Datenschutzbehörden und die DSGVO

Die Europäische Datenschutz-Grundverordnung (DSGVO) wird ab dem 25. Mai 2018 Anwendung finden und stellt das Datenschutzrecht auf eine neue Grundlage. Die bisherigen datenschutzrechtlichen Grundprinzipien bleiben im Kern zwar erhalten, jedoch ist die DSGVO mit ihren 99 Artikeln und 173 Erwägungsgründen im Verhältnis zum BDSG und der DSRL sehr viel umfangreicher, teils schwer überschaubar und zuweilen noch in vielen Punkten strittig. Neben der bisher verfügbaren Literatur äußern sich nun auch immer öfter die Datenschutzbehörden (die Art. 29 Datenschutzgruppe, der Düsseldorfer Kreis und die Landesbeauftragten für Datenschutz) mit Stellungnahmen zu Auslegungsfragen und sprechen Empfehlungen zur Anwendung der DSGVO aus.

In Zeiten rechtlicher Unsicherheit kommt den Äußerungen der Behörden natürlich besondere Bedeutung zu. Deswegen haben wir die bisherigen Verlautbarungen der Behörden zur DSGVO hier zusammengefasst und verlinkt. Die Übersicht wird nach und nach aktualisiert. 

Inhaltsverzeichnis

Allgemeines

Fortgeltung von Alt-Einwilligungen unter DSGVO

SCHUFA-Klauseln / Zusammenarbeit mit Auskunfteien

Scoring

Verarbeitung personenbezogener Daten für Werbung / „Umgehung“ des Kopplungsverbots

Datenübertragbarkeit

Datenschutzbeauftragter

Technische und organisatorische Maßnahmen

Datenschutzfolgenabschätzung

Zuständigkeit der federführenden Aufsichtsbehörde

Internet der Dinge

Umsetzunghilfen zur DSGVO

Hinweis zur rechtlichen Wirkung von Stellungnahmen der Aufsichtsbehörden

 

Allgemeines

Notwendigkeit der Verstärkung der Aufsichtsbehörden

Mit Anwendung der DSGVO am 25.5.2018 kommt eine Vielzahl neuer Aufgaben und Herausforderungen auf die Aufsichtsbehörden zu (Art. 57 Abs. 1 lit. a bis v DSGVO). Dies bedeutet für die Aufsichtsbehörden, dass ihnen, so wie es Art. 52 Abs. 4 DSGVO fordert, die notwendigen „personellen, technischen und finanziellen Ressourcen, Räumlichkeiten und Infrastrukturen[…]“ zur Verfügung gestellt werden. Das die vorhandenen Mittel nicht ausreichen ist unlängst klar. Zu diesem Thema wurden mittlerweile auch zwei Gutachten in Auftrag gegeben und veröffentlicht (von Prof. Dr. Hans Peter Bull und Prof. Dr. Alexander Roßnagel), die beide zu dem Ergebnis kommen, dass eine Notwendigkeit der Aufstockung finanzieller und personeller Mittel besteht, um die zukünftigen Aufgaben bewältigen zu können.

BDSG-neu

Das Unabhängige Landeszentrum für Datenschutz (ULD) äußert sich in seinem Jahresbericht, wie bereits auch andere Landesdatenschutzbeauftragte, kritisch zum Datenschutz-Anpassungs und Umsetzungsgesetz – EU (DSAnpUG-EU), das u.a. das Bundesdatenschutzgesetz reformiert. Die von den Aufsichtsbehörden des Bundes und der Länder kritisiert Punkte, sind zu einem Großenteil vom Gesetzgeber nicht umgesetzt worden. Diesbezüglich empfehlen die Landesdatenschutzbeauftragten immer öfter sich im Zweifel nach der DSGVO zu richten.

 

Fortgeltung von Alt-Einwilligungen unter DSGVO

Unter welchen Voraussetzungen Alt-Einwilligungen mit Anwendung der DSGVO fortgelten ist nicht abschließend geklärt und stellt für die Unternehmenspraxis eine der wichtigsten Auslegungsfragen dar.

Artikel 29 Datenschutzgruppe

Zum jetzigen Zeitpunkt gibt es von der Artikel 29 Datenschutzgruppe noch keine Stellungnahme zum Thema Einwilligungen bzw. Fortgeltung von Alt-Einwilligungen. Der Pressemitteilung vom Januar ist jedoch zu entnehmen, dass dies bereits auf dem Aktionsplan steht und Stellungnahme sehr wahrscheinlich noch im ersten Halbjahr 2017 erscheinen wird.

Düsseldorfer Kreis

Nach dem Beschluss des Düsseldorfer Kreises vom 13./14. September 2016 sollen bisher rechtswirksame eingeholte Einwilligungen fortgelten. Jedoch soll besonders die Voraussetzung der Freiwilligkeit („Kopplungsverbot“, Art. 7 Abs. 4 i.V.m. Erwägungsgrund (43) DSGVO) und die Altersgrenze von 16 Jahren (Art. 8 Abs. 1 i.V.m. Erwägungsgrund (38) DSGVO) Beachtung finden.

Berliner Landesbeauftragte für Datenschutz

Im Tätigkeitsbericht der Berliner Landesbeauftragten für Datenschutz 2016 heißt es auf Seite 29 ebenfalls, jedoch mit speziellem Bezug auf den Bankenbereich, dass „bestehende Einwilligungserklärungen auch nach dem Inkrafttreten der DS-GVO wirksam bleiben, auch wenn unter der Geltung des BDSG-Alt die neuen Transparenzvorgaben nicht voll umgesetzt wurden… .“ Interessant ist insbesondere, dass dies auch gelten soll, wenn kein Hinweis auf das Widerrufsrecht gegeben wurde. Sie empfehlen Banken trotz alledem Betroffene nachträglich auf ihr Widerrufsrecht hinzuweisen, bspw. durch einen Hinweis auf den Kontoauszügen.

Bayerisches Landesamt für Datenschutzaufsicht

Die Stellungnahme, des Bayerischen Landesamts für Datenschutz deckt sich mit der des Düsseldorfer Kreises, dass bisher rechtswirksam eingeholte Einwilligungen sollen wirksam bleiben. Für Alt-Einwilligungen soll der in Erwägungsgrund (42) DSGVO genannte Mindestgehalt an Information gelten.

Landesbeauftragte für Datenschutz Nordrhein-Westfalen

Auch die Landesbeauftragte für Datenschutz NRW geht in ihrem Jahresbericht davon aus, dass bisher erteilte Einwilligungen bei Berücksichtigung der vom Düsseldorfer Kreis herausgegebenen Kriterien unter der DSGVO fortgelten.

Hessischer Landesbeauftragte für Datenschutz

Im Tätigkeitsbericht 2016 des Hessischen Landesbeauftragten für Datenschutz ist der Beschluss des Düsseldorfer Kreises zur Fortgeltung von Alt-Einwilligungen ohne eigenen Kommentar abgedruckt. Demnach werden bisher rechtswirksame eingeholte Einwilligungen grundsätzlich fortgelten.

 

SCHUFA-Klauseln / Zusammenarbeit mit Auskunfteien

Berliner Landesdatenschutzbeauftragte

Die Berliner Landesdatenschutzbeauftragte empfiehlt, ebenfalls mit Bezug auf den Bankenbereich, auf eine Einwilligung zu verzichten, da diese aufgrund fehlender Freiwilligkeit und des Koppelungsverbots unwirksam sind. Es soll auf die Wahrung berechtigter Interessen gem. Art. 6 Abs. 1 S. 1 lit. f DSGVO abgestellt werden, bspw. zur Ermittlung des Kreditausfallrisikos.

Hessischer Landesbeauftragte für Datenschutz

Nach der Stellungnahme des Hessischen Landesbeauftragen für Datenschutz kann "der bisher zulässige Datenaustausch mit Auskunfteien ... zukünftig auf Art. 6 Abs. 1 lit. b und f DSGVO gestützt werden". Somit wird es "bei der Interessenabwägung bleiben, die bisher gem. §§ 28 Abs. 1 S. 1 Nr. 2 und 29 Abs. 2 BDSG durchgeführt werden musste...". Dies gilt sowohl für positive als auch negative Einmeldungen. Dagegen wird davon ausgegangen, dass an den Vertragschluss geknüpfte Einwilligungen gleichen Inhalts aufgrund des Kopplungsverbotes und der daraus resultierenden fehlenden Freiwilligkeit zukünftig nicht mehr zulässig sind.

 

Scoring

Das Scoring ist eine Art des in in Art. 4 Nr. 4 DSGVO normierten Profiling. Ebenfalls entscheidend für das Scoring ist Art. 22 DSGVO, die „automatisierte Entscheidung“. Art. 22 Abs. 1 DSGVO verbietet es, eine betroffene Person einer ausschließlich auf einer automatisierten Verarbeitung beruhenden Entscheidung zu unterwerfen, die ihr gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt. Strittig ist hier bislang die Auslegung der „rechtlichen Wirkung“ und der „in ähnlicher Weise erheblichen Beeinträchtigung“.

Hessischer Landesbeauftragte für Datenschutz

Dem Tätigkeitsbericht des Hessischen Landesdatenschutzbeauftragten zu Folge, entsprechen die derzeit üblichen Scoring-Verfahren den Anforderungen des Art. 6 Abs. 1 lit. b und f DSGVO, sofern und soweit nur risikorelevante Merkmale eingesetzt werden. Eine Auswertung von personenbezogenen Daten aus Social-Media Netzwerken ist nach Ansicht der Aufsichtsbehörde gem. Art. 6 Abs. 1 lit. b und f DSGVO nicht rechtmäßig. Denn „alleine aus der möglicherweise freien Zugänglichkeit dieser Daten ergibt sich eine Rechtmäßigkeit ihrer Verwendung im Profiling nicht“.

 

Verarbeitung personenbezogener Daten für Werbung/ "Umgehung" des Kopplungsverbots

Bayerisches Landesamt für Datenschutz

Nach der Stellungnahme des BayLDA können Nutzer gem. Art. 6 Abs. 1 S. 1 lit. b DSGVO kostenlose Dienstleistungsangebote mit der Zustimmung für eine werbliche Nutzung ihrer Daten bezahlen, wenn dem Nutzer dies bei Vertragsabschluss klar dargestellt wird. Somit wird eine Einwilligung obsolet und das Kopplungsverbot läuft ins leere. Beispielhaft wird die Zustimmung zum Erhalt eines Newsletter als Gegenleistung zu einem kostenlosen E-Mail-Account genannt.

Datenschutzkonferenz (DSK)

Auch nach Aufassung der DSK ist es unter der DSGVO möglich die personenbezogener Daten des Nutzers als vertragliche Leistung bei „kostenlosen“ Dienstleistungsangeboten zu definieren, "z.B. kostenloser E-Mail-Account gegen Zustimmung für Newsletter-Zusendung als „Gegenfinanzierung“". Wird diese Gegenleistung vertraglich definiert und dem Nutzer bei Vertragsabschluss klar und verständlich dargestellt, bedarf es keiner Einwilligung und das Kopplungsverbot kann umgangen werden.

 

Datenübertragbarkeit

Strittigster Punkt der Datenübertagbarkeit gem. Art. 20 DSGVO ist die Auslegung des Begriffs der vom Betroffenen „bereitgestellten“ Daten.

Artikel 29 Datenschutzgruppe

Der Begriff ist nach der Stellungnahme der Artikel 29 Datenschutzgruppe weit auszulegen. Das Recht auf Datenportabilität umfasst demnach die vom Betroffenen selbst oder durch technische Mittel bereitgestellten Daten, bspw. E-Mail-Adresse, Benutzername, Alter aber auch Suchverläufe, Verkehrs- und Standortdaten und auch den aufgezeichneten Herzschlag von Wearables. Durch den Verantwortlichen abgeleitete Daten bzw. Schlussfolgerungen sollen ausgeschlossen sein, bspw. Scoring-Ergebnis auf Grundlage eines Algorithmus.

 

Datenschutzbeauftragter

Für Konzerne stellt sich die Frage was genau unter der Voraussetzung der „leichten Erreichbarkeit“ des Konzernübergreifenden Datenschutzbeauftragten (DSB) gem. Art. 37 Abs. 2 DSGVO zu verstehen ist. Des Weiteren stellt sich die Frage, ob für die Ernennung des Datenschutzbeauftragten nach DSGVO auch juristische Personen in Frage kommen und ob diese im EWR ansässig sein müssen.

Artikel 29 Datenschutzgruppe

Nach der Auslegung der Artikel 29 Datenschutzgruppe, bezieht sich der Begriff der „leichten Erreichbarkeit“ nicht nur auf die Aufgaben als interne Kontaktstelle für den Konzern selbst, sondern auch auf die Aufgaben als Kontaktstelle für die Betroffenen und die Aufsichtsbehörden. Um diese „leichte Erreichbarkeit“ sicherstellen zu können, müssen nicht nur die Kontaktdaten des DSB verfügbar sein, sondern der DSB muss, ggfs. mit Hilfe eines Teams, in der Lage sein mit den Betroffenen effizient kommunizieren zu können und mit den betroffenen Aufsichtsbehörden zusammenzuarbeiten. Das schließt die Kommunikation in den Sprachen der Aufsichtsbehörden und der betroffenen Personen mit ein.

Nach Ansicht der Artikel 29 Datenschutzgruppe ist auch die Benennung einer juristischen Person zum Datenschutzbeauftragten zulässig. Die deutschen Aufsichtsbehörden vertreten hierzu aktuell noch unterschiedliche Auffassungen

Bayerisches Landesamt für Datenschutz

Nach der Stellungnahme des BayLDA werden die Eingrenzungen zur Benennung des DSB in Art. 37 Abs. 1 lit. a bis c DSGVO in Deutschland kaum eine Rolle spielen, da nach dem Entwurf des neuen BDSG die bisherige Regelung des § 4f Abs. 1 BDSG-alt in ihren Grundzügen bestehen bleibt. Darüber hinaus setzt das das BayLDA, wie auch die Artikel 29 Datenschutzgruppe, voraus, „dass die Kommunikation in der bzw. den von den Aufsichtsbehörden und dem Betroffenen verwendeten Sprache(n) erfolgen muss“.

Landesbeauftragte für Datenschutz Nordrhein Westfalen

Auch die Aufsichtsbehörden in NRW legen den Begriff der "leichten Erreichbarkeit" weit aus. Dieser umfasst demnach sowohl die persönliche, als auch die sprachliche Erreichbarkeit des Datenschutzbeauftragten und gilt für Betroffene, Aufsichtsbehörden sowie Beschäftigte. Beispielhaft wird zur Umsetzung die Einrichtung einer Hotline, eines Kontaktformulars auf der Homepage und einer Sprechstunde für Beschäftigte genannt.

Hessischer Landesbeauftragte für Datenschutz

Nach Ansicht des Hessischen Landesbeauftragten für Datenschutz kann, wenn nach deutschem Recht eine Pflicht zur Benennung eines Datenschutzbeauftragten besteht, der Konzerndatenschutzbeauftragter auch für Niederlassungen außerhalb Deutschlands benannt werden. Der Begriff der „leichten Erreichbarkeit“ verlangt auch nach der Auffassung des Hessischen LDB zum einen die Sicherstellung der persönlichen Kommunikation durch ausreichend verfügbare Kontaktmöglichkeiten. Zum anderen muss der Datenschutzbeauftragte in der Lage sein mit Aufsichtsbehörden und Betroffenen sprachlich zu kommunizieren. Dies schließt die Kommunikation in der jeweiligen Landessprache, in der das Unternehmen tätig ist, mit ein. Es wird weiter Empfohlen, dass der Datenschutzbeauftragte im EWR ansässig ist. Anderenfalls stehe es in Frage, ob der Datenschutzbeauftragte seine Aufgaben und Pflichten ordnungsgemäß erfüllen kann. Der Hessische Landesdatenschutzbeauftragte empfiehlt vor der Benennung einer juristischen Person zum Datenschutzbeauftragten dies mit der zuständigen Datenschutzaufsichtsbehörde abzustimmen, solange hierzu keine verbindliche Klärung durch den Europäischen Datenschutzausschuss erfolgt ist.

BDSG-neu

Die DSGVO enthält eine Reihe sogenannter Öffnungsklauseln, so dass der nationale Gesetzgeber teils verpflichtet teils berechtigt ist einen eigenen, nicht unerheblichen Handlungsspielraum hat, bei der er Erweiterungen oder weitere Ausnahmen von der DSGVO treffen kann. Für die Ernennung des Datenschutzbeauftragten im nicht-öffentlichen Bereich hat die Bundesregierung von dieser Möglichkeit gebraucht gemacht. Neben den Anforderungen der DSGVO zur Ernennung des Datenschutzbeauftragten bleibt es nach § 38 Abs. 1 BDSG-neu bei der Pflicht zur Ernennung „soweit sie in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen“.

 

Technische und organisatorische Maßnahmen

Unabhängiges Landeszentrum für Datenschutz

Nach Aussage des Unabhängigen Landeszentrums für Datenschutz berücksichtigt das im November 2016 veröffentlichte Standard-Datenschutzmodell (SDM) die Anforderungen der DSGVO im Bereich der technischen und organisatorischen Maßnahmen, so dass dieses zur Umsetzung des Art. 32 DSGVO herangezogen werden kann.

 

Datenschutzfolgenabschätzung

Bisher gibt es noch keine Black-/White-Listen von Seiten der Aufsichtsbehörden, anhand derer man abgleichen kann, ob man verpflichtet ist eine Datenschutzfolgenabschätzung (DSF) durchzuführen. Darüber hinaus ist es strittig, wann ein „hohes Risiko“ für die Rechte und Freiheiten natürlicher Personen besteht und man zur Erstellung einer DSF verpflichtet ist.

Artikel 29 Datenschutzgruppe

Die Artikel 29 Datenschutzgruppe hat zur Bestimmung des Risikos einen Kriterienkatalog aufgestellt und nennt erstmals beispielhaft Datenverarbeitungsvorgänge, bei denen eine DFS durchgeführt werden muss. Bspw. muss für Werbung die auf einer E-Commerce-Website, auf Grundlage von Profiling früherer Käufe und Verhalten angezeigt wird, keine DSF durchgeführt werden. Das Überwachen der Aktivitäten seiner Mitarbeiter, einschließlich der Überwachung der Arbeitsstätte der Mitarbeiter, bedarf hingegen einer DSF.

Unabhängiges Landeszentrum für Datenschutz

Das ULD hat in Zusammenarbeit mit weiteren Projektpartnern im Rahmen des Projekts „Forum Privatheit“ ein allgemeingültiges Model zur vollständigen Durchführung einer DSFA erarbeitet, woran sich Unternehmen orientieren können.

 

Zuständigkeit der federführenden Aufsichtsbehörde

Für die DSGVO gilt das sogenannte One-Stop-Shop, nach dem bei grenzüberschreitender Datenverarbeitung für jeden Betroffenen eine federführende Aufsichtsbehörde zuständig ist. Die Identifizierung der federführenden Aufsichtsbehörde ist aufgrund der unübersichtlichen Regelungen nicht immer eindeutig. Grundsätzlich liegt die federführende Aufsichtsbehörde gem. Art. 56 Abs. 1 DSGVO bei grenzüberschreitender Verarbeitung in dem Land, in dem sich die Hauptniederlassung des Verantwortlichen/Auftragsverarbeiters befindet.

Artikel 29 Datenschutzgruppe

Die Artikel 29 Datenschutzgruppe stellt in seiner Stellungnahme klar, dass bei der Verarbeitung personenbezogener Daten in einer Unternehmensgruppe die Muttergesellschaft Hauptniederlassung ist, es sei denn eine Tochtergesellschaft entscheidet über die Zwecke und Mittel der Verarbeitung. Die Artikel 29 Datenschutzgruppe hat in ihrer Stellungnahme Kriterien zur Ermittlung und Identifizierung der Hauptniederlassung und der der federführenden Aufsichtsbehörde aufgelistet.

Landesbeauftragte für Datenschutz Nordrhein Westfalen

Die Aufsichtsbehörde für Datenschutz NRW geht mit der Stellungnahme der Artikel 29 Datenschutzgruppe konform und verlinkt auf ihrer Internetseite auf die entsprechenden workingpaper. Dort heißt es u.a., dass sich zur Auslegung des Begriffs "Hauptniederlassung" an die Leitlinien der Artikel 29 Datenschutzgruppe gehalten werden kann.

 

Internet der Dinge

Landesbeauftragte für Datenschutz Nordrhein Westfalen

Im Jahresbericht heißt es zum Thema Internet der Dinge, dass viele Produkte erhebliche Defizite aufweisen und weder privacy by Design noch privacy by default ausreichend berücksichtigt werden. Hersteller sollen umdenken und nachbessern, um die Anforderungen der DS-GVO zu erfüllen. Anderenfalls kann dies bei Verstößen zu Geldbußen in Höhe von bis 20 Mio. EUR oder bis zu vier Prozent des weltweiten Jahresumsatzes eines Unternehmens führen.

 

Umsetzungshilfen zur DSGVO

Zehn-Punkte-Papier zur Vorbereitung auf die DSGVO

Die Aufsichtsbehörden für Datenschutz um nicht-öffentlichen Bereich haben auf der Datenschutzkonferenz am 24.5.17 ein 10-Punkte-Papier veröffentlicht in dem sie Unternehmen Anregungen zur Vorbereitung auf die DSGVO geben. Die Datenschutzkonferenz (DSK) ist ein freiwilliger Zusammenschluss der unabhänigen amtlichen Ladens- und Bundesdatenschutzbeauftragten.

Fragebogen zur Umsetzung der DSGVO

Das Bayerische Landesamt für Datenschutz hat einen Fragenkatalog veröffentlicht, der unterstützend für eine erste Überprüfung der DSGVO-Compliance herangezogen werden kann.

Allgemeingültiges Model für die Durchführung einer DSFA (PIA)

Das ULD hat in Zusammenarbeit mit weiteren Projektpartnern im Rahmen des Projekts „Forum Privatheit“ ein allgemeingültiges Model zur vollständigen Durchführung einer DSFA erarbeitet, woran sich Unternehmen orientieren können.

Umsetzungshilfen für eine DSGVO-konforme Dokumentation

Das ULD hat schon vor längerer Zeit Handreichungen und Vorlagen für eine datenschutzkonforme Dokumentation veröffentlicht. In ihrem Tätigkeitsbericht verweiset das ULD auf diese Vorlagen, um den nach der DSGVO geforderten Nachweis und Dokumentationspflichten gerecht zu werden.

Kurzpapiere der Datenschutzkonferenz

Auf der Datenschutzkonferenz (DSK) der unabhängigen Datenschutzbehörden des Bundes und der Länder wurden mehrere Kurzpapiere zur Orientierung für den nicht-öffentlichen Bereich veröffentlicht, wie nach Auffassung der DSK die DSGVO in der Praxis durchgeführt werden sollten. Die Drei Kurzpapiere geben eine Orientierung zu Themen „Verzeichnis von Verarbeitungstätigkeiten“, „Aufsichtsbefugnisse/Sanktionen“ und „Verarbeitung personenbezogener Daten für Werbung“.

 

Hinweis zur rechtlichen Wirkung von Stellungnahmen der Aufsichtsbehörden

Auch wenn viele Berater auf Äußerungen von Aufsichtsbehörden warten und jedem kleinen Satz eines Behördenvertreters größte Bedeutung beigemessen wird. Es gilt zweierlei:

(1)    Bei den Stellungnahmen/Beschlüssen der Art. 29 Datenschutzgruppe, des Düsseldorfer Kreis und den Aufsichtsbehörden der Länder handelt es sich um Behördenmeinungen, die zutreffen können, aber nicht richtig sein müssen.

(2)    Die Äußerungen sind nicht rechtsverbindlich und entfalten keine Vertrauenswirkung. Entscheidet der EuGH einen Sachverhalt anders als die deutsche Behörde, ist das folgenlos. Insbesondere gibt es keinen Staatshaftungsanspruch wegen der falschen Behördenaussage.

 

Online-Schulungen zur DSGVO

Wir machen Sie fit für die DSGVO: In 10 einzelnen Webinaren unterrichten wir Sie zu Einzelheiten der DSGVO unter Berücksichtigung der Behördenaussagen und unserer Erfahrung aus über einen Dutzend größeren DSGVO-Projekten.

Stand: 5.7.2017 

5. Juli 2017