfte.

b) Art und Weise

Während nach bisherigem Datenschutzrecht präventive Informationspflichten im Wesentlichen im Einwilligungskontext und im Online-Bereich (Stichwort: Datenschutzerklärung) im Fokus standen, werden die Informationspflichten nunmehr insgesamt und übergreifend relevant. Dies wird in der Praxis zu einer durchaus umfangreichen Anpassung und Ergänzung von Standardinformationen bzw. formularvertraglichen Unterlagen führen (müssen), zumal die formalen Anforderungen an Informationspflichten ganz erheblich sind. Dies wird nicht zuletzt durch eine Formulierung in Art. 12 Abs. 1 DSGVO deutlich, wonach Informationen in „präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache“ zu übermitteln sind. Das Spannungsverhältnis zwischen „präzisen und transparenten Informationen“ und einer „klaren und einfachen Sprache“ ist hier vorprogrammiert, insbesondere bei komplexen Dienstleistungen.

Eine Auflösung dieses Spannungsverhältnisses könnte gelingen, wenn Informationspflichten über einen zweistufigen Ansatz vermittelt werden, wie dies zum Teil bereits im Rahmen von Datenschutzerklärungen im Online-Bereich umgesetzt wird. So können datenschutzrechtlich relevante Vorgänge zum einen präzise und detailliert beschrieben werden, während ergänzend Kurzzusammenfassungen der Informationen, ggf. im Rahmen eines Fragen- und Antwortkatalogs, aufbereitet werden. Auch Kurzdarstellungen mit Verlinkungen bzw. Verweisen auf Detailbeschreibungen sind denkbar, um das sich durchaus „beißende“ Konzept möglichst präziser und gleichwohl einfach gehaltener Datenschutzinformationen sicherzustellen.

c) Zeitpunkt

Im Hinblick auf den relevanten Informationszeitpunkt ist zu beachten, dass in den Fällen einer Direkterhebung beim Betroffenen gemäß Art. 13 DSGVO bereits unmittelbar im Rahmen der Datenerhebung zu informieren ist. Soweit eine Erhebung personenbezogener Daten nicht beim Betroffenen selbst erfolgt, hat eine Information innerhalb einer angemessenen Frist nach Erlangung der Daten, längstens jedoch innerhalb eines Monats zu erfolgen (vgl. Art. 14 Abs. 3 lit. a DSGVO). Eine Ausnahme gilt für den Fall, dass entsprechende Daten – wie etwa im Bereich des Direktmarketings – für Zwecke einer Kommunikation mit der betroffenen Person verwendet werden sollen; dann sind die relevanten Informationen spätestens zum Zeitpunkt der ersten Mitteilung zu erteilen (vgl. Art. 14 Abs. 3 lit. b DSGVO).

d) Verzichtbarkeit

In eng beschriebenen Ausnahmefällen kann eine Bereitstellung von Informationen verzichtbar sein. Dies betrifft im Wesentlichen Fälle, in denen der Betroffene bereits über die Informationen verfügt (vgl. Art. 13 Abs. 3 sowie Art. 14 Abs. 5 lit. a DSGVO) oder unverhältnismäßiger Aufwand droht (so im Anwendungsbereich von Art. 14 DSGVO gemäß Abs. 4 lit. b DSGVO).

2. Auskunftsrechte

Deutlich ausgeweitet werden auch datenschutzrechtliche Auskunftsrechte. Der diesbezügliche Katalog gemäß Art. 15 Abs. 1 lit. a bis lit. h DSGVO ist umfangreich und umfasst zahlreiche Detailinformationen.

Mit einer klassischen Auskunftserteilung sind die Rechte des Betroffenen unter Art. 15 DSGVO allerdings nicht erschöpft. So sieht Art. 15 Abs. 3 DSGVO vor, dass der Verantwortliche eine Kopie der personenbezogenen Daten zur Verfügung zu stellen hat, die Gegenstand der Verarbeitung sind. Im Falle eines elektronischen Auskunftsgesuchs sind die Daten zudem in einem gängigen elektronischen Format zur Verfügung zu stellen. Namentlich das insoweit bestehende Erfordernis einer Datenextraktion, Abgrenzung personenbezogener Daten von sonstigen, nicht auskunftspflichtigen Daten und nicht zuletzt die Umsetzung in ein gängiges Format dürfte auf Unternehmensseite nicht unerheblichen Mehraufwand begründen, einschließlich Investitionen in die relevanten IT-Systeme, welche nicht ohne weiteres bereits systemseitig Extraktionsmöglichkeiten im Sinne der DSGVO vorhalten dürften.

3. „Recht auf Vergessenwerden“

Art. 17 DSGVO sieht ein ausdrückliches „Recht auf Vergessenwerden“ vor. Dieses Recht entspricht weitgehend dem bereits im BDSG vorgesehenen Recht auf Löschung von Daten.
Eine Neuerung bzw. Ausweitung – neben der rein sprachlich bedingten Aufwertung – bildet eine Regelung in Art. 17 Abs. 2 DSGVO. Danach ist die verantwortliche Stelle, die Daten eines Betroffenen öffentlich gemacht hat, z. B. durch Veröffentlichung auf einer Homepage, nunmehr auch verpflichtet, andere verantwortliche Stellen darüber zu informieren, dass der Betroffene etwa die Löschung aller Links zu diesen personenbezogenen Daten verlangt. Diese Verpflichtung kann insbesondere für Anbieter von Such- und/oder Social Media-Diensten relevant werden.

4. Datenübertragbarkeit

Neu ist das in Art. 20 DSGVO geregelte Recht auf Datenübertragbarkeit. Auf Grundlage der vorgenannten Norm können Betroffene die Herausgabe der von ihnen zur Verfügung gestellten Daten in einem „strukturierten, gängigen und maschinenlesbaren Format“ verlangen. Soweit dies technisch möglich ist, muss die verantwortliche Stelle die Daten gemäß Art. 20 Abs. 2 DSGVO auf Wunsch des Betroffenen direkt an einen anderen Verantwortlichen übermitteln. Dem Betroffenen soll damit ein Wechsel zu einem Wettbewerber, z. B. einem anderen Social Media-Anbieter, ermöglicht werden, der diese Daten dann unmittelbar einpflegen können soll. Es ist allerdings zu beachten, dass der Verantwortliche nicht verpflichtet ist, eine für bestimmte Weiterverarbeitungszwecke kompatible Datenherausgabe sicherzustellen.

Wie eine praktische Umsetzung in technischer Hinsicht erfolgen soll, ist derzeit noch völlig unklar, zumal sich Art. 20 DSGVO nicht nur an die von der gesetzlichen Intention eigentlich ins Visier genommenen Social Media-Dienstleister, sondern jede verantwortliche Stelle richtet. Wie eine Datenübertragbarkeit etwa im Bereich Online-Banking oder bei Versicherungsverträgen gehandhabt werden soll, dürfte die Branche vor nicht unerhebliche Herausforderungen stellen, die auch mit Investitionen in die vorgehaltenen IT- bzw. Softwaresysteme eingehergehen dürften. Die Sicherstellung einer Datenportabilität bzw. Datenextraktion dürfte den einen oder anderen Marktakteur jedenfalls noch vor ganz erhebliche Herausforderungen stellen, insbesondere wenn betroffene Daten ggf. in den Zuweisungsgehalt mehrerer Betroffener fallen bzw. Drittinteressen berühren.

5. Widerspruchsrecht

Neuerungen erfährt auch das Widerspruchrecht gemäß Art. 21 DSGVO. Ein Widerspruchsrecht besteht bspw. ausdrücklich gegen Datenverarbeitungen zu Zwecken der Direktwerbung und gegen Datenverarbeitungen, die auf einer Interessenabwägung im Sinne von Art. 4 Abs. 1 lit. f DSGVO – also dem mutmaßlich künftig zentralen Rechtfertigungstatbestand im europäischen Datenschutzrecht – beruhen. In letzterem Fall besteht das Widerspruchsrecht jedoch nur, wenn für die betroffene Person „Gründe, die sich aus ihrer besonderen Situation ergeben“, vorliegen. Kann das Unternehmen „zwingende schutzwürdige Gründe für die Verarbeitung nachweisen“, ist die Datenverarbeitung weiterhin zulässig. Mit anderen Worten: Der Betroffene kann zwar widersprechen, die verantwortliche Stelle ist an einen solchen Widerspruch jedoch nicht gebunden; in diesem Spannungsfeld erscheinen rechtliche Streitigkeiten bereits vorprogrammiert, wobei für die Unternehmen einmal mehr die Maßgabe zu beachten sein dürfte, entsprechende Entscheidungsprozesse hinreichend und sorgfältig zu dokumentieren, um im Streitfall angemessene Abwägungsprozesse dokumentieren zu können.

Ein Hinweis auf das Widerspruchsrecht muss gemäß Art. 21 Abs. 4 DSGVO – wenn nicht bereits bei der Datenerhebung – jedenfalls spätestens zum Zeitpunkt der ersten Kommunikation erfolgen, und zwar verständlich und in einer „von anderen Informationen getrennten Form“. Letztere Anforderung dürfte jeglichem Ansatz die Grundlage entziehen, Widerspruchshinweise etwa nur in einer allgemeinen Datenschutzerklärung vorzuhalten. Hier werden in der Praxis durchaus auch strukturelle Änderungen in Prozessen, z. B. bei Online-Bestellabläufen und entsprechenden Datenerhebungen, vollzogen werden müssen.

VII. Auftragsdatenverarbeitung

Die für die Wirtschaft jedenfalls bislang besonders relevante Auftragsdatenverarbeitung (in der DSGVO nun als „Auftragsverarbeitung“ bezeichnet) ist gemäß Art. 28 DSGVO weiterhin zulässig, unterliegt jedoch deutlich verschärften Anforderungen für Auftragsdatenverarbeiter (nunmehr als „Auftragsverarbeiter“ bezeichnet).

1. Neuausrichtung und Konzeptionsänderung

Die Datenschutzgrundverordnung nimmt den Auftragsdatenverarbeiter insgesamt weitaus stärker in die Pflicht als dies bislang nach dem BDSG der Fall ist. Während nach dem BDSG ausschließlich der Auftraggeber für die Datenverarbeitung verantwortlich ist (diese Grundverantwortlichkeit bleibt gemäß Art. 5 Abs. 2 DSGVO auch unter dem Regime der DSGVO bestehen), kann in Zukunft auch der Auftragsverarbeiter selbst insbesondere von Betroffenen für eine unzulässige Datenverarbeitung haftbar gemacht werden (vgl. Art. 82 DSGVO). Auch aufsichtsbehördliche Maßnahmen können sich unmittelbar gegen den Auftragsverarbeiter richten.

Wesentlicher rechtstechnischer Unterschied zwischen der Auftragsdatenverarbeitung nach bestehender Rechtslage und einer Auftragsverarbeitung nach der DSGVO bildet der Umstand, dass unter der DSGVO auch im Falle der Vereinbarung einer Auftragsverarbeitung eine Datenweitergabe im rechtlichen Sinne vorliegt, während insbesondere nach Maßgabe des BDSG vorgesehen war, dass die Weitergabe von Daten im Rahmen eines Auftragsdatenverarbeitungsverhältnisses mit Blick auf die enge Weisungsgebundenheit des Auftragsverarbeiters nicht als Datenweitergabe gilt, der Auftragsverarbeiter vielmehr als „verlängerter Arm“ der verantwortlichen Stelle handele bzw. „im Lager“ des Auftraggebers stehe. Während nach noch aktueller Rechtslage eine rein tatsächlich erfolgende Datenweitergabe durch rechtliche Gestaltung also „datenschutzneutral“ fingiert wurde, dürfte das neue Konzept der Auftragsverarbeitung unter der DSGVO als eigene bzw. selbständige Rechtfertigungsgrundlage zu verstehen sein, auch wenn Art. 28 DSGVO in der zentralen Erlaubnisnorm gemäß Art. 6 DSGVO keine ausdrückliche Erwähnung findet.

Die DSGVO führt in organisatorischer Hinsicht eine Neuerung ein, die insbesondere bei Auslandssachverhalten wesentliche Bedeutung entfalten wird. Soweit nämlich Sachverhalte im Sinne von Art. 3 Abs. 2 DSGVO in Rede stehen, also eine Geltung der DSGVO auf nicht in der Union niedergelassene Verantwortliche oder Auftragsverarbeiter wegen Betroffenheit von Personen, die sich in der Union „befinden“, sieht Art. 27 DSGVO eine grundsätzliche Pflicht des Verantwortlichen bzw. des Auftragsverarbeiters vor, einen „Vertreter“ in der Union zu benennen.

2. Auftragsverarbeitungsvertrag

In Art. 28 Abs. 3 DSGVO werden umfangreiche Vorgaben für den mit dem Auftragsverarbeiter zu schließenden Vertrag aufgestellt, die in wesentlichen Teilen mit dem bisherigen Anforderungskatalog gemäß § 11 BDSG korrespondieren. Namentlich müssen die in Art. 32 DSGVO vorgesehenen Sicherheitsmaßnahmen erfüllt werden und es sind sämtliche Mitarbeiter, die zur Datenverarbeitung befugt sind, zur Verschwiegenheit – also nicht „nur“ auf das Datengeheimnis – zu verpflichten. In diesem Kontext ist darauf hinzuweisen ist, dass die allgemeine und nach deutschem Recht in § 5 BDSG vorgesehene Pflicht einer verantwortlichen Stelle, Mitarbeiter auf das „Datengeheimnis“ zu verpflichten in der DSGVO nicht mehr als eigenständige Verpflichtung vorgesehen ist; gleichwohl dürften sich entsprechende Pflichten aus den allgemeinen Organisationspflichten ableiten lassen, so dass entsprechende Verpflichtungen auch außerhalb der Auftragsverarbeitung keineswegs obsolet sind.

Eine – der wenigen – Erleichterungen stellt die Aufhebung des bislang geltenden, strengen Schriftformerfordernisses dar. Die Auftragsverarbeitung kann künftig gemäß Art. 28 Abs. 9 DSGVO auch elektronisch vereinbart werden, was den Vertragsabschluss, insbesondere bei online-basierten Diensten, im Interesse der Vermeidung von Medienbrüchen erleichtern dürfte.

3. Subunternehmer

Eine weitere Neuerung bezieht sich auf den Einsatz von Subunternehmern. Waren die Voraussetzungen der Zulässigkeit des Einsatzes von Subunternehmern nach der bisherigen Rechtslage jedenfalls nicht vollständig eindeutig, dürfen nach Art. 28 Abs. 2 DSGVO weitere Auftragsverarbeiter nur noch mit einer „vorherigen schriftlichen Genehmigung des Verantwortlichen“ eingesetzt werden. Im Falle einer Unterbeauftragung sind zudem die Vorgaben gemäß Art. 28 Abs. 4 DSGVO zu beachten, der im Wesentlichen vorsieht, dass dem Unterauftragnehmer dem Hauptauftrag entsprechende Pflichten, namentlich im Bereich organisatorisch-technischer Maßnahmen, auferlegt werden müssen.

4. Auftragsverzeichnis

Zudem führt Art. 30 Abs. 1 DSGVO als Neuerung eine Pflicht zur Führung eines Verzeichnisses aller Verarbeitungstätigkeiten ein, die in die Zuständigkeit des Verantwortlichen fallen. Entsprechende Verzeichnisführungspflichten obliegen auch den Auftragsverarbeitern selbst (vgl. Art. 30 Abs. 2 DSGVO). Die mindestens elektronisch zu führenden Verzeichnisse sind auf Nachfrage der Aufsichtsbehörde zur Verfügung zu stellen (Art. 30 Abs. 4 DSGVO), so dass sich Aufsichtsbehörden künftig vergleichsweise einfach einen Gesamtüberblick über Art und Umfang von Auftragsverarbeitungsverhältnissen verschaffen können.

5. Standardregelungen?

Für die Praxis durchaus relevant und hilfreich könnte sich eine Regelungsbefugnis der Kommission gemäß Art. 28 Abs. 4 DSGVO erweisen. Hiernach können Standardvertragsklauseln zur Regelung eines DSGVO-konformen Auftragsverhältnisses festgelegt werden. Dies entspricht vom Ansatz her dem Konzept der im Bereich des internationalen Datentransfers in nicht sichere Drittländer bereits etablierten EU-Standardvertragsklauseln.

VIII. Datenübermittlung an Drittländer und internationale Organisationen

Die Datenschutzgrundverordnung trifft – nicht zuletzt vor dem Hintergrund, dass die Safe-Harbor-Entscheidung des EuGH in die laufenden Verhandlungen der DSGVO fiel – umfangreiche Regelungen zu Datenübermittlungen ins Ausland, insbesondere in sog. Drittländer. Dabei ist zu konstatieren, dass dieses für die Praxis immens wichtige Regelungsfeld in der DSGVO im Vergleich zu den derzeit eher kryptischen Regelungen gemäß §§ 4b, 4c BDSG vergleichsweise strukturiert, detailliert und transparent ausgestaltet wurde.

1. Prinzipien

Die Bestimmungen zum Drittlandtransfer beruhen im Wesentlichen auf der Grundannahme, dass zur Absicherung des in der EU als angemessen unterstellten Datenschutzniveaus für Auslandssachverhalte Maßnahmen bzw. Regelungen zur Absicherung eines entsprechenden bzw. hinreichenden Datenschutzniveaus erforderlich sind.

Insoweit unterscheidet die DSGVO unmittelbar in Art. 44 Satz 1 DSGVO erfreulich deutlich die erforderliche Zwei-Schritt-Prüfung einer zulässigen Übermittlung von Daten in Drittstaaten: Diesbezügliche Übermittlungen sind nur zulässig, wenn (Stufe 1) der Verantwortliche und der Auftragsverarbeiter die besonderen Bestimmungen der Art. 44 DSGVO über die Übermittlung personenbezogener Daten an Drittländer einhalten und (Stufe 2) auch die sonstigen Regelungen der DSGVO eingehalten werden. Mit anderen Worten: Eine Datenübermittlung bedarf zunächst einer allgemeinen Rechtfertigung (analog einer Datenübertragung innerhalb der Mitgliedstaaten) und unterliegt zusätzlich den besonderen und zusätzlichen Anforderungen an den Drittlandtransfer.

2. Angemessenheitsbeschlüsse

Am bereits unter der „alten“ Datenschutzrichtlinie bzw. dem BDSG verfolgten Konzept möglicher Angemessenheitsbeschlüsse in dem Sinne, dass die Kommission Drittländer als „sichere Drittländer“ anerkennen kann, ändert sich unter der DSGVO wenig, wenn auch die konkreten Kriterien für eine entsprechende Angemessenheitsentscheidung (also im Ergebnis Maßgaben für die Kommission) unmittelbar in Art. 45 Abs. 2 DSGVO normiert wurden. Um hier hinreichende Transparenz zu schaffen, sieht Art. 45 Abs. 8 DSGVO vor, dass eine Liste aller Drittländer bzw. Gebiete und spezifische Sektoren in einem Drittland, für die per Beschluss ein angemessenes Schutzniveau festgestellt wurde, sowohl im Amtsblatt der Europäischen Union als auch auf der Website der Kommission zu veröffentlichen ist.

Dabei ist zu beachten, dass bereits vor Inkrafttreten der DSGVO getroffene Angemessenheitsentscheidungen gemäß Art. 45 Abs. 9 DSGVO vorbehaltlich abweichender Entscheidung der Kommission in Kraft bleiben. Der aktuelle Stand „sicherer Drittländer“ ist im Internet abrufbar unter:

http://ec.europa.eu/justice/data-protection/international-transfers/adequacy/index_en.htm

3. Geeignete Garantien

Neben Angemessenheitsbeschlüssen kommen als Mittel einer Rechtfertigung für einen Drittlandsdatentransfer gemäß Art. 46 DSGVO „geeignete Garantien“ in Betracht, wobei Art. 46 Abs. 2 DSGVO ein breites Spektrum möglicher Anknüpfungspunkte für entsprechende Garantien vorgibt. Dies kann verbindliche interne Datenschutzvorschriften, sog Binding Corporate Rules, Standardvertragsklausen und – dies ist neu – genehmigte „Verhaltensregeln“ und „Zertifizierungsmechanismen“ betreffen (zu Verhaltensregeln und Zertifizierungsmechanismen vgl. nachfolgend unter Gliederungspunkt X).

Die für die Praxis bislang besonders relevanten Standardvertragsklauseln unter der bisherigen Datenschutzrichtlinie bleiben zunächst und bis zur etwaigen Aufhebung oder Neuverabschiedung korrespondierender Regelwerke in Kraft, so dass – ungeachtet der wohl für die DSGVO formal teilweise nicht mehr passenden Klauseln – insoweit zunächst kein Anpassungsbedarf bestehen dürfte. Die derzeitigen Standardvertragsklauseln sind unter folgendem Link abrufbar:

http://ec.europa.eu/justice/data-protection/international-transfers/transfer/index_en.htm

Ob und inwieweit die Standardvertragsklauseln für einen Datentransfer in die USA eine verlässliche Grundlage bleiben werden, steht mit Blick auf laufende Verfahren in diesem Bereich freilich auf einem anderen Blatt. Weitere Möglichkeiten betreffen aufsichtsbehördlich zu genehmigende Vertragsklauseln zwischen einem Verantwortlichen und einem Auftragsverarbeiter (vgl. Art. 46 Abs. 3 lit. a DSGVO).

Im Hinblick auf Binding Corporate Rules gemäß Art. 46 Abs. 2 lit. b DSGVO enthält Art. 47 DSGVO konkrete und sehr ausdifferenzierte Vorgaben. Art. 47 Abs. 2 DSGVO stellt für die – bereits nach geltendem Recht bekannten – verbindlichen unternehmensinternen Datenschutzvorschriften erstmals auf gesetzlicher Basis präzise Vorgaben bereit. Bereits ein kurzer Blick in Art. 47 Abs. 2 lit. a bis lit. n DSGVO bestätigt eindrucksvoll die Detailverliebtheit der Regelung, welche insoweit allerdings auch eine ausgesprochen hilfreiche Grundlage für die Erstellung eines entsprechenden Regelwerks bietet. Eine Besonderheit im Hinblick auf Binding Corporate Rules besteht zudem darin, dass eine Genehmigung durch die zuständige Aufsichtsbehörde im Kohärenzverfahren erfolgt, womit für den Fall einer erfolgenden Genehmigung für betroffene Unternehmen ein hohes Maß an Rechtssicherheit in allen Mitgliedstaaten erreicht werden kann; die Bedeutung und Verbreitung von Binding Corporate Rules dürfte vor diesem Hintergrund durchaus und ungeachtet des nicht unerheblichen Gestaltungsaufwandes und Genehmigungsunwägbarkeiten zunehmen.

4. Sonderproblem: Safe Harbor / Privacy Shield

Ob in Zukunft wieder auf ein Safe-Harbor entsprechendes Konzept für einen Datentransfer in die USA zurückgegriffen werden kann, wird im Wesentlichen davon abhängen, ob die aktuell unter dem Titel „EU-US Privacy Shield“ laufenden Überlegungen den Spagat schaffen werden, die Anforderungen der DSGVO mit dem ganz erheblich, insbesondere im Bereich staatlicher Überwachung, abweichenden US-amerikanischen Datenschutzkonzept in Einklang zu bringen. Das Safe Harbor-Urteil des EuGH hat bekanntermaßen der bis dato zentralen Datenübermittlungsgrundlage von heute auf morgen die Grundlage entzogen (Urteil vom 6.10.2015, Az. C-362/14). Der EuGH hatte die entsprechende Entscheidung der EU-Kommission, nach der unter gewissen Voraussetzungen ein angemessenes Datenschutzniveau bei US-Unternehmen angenommen werden konnte, mit unmittelbarer Wirkung für ungültig erklärt. Eine Übermittlung personenbezogener Daten in die USA ist auf dieser Grundlage derzeit nicht mehr zulässig, sodass eine erhebliche Rechtunsicherheit besteht, wenngleich sich betroffene Unternehmen bislang mit einem Ausweichen auf Standardvertragsklausen behelfen konnten, die nunmehr allerdings selbst in einem gerichtlichen Verfahren Gegenstand einer Beanstandung sind, der im Wesentlichen die gleichen Erwägungen zugrunde liegen, die bereits im Safe Harbor-Verfahren im Zentrum der Diskussion standen; eine parallele Entscheidung erscheint insoweit höchst wahrscheinlich.

Die EU-Kommission verfolgt mit dem im Februar 2016 als Teil des „EU-US Privacy Shield“ veröffentlichten Entwurf eines Angemessenheitsbeschlusses das Ziel, eine neue Rechtsgrundlage für den Datentransfer in die USA zu schaffen und so die bestehende Rechtsunsicherheit zu beseitigen. Die bisherigen Ansätze wurden von der Artikel 29-Datenschutzgruppe, vom Europäischen Datenschutzbeauftragen sowie dem EU-Parlament scharf kritisiert. Insbesondere wurde beanstandet, dass weiterhin die Gefahr einer Massenüberwachung der Daten europäischer Bürger durch US-Geheimdienste gegeben sei. Ein neuer Entwurf des „Privacy Shield“ wurde dem sog. Artikel 31-Ausschuss vorgelegt, der aus Vertretern der Mitgliedsstaaten besteht. Für die künftige Abbildbarkeit eines rechtssicheren Datentransfers in die USA dürfte das Ergebnis der „EU-US Privacy Shield“-Verhandlungen von ganz erheblicher Bedeutung sein; ohne einen gewissen Paradigmenwechsel im US-amerikanischen Recht, namentlich im Bereich staatlicher Überwachung, stehen die Zeichen für einen Erfolg jedoch tendenziell nicht positiv. Es kann auch nicht ausgeschlossen werden, dass der EuGH für den Fall einer verbindlichen Verabschiedung und praktischen Anwendung sich dem Datentransfern in die USA insoweit erneut zu widmen haben wird.

5. Ausnahmefälle

Schließlich ist eine Datenübermittlung in Drittländer bzw. an internationale Organisationen – wie schon nach geltendem Recht – gemäß Art. 49 DSGVO weiterhin in bestimmten Sonderfällen zulässig. Ein bedeutender Fall in der Praxis dürfte insoweit die Einwilligung des Betroffenen darstellen (vgl. Art. 49 Abs. 1 lit. a DSGVO). Dies gilt entsprechend für eine notwenige Übermittlung zu Vertragserfüllungszwecken (vgl. Art. 49 Abs. 1 lit. b und lit. c DSGVO).

IX. Datenschutz im Konzern

Die DSGVO widmet sich jedenfalls in Teilbereichen auch dem in der Praxis äußerst relevanten, gesetzlich bislang allerdings nicht gesondert aufgegriffenen Thema „Konzerndatenschutz.“

1. Konzerndatenschutzbeauftragter

Eine wesentliche Erleichterung bildet insoweit der Umstand, dass auf Konzernebene die Bestellung eines einheitlichen Konzerndatenschutzbeauftragten ermöglicht (vgl. Art. 37 Abs. 2 DSGVO) und auch die Vorgaben an Corporate Binding Rules im Kontext von Auslandsübertragungen transparenter gefasst wurden (vgl. Art. 47 DSGVO).

2. Konzernprivileg?

Ein „echtes Konzernprivileg“ findet sich im eigentlichen Normtext der DSGVO allerdings nicht. Damit folgt die DSGVO zunächst normativ dem insbesondere auch in Deutschland verfolgte und in Teilen vehement verteidigten Konzept, Konzernunternehmen als Dritte zu behandeln. Dies stellt für verbundene Unternehmen nach wie vor ein Problem dar, da jedes Unternehmen als externe Stelle angesehen wird und daher jede konzerninterne Datenübermittlung stets einer gesonderten Rechtfertigung für die die Datenverarbeitung bedarf. Gerade in Deutschland galt die mangelnde Anerkennung eines Konzernprivilegs fast schon als „heilige Kuh“ des Datenschutzrechts.

Dies dürfte sich unter der DSGVO ungeachtet mangelnder Privilegierung durch den Normtext selbst ganz erheblich ändern. Auch wenn kein originär normatives Konzernprivileg eingeführt wurde, findet sich eine Art „kleines Konzernprivileg“ – dieses ist zudem nicht nur auf Unternehmensgruppen im engeren Sinne, sondern auch für „Gruppen von Einrichtungen, die einer zentralen Stelle zugeordnet sind“, anzuwenden – in Erwägungsgrund 48 der DSGVO. Hiernach gilt, dass Verantwortliche, die Teil einer „Unternehmensgruppe“ oder einer „Gruppe von Einrichtungen sind, die einer zentralen Stelle zugeordnet sind“, ein „berechtigtes Interesse haben können“, personenbezogene Daten innerhalb der Unternehmensgruppe für interne Verwaltungszwecke, „einschließlich der Verarbeitung personenbezogener Daten von Kunden und Beschäftigten“, zu übermitteln. Die Grundprinzipien für die Übermittlung personenbezogener Daten innerhalb von Unternehmensgruppen an ein Unternehmen in einem Drittland sollen dabei unberührt bleiben.

Auch wenn im Rahmen des Erwägungsgrundes 48 DSGVO davon ausgegangen wird, dass der konzerninterne Datentransfer lediglich ein berechtigtes Interesse begründen „kann“, indiziert allein der Umstand, dass der Konzerndatentransfer bzw. das Konzerninteresse als potentiell berechtigtes Interesse Eingang in die Erwägungsgründe gefunden hat, dass ein Konzerndatentransfer als solcher gerechtfertigt werden kann. Hätte die DSGVO am Konzept der Einstufung von Konzernunternehmen untereinander als „reguläre Dritte“ festhalten wollen, ließe sich die Existenz von Erwägungsgrund 48 bzw. die dortige Regelung zum Konzerndatentransfer kaum erklären. Insoweit dürfte auch davon auszugehen sein, dass der bislang im Konzern oftmals als Ausweg beschrittene Weg einer Auftragsdatenverarbeitung künftig zugunsten einer Interessenabwägung gemäß Art. 4 Abs. 1 lit. f DSGVO an Bedeutung verlieren wird; dies gilt jedenfalls, solange kein Transfer in ein nicht sicheres Drittland erfolgt, für welche nach wie vor die Verwendung der EU-Standardvertragsklauseln und namentlich die Standardklauseln zur Auftragsdatenverarbeitung eine wichtige Rolle spielen werden. Art und Umfang privilegierungsfähiger Datentransfers im Konzern wird naturgemäß erst die künftige Praxis ergeben, wobei auch zu bedenken ist, dass gerade für den auf Konzernebene besonders relevanten Transfer von Arbeitnehmerdaten, z. B. im Kontext konzernweiter HR-Systeme, die Neuregelungen der DSGVO über besonders sensible Daten (vgl. Art. 9 DSGVO) einem Datentransfer im Anwendungsbereich von Art. 4 Abs. 1 lit. f. DSGVO Grenzen aufzeigen dürften.

X. Verhaltensregeln und Zertifizierung

Die DSGVO hat sich eine Förderung von Verhaltensregeln und Zertifizierungen somit im Ergebnis also ein Stück weit datenschutzrechtliche Selbstregulierung, auf die Fahnen geschrieben (vgl. Art. 40 ff. DSGVO). Jedenfalls nach deutschem Recht hat sich insbesondere das viel diskutierte und auch gesetzlich verankerte Datenschutzaudit bislang nicht wirklich durchsetzen können; dieser im Ergebnis bedauerliche Befund dürfte sich durch die Neuregelungen der DSGVO in Zukunft erheblich verändern.

1. Verhaltensregeln

Verhaltensregelungen können dabei von Verbänden und Vereinigungen, die Kategorien von Verantwortlichen oder Auftragsverarbeitern vertreten, ausgearbeitet werden. Durch Genehmigung von Aufsichtsbehörden oder Durchführungsrechtsakte der Kommission können entsprechende Regelwerke Verbindlichkeit erlangen, wobei herauszustellen ist, dass eine Beachtung entsprechender Regelwerke sowohl in Fällen eines Datentransfers in Drittländer als auch im Falle von Datenschutzverstößen bzw. bei Sanktionsverfahren nutzbar gemacht werden können (vgl. Art. 40 Abs. 3, Art. 83 Abs. 2 lit. j DSGVO).

2. Zertifizierungen und Akkreditierung

Zertifizierungen können durch Zertifizierungsstellen gemäß Art. 43 DSGVO vorgenommen werden. Als Zertifizierungsstelle kommt grundsätzlich jede unabhängige und fachlich qualifizierte Einrichtung in Betracht (zu den Einzelheiten des Akkreditierungsverfahrens vgl. Art. 43 DSGVO). Eine Zertifizierung mindert zwar nicht die Verantwortlichkeit des Verantwortlichen bzw. des Auftragsverarbeiters für die Einhaltung der Pflichten unter der DSGVO. Gleichwohl bietet eine Zertifizierung den durchaus erheblichen Vorteil erleichterter Drittlandtransfers (vgl. Art. 42 Abs. 2 DSGVO). Zudem stellt sich – wie bei der Einhaltung von Verhaltensregelungen – der Vorteil, dass eine Zertifizierung bzw. die Einhaltung von Zertifizierungsvorgaben im Rahmen von Sanktionsverfahren positiv zu berücksichtigen sind (vgl. Art. 83 Abs. 2 lit. j DSGVO).

XI. Datenschutzaufsicht

Die DSGVO sieht in den Art. 51 ff. sehr umfangreiche Vorgaben und Detailregelungen zu konkreten Aufgaben und Befugnissen der zuständigen Aufsichtsbehörden vor, wobei die Regelungen insbesondere vom Ansatz her auf eine effektive Wahrnehmung von Aufsichtsrechten und ein kohärentes Vorgehen der Aufsichtsbehörden in den Mitgliedstaaten gerichtet sind. Besondere Relevanz wird künftig der auf europäischer Ebene vorgesehene „Europäische Datenschutzausschuss“ einnehmen, der im Ergebnis die mit erheblich erweiterten Befugnissen ausgestattete Nachfolge der Art. 29-Datenschutzgruppe antreten wird.

1. Einheitliche Anlaufstelle (One Stop Shop-Prinzip)

Die DSGVO verfolgt als neues Prinzip die Zuständigkeit der einheitlichen Anlaufstelle als „federführende Aufsichtsbehörde“ im Falle von grenzüberschreitenden Sachverhalten (One Stop Shop-Prinzip). Bislang verhält es sich bei grenzüberschreitenden Datenverarbeitungsvorgängen so, dass mehrere Datenschutzbehörden nebeneinander zuständig sind. Dies soll sich durch Art. 56 DSGVO nun ändern. Unternehmen sollen sich künftig nicht mehr mit verschiedenen Aufsichtsbehörden der Mitgliedsstaaten auseinandersetzen müssen. Vielmehr soll diejenige Aufsichtsbehörde, die für das Gebiet der Hauptniederlassung bzw. der einzigen Niederlassung des betreffenden Unternehmens zuständig ist, als federführende Aufsichtsbehörde bestimmt werden und bei grenzüberschreitenden Verarbeitungen zuständig sein.

2. Zuständigkeiten und Befugnisse

Bereits ein Blick in den höchst umfangreichen Zuständigkeitskatalog gemäß Art. 57 Abs. 1 lit. a bis lit. v DSGVO sowie der nicht weniger umfangreiche Befugniskatalog gemäß Art. 58 Abs. 1 lit. a bis lit. j DSGVO bestätigt den ganz erheblichen Stellenwert der Aufsichtsbehörden unter der DSGVO.

Die Maßnahmenbefugnisse sind denkbar weit gestreut und reichen von einfachen Warnungen, über Einschränkungen und Verbote von Datenverarbeitungen bis hin zur Verhängung von Bußgeldern in ganz empfindlicher Höhe. Ob die Datenschutzbehörden die umfangreichen Zuständigkeiten und Maßnahmenbefugnisse künftig wirksam ausfüllen können, wird nicht zuletzt von der personellen und finanziellen Ausstattung der Behörden abhängen.
Dabei ist nicht zuletzt zu bedenken, dass den Datenschutzbehörden nicht lediglich Kontrolle und Überwachung obliegt, sondern auch und insbesondere eine Beratung verantwortlicher Stellen (vgl. hierzu etwas im Kontext der Datenschutzfolgenabschätzung Art. 57 Abs. 1 lit. l i. V. m. Art. 36 Abs. 2 DSGVO; siehe auch allgemein Art. 58 Abs. 3 DSGVO), wovon in der Praxis bereits schon jetzt in nicht unerheblichem Umfang Gebrauch gemacht wird. Die deutschen Datenschutzbehörden dürften insoweit jedenfalls an ihre Grenzen stoßen; insbesondere Forderungen in Bezug auf zusätzliches Personal wurden bereits laut.

3. Europäischer Datenschutzausschuss

Dem neu eingerichteten „Europäischen Datenschutzausschuss“ (vgl. Art. 68 ff. DSGVO) kommt eine ganz besondere Relevanz zu. Er wird aus Vertretern der nationalen Aufsichtsbehörden sämtlicher Mitgliedsstaaten und dem Europäischen Datenschutzbeauftragten gebildet und ist für die einheitliche Anwendung der DSGVO zuständig. Er wird ähnliche Aufgaben wahrnehmen, wie bislang die Art. 29-Datenschutzgruppe, wobei ein wesentlicher Unterschied auf Rechtsfolgenseite darin besteht, dass Stellungnahmen des Europäischen Datenschutzausschusses im Gegensatz zu denen der Art. 29-Gruppe verbindlich sind. Zudem wurde der Zuständigkeitskatalog des Europäischen Datenschutzausschusses stark erweitert (vgl. die einzelnen Zuständigkeitsbereiche gemäß Art. 70 Abs. 1 lit. a bis lit. y DSGVO).

Der Europäische Datenschutzausschuss ist insoweit als maßgebliche Institution zu betrachten, welche die weitere Ausprägung des Datenschutzrechts – selbstredend vorbehaltlich einer Kontrolle durch die zuständigen Gerichte – ganz maßgeblich prägen wird. Auch vor dem Hintergrund, dass datenschutzrechtliche Fragen künftig nahezu vollständig der abschließenden Entscheidungskompetenz des EuGH unterliegen werden, dürfte der europäische Einfluss auf die Anwendung der datenschutzrechtlichen Bestimmungen deutlich zunehmen und nationale Spezifika bzw. bisheriger Sonderwege im Sinne einer Rechtsvereinheitlichung zunehmend in den Hintergrund drängen.

4. Zusammenarbeit und Kohärenz

Die Art. 60 ff. DSGVO enthalten umfangreiche Regelungen zur Zusammenarbeit der Aufsichtsbehörden und zur Kohärenz. So hat die federführende Aufsichtsbehörde etwa allen betroffenen Aufsichtsbehörden Entscheidungsentwürfe zu übermitteln. Erhebt keine der betroffenen Aufsichtsbehörden innerhalb von vier Wochen Einspruch gegen den Entwurf, gelten die betroffenen Behörden als einverstanden und sind an den Entwurf gebunden (vgl. Art. 60 DSGVO). Wird ein maßgeblicher und begründeter Einspruch erhoben, trifft der Europäische Datenschutzausschuss eine verbindliche Entscheidung.

Die Regelungen zur Zusammenarbeit und Kohärenz werden insbesondere Deutschland aufgrund bestehender Föderalstrukturen und der mangelnden Existenz einer zentralen Datenaufsicht vor erhebliche Herausforderungen stellen. Spannend dürfte insbesondere die Frage werden, wer für die deutschen Datenschutzbehörden den Sitz im Europäischen Datenschutzausschuss einnehmen wird. Derzeit deutet alles darauf hin, dass dies die Bundesbeauftragte für den Datenschutz sein wird; Details sind hier allerdings noch offen, wobei sich abzeichnet, dass sich die Landesdatenschutzbehörden in Teilbereichen Einfluss auf die Ausübung des Amtes im Europäischen Datenschutzausschuss im Innenverhältnis vorbehalten werden.

XII. Rechtsbehelfe, Haftung und Sanktionen

Die Art. 77 ff. DSGVO etablieren ein umfangreiches Rechtsbehelfssystem und normieren Vorgaben für eine Haftung der verantwortlichen Stellen und der Auftragsverarbeiter. Art. 82 DSGVO sieht vergleichsweise weit gefasste Schadensersatzansprüche im Falle einer Schadensverursachung durch Verletzung von Bestimmungen der DSGVO vor.

1. Rechtsbehelfe

Neben einem Recht Betroffener auf Beschwerde bei einer Aufsichtsbehörde sehen die Vorschriften über Rechtsbehelfe sowohl Rechtsbehelfe Betroffener gegen Verantwortliche und Auftragsverarbeiter (vgl. Art. 79 DSGVO) als auch Rechtsbehelfsmöglichkeiten gegen Maßnahmen und Entscheidungen von Aufsichtsbehörden vor (vgl. Art. 78 DSGVO). Insgesamt zielen die Bestimmungen der DSGVO darauf ab, im Anwendungsbereich der DSGVO ein vergleichsweise umfassendes Rechtsbehelfssystem zu etablieren.

Den Mitgliedstaaten steht im Rahmen einer Öffnungsklausel gemäß Art. 80 Abs. 2 DSGVO die Möglichkeit zur Einführung eines Verbandsklagerechts zu, nach dem Betroffenenrechte insbesondere durch Verbraucherschutzverbände geltend gemacht werden können. Verbände könnten demnach gegen jede Art von Verstoß gegen das Datenschutzrecht vorgehen, so z.B. auch im Falle unvollständiger Datenschutzerklärungen auf Websites. Im deutschen Recht wurde ein entsprechendes Verbandsklagerecht bei Datenschutzverstößen – jedenfalls in begrenztem Umfang – schon im Vorfeld der DSGVO zu Beginn des Jahres beschlossen.

2. Haftung

Die Regelungen zu Haftung und Schadensersatz wurden im Vergleich zur geltenden Rechtslage erweitert. So wurde neben dem Verantwortlichen als potentiell Haftendem auch ein etwaig involvierter Auftragsverarbeiter aufgenommen. Neu ist zudem, dass in Art. 82 Abs. 1 DSGVO ausdrücklich die Geltendmachung immaterieller Schäden anerkannt wurde. Dies dürfte zukünftig zu einer Verschärfung der Haftung führen, da die deutschen Gerichte diesbezüglich bislang eher zurückhaltend urteilten.

Es ist auch darauf hinzuweisen, dass nach dem Konzept von Art. 82 DSGVO Schadensersatzansprüche nicht – wie zunächst zu vermuten stünde – nur vom „Betroffenen“ geltend gemacht werden könnte, sondern ausdrücklich von „jeder Person“, der wegen eines Verstoßes gegen die DSGVO ein materieller oder immaterieller Schaden entstanden ist. Wie weit die Praxis den Kreis möglicher Anspruchsberechtigten ziehen wird, ist derzeit nicht absehbar; denkbar sind jedoch Ansprüche von solchen Personen, die infolge eines verschuldeten Missbrauchs personenbezogener Daten Dritter einen Schaden erleiden, z. B. in Fällen einer Schadenszufügung bei missbräuchlicher Drittdatenverwendung.

3. Sanktionen

Die DSGVO sieht strenge Sanktionen für Verstöße gegen datenschutzrechtliche Pflichten vor und geht insbesondere mit einer Vervielfachung der bisherigen Bußgeldrahmen einher. Insgesamt ist eine ganz erhebliche Verschärfung der Sanktionsmöglichkeiten zu verzeichnen.

Die von den zuständigen Datenschutzaufsichtsbehörden zu verhängenden Geldbußen sollen nach Art. 83 Abs. 1 DSGVO „wirksam, verhältnismäßig und abschreckend“ sein. Es drohen für Unternehmen je nach Art und Umfang eines konkret in Rede stehenden Verstoßes Geldbußen von bis zu EUR 20 Mio. bzw. 4 % des gesamten weltweit erzielten Jahresumsatzes, je nachdem welcher Betrag höher ist. Hier wird die Praxis der Aufsichtsbehörden angemessene Kriterien herausbilden müssen, um den rechtlichen Spagat zwischen abschreckenden und gleichwohl verhältnismäßigen Geldbußen zu schaffen, zumal eine Ausschöpfung des Bußgeldrahmens im Einzelfall durchaus existenzbedrohenden Charakter entfalten könnte.

Eins wird die drastische Verschärfung der Sanktionsmöglichkeiten mit Sicherheit erreichen, nämlich die gebotene Behandlung datenschutzrechtlicher Belange als „Chefsache“. Unternehmen werden es sich jedenfalls im wahrsten Sinne des Wortes nicht mehr leisten können, den Datenschutz quasi nebenbei zu erledigen.

Eine sorgsame Handhabung datenschutzrechtlicher Themen lohnt sich dabei in mehrfacher Hinsicht. Zum einen kann ein sorgsames Datenschutzmanagement Geschäftsprozesse, Dienstleistungen und Produkte vor den Gefahren datenschutzwidriger Konzeptionen und entsprechenden Schäden bewahren. Zudem lohnt sich eine angemessene Datenschutzorganisation auch vor dem Hintergrund, dass selbst für den zu vermeidenden Fall von Rechtsverstößen entsprechende Bemühungen von Unternehmen im Rahmen der Festsetzung etwaiger Sanktionsmittel angemessen zu berücksichtigen sind. Dies gilt insbesondere für den Fall, dass Unternehmen genehmigte Verhaltensregeln nach Art. 40 DSGVO oder genehmigte Zertifizierungsverfahren nach Art. 42 DSGVO einhalten. Der dokumentierte Wille zur Einhaltung datenschutzrechtlicher Vorgaben wird entsprechend im Falle gleichwohl erfolgender Datenschutzverstöße belohnt, was einmal mehr auch Sinn und Zweck einer angemessenen Datenschutzdokumentation verdeutlicht.

Strafrechtliche Bestimmungen enthält die DSGVO mangels Regelungszuständigkeit nicht. Die DSGVO sieht insoweit allerdings in Art. 84 DSGVO Öffnungsklauseln zugunsten der Mitgliedstaaten vor, welche diese vermutlich auch nutzen werden, um jedenfalls für besonders schwerwiegende Datenschutzverletzungen auch strafrechtliche Sanktionsmöglichkeiten ins Feld führen zu können.

XIII. Schlussanmerkung und Ausblick

Obgleich die wesentlichen Grundstrukturen des derzeit geltenden Datenschutzrechts im Ansatz erhalten bleiben, bringt die DSGVO gleichwohl umfassende Änderungen und auch einige Paradigmenwechsel mit sich. Im Ergebnis geht die DSGVO mit einer deutlichen Ausweitung der unternehmerischen Pflichten einher.

Die mit Blick auf Umfang und Komplexität betroffener Änderungen nicht allzu großzügig bemessene Zeit bis zum 25. Mai 2018 sollte dringend dazu genutzt werden, bestehenden Anpassungsbedarf unternehmensseitig zu ermitteln und bislang nicht beachtete bzw. neue Anforderungen umzusetzen. Eine datenschutzbezogene Bestandsaufnahme ist insoweit dringend anzuraten, wobei die ersten Erfahrungen in der Praxis einen durchaus nicht unerheblichen Anpassungsbedarf indizieren; dies liegt zum Teil allerdings nicht zwingend an „neuen“ Regelungen der DSGVO, sondern vielmehr in dem Umstand begründet, dass datenschutzrechtliche Themen bislang in Teilen der Wirtschaft eher stiefmütterlich behandelt wurden und bereits das Erreichen des schon aktuell gebotenen Standards Handlungsbedarf auslöst. Für einige Bereiche scheint es sinnvoll, bereits jetzt eine Umstellung auf die Vorgaben der DSGVO zu erwägen; dies betrifft insbesondere den Bereich „Einwilligungen“ und auch die ausgeweiteten Informationspflichten.

Abzuwarten bleibt, ob und inwiefern der deutsche Gesetzgeber – und natürlich auch die anderen Mitgliedstaaten – von den vorgesehenen Öffnungsklauseln Gebrauch machen wie dies das von der DSGVO vorgegebene Datenschutzniveau beeinflussen wird. Eines ist mit Blick auf den durchaus beträchtlichen Umfang von Öffnungsklauseln allerdings jetzt schon klar – ein einheitliches Datenschutzrecht im Sinne einer echten Vollharmonisierung wird es in Europa auch mit unter dem Regime der DSGVO nicht geben. Nicht ohne Grund wurde die Verordnung auch vorsichtig „Grundverordnung“ getauft – spezielle Teile werden folgen. Dies gilt ebenso mit Blick auf die bevorstehende Reformierung der E-Privacy-Richtlinie, die in Teilbereichen (noch) Überschneidungen und Verwerfungen zur DSGVO aufweist, insbesondere im Bereich „Cookies“.