Skip to main content
Rechtsanwälte Kögler, Thietz-Bartram & Coll logoRechtsanwälte Kögler, Thietz-Bartram & Coll logo
0 36 41 / 44 36 55
mail@kanzlei-koegler.de

Weiteres zur DSGVO

Verbot automatisierter Einzelfallentscheidungen

Nach Art. 22 DSGVO haben betroffene Personen das Recht, nicht einer ausschließlich auf einer automatisierten Verarbeitung – einschließlich Profiling – beruhenden Entscheidung unterworfen zu werden, die ihr gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt. Die Norm regelt also wie bisher das BDSG a.F. ein grundsätzliches Verbot, Entscheidungen nur von Maschinen treffen zu lassen.

Zu automatisierten Einzelfallentscheidungen zählen alle rechtlich relevanten oder sonst erheblich einschränkenden Entscheidungen, die nicht von einem Mensch getroffen wurden. Das können z.B. die automatische Ablehnung eines Online-Kreditantrags, ein Online-Einstellungsverfahren oder andere Maßnahmen sein, bei denen persönlichen Aspekte lediglich elektronisch ausgewertet werden. Dazu zählt vor allem auch das Profiling (z. B. für die Werbung), bei dem Daten zur Analyse oder Prognose für Persönlichkeitsmerkmale verwendet werden wie etwa die Arbeitsleistung, die wirtschaftliche Lage, die Gesundheit, persönlichen Vorlieben oder Interessen, die Zuverlässigkeit oder das Verhalten. Allerdings wird hiernach nicht die Tätigkeit des Profilings selbst verboten, sondern nur die Entscheidungen, die auf dieser Grundlage getroffen werden. Somit ist das Sammeln und Bewerten von Daten zum Profiling selbst nicht von Art. 22DSGVO erfasst.

Das Verbot, Entscheidungen auf diese Art treffen zu lassen, gilt nach Abs. 2 ausnahmsweise nicht, wenn eine automatisierte Entscheidung z. B. für den Abschluss oder die Erfüllung eines Vertrages mit dem Betroffenen erforderlich ist oder mit ausdrücklicher Einwilligung des Betroffenen erfolgt. Außerdem enthält das deutsche BDSG n.F. in § 37 weitere Ausnahmen vor – u. a. wenn dem Begehren des Betroffenen uneingeschränkt stattgegeben wird sowie und für Krankenversicherer im Rahmen der Leistungsprüfung. Dem Betroffenen ist in diesen Fällen aber die Möglichkeit zu eröffnen, die automatisierte Entscheidung überprüfen zu lassen.

Weiterhin in der Regel verboten bleiben solche Entscheidungen aber bei den bereits beschriebenen besonders sensiblen Daten (Art. 22 Abs. 4, Art. 9 DSGVO).

Vorgaben für Verantwortliche

Geeignete Technische und organisatorische Maßnahmen (TOM)

Der Schutz personenbezogener Daten erhält durch die Datenschutzgrundverordnung (DSGVO) einen noch höheren Stellenwert als es im Bundesdatenschutzgesetz (BDSG a.F.) der Fall war. Daher stellt die DSGVO auch hohe Anforderungen an die Technik und die interne Organisation des Verantwortlichen. Verantwortliche müssen nach Art. 2425 DSGVO geeignete technische und organisatorische Maßnahmen (TOM) treffen:

  1. Um die Einhaltung der Datenschutzgrundsätze (Art. 5 Abs. 1 DSGVO), insbesondere die Datenminimierung (Art. 5 Abs. 1 lit. c) DSGVO) und die Datensicherheit (Art. 5 Abs. 1 lit. f) DSGVO) zu gewährleisten, den Vorgaben der DSGVO zu genügen und die Betroffenenrechte zu schützen (Datenschutz durch Technik, Art. 25 Abs. 1 DSGVO, auch „privacy by design“ genannt).

Welche Maßnahmen konkret erforderlich sind, hängt u.a. vom Stand der Technik, der Eintrittswahrscheinlichkeit und Schwere der mit der Verarbeitung verbunden Risiken für die persönlichen Rechte und Freiheiten sowie den jeweiligen Implementierungskosten ab (Art. 2532 DSGVO). Dabei müssen die Maßnahmen in einem wirtschaftlich angemessenen Verhältnis zum Schutzbedarf der verarbeiteten personenbezogenen Daten stehen. Es gilt jedoch zu beachten, dass unzureichende Schutzmaßnahmen nicht mit wirtschaftlichen Argumenten gerechtfertigt werden können. Das Gesetz nennt in Art 32 Abs. 1 DSGVO als wichtige, aber nicht abschließende Vorgaben für Maßnahmen:

  • die Pseudonymisierung und Verschlüsselung personenbezogener Daten;
  • die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen
  • die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen
  • ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.

Hierbei handelt es sich zum einen um IT-Sicherheitskonzepte wie etwa einen geeigneten Virenschutz, eine ausreichende Stromversorgung oder ein Backup-Programm. Auch organisatorische Maßnahmen wie etwa eine wirksame Zutritts-, Zugangs- und Zugriffskontrolle zählen dazu. Und schließlich zählen zur internen Sicherheit auch betriebliche Anweisungen an die Beschäftigten – etwa eine Richtlinie zur Kontrolle der Weitergabe von Daten, ein Archivierungs-, Aufbewahrungs- und Löschkonzept, eine Anweisung, wie auf Auskunftsbegehren der Betroffenen zu reagieren ist oder was zu tun ist, wenn ein Notfall eintritt.

  1. Des Weiteren müssen technischen Geräte und vor allem IT-Anwendungen zukünftig so voreingestellt werden, dass nur solche Daten erhoben werden, die erforderlich sind, um den jeweiligen bestimmten Verarbeitungszweck zu erreichen. (Datenschutz durch datenschutzfreundliche Voreinstellungen, Art. 25 Abs. 2 DSGVO, auch „privacy by default“ genannt).

Datenschutzfolgeabschätzung (DSFA)

Mit der in Art. 35 DSGVO normierten Datenschutzfolgeabschätzung (DSFA) wird nichts grundlegend Neues eingeführt. Die Vorschrift entspricht zunächst der Pflicht zur Vorabkontrolle gemäß § 4d Abs. 5 BDSG a.F.. Hierfür müssen Verantwortliche einschätzen, ob die jeweilige Verarbeitung voraussichtlich hohe Risiken für die Rechte oder Freiheiten des Betroffenen ausweist. Sie erfolgt in bis zu drei Stufen und ist schriftlich zu dokumentieren.

1. Zunächst müssen alle Verantwortliche eine systematische Risikobewertung (Schwellwertanalyse) vornehmen, um zu prüfen, ob eine weitere Datenschutzfolgeabschätzung notwendig ist. Hier müssen Sie Ihre einzelnen Prozesse daraufhin überprüfen, ob im Einzelfall voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen besteht. Für mehrere ähnliche Verarbeitungsvorgänge mit ähnlichem Risiko reicht eine gemeinsame Abschätzung (Art. 35 Abs. 1 S. 2 DSGVO). Ein solches Risiko besteht nach Art. 35 Abs. 3 DSGVO insbesondere bei der Verwendung neuer Technologien, die automatisiert, systematisch und umfassend Daten erfassen, verarbeiten und bewerten. Auch kann aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung ein solches Risiko bestehen. Schließlich kann die Verarbeitung besonderer Kategorien von Daten (z.B. Gesundheitsdaten oder Religionszugehörigkeit i.S.d. Art. 9 DSGVO) eine weitere Prüfung notwendig machen. Doch auch, wenn Sie besonders schützenswerte Daten verarbeiten, bedeutet das nicht zwangsweise, dass auch ein hohes Risiko besteht – dies hängt von Ihrem Sicherheitskonzept ab. Letztlich gibt es an diesem Punkt noch keine Rechtssicherheit. Als weitere Hilfestellung für die Einschätzung dienen die ersten „Leitlinien zu DSFA der Art.-29-Datenschutzgruppe“. Die Aufsichtsbehörden veröffentlichen gemäß Art. 35 Abs. 4 DSGVO eine Liste von Verarbeitungsvorgängen, für die eine Datenschutzfolgenabschätzung verbindlich durchzuführen ist (sog. Blacklist). Polen hat bereits eine Liste von Verarbeitungstätigkeiten zusammengestellt, für die eine DSFA erforderlich ist. Belgien hat bislang zwei Listen erstellt: Eine Blacklist mit Verarbeitungstätigkeiten, die eine DSFA erforderlich machen und eine sog. Whitelist, bei denen auf eben diese verzichtet werden kann.

2. Wenn ein solches Risiko im Hinblick auf den Prozess besteht, müssen Sie in einer 2. Stufe eine Bewertungdahingehend vornehmen, ob die geplanten Abhilfemaßnahmen und Sicherheitsvorkehrungen ausreichen, um den Schutz der Daten zu gewährleisten. Außerdem müssen Sie den Nachweis erbringen, dass Sie die DSGVO eingehalten haben und den Interessen der Betroffenen Rechnung getragen wird.

3. Kommt Ihre Bewertung zu dem Ergebnis, dass trotz des Eingreifens technischer und organisatorischer Maßnahmen ein hohes Risiko für die Rechte und Freiheiten der natürlichen Person verbleibt, müssen Sie in einer 3. Stufe die Aufsichtsbehörde konsultieren (Art. 36  Abs. 1 DSGVO). Diese kann dann innerhalb von 8 Wochen Empfehlungen aussprechen (Art. 36 Abs. 2 DSGVO). Diese Frist kann je nach Komplexität der geplanten Verarbeitung von personenbezogenen Daten von der Aufsichtsbehörde verlängert werden.

Ist in dem Unternehmen ein Datenschutzbeauftragter bestellt, wird dieser auf Anfrage beratend in die Durchführung einer Datenschutz-Folgenabschätzung eingebunden (Art. 35 Abs. 2 und Art. 39 Abs. 1 c) DSGVO).

Melde- und Informationspflichten bei Datenpannen

Für die bisher in § 42a BDSG vorgeschrieben Melde- und Informationspflichten bei Datenpannen (Incidents) gelten zukünftig die Vorgaben des Art. 33  DSGVO. Danach müssen grundsätzlich alle Verletzungen des Schutzes personenbezogener Daten gemeldet werden, es sei denn, das Risiko für persönliche Rechte und Freiheiten ist unwahrscheinlich.

Verantwortliche müssen solche Incidents der Aufsichtsbehörde unverzüglich und möglichst binnen 72 Stunden nach Bekanntwerden der Verletzung erfolgen und muss gemäß Art. 33 Abs. 3 DSGVO zumindest folgende Informationen übermitteln:

  • Beschreibung des Incidents, Angabe der Kategorie der betroffenen Daten, Anzahl der Betroffenen und betroffenen Datensätze,
  • Name und Kontaktdaten des Datenschutzbeauftragten oder eines anderen informierten Ansprechpartners,
  • Beschreibung der Folgen der Datenschutzverletzung,
  • Beschreibung der ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung oder Abmilderung der Verletzung.

Weiterhin hat der Verantwortliche die betroffene Person persönlich von der Verletzung zu benachrichtigen, wenn die Verletzung des Schutzes personenbezogener Daten voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen zur Folge hat (Art. 34 Abs. 1 DSGVO).

Die Benachrichtigungspflicht nach Art. 34 Abs. 1 DSGVO entfällt, wenn:

  • der Verantwortliche Vorkehrungen getroffen hat, die Daten Unbefugten unzugänglich zumachen, etwa durch Verschlüsselung (Art. 34 Abs. 3 lit. a) DSGVO),
  • der Verantwortliche nachträglich Maßnahmen ergriffen hat, durch die das hohe Risiko für die Rechte und Freiheiten der Betroffenen aller Wahrscheinlichkeit nach nicht mehr bestehen(Art. 34 Abs. 3 lit. b) DSGVO),
  • sie einen unverhältnismäßig hohen Aufwand erfordern würde – dann muss allerdings eine öffentliche Bekanntmachung oder eine ähnliche Maßnahme erfolgen (Art. 34 Abs. 3 lit. c) DSGVO).

Verzeichnis der Verarbeitungstätigkeiten

In Art. 30 DSGVO ist vorgeschrieben, dass der Verantwortliche bzw. der Auftragsverarbeiter ein Verzeichnis der Verarbeitungstätigkeiten“ führen müssen. Ähnlich dem bisherigen Verfahrensverzeichnis nach § 4g Abs. 2 in Verbindung mit § 4e BDSG handelt es sich dabei um eine Dokumentation und Übersicht aller Verfahren, bei denen personenbezogene Daten verarbeitet werden. Unter bestimmten Voraussetzungen können Unternehmen mit weniger als 250 Beschäftigten nach Art. 30 Abs. 5 DSGVO von dieser Pflicht ausgenommen sein.

Die neue Verordnung sieht im Vergleich zur bisherigen Rechtslage zusätzliche Angaben vor, wie z. B. Name und Kontaktdaten des ggf. bestellten Datenschutzbeauftragten, Löschfristen und die TOM. Unternehmen müssen dieses Verzeichnis außerdem auf Anfrage der Aufsichtsbehörde zur Verfügung stellen. Allerdings fällt die noch im BDSG geregelte Pflicht weg, das Verzeichnis jedermann auf Anforderung zur Verfügung zu stellen.

Rechenschaftspflicht

Verantwortliche sind über das Führen eines Verzeichnisses der Verarbeitungstätigkeiten hinaus dafür verantwortlich, die Einhaltung der Datenschutzgrundsätze (Art. 5 Abs. 1 DSGVO: Rechtmäßigkeit, Transparenz, Zweckbindung, Datenminimierung, Richtigkeit, Speicherbegrenzung, Verfügbarkeit, Integrität und Vertraulichkeit, Belastbarkeit, Intervenierbarkeit und Verarbeitung nach Treu und Glauben) gegenüber der Aufsichtsbehörde nachzuweisen (Rechenschaftspflicht, Art. 5 Abs. 2 DSGVO).

Das führt dazu, dass  Verantwortliche nicht nur all ihre Datenverarbeitungstätigkeiten, sondern auch die Maßnahmen dokumentieren müssen, die sie zur Einhaltung der Anforderungen der DSGVO getroffen haben. Verantwortliche, die ein Verzeichnis der Verarbeitungstätigkeiten führen, haben damit schon einen Teil der Rechenschaftspflicht erfüllt. Hinzu kommt noch etwa die Dokumentation rechtmäßiger Einwilligungen, ein Nachweis, dass die personenbezogenen Daten rechtmäßig verarbeitet werden oder das Ergebnis einer etwaigen Datenschutzfolgenabschätzung.

Auch diejenigen, die kein Verzeichnis der Verarbeitungstätigkeiten führen, müssen gegenüber der Aufsichtsbehörde nachweisen können, dass sie sich an die DSGVO halten.

Empfehlenswert ist es darüber hinaus, alle datenschutzrechtlich relevanten Maßnahmen in einer für Ihr Unternehmen verbindlichen Datenschutz- bzw. Informationssicherheitsleitlinie zu dokumentieren. Dieses Dokument dient nicht nur dem Nachweis gegenüber der Aufsichtsbehörde, sondern auch zu Ihrer Übersicht und zur Anleitung Ihrer Mitarbeiter. Darin sollten alle Aspekte enthalten sein, die dazu dienen, die DSGVO intern konkret umzusetzen. Auch sollte klar geregelt sein, wer für welchen Bereich verantwortlich ist.

Gemeinsame Datenverarbeitung

Nach Art. 26 DSGVO ist es zukünftig auch zulässig, dass mehrere verantwortliche Stellen die erlaubte Datenverarbeitung gemeinsam durchführen können. Erforderlich ist hierzu eine transparente Vereinbarung, die die jeweiligen Zwecke und Verantwortlichkeiten sowie die Handhabung hinsichtlich der Betroffenenrechte festlegt. Betroffene können ihre Rechte aber weiterhin gegenüber jedem einzelnen Verantwortlichen geltend machen.

Auftragsverarbeitung

Die Auftragsverarbeitung (früher: Auftragsdatenverarbeitung) ist auch in Art. 28 und 29 DSGVO zukünftig erlaubt. Darunter versteht man die Erhebung, Verarbeitung oder Nutzung von personenbezogenen Daten durch einen Auftragsverarbeiter gemäß den Weisungen des für die Verarbeitung Verantwortlichen auf Grundlage eines schriftlichen Vertrags. Darunter fallen z.B. Unternehmen, die ihre Daten bei einem externen Rechenzentrum speichern oder die eine externe Stelle mit der Erstellung etwa von Rechnungen beauftragen.

Die neuen Regelungen ähneln den Vorgaben des § 11 BDSG, enthalten aber weiter gehende Pflichten für beide Seiten. Die Auftragsverarbeitung ist nur zulässig, wenn der Auftragsverarbeiter hinreichende Garantien für eine ordnungsgemäße Datenverarbeitung bietet. Art. 28 DSGVO enthält eine umfangreiche Aufzählung von Regelungsinhalten sowie Rechte und Pflichten, die in dem Vertrag zwingend vereinbart werden müssen. Vieles ist ähnlich geregelt wie in § 11 BDSG. Neu ist allerdings, dass auch der Auftragsverarbeiter ein „Verzeichnis der Verarbeitungstätigkeiten“ führen muss (s.u.).

Datenverarbeitung und auch Auftragsverarbeitung ist in Drittstaaten – wie bisher – nur zulässig, wenn dort ein angemessenes Datenschutzniveau gewährleistet ist. Die bisherige deutsche Restriktion, dass in Drittstaaten – auch bei angemessenem Datenschutzniveau – keine Daten der besonderen Art (z. B. Gesundheitsdaten) verarbeitet werden dürfen, entfällt nach der DSGVO.

Datenschutzbeauftragter

Nach Art. 37 DSGVO müssen Unternehmen immer dann einen Datenschutzbeauftragten benennen, wenn ihre Kerntätigkeit bzw. die ihres Auftragsverarbeiters:

  • aus Verarbeitungsvorgängen besteht, die nach Art, Umfang und/oder Zweck eine systematische Überwachung erfordern
  • die Verarbeitung besonders sensibler Daten nach Art. 9 und 10 DSGVO betrifft

§ 38 BDSG n.F. erweitert die Gründe für die Benennung eines Datenschutzbeauftragten. Sie ist danach auch dann erforderlich, wenn der Verantwortliche oder Auftragsverarbeiter:

  • in der Regel mindestens 10 Personen ständig mit der Datenverarbeitung beschäftigt
  • Verarbeitungen vornimmt, die der Datenschutzfolgenabschätzung unterliegen (dies ist insbesondere relevant bei Gesundheitsdaten)
  • personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung verarbeitet

Der Datenschutzbeauftragte muss entsprechend beruflich und fachlich qualifiziert sein. Er kann Mitarbeiter des datenverarbeitenden Unternehmens sein, es können aber auch ein externer eingesetzt werden. Hat ein Konzern mehrere Gesellschaften, können diese auch einen gemeinsamen Beauftragten benennen (Konzerndatenschutzbeauftragter). Ohne wichtigen Grund gem. § 626 BGB darf er weder abberufen noch gekündigt werden (§ 38 in Verbindung mit § 6 Abs. 4 BDSG n.F.).

Nach Art. 38 DSGVO ist der Datenschutzbeauftragte frühzeitig einzubinden, fachlich weisungsfrei und berichtet unmittelbar der höchsten Managementebene. Seine Aufgaben umfassen nach Art. 39 DSGVO die:

  • Unterrichtung und Beratung des Verantwortlichen bzw. Auftragsverarbeiters sowie deren Beschäftigten,
  • Überwachung der Einhaltung der rechtlichen Regelungen sowie der Strategien des Verantwortlichen bzw. Auftragsverarbeiters einschließlich der Zuweisung von Zuständigkeiten und die Sensibilisierung und Schulung der relevanten Mitarbeiter
  • Beratung – auf Anfrage – im Zusammenhang mit der Datenschutz-Folgenabschätzung und Überwachung gem. Art. 35 DSGVO
  • Zusammenarbeit mit der Aufsichtsbehörde
  • Tätigkeit als Anlaufstelle der Aufsichtsbehörde

Er kann im Unternehmen auch zusätzlich andere Aufgaben wahrnehmen, sofern sichergestellt ist, dass daraus keine Interessenkonflikte erwachsen.

To top

Ihre Ansprechpartner bundesweit:

Wir stehen Ihnen gern vorab telefonisch beratend zur Seite.

Sie erreichen uns auch unter 03641/443655 oder per E-Mail: mail@kanzlei-koegler.de