Der Landesbeauftragte für den Datenschutz Niedersachsen (LfD) hat gemeinsam mit sechs weiteren Datenschutzaufsichtsbehörden eine Handreichung zum Umgang mit der Standard-Auftragsverarbeitungsvereinbarung von Microsoft („DPA“) für den Einsatz von „Microsoft 365“ erarbeitet.

Die vorgegebene Auftragsverarbeitungsvereinbarung von Microsoft entspricht in Ihrer derzeitigen Form nicht den Anforderungen des Art. 28 Abs. 3 DSGVO. Die von den Aufsichtsbehörden erarbeitete Handreichung soll den datenschutzechtlich Verantwortlichen helfen, die Problemfelder zu erkennen und auf vertragliche Änderungen hinzuwirken.

Die Handreichung kann hier abgerufen werden: https://www.lfd.niedersachsen.de/download/199434

KI-Anwendungen wie Chatbots haben Einzug in Unternehmen gehalten. Der datenschutzrechtliche Umgang mit der KI war bislang ungeklärt. Nun hat die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (kurz: DSK) eine Orientierungshilfe zum Thema „Künstliche Intelligenz und Datenschutz“ herausgegeben.

Mit der Orientierungshilfe legt die DSK datenschutzrechtliche Kriterien für die Auswahl und den datenschutzkonformen Einsatz von KI-Anwendungen vor.

Die Orientierungshilfe richtet sich an den datenschutzrechtlich Verantwortlichen und mittelbar auch an Entwickler, Hersteller und Anbieter von KI-Systemen. Sie gibt nun die Erwartungshaltung der Aufsichtsbehörden an den Einsatz von KI im Unternehmen vor.

Die Orientierungshilfe finden Sie unter https://www.datenschutzkonferenz-online.de/orientierungshilfen.html.

EuGH Urteil vom 05.12.2023

Um beurteilen zu können, ob die juristische Person „Deutsche Wohnen SE“ ein Bußgeld in Höhe von 14 Mio. EUR zahlen muss, hat sich das Kammergericht Berlin im Rahmen eines Vorabentscheidungsersuchens mit zwei Fragen an den EuGH gewandt. Die Deutsche Wohnen SE hatte trotz mehrfacher Aufforderung einer Aufsichtsbehörde die entsprechenden Mieterdaten nicht gelöscht. Gemäß Art. 83 Abs. 2 lit. b DSGVO soll bei der Verhängung von Bußgeldern unter anderem der Aspekt des Vorsatzes bzw. der Fahrlässigkeit berücksichtigt werden. Fraglich war zum einen, ob ein Bußgeld auch verhängt werden darf, wenn trotz des Fehlens von Vorsatz/Fahrlässigkeit andere Voraussetzungen des Art. 83 Abs. 2 DSGVO vorliegen, was der EuGH mit dem Urteil vom 05.12.2023 (C-807/21) verneinte. Es muss ein schuldhafter Verstoß vorliegen, damit eine Geldbuße von der Aufsichtsbehörde verhängt werden darf.           
Zum anderen war fraglich, ob für die Sanktionierung einer juristischen Person der Umweg über das Gesetz über Ordnungswidrigkeiten (OWig) gegangen werden muss oder ob diese auch direkt über die DSGVO sanktioniert werden können. Gemäß Art. 4 Nr. 7 DSGVO können sowohl natürliche als auch juristische Personen Verantwortliche im datenschutzrechtlichen Sinne sein. Entsprechend sind in Bezug auf Art. 83 Abs. 3 DSGVO bei „Verstößen von Verantwortlichen“ auch die Verstöße von juristischen Personen mitinbegriffen. Der Verantwortliche, der eine juristische Personen sein kann, kann demnach nicht nur für Verstöße von Unternehmensvertretern, Leitungspersonal, Geschäftsführern und Auftragsverarbeitern sondern auch direkt für Verstöße von jedem Mitarbeiter sanktioniert werden. Es kommt bei der Verhängung von Bußgeldern nicht darauf an, dass Leitungspersonal von entsprechenden Verstößen Kenntnis hatte.

Aus Deutschland

Ein beachtliches Bußgeld von fast einer halben Million Euro musste ein Finanzunternehmen aus Deutschland im September wegen Verstößen gegen die Rechte betroffener Kunden bei automatisierten Entscheidungen verhängt.  

Das Kreditunternehmen hatte mehrere Kreditanfragen trotz eigentlich guter Bonität der Antragsteller mittels automatisierter Entscheidungen abgelehnt. Als diese daraufhin Informations- und Auskunftsanfragen stellten, reagierte das Unternehmen nicht ausreichend auf die Anfragen.

Die Entscheidungen wurden auf der Grundlage von Algorithmen und ohne menschliche Überprüfung herbeigeführt.

Automatisierte Entscheidungen, die auf der Grundlage von Algorithmen und ohne menschliches Eingreifen maschinell getroffen werden, sind mit besonderen Risiken für die Rechte und Freiheiten der betroffenen Personen verbunden. Dies löst sowohl höhere Anforderungen an die Rechtmäßigkeit, als auch zusätzliche Informationspflichten aus. Darüber hinaus verschafft der Umstand den betroffenen Personen umfangreichere Auskunftsrechte.

Gegen ein Handelsunternehmen wurde im selben Monat ein Bußgeld in Höhe von 195.000 € wegen nicht fristgerechter Erfüllung von Betroffenenrechten verhängt.

Aus den Nachbarländern

Die zypriotische Datenschutzbehörde hat aufgrund einer Beschwerde einer Privatperson gehandelt und eine Kreditagentur wegen eines fehlenden Löschkonzeptes sanktioniert.

Der Beschwerdeführer erfuhr nach einem abgelehnten Kreditantrag, dass die Agentur einen älteren, ebenfalls abgelehnten Antrag mehr als sechs Monate lang gespeichert hatte und diesen unrechtmäßig bei der Ablehnung des neuen Antrags berücksichtigt wurde.

Die Untersuchung ergab zudem, dass die Datenschutzmaßnahmen der Agentur nur auf dem Papier existierten, aber nie umgesetzt wurden. Die Agentur wurde zudem angewiesen, die Daten zu löschen.

Eine finnische Bank wurde sanktioniert, weil während einer technischen Änderung eine Störung auftrat, bei der Dritte auf persönliche Daten zugreifen und Transaktionen im Namen anderer Kunden ausführen konnten.

Bei der Untersuchung stellte die Behörde fest, dass Mängel bei der Planung, Umsetzung und Prüfung der technischen Änderungen vorlagen. Die Funktion des Dienstes wurde nicht ausreichend getestet. 

Wegen schneller Umsetzung von Abhilfemaßnahmen durch die Bank, fiel das Bußgeld geringer aus.

Angeknüpft an den Angemessenheitsbeschluss „EU-U.S. Data Privacy Framework“ hat das britische Parlament am 21.09.2023 einen Beschluss „Data Bridge“ gefasst, der den Transfer personenbezogener Daten britischer Bürger in die USA regelt. Dieser trat am 12.10.2023 in Kraft. Der „Data Bridge“-Beschluss ermöglicht es Unternehmen aus dem Vereinigten Königreich, personenbezogene Daten an U.S.-amerikanische Unternehmen zu übersenden, wenn diese unter dem EU-U.S. Data Privacy Framework registriert sind und auch an der UK-Erweiterung teilnehmen. Britische Unternehmen werden sich daher in Zukunft auf den gleichen Rahmen berufen können wie EU-Unternehmen, wenn sie Daten in die USA übertragen. Sie müssen nur gesondert prüfen, ob die Empfangsunternehmen auch unter der UK-Erweiterung des Rahmens zertifiziert sind.

14.08.2023

Zum 01.09.2023 gilt in der Schweiz ein neues Datenschutzrecht. Dazu wurden das bestehende Datenschutzgesetz und die bestehende Datenschutzverordnung überarbeitet und durch neue, revidierte Gesetze ersetzt. Durch die Überarbeitung dieser Regelungen soll eine Anpassung an das europäische Datenschutzrecht erfolgen.

An der Zulässigkeit der Übermittlung personenbezogener Daten in die Schweiz ändert sich durch das neue Datenschutzrecht nichts. Der bisherige Angemessenheitsbeschluss bleibt auch nach Änderung der Gesetzeslage bestehen und Übermittlungen können auf diesen gestützt werden, ohne dass weitere geeignete Garantien wie Standarddatenschutzklauseln zu ergreifen wären.

Prüfen Sie, inwiefern Sie in der Schweiz tätig sind und in den Anwendungsbereich des schweizer Datenschutzrechts fallen könnten.

2020ff. by ds² Unternehmensberatung GmbH & Co. KG.

14.07.2023

Die EU-Kommission hat am 10.07.2023 im Wege eines Durchführungsrechtsaktes gemäß Art. 45 Abs. 3 DSGVO beschlossen, dass die USA ein mit der EU vergleichbares Datenschutzniveau hat. Ein Angemessenheitsbeschluss ist eines von mehreren in der DSGVO vorgesehenen Instrumenten, das für die Übermittlung von personenbezogenen Daten aus der EU/EWR in ein Drittland ein angemessenes Schutzniveau garantiert. Basierend auf dem neuen Angemessenheitsbeschluss „EU-U.S. Data Privacy Framework“ können ab sofort personenbezogene Daten aus der EU (sowie aus Norwegen, Liechtenstein und Island) an die USA fließen, ohne dass weitere Schutzmaßnahmen, Bedingungen oder Genehmigungen erforderlich sind. Gültig ist der Angemessenheitsbeschluss nur, wenn der Datenempfänger unter dem EU-U.S. Data Privacy Framework zertifiziert ist. Das US-Handelsministerium „U.S. Department of Commerce“ veröffentlicht eine entsprechende Liste (https://www.dataprivacyframework.gov/list) mit deren Hilfe eine Überprüfung der Zertifizierung möglich ist.

Der neue Angemessenheitsbeschluss hat Relevanz für alle Unternehmen, die personenbezogene Daten in die USA übermitteln, bspw. bei der Nutzung von Cloud-Services oder im Rahmen des konzerninternen Datenverkehrs.

Unternehmen, die personenbezogene Daten in die USA übermitteln, sollten ihre Datenflüsse untersuchen und prüfen, ob Ihre US-Datenempfänger auf der Liste des US-Handelsministeriums aufgeführt sind.  

Falls Ihre Datenempfänger nicht auf der Liste des US-Handelsministeriums aufgeführt sind, sollten passende Standarddatenschutzklauseln (SCC) geschlossen werden oder alternative Rechtsgrundlagen in Erwägung gezogen werden (andere geeignete Garantien gem. Art. 46 DSGVO).

Ihr Datenschutzbeauftragter wird Sie hierbei unterstützen!

© 2025 by ds² Unternehmensberatung GmbH & Co. KG.

14.07.2023

Das Europäische Parlament und der Rat haben im Jahr 2019 eine EU-Whistleblower-Richtlinie (EU) 2019/1937 beschlossen, die bis zum 17.12.2021 in nationales Recht umgesetzt werden musste. Das Gesetz für einen besseren Schutz hinweisgebender Personen sowie zur Umsetzung der Richtlinie zum Schutz von Personen, die Verstöße gegen das Unionsrecht melden, wurde letztlich vom Bundestag mit Zustimmung des Bundesrates im Mai 2023 beschlossen. Das Hinweisgeberschutzgesetz (HinSchG) tritt am 2. Juli 2023 in Kraft.

Ein Hinweisgebersystem dient den Mitarbeitenden eines Unternehmens sowie den Geschäftspartnern, Kunden und weiteren Stakeholdern als zentrale Stelle zur Meldung von Fehlverhalten. Damit haben Unternehmen die Möglichkeit auf Missstände schnell zu reagieren und Schäden vom Unternehmen abzuwenden und Unternehmensprozesse zu verbessern.

Das neue Gesetz regelt den Schutz von natürlichen Personen, die im Zusammenhang mit ihrer beruflichen Tätigkeit oder im Vorfeld einer beruflichen Tätigkeit Informationen über Verstöße erlangt haben und diese an die vorgesehenen Meldestellen melden oder offenlegen (hinweisgebende Personen/Hinweisgeber oder engl. „Whistleblower“). Darüber hinaus werden Personen geschützt, die Gegenstand einer Meldung oder Offenlegung sind, sowie sonstige Personen, die von einer Meldung oder Offenlegung betroffen sind.

Unternehmen mit 50 oder mehr Beschäftigten sind dazu verpflichtet, eine interne Meldestelle einzurichten. Dabei gilt diese Verpflichtung für Unternehmen mit mehr als 249 Beschäftigten unmittelbar ab dem 02.07.2023 (wobei die entsprechende Bußgeldvorschrift erst am 01. Dezember 2023 in Kraft tritt); für Unternehmen von 50 bis 249 Beschäftigten gilt eine Übergangsfrist bis zum 17. Dezember 2023.

Bei der Meldung von Verstößen gem. des Hinweisgeberschutzgesetzes werden personenbezogene Daten verarbeitet. Die Datenerhebung umfasst Angaben über die beschuldigte Person, die (angeblichen) Verstöße und die entsprechenden Sachverhalte. Bei nicht anonymen Meldungen kommen personenbezogene Angaben wie Name der meldenden Person, ihre Position im Unternehmen und gegebenenfalls auch die Umstände der Beobachtung der Verstöße in Betracht. Deshalb sind eine Vielzahl datenschutzrechtlicher Maßnahmen zu treffen.

Sprechen Sie uns gerne an!

© 2020ff. by ds² Unternehmensberatung GmbH & Co. KG.

05.07.2023

Der Europäische Datenschutzausschuss (EDSA) hat einen Leitfaden zum Umgang mit der Datenschutzgrundverordnung (DSGVO) für kleine und mittelständische Unternehmen erstellt, in dem auf folgende Themenbereiche eingegangen wird: „Grundlagen des Datenschutzes“, „Compliance im Datenschutz“, „die Rechte des Einzelnen achten“, „Datensicherheit“ sowie „Datenschutzverletzungen“.

In Anlehnung an diesen Leitfaden möchten wir im Folgenden gerne den Themenbereich „Compliance im Datenschutz“ auszugsweise vorstellen.
Die englische Webversion finden Sie unter: https://edpb.europa.eu/sme-data-protection-guide/home_en.

Compliance im Datenschutz

Ihr Unternehmen muss personenbezogene Daten nicht nur im Einklang mit der DSGVO verarbeiten, sondern dies auch nachweisen können. Um diesen Nachweis erbringen zu können, sind u. a. die folgenden Prozesse zu berücksichtigen:

1.    Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen

Als Verantwortlicher müssen Sie sowohl bei der Konzeption einer Verarbeitung als auch zum Zeitpunkt der Verarbeitung geeignete Maßnahmen und Garantien ergreifen, um sicherzustellen, dass die Datenschutzgrundsätze eingehalten werden. Außerdem müssen Sie sicherstellen, dass standardmäßig nur personenbezogene Daten verarbeitet werden, die für den jeweiligen Zweck erforderlich sind (dies gilt für die Menge der Daten, den Umfang der Verarbeitung, die Speicherbegrenzung und die Zugänglichkeit).

Mit anderen Worten: Ein Unternehmen, welches das Prinzip „Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen“ anwendet, ist ein Unternehmen, das den Datenschutz und den Schutz der Privatsphäre natürlicher Personen in jedem Aspekt, in jeder Phase der Verarbeitungsvorgänge, in den verwendeten Tools und in jeder anderen Geschäftsaktivität berücksichtigt und verankert.

Um dies zu erreichen, muss Ihre Organisation vor der Durchführung von Verarbeitungsvorgängen Folgendes berücksichtigen:

• die Art, den Kontext und den Umfang der beabsichtigten Verarbeitung;
• die Risiken, die sich aus den geplanten Verarbeitungsvorgängen oder anderen Geschäftstätigkeiten ergeben;
• die Auswirkungen auf die Rechte und Freiheiten natürlicher Personen;
• die technischen und organisatorischen Maßnahmen, die ergriffen werden sollten, um die festgestellten Risiken zu mindern und dabei einen angemessenen Schutz der personenbezogenen Daten zu gewährleisten;
• die technischen und organisatorischen Maßnahmen oder Verfahren, die zu ergreifen sind, um sicherzustellen, dass die Verarbeitung personenbezogener Daten auf das im Hinblick auf die verfolgten Ziele erforderliche Maß beschränkt wird.

Praxisbeispiele

• Eine Buchhandlung möchte ihre Einnahmen durch den Online-Verkauf von Büchern steigern. Der Inhaber der Buchhandlung möchte auf seiner Webseite ein standardisiertes Formular für den Bestellvorgang einrichten. Zunächst macht der Inhaber alle Felder des Formulars verpflichtend. Allerdings sind nicht alle Felder des Formulars für den Verkauf und die Auslieferung der Bücher erforderlich.
  Bei der Bestellung eines E-Books beispielsweise kann der Kunde das Produkt direkt auf sein Gerät herunterladen. Daher können Felder im Webformular (wie z.B. die Telefonnummer oder Wohnanschrift des Kunden) für die Bestellung von Büchern nicht erforderlich sein. Der Inhaber des Webshops beschließt daher, zwei Webformulare zu erstellen: eines für die Bestellung von Büchern mit einem Feld für die Adresse des Kunden und ein Webformular für die Bestellung von E-Books ohne ein Feld für die Adresse des Kunden. Auf diese Weise stellt er sicher, dass nur die für die Verarbeitung erforderlichen Daten erhoben werden.        
  
• Eine Arztpraxis, in der mehrere Ärzte tätig sind, verarbeitet in ihrer Praxissoftware Daten über ihre Patienten. Die verschiedenen Ärzte müssen z.B. in Vertretungsfällen auf die Patientenakten anderer Ärzte zugreifen, um ihre Entscheidungen über die Betreuung und Behandlung der Patienten zu treffen und um alle Diagnosen sowie Betreuungs- und Behandlungsmaßnahmen zu dokumentieren. Die datenschutzfreundliche Voreinstellung ist, dass im Normalfall nur ein Arzt Zugriff auf die Patientenakte hat. Nur für den Vertretungsfall werden die Zugriffsrechte erweitert.

Es ist sinnvoll, Aufzeichnungen über entsprechende Maßnahmen zu führen, um nachweisen zu können, dass Sie die Grundsätze des Datenschutzes durch Technikgestaltung und datenschutzfreundliche Voreinstellungen einhalten. Ein zugelassener Zertifizierungsmechanismus kann ebenfalls als ein Element zum Nachweis der Einhaltung des Datenschutzes durch Technikgestaltung und datenschutzfreundliche Voreinstellungen verwendet werden.

2.    Verzeichnis von Verarbeitungstätigkeiten

Als Unternehmen haben Sie die Pflicht ein Verzeichnis von Verarbeitungstätigkeiten zu führen. Diese Aufzeichnungen sollten schriftlich (was auch in elektronischer Form möglich ist) geführt werden.

Das Verzeichnis gibt Ihnen einen Überblick über Ihre Verarbeitungstätigkeiten. Um dieses zu erstellen, sollten Sie ermitteln, für welche Ihrer Tätigkeiten eine Verarbeitung personenbezogener Daten erfolgt (z.B. bei der Einstellung von Mitarbeitern, Lohn- und Gehaltsabrechnung, Schulung, Ausweis- und Zugangsverwaltung, Interessentenliste usw.). Jede dieser Datenverarbeitungen muss in dem Verzeichnis mit den folgenden Mindestinformationen beschrieben werden:

• der Zweck der Verarbeitung (z. B. Kundenbindung);
• die Kategorien der verarbeiteten Daten (z.B. für die Gehaltsabrechnung: Name, Vorname, Geburtsdatum, Gehalt usw.);
• die Empfänger (z.B.: die für die Einstellung zuständige Abteilung, der IT-Dienst, die Geschäftsleitung, die Dienstleister, die Partner, Behörden usw.);
• gegebenenfalls Informationen über die Übermittlung personenbezogener Daten in Länder außerhalb des Europäischen Wirtschaftsraums (EWR);
• wenn möglich, die Aufbewahrungsfrist (der Zeitraum, in dem die Daten aus betrieblicher Sicht und aus Sicht der Archivierung notwendig sind);
• wenn möglich, eine allgemeine Beschreibung der Sicherheitsmaßnahmen.

Dieses Verzeichnis muss der Aufsichtsbehörde auf Anfrage zur Verfügung gestellt werden.

Organisationen, die weniger als 250 Personen beschäftigen, müssen in ihrem Verzeichnis keine rein gelegentlichen Tätigkeiten aufführen (z. B. Daten, die für einmalige Ereignisse wie die Eröffnung eines Geschäfts verarbeitet werden).

3.    Datenschutzfolgenabschätzung

Wenn eine Verarbeitung wahrscheinlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen mit sich bringt, muss der für die Verarbeitung Verantwortliche eine Datenschutzfolgenabschätzung (DSFA) durchführen. Eine DSFA ist eine schriftliche Bewertung eines geplanten Verarbeitungsvorgangs. Sie hilft Ihnen dabei, die geeigneten Schutzmaßnahmen zur Risikominderung zu ermitteln und die Einhaltung der Vorschriften nachzuweisen.

Wie führt man eine Datenschutzfolgenabschätzung (DSFA) durch?

Es ist zwar besser, die Auswirkungen sämtlicher geplanter Verarbeitungsvorgänge durch eine DSFA zu ermitteln, eine Verpflichtung zur Durchführung besteht allerdings nur, wenn die Verarbeitung wahrscheinlich zu einem hohen Risiko für die Rechte und Freiheiten natürlicher Personen führt.

Dies ist vor allem dann der Fall, wenn die geplante Verarbeitung Folgendes beinhaltet:

• die Verarbeitung - in großem Umfang - von sensiblen personenbezogenen Daten und Daten über strafrechtliche Verurteilungen;
• eine systematische und umfassende Bewertung der persönlichen Aspekte einer Person, die auf einer automatisierten Verarbeitung, einschließlich Profiling, beruht und auf Entscheidungen beruhen, die rechtliche Auswirkungen auf die betreffende Person haben oder Personen in ähnlicher Weise erheblich beeinträchtigen;
• die systematische Überwachung eines öffentlich zugänglichen Bereichs in großem Umfang.

In den meisten Fällen sollten Verarbeitungen, die zwei der folgenden Kriterien erfüllen, durch eine Datenschutzfolgenabschätzung bewertet werden:

1. Bewertung oder Scoring;
2. automatisierte Entscheidungsfindung mit rechtlichen oder ähnlichen erheblichen Auswirkungen;
3. systematische Überwachung;
4. sensible Daten oder höchstpersönliche Daten;
5. Datenverarbeitung in großem Umfang;
6. Abgleich oder Zusammenführen von Datensätzen;
7. Daten über schutzbedürftige Personen;
8. innovative Nutzung oder Anwendung neuer technischer oder organisatorischer Lösungen;
9. wenn die Verarbeitung an sich Personen daran hindert, ein Recht auszuüben oder eine Dienstleistung oder einen Vertrag zu nutzen.

Beispiele dafür, wann eine Datenschutzfolgenabschätzung erforderlich sein kann, sind:

• die Verarbeitung biometrischer Daten, z. B. Scannen von Fingerabdrücken oder Gesichtsmerkmalen zur Identifizierung von Patienten;
• die Verwendung von Daten schutzbedürftiger Personen für Marketingzwecke, z. B. zur Vorhersage ihrer Käufe;
• mobile Anwendungen, die den Standort einer Person verfolgen.

Beispiele dafür, wann eine Datenschutzfolgenabschätzung nicht erforderlich sein kann:

• die vorgesehene Verarbeitung ist einer anderen Verarbeitung, für die bereits eine DSFA durchgeführt wurde, sehr ähnlich;
• die Verarbeitung ist auf der White-List (erstellt von Ihrer nationalen Datenschutzbehörde) aufgeführt, die alle Verarbeitungsvorgänge auflistet, für die keine DSFA durchgeführt werden müssen;
• die Verarbeitung ist nach EU- oder nationalem Recht zulässig.

Was sollte eine Datenschutzfolgenabschätzung enthalten?

Ihre Datenschutzfolgenabschätzung sollte Folgendes enthalten:

• eine Beschreibung des geplanten Verarbeitungsvorgangs und seines Zwecks;
• eine Bewertung der Notwendigkeit und Verhältnismäßigkeit;
• die Risiken, die der Verarbeitungsvorgang mit sich bringen kann;
• die Maßnahmen zur Minimierung der Risiken.

Vorherige Konsultation während einer DSFA

Wenn der Verantwortliche keine ausreichenden Maßnahmen treffen kann, um die Risiken auf ein akzeptables Niveau zu reduzieren (d. h. die Restrisiken sind immer noch hoch), ist eine Konsultation der Datenschutzbehörde erforderlich. In diesem Fall muss der Verantwortliche die folgenden Informationen bereitstellen:

• die jeweiligen Verantwortlichen, gemeinsamen Verantwortlichen und die Auftragsverarbeiter, die an der Verarbeitung beteiligt sind;
• den Zweck der Verarbeitung und die Art und Weise, wie die Verarbeitung durchgeführt werden soll;
• die Maßnahmen, die zum Schutz der personenbezogenen Daten vorgesehen sind;
• die Kontaktdaten des Datenschutzbeauftragten Ihrer Organisation, falls zutreffend;
• die betreffende Datenschutzfolgenabschätzung.

Nachdem Ihre Datenschutzfolgenabschätzung erstellt ist, müssen Sie sie gegebenenfalls verbessern/anpassen:

• Beschreibung der vorgesehenen Verarbeitung
• Beurteilung von Notwendigkeit und Verhältnismäßigkeit
• Bereits vorgesehene Maßnahmen
• Einschätzung des Risikos für Einzelpersonen
• Maßnahmen zur Bewältigung des identifizierten Restrisikos
• Überwachen und überprüfen

4.    Verhaltenskodex (Code of Conduct)

Es können durch Verbände Verhaltenskodizes einschließlich Datenschutzmechanismen ausgearbeitet werden, an die sich Verantwortliche und Auftragsverarbeiter halten können, um sicherzustellen, dass die personenbezogenen Daten gemäß der DSGVO geschützt werden.

Im Einzelnen sollen diese Verhaltenskodizes zum Beispiel sicherstellen:

• dass personenbezogene Daten auf faire und transparente Weise verarbeitet werden;
• dass die Zwecke, für die personenbezogene Daten verarbeitet werden, rechtmäßig sind;
• wie personenbezogene Daten pseudonymisiert werden können;
• dass den Personen, deren personenbezogene Daten verarbeitet werden, transparente Informationen zur Verfügung gestellt werden;
• dass die Zustimmung zur Verarbeitung personenbezogener Daten, insbesondere der Daten von Kindern, in angemessener Weise eingeholt wird;
• dass alle technischen und organisatorischen Maßnahmen getroffen werden, um die sichere Verarbeitung der Daten von Personen zu gewährleisten;
• dass die Verfahren für die Meldung von Verletzungen des Schutzes personenbezogener Daten eingehalten werden;
• dass die Verfahren, einschließlich der Sicherheitsvorkehrungen, für die Übermittlung personenbezogener Daten an Nicht-EWR-Länder und -Organisationen eingehalten werden;
• dass die Verfahren für Gerichtsverfahren und Streitbeilegung befolgt werden.

5.    Zertifizierung

Eine Organisation, die eine datenschutzspezifische Zertifizierung erhält, kann mit dieser Zertifizierung nachweisen, dass die DSGVO bei ihren Verarbeitungsvorgängen eingehalten wird.

Die Aufsichtsbehörden können zum Beispiel:

• Zertifizierungen in Bezug auf ihr eigenes Zertifizierungssystem ausstellen;
• selbst Zertifizierungen in Bezug auf ihr eigenes Zertifizierungssystem ausstellen, aber den gesamten oder einen Teil des Bewertungsprozesses an Dritte delegieren;
• ein eigenes Zertifizierungssystem schaffen und bestimmte Stellen mit der Ausstellung dieser Zertifizierungen beauftragen;
• den Markt ermutigen, Zertifizierungsmechanismen zu entwickeln;
• die Zertifizierungssysteme der Zertifizierungsstellen bewerten.

Eine Zertifizierungsstelle hat die Aufgabe, auf der Grundlage eines Zertifizierungsverfahrens und genehmigter Kriterien, Zertifizierungen zu erteilen, zu überprüfen und zu entziehen.

Die Zertifizierungsstellen müssen die Bewertung der Verarbeitungsvorgänge Ihrer Organisation, für die eine datenschutzspezifische Zertifizierung ausgestellt werden kann, dokumentieren.

Meine Organisation hat eine DSGVO-Zertifizierung erhalten, wie geht es nun weiter?

Die Zertifizierung eines Verarbeitungsvorgangs, den Ihre Organisation durchführt, ist maximal drei Jahre lang gültig, kann aber verlängert oder widerrufen werden. Um die Zertifizierung aufrechtzuerhalten, muss Ihre Organisation die Maßnahmen rund um den zertifizierten Verarbeitungsvorgang kontinuierlich und konsequent umsetzen.

2020ff. by ds² Unternehmensberatung GmbH & Co. KG.

05.06.2023

Im Urteil C-300/21 wurden dem EuGH die Fragen vorgelegt, ob ein
bloßer Verstoß gegen die DSGVO ausreicht, um einen Schadenersatzanspruch zu begründen und ob ein dadurch entstandener immaterieller Schaden einen bestimmten Grad an Erheblichkeit erreichen muss. Des Weiteren sollte geklärt werden, welche unionsrechtlichen Vorgaben für die Festsetzung der Höhe des Schadenersatzes bestehen.
Der EuGH urteilte, dass für einen Schadenersatzanspruch drei kumulative Voraussetzungen vorliegen müssen:

1. Ein Verstoß gegen die DSGVO
2. Ein materieller oder immaterieller Schaden aus dem Verstoß
3. Einen Kausalzusammenhang zwischen dem Schaden und dem Verstoß
   Der EuGH kommt damit also zu dem Ergebnis, dass allein ein Verstoß gegen Vorschriften der DSGVO noch keinen Schadensersatzanspruch begründet. Es muss durch diesen Verstoß auch zu einem materiellen oder immateriellen Schaden für die betroffenen Person gekommen sein. Das ein solcher Schaden vorliegt, ist durch die betroffene Person nachzuweisen.
   Es ist für das Vorliegen eines Schadensersatzanspruches aber nicht notwendig, dass ein Schaden erheblich ist. Es genügt bereits, dass überhaupt ein Schaden vorliegt.
   Für die Bestimmung der Höhe des Schadensersatzes sind die einzelnen Mitgliedstaaten zuständig. Sie müssen Kriterien für die Ermittlung des Umfangs des Schadensersatzes festlegen.