Datenschutzbehörden und die DSGVO

Die Europäische Datenschutz-Grundverordnung (DSGVO) wird ab dem 25. Mai 2018 Anwendung finden und stellt das Datenschutzrecht auf eine neue Grundlage. Die bisherigen datenschutzrechtlichen Grundprinzipien bleiben im Kern zwar erhalten, jedoch ist die DSGVO mit ihren 99 Artikeln und 173 Erwägungsgründen im Verhältnis zum BDSG und der DSRL sehr viel umfangreicher, teils schwer überschaubar und zuweilen noch in vielen Punkten strittig. Neben der bisher verfügbaren Literatur äußern sich nun auch immer öfter die Datenschutzbehörden (die Art. 29 Datenschutzgruppe, der Düsseldorfer Kreis und die Landesbeauftragten für Datenschutz) mit Stellungnahmen zu Auslegungsfragen und sprechen Empfehlungen zur Anwendung der DSGVO aus.

In Zeiten rechtlicher Unsicherheit kommt den Äußerungen der Behörden natürlich besondere Bedeutung zu. Deswegen haben wir die bisherigen Verlautbarungen der Behörden zur DSGVO hier zusammengefasst und verlinkt. Die Übersicht wird nach und nach aktualisiert. 

Inhaltsverzeichnis

Fortgeltung von Alt-Einwilligungen unter DSGVO

SCHUFA-Klauseln / Zusammenarbeit mit Auskunfteien

Scoring

Verarbeitung personenbezogener Daten für Werbung / „Umgehung“ des Kopplungsverbots

Datenübertragbarkeit

Datenschutzbeauftragter

Datenschutzfolgenabschätzung

Zuständigkeit der federführenden Aufsichtsbehörde

Internet der Dinge

Hinweis zur rechtlichen Wirkung von Stellungnahmen der Aufsichtsbehörden

 

Fortgeltung von Alt-Einwilligungen unter DSGVO

Unter welchen Voraussetzungen Alt-Einwilligungen mit Anwendung der DSGVO fortgelten ist nicht abschließend geklärt und stellt für die Unternehmenspraxis eine der wichtigsten Auslegungsfragen dar.

Artikel 29 Datenschutzgruppe

Zum jetzigen Zeitpunkt gibt es von der Artikel 29 Datenschutzgruppe noch keine Stellungnahme zum Thema Einwilligungen bzw. Fortgeltung von Alt-Einwilligungen. Der Pressemitteilung vom Januar ist jedoch zu entnehmen, dass dies bereits auf dem Aktionsplan steht und Stellungnahme sehr wahrscheinlich noch im ersten Halbjahr 2017 erscheinen wird.

Düsseldorfer Kreis

Nach dem Beschluss des Düsseldorfer Kreises vom 13./14. September 2016 sollen bisher rechtswirksame eingeholte Einwilligungen fortgelten. Jedoch soll besonders die Voraussetzung der Freiwilligkeit („Kopplungsverbot“, Art. 7 Abs. 4 i.V.m. Erwägungsgrund (43) DSGVO) und die Altersgrenze von 16 Jahren (Art. 8 Abs. 1 i.V.m. Erwägungsgrund (38) DSGVO) Beachtung finden.

Berliner Landesbeauftragte für Datenschutz

Im Tätigkeitsbericht der Berliner Landesbeauftragten für Datenschutz 2016 heißt es auf Seite 29 ebenfalls, jedoch mit speziellem Bezug auf den Bankenbereich, dass „bestehende Einwilligungserklärungen auch nach dem Inkrafttreten der DS-GVO wirksam bleiben, auch wenn unter der Geltung des BDSG-Alt die neuen Transparenzvorgaben nicht voll umgesetzt wurden… .“ Interessant ist insbesondere, dass dies auch gelten soll, wenn kein Hinweis auf das Widerrufsrecht gegeben wurde. Sie empfehlen Banken trotz alledem Betroffene nachträglich auf ihr Widerrufsrecht hinzuweisen, bspw. durch einen Hinweis auf den Kontoauszügen.

Bayerisches Landesamt für Datenschutzaufsicht

Die Stellungnahme, des Bayerischen Landesamts für Datenschutz deckt sich mit der des Düsseldorfer Kreises, dass bisher rechtswirksam eingeholte Einwilligungen sollen wirksam bleiben. Für Alt-Einwilligungen soll der in Erwägungsgrund (42) DSGVO genannte Mindestgehalt an Information gelten.

Landesbeauftragte für Datenschutz Nordrhein-Westfalen

Auch die Landesbeauftragte für Datenschutz NRW geht in ihrem Jahresbericht davon aus, dass bisher erteilte Einwilligungen bei Berücksichtigung der vom Düsseldorfer Kreis herausgegebenen Kriterien unter der DSGVO fortgelten.

Hessischer Landesbeauftragte für Datenschutz

Im Tätigkeitsbericht 2016 des Hessischen Landesbeauftragten für Datenschutz ist der Beschluss des Düsseldorfer Kreises zur Fortgeltung von Alt-Einwilligungen ohne eigenen Kommentar abgedruckt. Demnach werden bisher rechtswirksame eingeholte Einwilligungen grundsätzlich fortgelten.

 

SCHUFA-Klauseln / Zusammenarbeit mit Auskunfteien

Berliner Landesdatenschutzbeauftragte

Die Berliner Landesdatenschutzbeauftragte empfiehlt, ebenfalls mit Bezug auf den Bankenbereich, auf eine Einwilligung zu verzichten, da diese aufgrund fehlender Freiwilligkeit und des Koppelungsverbots unwirksam sind. Es soll auf die Wahrung berechtigter Interessen gem. Art. 6 Abs. 1 S. 1 lit. f DSGVO abgestellt werden, bspw. zur Ermittlung des Kreditausfallrisikos.

Hessischer Landesbeauftragte für Datenschutz

Nach der Stellungnahme des Hessischen Landesbeauftragen für Datenschutz kann "der bisher zulässige Datenaustausch mit Auskunfteien ... zukünftig auf Art. 6 Abs. 1 lit. b und f DSGVO gestützt werden". Somit wird es "bei der Interessenabwägung bleiben, die bisher gem. §§ 28 Abs. 1 S. 1 Nr. 2 und 29 Abs. 2 BDSG durchgeführt werden musste...". Dies gilt sowohl für positive als auch negative Einmeldungen. Dagegen wird davon ausgegangen, dass an den Vertragschluss geknüpfte Einwilligungen gleichen Inhalts aufgrund des Kopplungsverbotes und der daraus resultierenden fehlenden Freiwilligkeit zukünftig nicht mehr zulässig sind.

 

Scoring

Das Scoring ist eine Art des in in Art. 4 Nr. 4 DSGVO normierten Profiling. Ebenfalls entscheidend für das Scoring ist Art. 22 DSGVO, die „automatisierte Entscheidung“. Art. 22 Abs. 1 DSGVO verbietet es, eine betroffene Person einer ausschließlich auf einer automatisierten Verarbeitung beruhenden Entscheidung zu unterwerfen, die ihr gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt. Strittig ist hier bislang die Auslegung der „rechtlichen Wirkung“ und der „in ähnlicher Weise erheblichen Beeinträchtigung“.

Hessischer Landesbeauftragte für Datenschutz

Dem Tätigkeitsbericht des Hessischen Landesdatenschutzbeauftragten zu Folge, entsprechen die derzeit üblichen Scoring-Verfahren den Anforderungen des Art. 6 Abs. 1 lit. b und f DSGVO, sofern und soweit nur risikorelevante Merkmale eingesetzt werden. Eine Auswertung von personenbezogenen Daten aus Social-Media Netzwerken ist nach Ansicht der Aufsichtsbehörde gem. Art. 6 Abs. 1 lit. b und f DSGVO nicht rechtmäßig. Denn „alleine aus der möglicherweise freien Zugänglichkeit dieser Daten ergibt sich eine Rechtmäßigkeit ihrer Verwendung im Profiling nicht“.

 

Verarbeitung personenbezogener Daten für Werbung/ "Umgehung" des Kopplungsverbots

Bayerisches Landesamt für Datenschutz

Nach der Stellungnahme des BayLDA können Nutzer gem. Art. 6 Abs. 1 S. 1 lit. b DSGVO kostenlose Dienstleistungsangebote mit der Zustimmung für eine werbliche Nutzung ihrer Daten bezahlen, wenn dem Nutzer dies bei Vertragsabschluss klar dargestellt wird. Somit wird eine Einwilligung obsolet und das Kopplungsverbot läuft ins leere. Beispielhaft wird die Zustimmung zum Erhalt eines Newsletter als Gegenleistung zu einem kostenlosen E-Mail-Account genannt.

 

Datenübertragbarkeit

Strittigster Punkt der Datenübertagbarkeit gem. Art. 20 DSGVO ist die Auslegung des Begriffs der vom Betroffenen „bereitgestellten“ Daten.

Artikel 29 Datenschutzgruppe

Der Begriff ist nach der Stellungnahme der Artikel 29 Datenschutzgruppe weit auszulegen. Das Recht auf Datenportabilität umfasst demnach die vom Betroffenen selbst oder durch technische Mittel bereitgestellten Daten, bspw. E-Mail-Adresse, Benutzername, Alter aber auch Suchverläufe, Verkehrs- und Standortdaten und auch den aufgezeichneten Herzschlag von Wearables. Durch den Verantwortlichen abgeleitete Daten bzw. Schlussfolgerungen sollen ausgeschlossen sein, bspw. Scoring-Ergebnis auf Grundlage eines Algorithmus.

 

Datenschutzbeauftragter

Für Konzerne stellt sich die Frage was genau unter der Voraussetzung der „leichten Erreichbarkeit“ des Konzernübergreifenden Datenschutzbeauftragten (DSB) gem. Art. 37 Abs. 2 DSGVO zu verstehen ist.

Artikel 29 Datenschutzgruppe

Nach der Auslegung der Artikel 29 Datenschutzgruppe, bezieht sich der Begriff der „leichten Erreichbarkeit“ nicht nur auf die Aufgaben als interne Kontaktstelle für den Konzern selbst, sondern auch auf die Aufgaben als Kontaktstelle für die Betroffenen und die Aufsichtsbehörden. Um diese „leichte Erreichbarkeit“ sicherstellen zu können, müssen nicht nur die Kontaktdaten des DSB verfügbar sein, sondern der DSB muss, ggfs. mit Hilfe eines Teams, in der Lage sein mit den Betroffenen effizient kommunizieren zu können und mit den betroffenen Aufsichtsbehörden zusammenzuarbeiten. Das schließt die Kommunikation in den Sprachen der Aufsichtsbehörden und der betroffenen Personen mit ein.

Bayerisches Landesamt für Datenschutz

Nach der Stellungnahme des BayLDA werden die Eingrenzungen zur Benennung des DSB in Art. 37 Abs. 1 lit. a bis c DSGVO in Deutschland kaum eine Rolle spielen, da nach dem Entwurf des neuen BDSG die bisherige Regelung des § 4f Abs. 1 BDSG-alt in ihren Grundzügen bestehen bleibt. Darüber hianus setzt das das BayLDA, wie auch die Artikel 29 Datenschutzgruppe, voraus, „dass die Kommunikation in der bzw. den von den Aufsichtsbehörden und dem Betroffenen verwendeten Sprache(n) erfolgen muss“.

Landesbeauftragte für Datenschutz Nordrhein Westfalen

 Auch die Aufsichtsbehörden in NRW legen den Begriff der "leichten Erreichbarkeit" weit aus. Dieser umfasst demnach sowohl die persönliche, als auch die sprachliche Erreichbarkeit des Datenschutzbeauftragten und gilt für Betroffene, Aufsichtsbehörden sowie Beschäftigte. Beispielhaft wird zur Umsetzung die Einrichtung einer Hotline, eines Kontaktformulars auf der Homepage und einer Sprechstunde für Beschäftigte genannt.


Datenschutzfolgenabschätzung

Bisher gibt es noch keine Black-/White-Listen von Seiten der Aufsichtsbehörden, anhand derer man abgleichen kann, ob man verpflichtet ist eine Datenschutzfolgenabschätzung (DSF) durchzuführen. Darüber hinaus ist es strittig, wann ein „hohes Risiko“ für die Rechte und Freiheiten natürlicher Personen besteht und man zur Erstellung einer DSF verpflichtet ist.

Artikel 29 Datenschutzgruppe

Die Artikel 29 Datenschutzgruppe hat zur Bestimmung des Risikos einen Kriterienkatalog aufgestellt und nennt erstmals beispielhaft Datenverarbeitungsvorgänge, bei denen eine DFS durchgeführt werden muss. Bspw. muss für Werbung die auf einer E-Commerce-Website, auf Grundlage von Profiling früherer Käufe und Verhalten angezeigt wird, keine DSF durchgeführt werden. Das Überwachen der Aktivitäten seiner Mitarbeiter, einschließlich der Überwachung der Arbeitsstätte der Mitarbeiter, bedarf hingegen einer DSF.

 

Zuständigkeit der federführenden Aufsichtsbehörde

Für die DSGVO gilt das sogenannte One-Stop-Shop, nach dem bei grenzüberschreitender Datenverarbeitung für jeden Betroffenen eine federführende Aufsichtsbehörde zuständig ist. Die Identifizierung der federführenden Aufsichtsbehörde ist aufgrund der unübersichtlichen Regelungen nicht immer eindeutig. Grundsätzlich liegt die federführende Aufsichtsbehörde gem. Art. 56 Abs. 1 DSGVO bei grenzüberschreitender Verarbeitung in dem Land, in dem sich die Hauptniederlassung des Verantwortlichen/Auftragsverarbeiters befindet.

Artikel 29 Datenschutzgruppe

Die Artikel 29 Datenschutzgruppe stellt in seiner Stellungnahme klar, dass bei der Verarbeitung personenbezogener Daten in einer Unternehmensgruppe die Muttergesellschaft Hauptniederlassung ist, es sei denn eine Tochtergesellschaft entscheidet über die Zwecke und Mittel der Verarbeitung. Die Artikel 29 Datenschutzgruppe hat in ihrer Stellungnahme Kriterien zur Ermittlung und Identifizierung der Hauptniederlassung und der der federführenden Aufsichtsbehörde aufgelistet.

Landesbeauftragte für Datenschutz Nordrhein Westfalen

Die Aufsichtsbehörde für Datenschutz NRW geht mit der Stellungnahme der Artikel 29 Datenschutzgruppe konform und verlinkt auf ihrer Internetseite auf die entsprechenden workingpaper. Dort heißt es u.a., dass sich zur Auslegung des Begriffs "Hauptniederlassung" an die Leitlinien der Artikel 29 Datenschutzgruppe gehalten werden kann.

 

Internet der Dinge

Landesbeauftragte für Datenschutz Nordrhein Westfalen

Im Jahresbericht heißt es zum Thema Internet der Dinge, dass viele Produkte erhebliche Defizite aufweisen und weder privacy by Design noch privacy by default ausreichend berücksichtigt werden. Hersteller sollen umdenken und nachbessern, um die Anforderungen der DS-GVO zu erfüllen. Anderenfalls kann dies bei Verstößen zu Geldbußen in Höhe von bis 20 Mio. EUR oder bis zu vier Prozent des weltweiten Jahresumsatzes eines Unternehmens führen.

 

Hinweis zur rechtlichen Wirkung von Stellungnahmen der Aufsichtsbehörden

Auch wenn viele Berater auf Äußerungen von Aufsichtsbehörden warten und jedem kleinen Satz eines Behördenvertreters größte Bedeutung beigemessen wird. Es gilt zweierlei:

(1)    Bei den Stellungnahmen/Beschlüssen der Art. 29 Datenschutzgruppe, des Düsseldorfer Kreis und den Aufsichtsbehörden der Länder handelt es sich um Behördenmeinungen, die zutreffen können, aber nicht richtig sein müssen.

(2)    Die Äußerungen sind nicht rechtsverbindlich und entfalten keine Vertrauenswirkung. Entscheidet der EuGH einen Sachverhalt anders als die deutsche Behörde, ist das folgenlos. Insbesondere gibt es keinen Staatshaftungsanspruch wegen der falschen Behördenaussage.

 

Online-Schulungen zur DSGVO

Wir machen Sie fit für die DSGVO: In 10 einzelnen Webinaren unterrichten wir Sie zu Einzelheiten der DSGVO unter Berücksichtigung der Behördenaussagen und unserer Erfahrung aus über einen Dutzend größeren DSGVO-Projekten.

Stand: 10.5.2017 

10. Mai 2017