Datenschutz-Grundverordnung: Allgemeine Informationen

Zum 25. Mai 2018 ist die neue EU-Datenschutzgrundverordnung (DSGVO) in Kraft getreten. Seitdem gilt parallel auch das neue Bundesdatenschutzgesetz (BSDG n. F.), in dem der deutsche Gesetzgeber die Vorgaben der DS-GVO, soweit zulässig, konkretisiert hat. 

Hierdurch ergeben sich vielfältige neue Anforderungen in Bezug auf alle datenschutzrechtlichen Aspekte, insbesondere im Rahmen der Verarbeitung personenbezogener Daten. Betroffen sind nicht nur der Umgang mit Kunden((GENDERNOTICE))- und Arbeitnehmerdaten, sondern z. B. auch die technischen Aspekte der Datensicherheit.

Entgegen dem „alten“ Bundesdatenschutzgesetz, bietet die DS-GVO nur wenig konkrete Vorgaben zur Umsetzung, wobei der Schutzbereich der DS-GVO sehr weit ist. Geschützt werden alle personenbezogenen Daten wie z. B. Namen, Anschrift, E-Mail-Adresse Geburtsdatum, aber auch die IP-Adresse und Informationen zu von dem Betroffenen genutzten Geräten. Eine Anpassung an die neuen Regelungen ist aber unbedingt erforderlich, da die Aufsichtsbehörden bevollmächtigt werden, empfindliche Geldbußen (von bis zu 20 Millionen bzw. 4 % des weltweiten Jahresumsatzes, je nachdem, was höher ist) festzusetzen. 

Darüber hinaus generiert die DS-GVO einen Anspruch auf Ersatz immaterieller Schäden der einzelnen Betroffenen, so dass auch durch Schmerzensgeldansprüche erhebliche Forderungen auf die Unternehmen zukommen können. Dies können beispielsweise Schadensersatzansprüche von Kunden sein, die einen unzureichend sorgfältigen Umgang mit ihren Daten bemängeln oder von Arbeitnehmer/innen, die sich im Rahmen eines Kündigungsschutzverfahrens, auf einen mangelhaften Umgang mit ihren Daten stützen, um einen weiteren Schadensersatzanspruch zu erstreiten.

Kernpunkt der DS-GVO ist die Normierung eines Verbotes mit Erlaubnisvorbehalt für die Verarbeitung personenbezogener Daten. D. h., dass personenbezogene Daten immer nur dann verarbeitet werden dürfen, wenn hierfür eine ausdrücklich in Art. 6 Abs. 1 DS-GVO genannte Bedingung erfüllt ist. Anderenfalls ist die Verarbeitung personenbezogener Daten rechtswidrig. 

Kurz eingegangen werden soll im Folgenden auf die drei wichtigsten Punkte – die Verarbeitung aufgrund Einwilligung, aufgrund Vertrags und aufgrund berechtigten Interesses.

Sofern die betroffene Person ihre Einwilligung zur Verarbeitung der personenbezogenen Daten für einen bestimmten Zweck gegeben hat, dürfen die Daten verarbeitet werden. 

Die Einwilligung ist hiernach die freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegeben Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der die betreffenden personenbezogenen Daten einverstanden ist. 

Freiwillig ist die Einwilligung nur, wenn die betroffene Person ohne Nachteile auf die Erteilung der Einwilligung verzichten kann. Erforderlich ist auch, dass der Betroffene die Einwilligung zurückziehen kann. 

Der Umstand, dass eine informierte Einwilligung erteilt werden soll, führt dazu, dass die betroffene Person gemäß Art. 13 DS-GVO zu informieren ist (vgl. unter Ziffer 5.). 

Die Einwilligung ist zweckgebunden und daher für einen bestimmten Zweck einzuholen. Wird für mehr als einen Zweck eine Einwilligung eingeholt, sind alle Zwecke klar darzulegen. Darüber hinaus muss der betroffenen Person die Möglichkeit gegeben werden auszuwählen, für welche Zwecke sie die Einwilligung erteilen möchte.

Weiter muss die Einwilligung ausdrücklich in Form einer Erklärung oder eines eindeutigen Verhaltens, bspw. durch Anklicken eines Häkchens, erfolgen. Nachdem der Unternehmer das Vorliegen der Einwilligungserklärung nachweisen muss, sollte diese schriftlich bzw. elektronisch erteilt werden. Im Falle des Abhakens sollte dies entsprechend protokolliert werden.

Die Verarbeitung personenbezogener Daten ist auch ohne (ausdrückliche) Zustimmung des Betroffenen zulässig, sofern die Verarbeitung der Daten für die Erfüllung des Vertrages erforderlich, sie also für den Vertragszweck notwendig ist. 

Dies ist ohne weiteres der Fall bei der Verarbeitung des Namens und der Adressdaten des Kunden im Rahmen eines Liefervertrages oder für die schriftliche Korrespondenz im Rahmen des Vertragsverhältnisses. Aber auch bei der Mitteilung der Bankverbindung für den Fall des Lastschriftverfahrens oder im Falle der Kreditkartenzahlung die Mitteilung der Kreditkartendetails. 

Hierunter fällt jedoch nicht die (Hinzu)Speicherung von Vorlieben des Kunden für die werbliche Nutzung. 

Die Speicherung der für vorvertragliche Maßnahmen erforderlichen Daten ist zulässig, wenn diese auf Initiative der betroffenen Person erfolgt.

Erforderlich für die Verarbeitung personenbezogener Daten auf der Rechtsgrundlage des berechtigten Interesses setzt eine Abwägung des Interesses des Unternehmers mit den Grundrechten und -freiheiten der betroffenen Person voraus. 

Dabei ist es nicht ausreichend, dass der Unternehmer ein Interesse (gleich ob wirtschaftlicher oder ideeller Natur) hat. Voraussetzung ist vielmehr, dass die mit der Verarbeitung verfolgten Zwecke rechtmäßig sind und im Einklang mit der Rechtsordnung des jeweiligen Mitgliedsstaates und dem Unionsrecht stehen. Um eine Abwägung zwischen den Interessen des Verarbeiters und den Interessen und Grundrechten und -freiheiten des Betroffenen vornehmen zu können, muss das berechtigte Interesse auch hinreichend konkret bestimmt sein. Als berechtigtes Interesse denkbar sind die Durchsetzung von Rechtsansprüchen, Direktmarketing, Betrugsprävention und ähnliches. 

Dem berechtigten Interesse des Unternehmers stehen im Rahmen der Abwägung die Grundrechte und -freiheiten und die (einfachen, nicht zwangsläufig berechtigten) Interessen des Betroffenen gegenüber. Einzubeziehen in die Abwägung sind neben der Stellung des Unternehmers und der betroffenen Person zueinander (Kunde, Arbeitsnehmer, etc.) auch die mit der Verarbeitung verbundenen Risiken, wie Identitätsdiebstahl, Diskriminierung, finanzielle Verluste, etc.. 

Zu beachten ist, dass sich aus dem positiven Ergebnis der Abwägung zugunsten des Unternehmers keine Berechtigung zur Weitergabe der Daten an Dritte ergibt.

Nachdem die betroffene Person ein Widerspruchsrecht bezüglich der Verarbeitung aus berechtigtem Interesse zusteht, ist diese auch über das berechtigte Interesse zu informieren. 

Aufgrund der Rechenschaftspflicht gemäß Art. 5 Abs. 2 DS-GVO ist die Herkunft bzw. die Rechtsgrundlage der Speicherung der personenbezogenen Daten ebenfalls bei den Daten zu speichern. 

Zu jedem einzelnen Datum ist hinzu zu speichern, aufgrund welcher Rechtsgrundlage (und zu welchem Zweck) die Daten verarbeitet werden. Zum Beispiel sind bei einem Unternehmen über Herrn Hans Hansmann neben dem Geschlecht, dem Vor- und Zunamen auch die Adresse, der Arbeitgeber, die Adresse des Arbeitgebers, die E-Mail-Adresse und die Telefonnummer gespeichert. Es ist zu jedem Punkt festzuhalten, dass 

Geschlecht: männliche – Rechtsgrundlage Vertrag vom 17.12.2017 

Vorname: Hans – Rechtsgrundlage Vertrag vom 17.12.2017 

Name: Hansmann – Rechtsgrundlage Vertrag vom 17.12.2017 

Adresse: Hansmannstraße 1 – Rechtsgrundlage Vertrag vom 17.12.2017 

Ort: 99999 Hansmannswinkel – Rechtsgrundlage Vertrag vom 17.12.2017 2. Lieferadresse 

Name: Samsung – Rechtsgrundlage Vertrag vom 17.12.2017 

Adresse: AEG-Platz1 

Ort: 99999 Siemensdorf – Rechtsgrundlage Vertrag vom 17.12.2017 

Telefonnummer: 090998989 – Rechtsgrundlage Einwilligung zur Telefonwerbung vom 02.02.2002 

E-Mail-Adresse: maennlein@haenschen.de – Rechtsgrundlage Einwilligung zur E-Mail-Werbung vom 20.10.2010 und Vertrag vom 17.12.2017

Auch wenn nicht zwingend davon auszugehen ist, dass die Aufsichtsbehörden ab dem 25. Mai 2018 massiv die Umsetzung der DS-GVO in den Unternehmen prüfen, sollte nicht zuletzt aufgrund der drohenden Strafen ein Datenschutzmanagementsystem eingeführt bzw. ein etwa bestehendes System angepasst werden. Die nachfolgenden Ausführungen sollen dazu dienen, die Problematiken der DS-GVO aufzuzeigen und Lösungsansätze, insbesondere eine Struktur für ein Datenschutzmanagementsystem, zu finden. 

Bitte beachten Sie, dass sich die folgenden Ausführungen auf den Umgang mit Daten Erwachsener beziehen. Zum Teil ergeben sich gegenüber Kindern und Jugendlichen weitere Anforderungen aus der DS-GVO, vgl. hierzu z. B. Art. 8.

• Überprüfung und Anpassung der Arbeitsabläufe im Unternehmen Vor der detaillierten Ausarbeitung eines Datenschutzmanagementsystems ist zunächst festzustellen, an welcher Stelle des Unternehmens welche Daten in welcher Form und zu welchem Zweck verarbeitet werden. Hierbei ist es wichtig, eine entsprechende Erhebung für jeden Bereich vorzunehmen – von der Verarbeitung im Marketingbereich, über die Verarbeitung von Daten von Mitarbeitern/Angestellten, bis zur Verarbeitung von Kundendaten im Rahmen einer Erhebung im Ladengeschäft (z. B. Kundenkarten, Kartenzahlungen, Gewinnspielen, etc.).
  
  Es ist sinnvoll, Verantwortliche für das Thema Datenschutz festzulegen, die die Prüfung federführend in ihrer jeweiligen Abteilung bzw. in ihren jeweiligen Arbeitsbereichen leiten und die Unternehmensleitung (ggf. zusammen mit dem Datenschutzbeauftragten) über den Stand der Dinge informieren.
  
  Ggf. kann es sinnvoll sein, Datenschutzleitlinien aufzustellen. Wie diese aussehen können, ist für jedes Unternehmen einzeln zu prüfen und auszugestalten. Auch muss geprüft werden, ob die Bestellung eines Datenschutzbeauftragten erforderlich ist. Der Datenschutzbeauftragte muss erforderlichenfalls kontaktiert bzw. in die Prozesse eingebunden werden. 
• Überprüfung und Aktualisierung der technischen Sicherheitsmaßnahmen Ferner sollte geprüft werden, ob sichergestellt ist, dass die datenschutzrechtlichen Belange bei Beginn eines jeden Prozesses und insbesondere bei Änderung des Prozesses im Unternehmen berücksichtigt werden. Es sollte daher bei Erstellung des Datenschutzmanagementsystems eine regelmäßige Prüfung dahingehend vorgesehen werden, ob die technischen Schutzmaßnahmen dem jeweiligen Stand der Technik entsprechen und ob die für die Art der verarbeiteten Daten erforderlichen Maßnahmen ergriffen werden (vgl. Art. 32 Abs. 1 DS-GVO).
  
  Hierher gehört auch die Prüfung der IT-Sicherheit (nicht nur Überprüfung der IT-Programme, sondern auch die Prüfung, ob bewegliche Datenträger, wie z. B. Firmenhandys, -tablets, - Notebooks, zu verschlüsseln sind, insbesondere, wenn personenbezogene Daten von Kunden und/oder Mitarbeitern oder sonstigen Betroffenen auf den Geräten gespeichert sind).
  
  Die Prüfung sollte am besten mit dem IT-Spezialisten und/oder dem Datenschutzbeauftragten vorgenommen werden.
  
  Auch Überprüfungen auf weniger technischen Gebieten sollten vorgenommen werden. Soweit noch nicht vorhanden, sollte geprüft werden, ob statt eines „einfachen“ Schlosses nicht eine Schließanlage eingeführt wird, und ob Aktenschränke und/oder Schreibtische abgeschlossen werden (können). In diesem Zusammenhang sind ggf. auch Arbeitsabläufe anzupassen, so dass in Bearbeitung befindliche Vorgänge nicht (mehr) auf dem Schreibtisch verbleiben, sondern bis zur weiteren Bearbeitung eingeschlossen werden.
  
  Nicht zu unterschätzen ist das Erfordernis, technisch und softwarebezogen auf dem aktuellen Stand der Technik zu sein. Hier empfiehlt sich eine enge Zusammenarbeit mit einem IT-Spezialisten vor Ort.

Gemäß Art. 30 DS-GVO ist durch den Verantwortlichen und den Auftragsverarbeiter ein Verzeichnis von Verarbeitungstätigkeiten für sämtliche ganz oder teilweise automatisierten Verarbeitungsvorgänge sowie nichtautomatisierte Verarbeitungen personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen, zu führen. 

Faktisch betrifft dies also jeden Unternehmer, der mindestens einen Angestellten hat und/ oder Kartenzahlungen akzeptiert bzw. ein Kundenbindungssystem nutzt. 

Unternehmen, die, wie es bisher gemäß § 4g Abs. 2 BDSG a. F. verpflichtend war, ein Verfahrensverzeichnis führen, können dies grundsätzlich weiterführen. Es ist jedoch darauf zu achten, dass das Verarbeitungsverzeichnis umfangreicher ist, so dass das bestehende Verfahrensverzeichnis entsprechend zu erweitern ist. 

Gemäß Art. 30 DS-GVO ist das Verarbeitungsverzeichnis in schriftlicher oder elektronischer Form und für jede Verarbeitung gesondert zu führen und hat die folgenden Angaben zu enthalten: 

• den Namen und die Kontaktdaten des Verantwortlichen und gegebenenfalls des gemeinsam mit ihm Verantwortlichen, des Vertreters des Verantwortlichen sowie eines etwaigen Datenschutzbeauftragten; 
• die Zwecke der Verarbeitung; 
• eine Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten. Es hängt von der Art der Verarbeitung ab, wie konkret die einzelnen Kategorien gefasst werden müssen. Jedenfalls muss die Bezeichnung der Kategorien die Aufsichtsbehörden in die Lage versetzen, die Zulässigkeit der Verarbeitung zu überprüfen (die Kategorie „Kunden“ wäre wohl nicht genau genug, vielmehr wäre wohl eine Unterscheidung zu treffen, wie „Kunden die per Rechnung bezahlen“, „Kunden die per Lastschrift bezahlen“); 
• die Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, einschließlich Empfänger in Drittländern oder internationalen Organisationen. Diesbezüglich ist zu beachten, dass der Verantwortliche gemäß der Art. 44-47 DS-GVO verpflichtet ist, die Übermittlung von Daten in Drittländer zu überprüfen; 
• ggf. Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation, einschließlich der Angabe des betreffenden Drittlands oder der betreffenden internationalen Organisation, sowie bei den in Art. 49 Abs. 1 DS-GVO genannten Datenübermittlungen die Dokumentierung geeigneter Garantien;
• wenn möglich, die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien. Kann die First nicht angegeben werden, bspw. weil zwischen dem Verantwortlichen und der betroffenen Person ein unbefristeter Vertrag besteht, empfiehlt sich die Angabe einer abstrakten Frist, wie die Löschung nach Ablauf der gesetzlichen Aufbewahrungsfristen erfolgt; 
• wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Art. 32 Abs. 1 DS-GVO. 

Zu beachten ist, dass das Verarbeitungsverzeichnis auf Verlangen der zuständigen Behörde vorgelegt werden muss. 

Sinnvollerweise kann das Verzeichnis auch dazu genutzt werden, um weitere Dokumentationen vorzunehmen bzw. weitere Vorgaben nach der DS-GVO zu erfülllen, z. B. nach Art. 5 Abs. 1 b), Abs. 2, 24, 12 Abs. 1 DS-GVO. 

Die Regelung des Art. 30 DS-GVO sieht eine Ausnahme von der Pflicht zur Führung eines Verarbeitungsverzeichnisses vor. So sind theoretisch Unternehmen mit weniger als 250 Mitarbeiter von der Verpflichtung ausgenommen, sofern die Verarbeitung kein Risiko für die Rechte und Freiheiten der betroffenen Personen birgt. Allerdings wird es praktisch kaum Fälle geben, in denen diese Ausnahmeregelung greift, da ein Verarbeitungsverzeichnis immer schon dann erforderlich ist, wenn besondere Datenkategorien gemäß Art. 9 DS-GVO (z. B. Religionszugehörigkeit bei Beschäftigten) verarbeitet werden und/oder die Datenverarbeitung nicht nur gelegentlich erfolgt. 

Das Bayerische Landessamt für Datenschutzaufsicht hat ein Muster für ein Verzeichnis von Verarbeitungstätigkeiten erstellt. Dieses stellen wir Ihnen im Anhang zur Verfügung.

Ferner ist zu überprüfen, ob die geschlossenen Verträge mit den Auftragsdatenverarbeitern nach der DS-GVO noch ausreichend sind. 

Empfehlenswert ist die Erstellung einer Liste, in die alle Dienstleister, mit denen das Unternehmen zusammenarbeitet, erfasst werden. In diese Liste sollten alle wesentlichen Punkte, die das Vertragsverhältnis betreffen, eingearbeitet werden, (z. B. seit wann besteht die Vertragsbeziehung, welchen Inhalt hat diese, wurde eine Verschwiegenheitsvereinbarung getroffen etc.). 

Sodann sollte der Datenschutzbeauftragte prüfen, ob durch den Dienstleister personenbezogene Daten erhoben, verarbeitet, an Dienstleister Daten übermittelt werden und ob ein Auftragsdatenverarbeitungsvertrag geschlossen werden muss bzw., ob die bestehenden Verträge den neuen Anforderungen entsprechen.

Die bisher verwendeten Texte, insbesondere die Datenschutzerklärungen (unabhängig, ob online, oder stationär, ob für Kundenkarten oder den Newsletterversand etc.), aber auch die Einwilligungserklärungen für Werbemaßnahmen, Gewinnspiele, etc. sind zwingend an die Vorgaben der DS-GVO anzupassen. Hierzu sollte die Hilfe eines Datenschutzrechtlers sowie eines IT-Fachmanns in Anspruch genommen werden, da die DS-GVO selbst keinerlei Handlungshinweise gibt. 

Bereits jetzt sind Einwilligungserklärungen zu etwa 90% einer gerichtlichen Überprüfung nicht gewachsen. Aufgrund der nunmehr deutlich gestiegenen Anforderungen wird eine rechtssichere Anpassung der Erklärungen nicht erleichtert. 

Bei Datenerhebung sind gegenüber der betroffenen Person die folgenden Informationen „mitzuteilen“: 

• der Name und die Kontaktdaten des Verantwortlichen. Verantwortlicher ist derjenige, der über die Datenverarbeitung entscheidet. Offen ist, ob hierbei die Angabe der Anschrift ausreichend ist oder ob auch die Daten für eine elektronische Kontaktaufnahme zur Verfügung zu stellen sind. Mindestens auf Webseiten bzw. in Online-Shops sollten neben der postalischen Anschrift auch die Daten zur elektronischen Kontaktaufnahme mitgeteilt werden; 
• ggf. Kontaktdaten des Datenschutzbeauftragten. Aufgrund der Formulierung „Kontaktdaten“ ist wohl davon auszugehen, dass die Angabe der Kontaktdaten ausreichend ist, und nicht auch der Name angegeben werden muss; 
• Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen, sowie die Rechtsgrundlage für die Verarbeitung. Hierbei ist im Einzelnen detailliert aufzuführen, welche Daten zu welchem Zweck, also unter Angabe der Rechtsgrundlage der Verarbeitung (Vertrag, Einwilligung, berechtigtes Interesse, etc.) verwendet werden. Allgemeine und/oder oberflächliche Angaben zu dem Verarbeitungszweck sind nicht ausreichend; 
• wenn die Verarbeitung der Daten auf Art. 6 Abs. 1 f) DS-GVO beruht, die berechtigten Interessen, die von dem Verantwortlichen oder einem Dritten verfolgt werden. Art. 6 Abs. 1 f) DS-GVO erlaubt die Datenverarbeitung auch dann, wenn keine Einwilligung des Betroffenen oder rechtliche Verpflichtung des Verantwortlichen vorliegt, wenn die Verarbeitung zur Wahrung der berechtigten Interessen erforderlich ist. Soweit also Daten erhoben werden, ohne dass der Betroffene eingewilligt hat, z. B. die IP-Adresse, ist darzustellen, welche berechtigten Interessen damit konkret verfolgt werden. Dabei hat die Darstellung so präzise zu erfolgen, dass die betroffene Person unter anderem in die Lage versetzt wird, zu erkennen, ob sie ihre Rechte aus Art. 17 Abs. 1 b) DS-GVO (Recht auf Löschung wegen unberechtigter Verarbeitung) oder aus Art. 18 Abs. 1 b) DS-GVO (Recht auf Einschränkung der Verarbeitung wegen der Unrechtmäßigkeit der Verarbeitung) geltend machen kann/soll. 

Darüber hinaus ist eine Abwägung zwischen den eigenen und den Interessen des Betroffenen vorzunehmen. Nach den Erwägungsgründen zur DS-GVO ist hierbei u. a. darauf abzustellen, ob die Daten in einer Situation verarbeitet werden, in welcher der Betroffene vernünftigerweise nicht mehr mit einer Verarbeitung rechnen musste:

• die Empfänger oder Kategorien von Empfängern der personenbezogenen Daten. Zu berücksichtigen ist hier auch die Weiterleitung an Postdienstleister, Steuerbüros, Banken, Zahlungsanbieter, Marketinganbieter, Tracking Tools, Social Media Plugin, usw. Soweit möglich sollten die Empfänger konkret benannt werden, mindestens jedoch die Kategorien von Empfängern, soweit der Empfänger dem Verantwortlichen noch nicht bekannt ist. Ferner stellt auch die Weiterleitung eine „Verarbeitung“ der Daten dar, somit ist diesbezüglich der Zweck möglichst konkret zu benennen. 
• ggf. die Absicht, die Daten in ein Drittland oder an eine internationale Organisation zu übermitteln, sowie das Vorhandensein oder das Fehlen eines Angemessenheitsbeschlusses der Kommission oder, im Falle von Übermittlungen gemäß Art. 46, Art. 47 oder Art. 49 Abs. 1 Unterabsatz 2 DS-GVO, einen Verweis auf die geeigneten oder angemessenen Garantien und die Möglichkeit, wie eine Kopie von ihnen zu erhalten ist, oder wo sie verfügbar sind. Ausreichend ist ausdrücklich bereits die bloße Absicht, nicht erforderlich ist die tatsächliche Umsetzung dieses Vorhabens. Zu informieren ist darüber, ob geplant ist, personenbezogene Daten ins Ausland zu übermitteln. Weiter ist, sofern die Übermittlung in ein Drittland geplant ist, über das Vorhandensein oder Fehlen eines Angemessenheitsbeschlusses der (EU)Kommission zu informieren oder, wenn die Übermittlung aufgrund von geeigneten Garantien wie etwa Standarddatenschutzklausel (Art. 46 DS-GVO) oder verbindlicher interner Datenschutzvorschriften (Art. 47 DS-GVO) oder aufgrund zwingender berechtigter Interessen und geeigneter Garantien im Einzelfall (Art. 49 Abs. 1) erfolgt, einen Verweis auf die geeigneten oder angemessenen Garantien und die Möglichkeit, wie eine Kopie von ihnen zu erhalten ist, oder einen Verweis an die Stelle, wo diese verfügbar ist. Hiervon betroffen sind auch Dienstleister wie Google, etc.. Es muss technisch und/oder organisatorisch sichergestellt werden, dass die Übermittlung/Zurverfügungstellung der Informationen an die betroffene Person funktioniert. 
• die Dauer, für die die Daten gespeichert werden oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer. Nach Art. 5 Abs. 1 e) DS-GVO dürfen die Daten, welche die Identifizierung der Person ermöglichen, nur so lange gespeichert werden, wie dies für die Verarbeitungszwecke erforderlich ist. Soweit die Daten daher nicht mehr erforderlich sind, sind sie zu löschen. Der Verpflichtung zur zeitlich begrenzten Speicherung wird somit dadurch Nachdruck verliehen, dass sich der Verantwortliche bereits bei der ersten Datenerhebung darüber im Klaren sein muss, wie lange die Daten gespeichert werden bzw. sich mindestens die Kriterien für die Festlegung der Speicherdauer überlegen und der betroffenen Person mitteilen muss. 
• das Bestehen eines Rechts auf Auskunft über die betreffenden personenbezogenen Daten sowie auf Berichtigung oder Löschung oder auf Einschränkung der Verarbeitung oder eines Widerspruchsrechts gegen die Verarbeitung sowie des Rechts auf Datenübertragbarkeit; 
• soweit die Erhebung auf einer Einwilligung beruht, das Bestehen eines Rechts, die Einwilligung jederzeit zu widerrufen. Der Hinweis ist sowohl im Falle der Erteilung einer schriftlichen/mündlichen als auch bei einer elektronischen Einwilligung zu erteilen.
• Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde. Das Beschwerderecht der betroffenen Person ergibt sich aus Art. 77 DS-GVO. Hiernach hat jeder Betroffene unbeschadet eines anderweitigen verwaltungsrechtlichen oder gerichtlichen Rechtsbehelfs das Recht auf Beschwerde bei einer Aufsichtsbehörde, insbesondere in dem Mitgliedstaat seines Aufenthaltsorts, seines Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes, wenn die betroffene Person der Ansicht ist, dass die Verarbeitung der sie betreffenden personenbezogenen Daten gegen die DS-GVO verstößt. 
• ob die Bereitstellung der Daten gesetzlich oder vertraglich vorgeschrieben oder für einen Vertragsabschluss erforderlich ist, ob die betroffene Person verpflichtet ist, die personenbezogenen Daten bereitzustellen, und welche möglichen Folgen die Nichtbereitstellung hätte. Zu beachten ist der Grundsatz der „Datenminimierung“ nach Art. 5 Abs. 1 c) DSGVO. Die Erhebung personenbezogener Daten muss dem Zweck angemessen und erheblich, sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein. 
• das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Art. 22 Abs. 1 und 4 DS-GVO und – zumindest in diesen Fällen – aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person. In der Vergangenheit war die Rechtsprechung insbesondere bezüglich des Umfangs der Bekanntgabe der Logik eher zurückhaltend, wenn auch nicht einheitlich. Daher ist unklar, wie weitreichend sich diese ausdrückliche gesetzliche Regelung auf die bisherigen Informationspflichten und die Rechtsprechung auswirkt. 

Im Auge zu behalten ist, dass, wenn die Daten zu einem anderen Zweck als demjenigen, zu dem sie erhoben wurden, verarbeitet werden (sollen), eine Information über den geänderten Zweck und alle weiteren genannten einschlägigen Punkte erfolgen muss. Es ist also bei einer Weitergabe der Daten, die bei der Erhebung der Daten noch nicht absehbar war, der Betroffene entsprechend zu informieren. 

Für die Erstellung der Datenschutzerklärung ist es sinnvoll, das zu erstellenden Verzeichnis von Verarbeitungstätigkeiten zu nutzen, da hierin die Verarbeitungstätigkeiten festgehalten sind und somit die in der Datenschutzerklärung benötigten Informationen zumindest in großen Teilen enthalten sind.

Gemäß Art. 15 DS-GVO hat die betroffene Person Anspruch auf Auskunft darüber, ob personenbezogene Daten verarbeitet werden. Soweit dies der Fall ist, ist über folgende Punkte Auskunft zu erteilen: 

• die Verarbeitungszwecke; 
• die Kategorien personenbezogener Daten, die verarbeitet werden; 
• die Empfänger oder Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, insbesondere bei Empfängern in Drittländern oder bei internationalen Organisationen;
• falls möglich die geplante Dauer, für die die personenbezogenen Daten gespeichert werden, oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer; 
• das Bestehen eines Rechts auf Berichtigung oder Löschung der sie betreffenden personenbezogenen Daten oder auf Einschränkung der Verarbeitung durch den Verantwortlichen oder eines Widerspruchsrechts gegen diese Verarbeitung; 
• das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde; 
• wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben werden, alle verfügbaren Informationen über die Herkunft der Daten; 
• das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling und – zumindest in diesen Fällen – aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person. 

Für den Fall, dass personenbezogene Daten an ein Drittland (außerhalb der EU) oder an eine internationale Organisation übermittelt wurden, hat die betroffene Person das Recht, über die geeigneten Garantien (also Maßnahmen zum Schutz der personenbezogenen Daten) im Zusammenhang mit der Übermittlung unterrichtet zu werden. 

Die Auskunft ist unverzüglich spätestens binnen eines Monats zu erteilen (Art. 12 Abs. 3 DSGVO). Ist eine Verlängerung aufgrund der Komplexität geboten, kann die Frist um weitere zwei Monate verlängert werden. 

Da Unternehmern für die Erteilung der Auskunft (Art. 15 DS-GVO) somit ein Zeitfenster zur Erfüllung des Anspruches gesetzt wurde, ist zu empfehlen, diesbezüglich ein Standardverfahren zu entwickeln und dieses auf dessen Tauglichkeit hin zu überprüfen, indem eine Anfrage eines Betroffenen simuliert wird. 

Die personenbezogenen Daten sollten daher so gespeichert werden, dass diese im Wesentlichen automatisiert abgerufen werden können. 

Zu beachten ist, dass es nicht ausreichend ist, im Rahmen der Auskunft mitzuteilen, dass der Vor- und Zuname, die Adresse, die Telefonnummer und die E-Mail-Adresse gespeichert wurden. Der Unternehmer hat vielmehr eine Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, zur Verfügung zu stellen. 

Die Auskunft ist in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln. Die Übermittlung hat schriftlich zu erfolgen, oder in anderer Form, ggf. auch elektronisch. Wird der Auskunftsanspruch elektronisch gestellt, so sind die Informationen in einem gängigen elektronischen Format zur Verfügung zu stellen, sofern der Betroffene nichts anderes angibt. Hinsichtlich der elektronischen Zurverfügungstellung wird davon ausgegangen, dass eine einfache E-Mail mangels der erforderlichen Sicherheit nicht zur Erfüllung des Auskunftsbegehrens geeignet ist. Möglich ist jedoch die Zurverfügungstellung mittels eines Fernzugangs zu einem sonstigen gesicherten System, wie z. B. einer Online-Plattform.

Schließlich ist im Rahmen der Erfüllung des Auskunftsanspruchs stets zu prüfen, ob das Recht auf Erhalt einer Kopie der gespeicherten Daten die Rechte und Freiheiten anderer Personen nicht beeinträchtigen, dies darf nicht sein. 

Soweit bereits Mustertexte für Auskunftsbegehren bestehen, sind diese anzupassen bzw. zu erweitern.

Art. 16 DS-GVO bestimmt, dass jeder Betroffene das Recht hat, von dem Verantwortlichen unverzüglich die Berichtigung ihn betreffender unrichtiger personenbezogener Daten zu verlangen. Darüber hinaus hat die betroffene Person das Recht, unter Berücksichtigung der Verarbeitungszwecke, die Vervollständigung unvollständiger personenbezogener Daten zu verlangen, ggf. auch mittels einer ergänzenden Erklärung. 

Im Auge zu behalten ist, dass der Verantwortliche alle Empfänger der Daten über die Berichtigung zu informieren hat, sofern sich dies nicht als unmöglich erweist oder einen unverhältnismäßigen Aufwand bedeuten würde. 

Ferner ist der Betroffene auf Verlangen über die Empfänger der Daten zu informieren. 

Bestehen Zweifel hinsichtlich der Identität des Antragstellers, können weitere Informationen angefordert werden. Geht die Anfrage per einfacher E-Mail oder mittels Web-Formular ein, wird eine Identifizierung regelmäßig nicht möglich sein, so dass weitere Maßnahmen zur Feststellung der Identität erforderlich werden.

Art. 17 DS-GVO generiert den Anspruch des Betroffenen auf Löschung seiner personenbezogenen Daten. Hiernach sind Daten des Betroffenen auf dessen Verlangen hin zu löschen, wenn 

diese Daten für die Zwecke, für die sie erhoben oder in sonstiger Weise verarbeitet wurden, nicht mehr erforderlich sind; 

die betroffene Person ihre Einwilligung widerruft und es an einer anderen Rechtsgrundlage für die Verarbeitung fehlt; 

die betroffene Person Widerspruch gegen die Verarbeitung einlegt und es keine vorrangigen berechtigten Gründe für die Verarbeitung vorliegen; 

die personenbezogenen Daten unrechtmäßig verarbeitet wurden; 

die Löschung der personenbezogenen Daten zur Erfüllung einer rechtlichen Verpflichtung nach dem Unionsrecht oder dem Recht der Mitgliedsstaaten, dem der Verantwortliche unterliegt, erforderlich ist; 

die personenbezogenen Daten in Bezug auf angebotene Dienste der Informationsgesellschaft gemäß Art. 8 DS-GVO erhoben wurden.

Der Betroffene muss über die Löschung der Daten informiert werden, ebenso wie alle Empfänger der Daten, es sei denn die Unterrichtung der Empfänger ist nachweislich nicht möglich oder mit einem unverhältnismäßigen Aufwand verbunden. 

Auch hier gilt bei Zweifeln an der Identität des Antragstellers, dass weitere Informationen angefordert werden können bzw. sollten.

Die betroffene Person hat gemäß Art. 18 DS-GVO das Recht, von dem Verantwortlichen die Einschränkung der Verarbeitung zu verlangen, wenn eine der folgenden Voraussetzungen gegeben ist: 

die Richtigkeit der personenbezogenen Daten wird von der betroffenen Person bestritten, und zwar für eine Dauer, die es dem Verantwortlichen ermöglicht, die Richtigkeit der personenbezogenen Daten zu überprüfen, 

die Verarbeitung ist unrechtmäßig und die betroffene Person lehnt die Löschung der personenbezogenen Daten ab und verlangt stattdessen die Einschränkung der Nutzung der personenbezogenen Daten, 

der Verantwortliche benötigt die personenbezogenen Daten für die Zwecke der Verarbeitung nicht länger, die betroffene Person sie jedoch zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen benötigt, oder 

die betroffene Person hat Widerspruch gegen die Verarbeitung gemäß Art. 21 Absatz 1 DS-GVO eingelegt, solange noch nicht feststeht, ob die berechtigten Gründe des Verantwortlichen gegenüber denen der betroffenen Person überwiegen. 

Wurde die Verarbeitung aus einem dieser Gründe eingeschränkt, so dürfen diese personenbezogenen Daten – von ihrer Speicherung abgesehen – nur mit Einwilligung der betroffenen Person oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen oder zum Schutz der Rechte einer anderen natürlichen oder juristischen Person oder aus Gründen eines wichtigen öffentlichen Interesses der Union oder eines Mitgliedstaats verarbeitet werden. 

Eine betroffene Person, die eine Einschränkung der Verarbeitung erwirkt hat, wird von dem Verantwortlichen unterrichtet, bevor die Einschränkung aufgehoben wird. 

Um diese Anforderung zu erfüllen, sollte geprüft werden, ob die bisherigen Programme und System eine entsprechende Möglichkeit bieten, um die eingeschränkte Verarbeitung zu gewährleisten.

Gemäß Art. 20 DS-GVO ist die betroffene Person berechtigt, die sie betreffenden personenbezogenen Daten, die sie einem Verantwortlichen bereitgestellt hat, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten, und sie hat das Recht, diese Daten einem anderen Verantwortlichen ohne Behinderung durch den Verantwortlichen, dem die personenbezogenen Daten bereitgestellt wurden, zu übermitteln, sofern die Verarbeitung auf einer Einwilligung beruht und die Verarbeitung mit Hilfe automatisierter Verfahren erfolgt. 

Bei der Ausübung ihres Rechts auf Datenübertragbarkeit hat die betroffene Person das Recht, zu erwirken, dass die personenbezogenen Daten direkt von einem Verantwortlichen einem anderen Verantwortlichen übermittelt werden, soweit dies technisch machbar ist, wobei hierdurch die Rechte und Freiheiten anderer Personen nicht beeinträchtigt werden dürfen. 

Auch diesbezüglich sollten die technischen Voraussetzungen geschaffen werden, um diesen Anspruch rasch erfüllen zu können. Auch empfiehlt sich hierzu ein standardisierter Ablauf.

Nach Art. 21 DS-GVO hat die betroffene Person das Recht, aus Gründen, die sich aus ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung sie betreffender personenbezogener Daten, die aufgrund von Art. 6 Abs. 1 e) oder f) erfolgt, Widerspruch einzulegen; dies gilt auch für ein auf diese Bestimmungen gestütztes Profiling. Der Verantwortliche verarbeitet die personenbezogenen Daten nicht mehr, es sei denn, er kann zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, die die Interessen, Rechte und Freiheiten der betroffenen Person überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen. 

Werden personenbezogene Daten verarbeitet, um Direktwerbung zu betreiben, so hat die betroffene Person das Recht, jederzeit Widerspruch gegen die Verarbeitung sie betreffender personenbezogener Daten zum Zwecke derartiger Werbung einzulegen; dies gilt auch für das Profiling, soweit es mit solcher Direktwerbung in Verbindung steht. 

Widerspricht die betroffene Person der Verarbeitung für Zwecke der Direktwerbung, so werden die personenbezogenen Daten nicht mehr für diese Zwecke verarbeitet. 

Die betroffene Person muss spätestens zum Zeitpunkt der ersten Kommunikation mit ihr ausdrücklich auf das Widerspruchsrecht hingewiesen werden; dieser Hinweis hat in einer verständlichen und von anderen Informationen getrennten Form zu erfolgen. 

Im Zusammenhang mit der Nutzung von Diensten der Informationsgesellschaft kann die betroffene Person ihr Widerspruchsrecht mittels automatisierter Verfahren ausüben, bei denen technische Spezifikationen verwendet werden. 

Auch diesbezüglich sollten die technischen Abläufe überprüft und ggf. angepasst werden.

Art. 35 DS-GVO sieht die Vornahme einer Datenschutzfolgenabschätzung vor, in Fällen, in denen eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat. 

Inhalt dieser Datenschutzfolgenabschätzung ist die Prüfung der Folgen, die die vorgesehenen Verarbeitungsvorgänge auf den Schutz der personenbezogenen Daten haben könnten.

In Erwägungsgrund 89 zur DS-GVO wird erklärt, dass zu solchen Arten von Verarbeitungsvorgängen insbesondere solche gehören, bei denen neue Technologien eingesetzt werden oder die neuartig sind und bei denen der Verantwortliche noch keine Datenschutzfolgenabschätzung durchgeführt hat bzw. bei denen aufgrund der seit der ursprünglichen Verarbeitung vergangenen Zeit eine Datenschutzfolgenabschätzung notwendig geworden ist. 

Wurde ein Datenschutzbeauftragter benannt, so ist dieser bei der Durchführung der Datenschutzfolgenabschätzung zu konsultieren. 

Die Datenschutzgrundverordnung sieht insbesondere in den folgenden Fällen eine Datenschutzfolgenabschätzung vor: 

• systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen, die sich auf automatisierte Verarbeitung einschließlich Profiling gründet und die ihrerseits als Grundlage für Entscheidungen dient, die Rechtswirkung gegenüber natürlichen Personen entfalten oder diese in ähnlich erheblicher Weise beeinträchtigen. Hiervon umfasst ist nicht nur das sogenannte „Profiling“, sondern auch das „Scoring“, also die Wahrscheinlichkeitsprognose, für das zukünftige Verhalten von Personen; 
• umfangreiche Verarbeitung besonderer Kategorien von personenbezogenen Daten gemäß Art. 9 Abs. 1 oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Art. 10 oder 
• systematische umfangreiche Überwachung öffentlich zugänglicher Bereiche. 

Die Risikoanalyse ist sorgfältig zu dokumentieren und zu speichern, nicht zuletzt um der Rechenschaftspflicht gemäß Art. 5 DS-GVO nachzukommen. 

Die Aufsichtsbehörden sollen eine Liste der Verarbeitungsvorgänge, für eine Datenschutzfolgenabschätzung durchzuführen ist, und veröffentlicht diese. 

Darüber hinaus können die Aufsichtsbehörden eine Liste der Arten von Verarbeitungsvorgängen erstellen und veröffentlichen, für die keine Datenschutzfolgenabschätzung erforderlich ist. 

Weitere Fälle, in denen eine Datenschutzfolgenabschätzung vorgesehen werden sollte ergeben sich aus Erwägungsgrund 91:

• umfangreiche Verarbeitungsvorgänge, die dazu dienen, große Mengen personenbezogener Daten auf regionaler, nationaler oder supranationaler Ebene zu verarbeiten, eine große Zahl von Personen betreffen könnten und – beispielsweise aufgrund ihrer Sensibilität – wahrscheinlich ein hohes Risiko mit sich bringen und bei denen entsprechend dem jeweils aktuellen Stand der Technik in großem Um-fang eine neue Technologie eingesetzt wird.
• für andere Verarbeitungsvorgänge, die ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen mit sich bringen, insbesondere dann, wenn diese Verarbeitungsvorgänge den betroffenen Personen die Ausübung ihrer Rechte erschweren. 
• für alle anderen Vorgänge, bei denen nach Auffassung der zuständigen Aufsichtsbehörde die Verarbeitung wahrscheinlich ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen mit sich bringt, insbesondere weil sie die betroffenen Personen an der Ausübung eines Rechts oder der Nutzung einer Dienstleistung bzw. Durchführung eines Vertrags hindern oder weil sie systematisch in großem Umfang erfolgen.

Die DS-GVO legt auch den Mindestinhalt der Datenschutzfolgenabschätzung fest: 

• eine systematische Beschreibung der geplanten Verarbeitungsvorgänge und der Zwecke der Verarbeitung, ggf. einschließlich der von dem Verantwortlichen verfolgten berechtigten Interessen. Wie detailliert die Dokumentation erfolgen muss, ist einzelfallabhängig; jedenfalls sollten aufgrund der Aufzeichnungen die mit der Verarbeitung verbundenen Risiken ausgemacht und bewertet werden können um in der weiteren Folge in der Lage zu sein, die geeigneten Maßnahmen zur Risikoreduzierung zu ergreifen. Dies setzt unter anderem die Beschreibung der verarbeiteten Kategorien personenbezogener Daten, die Zwecke der Verarbeitung, der Umfang und die Dauer der Verarbeitung sowie die Nennung der betroffenen Personengruppen und sonstigen Beteiligten, die im Rahmen der Verarbeitung mit den Daten in Kontakt kommen. Intensiv geprüft und aufgezeichnet werden sollte dabei auch die Beschreibung des berechtigten Interesses. 

Ebenfalls nicht zu vergessen ist: 

• die Beschreibung der verwendeten IT-Systeme einschließlich der technischen und organisatorischen Maßnahmen. 
• eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf den Zweck. Es ist ausführlich darzulegen, die beabsichtigte Datenverarbeitung für die zu erreichenden Zwecke erforderlich, geeignet und verhältnismäßig sind. Ist Grundlage der Verarbeitung ein berechtigtes Interesse, ist dieses mit in die Verhältnismäßigkeitsprüfung einzubeziehen. 
• eine Bewertung der Risiken für die Rechte und Freiheiten der betroffenen Personen gemäß Art. 30 Abs. 1 DS-GVO. Gemeint ist die konkrete und nachvollziehbare Bewertung der Risiken anhand der Eintrittswahrscheinlichkeit und der Schwere der Auswirkungen und 
• die zur Bewältigung der Risiken geplanten Abhilfemaßnahmen, einschließlich Garantien, Sicherheitsvorkehrungen und Verfahren, durch die der Schutz personenbezogener Daten sichergestellt und der Nachweis dafür erbracht wird, dass diese Verordnung eingehalten wird, wobei den Rechten und berechtigten Interessen der betroffenen Personen und sonstiger Betroffener Rechnung getragen wird.

Erforderlichenfalls ist eine Überprüfung durchzuführen, um zu bewerten, ob die Verarbeitung gemäß der Datenschutzfolgenabschätzung durchgeführt wird; dies gilt zumindest, wenn hinsichtlich des mit den Verarbeitungsvorgängen verbundenen Risikos Änderungen eingetreten sind. 

Da es sich bei der Verpflichtung zur Durchführung einer Datenschutzfolgenabschätzung um einen sehr umfangreichen Punkt handelt, sollte auch hier die Unterstützung eines Datenschutzbeauftragten bzw. auf Datenschutz spezialisierten Dienstleisters zurückgegriffen werden.