EuGH Urteil vom 05.12.2023

Um beurteilen zu können, ob die juristische Person „Deutsche Wohnen SE“ ein Bußgeld in Höhe von 14 Mio. EUR zahlen muss, hat sich das Kammergericht Berlin im Rahmen eines Vorabentscheidungsersuchens mit zwei Fragen an den EuGH gewandt. Die Deutsche Wohnen SE hatte trotz mehrfacher Aufforderung einer Aufsichtsbehörde die entsprechenden Mieterdaten nicht gelöscht. Gemäß Art. 83 Abs. 2 lit. b DSGVO soll bei der Verhängung von Bußgeldern unter anderem der Aspekt des Vorsatzes bzw. der Fahrlässigkeit berücksichtigt werden. Fraglich war zum einen, ob ein Bußgeld auch verhängt werden darf, wenn trotz des Fehlens von Vorsatz/Fahrlässigkeit andere Voraussetzungen des Art. 83 Abs. 2 DSGVO vorliegen, was der EuGH mit dem Urteil vom 05.12.2023 (C-807/21) verneinte. Es muss ein schuldhafter Verstoß vorliegen, damit eine Geldbuße von der Aufsichtsbehörde verhängt werden darf.           
Zum anderen war fraglich, ob für die Sanktionierung einer juristischen Person der Umweg über das Gesetz über Ordnungswidrigkeiten (OWig) gegangen werden muss oder ob diese auch direkt über die DSGVO sanktioniert werden können. Gemäß Art. 4 Nr. 7 DSGVO können sowohl natürliche als auch juristische Personen Verantwortliche im datenschutzrechtlichen Sinne sein. Entsprechend sind in Bezug auf Art. 83 Abs. 3 DSGVO bei „Verstößen von Verantwortlichen“ auch die Verstöße von juristischen Personen mitinbegriffen. Der Verantwortliche, der eine juristische Personen sein kann, kann demnach nicht nur für Verstöße von Unternehmensvertretern, Leitungspersonal, Geschäftsführern und Auftragsverarbeitern sondern auch direkt für Verstöße von jedem Mitarbeiter sanktioniert werden. Es kommt bei der Verhängung von Bußgeldern nicht darauf an, dass Leitungspersonal von entsprechenden Verstößen Kenntnis hatte.

Unzulässige Verarbeitung sensibler Daten im Beschäftigungsverhältnis
Die Berliner Beauftragte für Datenschutz verhängte gegen den Wohnungskonzern Deutsche Wohnen vier Bußgelder in der Höhe von insgesamt 215.000 €.
Das Unternehmen hatte eine tabellarische Übersicht über alle Mitarbeiter in der Probezeit erstellt. Darunter befand sich auch eine Spalte mit dem Kriterium „Mögliche Weiterbeschäftigung“. Dort konnte von mehreren Personen eine Eintragung vorgenommen werden; u.a. wurde dort offen „kritisch“ oder „sehr kritisch“ eingetragen. Zur Begründung wurde dabei beispielsweise die Inanspruchnahme einer Psychotherapie oder das Interesse an der Gründung eines Betriebsrates angeführt. Solche Informationen sind zur Beurteilung einer Weiterbeschäftigung unzulässig. Lediglich das Verhalten und die Leistung der Mitarbeiter, welche unmittelbar mit dem Beschäftigungsverhältnis zusammenhängen, dürfen als Kriterien herangezogen werden. Ein Bußgeld gab es zudem für die mangelhafte Beteiligung des Datenschutzbeauftragten bei der Erstellung einer solchen Liste und die fehlende Eintragung dieser Verarbeitung in das Verzeichnis von Verarbeitungstätigkeiten sowie für eine verspätete Meldung einer Datenschutzverletzung.

Unzureichende Anonymisierung
In Italien wurde ein Bußgeld in Höhe von 18.000 € verhängt, weil der Veranstalter einer medizinischen Fortbildung Unterlagen mit personenbezogenen Daten der betroffenen Person und ihres verstorbenen Sohnes ohne ausreichende Anonymisierung an die Teilnehmer weitergeleitet hatte. Einige Dokumente wurden später von Dritten im Internet veröffentlicht.

Weitergabe von Daten an Ehefrau
In Griechenland wurde ein Bußgeld in Höhe von 60.000 € an eine Bank verhängt, weil diese Daten über mittels der Kreditkarte getätigte Transaktionen eines Kunden an dessen Ehefrau weitergegeben hatte. Die Ehefrau ist ebenfalls Kunde der Bank; es lag jedoch keine Einwilligung für die Weitergabe der Daten an die Ehefrau vor. Die Datenschutzverletzung wurde von der Bank unzureichend intern untersucht und gemeldet.

Offenlegung von E-Mails
Das Verteidigungsministerium des Vereinigten Königreichs erhielt ein Bußgeld i.H.v. 407.190 € für die Offenlegung von E-Mails.
Die Abteilung für die Umsiedlung von afghanischen Ortskräften des britischen Militärs sendete eine E-Mail an 265 afghanische Staatsangehörige, die für eine Ausreise aus Afghanistan in Frage kamen. Bei der Versendung der E-Mails wurde nicht die BCC-Funktion verwendet, sodass alle Empfänger offengelegt wurden. In 55 Fällen waren auch Portraits als Thumbnails (verkleinertes Vorschaubild) sichtbar. Diese Datenschutzverletzung kann lebensgefährliche Folgen für die Ortskräfte haben, sollten bspw. die Taliban die E-Mail sehen.
Während ihrer Untersuchung stellte die britische ICO fest, dass es zu zwei weiteren solcher Datenpannen kam, wobei im ersten Fall 13 und im zweiten Fall 55 E-Mail-Adressen offengelegt wurden. Insgesamt sind 265 Personen betroffen.
Das ursprünglich angesetzte Bußgeld von 1 Mio. Pfund (ca. 1 Mio EUR) wurde aufgrund der ergriffenen Maßnahmen reduziert. Auch die Berücksichtigung der besonderen Herausforderungen, unter denen die betroffene Abteilung des Verteidigungsministeriums arbeitet, hat zur Reduzierung des Bußgeldes beigetragen.

23.10.2023

Das weitverbreitete Betriebssystem Windows sendet in den Grundeinstellungen diverse Daten über die Benutzer und die genutzten Geräte an den Hersteller Microsoft.

Bei der Übermittlung von Telemetriedaten handelt es sich um eine eigene Verarbeitung personenbezogener Daten, für die eine Rechtsgrundlage erforderlich ist und bei der die Grundsätze des Datenschutzes („privacy-by-design“, „privacy-by-default“, Informationspflichten etc.) einzuhalten sind. Das Abstellen der Übermittlung und der damit einhergehenden Vereinfachungen hinsichtlich des Datenschutzes kann daher von großem Interesse sein. Zumal die Erfüllung der Rechenschaftspflicht recht anspruchsvoll werden kann.

Um die Übermittlung von Telemetriedaten durch geeignete Einstellungen größtmöglich zu unterbinden, hat der Bayerische Landesbeauftragte für den Datenschutz eine mit Screenshots angereicherte Handreichung herausgegeben:

https://www.datenschutz-bayern.de/datenschutzreform2018/aki50.pdf

Wir empfehlen, möglichst weitgehende Einschränkungen bezüglich der Telemetriedaten umzusetzen und die Handreichung als sinnvolle Hilfe zu nutzen.

21.08.2023

Wie wird meine Website genutzt? Werden bestimmte Inhalte überhaupt vom Nutzer wahrgenommen? Wie lange bleibt der Nutzer auf meiner Website? Für die Beantwortung dieser und anderer Fragen können Websitebetreiber verschiedene Tools, darunter auch Google Analytics, einsetzen. Der Betreiber kann mit Hilfe des Google Analyse-Tools vorab die gewünschten Einstellungen zur Erhebung der Daten konfigurieren. Anschließend kann er die Nutzerdaten nach bestimmten Parametern auswerten.        

Seit dem 01.07.2023 löst „Google Analytics 4“ (GA4) das alte Webanalyse-Tool „Universal Analytics“ (GA3) ab. Am 01.01.2024 läuft die Übergangsfrist aus, in der Sie weiterhin auf alte Daten zugreifen können.

Mit dem Nachfolger GA4 stellt Google wesentliche Verbesserungen im Bereich des Datenschutzes in Aussicht:

- Anonymisierung: Die IP-Adressen der Website-Nutzer werden nur noch für die Geo-Lokalisierung genutzt und anschließend anonymisiert.

- Google Signal: Die Zuordnung der erhobenen Daten zu einem Google-Konto kann unterbunden werden indem Google Signals deaktiviert wird.

- Datenverarbeitung: Die Daten von Betroffenen mit Endgeräten in der EU werden fortan auf innereuropäischen Servern verarbeitet und gespeichert.

- Geo- und Gerätedaten: GA4 ermöglicht es vorab die Einstellungen bezüglich der Genauigkeit von Geo- und Gerätedaten zu konfigurieren.

Diese Verbesserungen reichen allerdings nicht aus, um DSGVO-konform zu sein. Eine Anonymisierung der Daten, wie es Google Analytics 4 vorsieht, ist nach der Lokalisierung zu spät. Und auch obwohl die Daten nun auf Servern in Europa verarbeitet werden, verhindert dies den Zugriff der US-Behörden nicht gänzlich.

Desweiteren sind datenschutzkonforme Einwilligungen von Nutzern einzuholen, da Google Analytics standardmmäßig Cookies für das Tracking nutzt sowie KI einsetzt um nutzertypisches Verhalten zu erkennen und zusammenzuführen. Daneben sind weitere Maßnahmen durchzuführen damit Ihr Unternehmen Google Analtyics 4 datenschutzkonform nutzen kann.

ds² hilft Ihnen bei diesem Thema gerne weiter!

2020ff. by ds² Unternehmensberatung GmbH & Co. KG.

14.08.2023

Zum 01.09.2023 gilt in der Schweiz ein neues Datenschutzrecht. Dazu wurden das bestehende Datenschutzgesetz und die bestehende Datenschutzverordnung überarbeitet und durch neue, revidierte Gesetze ersetzt. Durch die Überarbeitung dieser Regelungen soll eine Anpassung an das europäische Datenschutzrecht erfolgen.

An der Zulässigkeit der Übermittlung personenbezogener Daten in die Schweiz ändert sich durch das neue Datenschutzrecht nichts. Der bisherige Angemessenheitsbeschluss bleibt auch nach Änderung der Gesetzeslage bestehen und Übermittlungen können auf diesen gestützt werden, ohne dass weitere geeignete Garantien wie Standarddatenschutzklauseln zu ergreifen wären.

Prüfen Sie, inwiefern Sie in der Schweiz tätig sind und in den Anwendungsbereich des schweizer Datenschutzrechts fallen könnten.

2020ff. by ds² Unternehmensberatung GmbH & Co. KG.

14.07.2023

Die EU-Kommission hat am 10.07.2023 im Wege eines Durchführungsrechtsaktes gemäß Art. 45 Abs. 3 DSGVO beschlossen, dass die USA ein mit der EU vergleichbares Datenschutzniveau hat. Ein Angemessenheitsbeschluss ist eines von mehreren in der DSGVO vorgesehenen Instrumenten, das für die Übermittlung von personenbezogenen Daten aus der EU/EWR in ein Drittland ein angemessenes Schutzniveau garantiert. Basierend auf dem neuen Angemessenheitsbeschluss „EU-U.S. Data Privacy Framework“ können ab sofort personenbezogene Daten aus der EU (sowie aus Norwegen, Liechtenstein und Island) an die USA fließen, ohne dass weitere Schutzmaßnahmen, Bedingungen oder Genehmigungen erforderlich sind. Gültig ist der Angemessenheitsbeschluss nur, wenn der Datenempfänger unter dem EU-U.S. Data Privacy Framework zertifiziert ist. Das US-Handelsministerium „U.S. Department of Commerce“ veröffentlicht eine entsprechende Liste (https://www.privacyshield.gov/list) mit deren Hilfe eine Überprüfung der Zertifizierung möglich ist.

Der neue Angemessenheitsbeschluss hat Relevanz für alle Unternehmen, die personenbezogene Daten in die USA übermitteln, bspw. bei der Nutzung von Cloud-Services oder im Rahmen des konzerninternen Datenverkehrs.

Unternehmen, die personenbezogene Daten in die USA übermitteln, sollten ihre Datenflüsse untersuchen und prüfen, ob Ihre US-Datenempfänger auf der Liste des US-Handelsministeriums aufgeführt sind.  

Falls Ihre Datenempfänger nicht auf der Liste des US-Handelsministeriums aufgeführt sind, sollten passende Standarddatenschutzklauseln (SCC) geschlossen werden oder alternative Rechtsgrundlagen in Erwägung gezogen werden (andere geeignete Garantien gem. Art. 46 DSGVO).

Ihr Datenschutzbeauftragter wird Sie hierbei unterstützen!

© 2020ff. by ds² Unternehmensberatung GmbH & Co. KG.

14.07.2023

Das Europäische Parlament und der Rat haben im Jahr 2019 eine EU-Whistleblower-Richtlinie (EU) 2019/1937 beschlossen, die bis zum 17.12.2021 in nationales Recht umgesetzt werden musste. Das Gesetz für einen besseren Schutz hinweisgebender Personen sowie zur Umsetzung der Richtlinie zum Schutz von Personen, die Verstöße gegen das Unionsrecht melden, wurde letztlich vom Bundestag mit Zustimmung des Bundesrates im Mai 2023 beschlossen. Das Hinweisgeberschutzgesetz (HinSchG) tritt am 2. Juli 2023 in Kraft.

Ein Hinweisgebersystem dient den Mitarbeitenden eines Unternehmens sowie den Geschäftspartnern, Kunden und weiteren Stakeholdern als zentrale Stelle zur Meldung von Fehlverhalten. Damit haben Unternehmen die Möglichkeit auf Missstände schnell zu reagieren und Schäden vom Unternehmen abzuwenden und Unternehmensprozesse zu verbessern.

Das neue Gesetz regelt den Schutz von natürlichen Personen, die im Zusammenhang mit ihrer beruflichen Tätigkeit oder im Vorfeld einer beruflichen Tätigkeit Informationen über Verstöße erlangt haben und diese an die vorgesehenen Meldestellen melden oder offenlegen (hinweisgebende Personen/Hinweisgeber oder engl. „Whistleblower“). Darüber hinaus werden Personen geschützt, die Gegenstand einer Meldung oder Offenlegung sind, sowie sonstige Personen, die von einer Meldung oder Offenlegung betroffen sind.

Unternehmen mit 50 oder mehr Beschäftigten sind dazu verpflichtet, eine interne Meldestelle einzurichten. Dabei gilt diese Verpflichtung für Unternehmen mit mehr als 249 Beschäftigten unmittelbar ab dem 02.07.2023 (wobei die entsprechende Bußgeldvorschrift erst am 01. Dezember 2023 in Kraft tritt); für Unternehmen von 50 bis 249 Beschäftigten gilt eine Übergangsfrist bis zum 17. Dezember 2023.

Bei der Meldung von Verstößen gem. des Hinweisgeberschutzgesetzes werden personenbezogene Daten verarbeitet. Die Datenerhebung umfasst Angaben über die beschuldigte Person, die (angeblichen) Verstöße und die entsprechenden Sachverhalte. Bei nicht anonymen Meldungen kommen personenbezogene Angaben wie Name der meldenden Person, ihre Position im Unternehmen und gegebenenfalls auch die Umstände der Beobachtung der Verstöße in Betracht. Deshalb sind eine Vielzahl datenschutzrechtlicher Maßnahmen zu treffen.

Sprechen Sie uns gerne an!

© 2020ff. by ds² Unternehmensberatung GmbH & Co. KG.

05.07.2023

Der Europäische Datenschutzausschuss (EDSA) hat einen Leitfaden zum Umgang mit der Datenschutzgrundverordnung (DSGVO) für kleine und mittelständische Unternehmen erstellt, in dem auf folgende Themenbereiche eingegangen wird: „Grundlagen des Datenschutzes“, „Compliance im Datenschutz“, „die Rechte des Einzelnen achten“, „Datensicherheit“ sowie „Datenschutzverletzungen“.

In Anlehnung an diesen Leitfaden möchten wir im Folgenden gerne den Themenbereich „Compliance im Datenschutz“ auszugsweise vorstellen.
Die englische Webversion finden Sie unter: https://edpb.europa.eu/sme-data-protection-guide/home_en.

Compliance im Datenschutz

Ihr Unternehmen muss personenbezogene Daten nicht nur im Einklang mit der DSGVO verarbeiten, sondern dies auch nachweisen können. Um diesen Nachweis erbringen zu können, sind u. a. die folgenden Prozesse zu berücksichtigen:

1.    Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen

Als Verantwortlicher müssen Sie sowohl bei der Konzeption einer Verarbeitung als auch zum Zeitpunkt der Verarbeitung geeignete Maßnahmen und Garantien ergreifen, um sicherzustellen, dass die Datenschutzgrundsätze eingehalten werden. Außerdem müssen Sie sicherstellen, dass standardmäßig nur personenbezogene Daten verarbeitet werden, die für den jeweiligen Zweck erforderlich sind (dies gilt für die Menge der Daten, den Umfang der Verarbeitung, die Speicherbegrenzung und die Zugänglichkeit).

Mit anderen Worten: Ein Unternehmen, welches das Prinzip „Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen“ anwendet, ist ein Unternehmen, das den Datenschutz und den Schutz der Privatsphäre natürlicher Personen in jedem Aspekt, in jeder Phase der Verarbeitungsvorgänge, in den verwendeten Tools und in jeder anderen Geschäftsaktivität berücksichtigt und verankert.

Um dies zu erreichen, muss Ihre Organisation vor der Durchführung von Verarbeitungsvorgängen Folgendes berücksichtigen:

• die Art, den Kontext und den Umfang der beabsichtigten Verarbeitung;
• die Risiken, die sich aus den geplanten Verarbeitungsvorgängen oder anderen Geschäftstätigkeiten ergeben;
• die Auswirkungen auf die Rechte und Freiheiten natürlicher Personen;
• die technischen und organisatorischen Maßnahmen, die ergriffen werden sollten, um die festgestellten Risiken zu mindern und dabei einen angemessenen Schutz der personenbezogenen Daten zu gewährleisten;
• die technischen und organisatorischen Maßnahmen oder Verfahren, die zu ergreifen sind, um sicherzustellen, dass die Verarbeitung personenbezogener Daten auf das im Hinblick auf die verfolgten Ziele erforderliche Maß beschränkt wird.

Praxisbeispiele

• Eine Buchhandlung möchte ihre Einnahmen durch den Online-Verkauf von Büchern steigern. Der Inhaber der Buchhandlung möchte auf seiner Webseite ein standardisiertes Formular für den Bestellvorgang einrichten. Zunächst macht der Inhaber alle Felder des Formulars verpflichtend. Allerdings sind nicht alle Felder des Formulars für den Verkauf und die Auslieferung der Bücher erforderlich.
  Bei der Bestellung eines E-Books beispielsweise kann der Kunde das Produkt direkt auf sein Gerät herunterladen. Daher können Felder im Webformular (wie z.B. die Telefonnummer oder Wohnanschrift des Kunden) für die Bestellung von Büchern nicht erforderlich sein. Der Inhaber des Webshops beschließt daher, zwei Webformulare zu erstellen: eines für die Bestellung von Büchern mit einem Feld für die Adresse des Kunden und ein Webformular für die Bestellung von E-Books ohne ein Feld für die Adresse des Kunden. Auf diese Weise stellt er sicher, dass nur die für die Verarbeitung erforderlichen Daten erhoben werden.        
  
• Eine Arztpraxis, in der mehrere Ärzte tätig sind, verarbeitet in ihrer Praxissoftware Daten über ihre Patienten. Die verschiedenen Ärzte müssen z.B. in Vertretungsfällen auf die Patientenakten anderer Ärzte zugreifen, um ihre Entscheidungen über die Betreuung und Behandlung der Patienten zu treffen und um alle Diagnosen sowie Betreuungs- und Behandlungsmaßnahmen zu dokumentieren. Die datenschutzfreundliche Voreinstellung ist, dass im Normalfall nur ein Arzt Zugriff auf die Patientenakte hat. Nur für den Vertretungsfall werden die Zugriffsrechte erweitert.

Es ist sinnvoll, Aufzeichnungen über entsprechende Maßnahmen zu führen, um nachweisen zu können, dass Sie die Grundsätze des Datenschutzes durch Technikgestaltung und datenschutzfreundliche Voreinstellungen einhalten. Ein zugelassener Zertifizierungsmechanismus kann ebenfalls als ein Element zum Nachweis der Einhaltung des Datenschutzes durch Technikgestaltung und datenschutzfreundliche Voreinstellungen verwendet werden.

2.    Verzeichnis von Verarbeitungstätigkeiten

Als Unternehmen haben Sie die Pflicht ein Verzeichnis von Verarbeitungstätigkeiten zu führen. Diese Aufzeichnungen sollten schriftlich (was auch in elektronischer Form möglich ist) geführt werden.

Das Verzeichnis gibt Ihnen einen Überblick über Ihre Verarbeitungstätigkeiten. Um dieses zu erstellen, sollten Sie ermitteln, für welche Ihrer Tätigkeiten eine Verarbeitung personenbezogener Daten erfolgt (z.B. bei der Einstellung von Mitarbeitern, Lohn- und Gehaltsabrechnung, Schulung, Ausweis- und Zugangsverwaltung, Interessentenliste usw.). Jede dieser Datenverarbeitungen muss in dem Verzeichnis mit den folgenden Mindestinformationen beschrieben werden:

• der Zweck der Verarbeitung (z. B. Kundenbindung);
• die Kategorien der verarbeiteten Daten (z.B. für die Gehaltsabrechnung: Name, Vorname, Geburtsdatum, Gehalt usw.);
• die Empfänger (z.B.: die für die Einstellung zuständige Abteilung, der IT-Dienst, die Geschäftsleitung, die Dienstleister, die Partner, Behörden usw.);
• gegebenenfalls Informationen über die Übermittlung personenbezogener Daten in Länder außerhalb des Europäischen Wirtschaftsraums (EWR);
• wenn möglich, die Aufbewahrungsfrist (der Zeitraum, in dem die Daten aus betrieblicher Sicht und aus Sicht der Archivierung notwendig sind);
• wenn möglich, eine allgemeine Beschreibung der Sicherheitsmaßnahmen.

Dieses Verzeichnis muss der Aufsichtsbehörde auf Anfrage zur Verfügung gestellt werden.

Organisationen, die weniger als 250 Personen beschäftigen, müssen in ihrem Verzeichnis keine rein gelegentlichen Tätigkeiten aufführen (z. B. Daten, die für einmalige Ereignisse wie die Eröffnung eines Geschäfts verarbeitet werden).

3.    Datenschutzfolgenabschätzung

Wenn eine Verarbeitung wahrscheinlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen mit sich bringt, muss der für die Verarbeitung Verantwortliche eine Datenschutzfolgenabschätzung (DSFA) durchführen. Eine DSFA ist eine schriftliche Bewertung eines geplanten Verarbeitungsvorgangs. Sie hilft Ihnen dabei, die geeigneten Schutzmaßnahmen zur Risikominderung zu ermitteln und die Einhaltung der Vorschriften nachzuweisen.

Wie führt man eine Datenschutzfolgenabschätzung (DSFA) durch?

Es ist zwar besser, die Auswirkungen sämtlicher geplanter Verarbeitungsvorgänge durch eine DSFA zu ermitteln, eine Verpflichtung zur Durchführung besteht allerdings nur, wenn die Verarbeitung wahrscheinlich zu einem hohen Risiko für die Rechte und Freiheiten natürlicher Personen führt.

Dies ist vor allem dann der Fall, wenn die geplante Verarbeitung Folgendes beinhaltet:

• die Verarbeitung - in großem Umfang - von sensiblen personenbezogenen Daten und Daten über strafrechtliche Verurteilungen;
• eine systematische und umfassende Bewertung der persönlichen Aspekte einer Person, die auf einer automatisierten Verarbeitung, einschließlich Profiling, beruht und auf Entscheidungen beruhen, die rechtliche Auswirkungen auf die betreffende Person haben oder Personen in ähnlicher Weise erheblich beeinträchtigen;
• die systematische Überwachung eines öffentlich zugänglichen Bereichs in großem Umfang.

In den meisten Fällen sollten Verarbeitungen, die zwei der folgenden Kriterien erfüllen, durch eine Datenschutzfolgenabschätzung bewertet werden:

1. Bewertung oder Scoring;
2. automatisierte Entscheidungsfindung mit rechtlichen oder ähnlichen erheblichen Auswirkungen;
3. systematische Überwachung;
4. sensible Daten oder höchstpersönliche Daten;
5. Datenverarbeitung in großem Umfang;
6. Abgleich oder Zusammenführen von Datensätzen;
7. Daten über schutzbedürftige Personen;
8. innovative Nutzung oder Anwendung neuer technischer oder organisatorischer Lösungen;
9. wenn die Verarbeitung an sich Personen daran hindert, ein Recht auszuüben oder eine Dienstleistung oder einen Vertrag zu nutzen.

Beispiele dafür, wann eine Datenschutzfolgenabschätzung erforderlich sein kann, sind:

• die Verarbeitung biometrischer Daten, z. B. Scannen von Fingerabdrücken oder Gesichtsmerkmalen zur Identifizierung von Patienten;
• die Verwendung von Daten schutzbedürftiger Personen für Marketingzwecke, z. B. zur Vorhersage ihrer Käufe;
• mobile Anwendungen, die den Standort einer Person verfolgen.

Beispiele dafür, wann eine Datenschutzfolgenabschätzung nicht erforderlich sein kann:

• die vorgesehene Verarbeitung ist einer anderen Verarbeitung, für die bereits eine DSFA durchgeführt wurde, sehr ähnlich;
• die Verarbeitung ist auf der White-List (erstellt von Ihrer nationalen Datenschutzbehörde) aufgeführt, die alle Verarbeitungsvorgänge auflistet, für die keine DSFA durchgeführt werden müssen;
• die Verarbeitung ist nach EU- oder nationalem Recht zulässig.

Was sollte eine Datenschutzfolgenabschätzung enthalten?

Ihre Datenschutzfolgenabschätzung sollte Folgendes enthalten:

• eine Beschreibung des geplanten Verarbeitungsvorgangs und seines Zwecks;
• eine Bewertung der Notwendigkeit und Verhältnismäßigkeit;
• die Risiken, die der Verarbeitungsvorgang mit sich bringen kann;
• die Maßnahmen zur Minimierung der Risiken.

Vorherige Konsultation während einer DSFA

Wenn der Verantwortliche keine ausreichenden Maßnahmen treffen kann, um die Risiken auf ein akzeptables Niveau zu reduzieren (d. h. die Restrisiken sind immer noch hoch), ist eine Konsultation der Datenschutzbehörde erforderlich. In diesem Fall muss der Verantwortliche die folgenden Informationen bereitstellen:

• die jeweiligen Verantwortlichen, gemeinsamen Verantwortlichen und die Auftragsverarbeiter, die an der Verarbeitung beteiligt sind;
• den Zweck der Verarbeitung und die Art und Weise, wie die Verarbeitung durchgeführt werden soll;
• die Maßnahmen, die zum Schutz der personenbezogenen Daten vorgesehen sind;
• die Kontaktdaten des Datenschutzbeauftragten Ihrer Organisation, falls zutreffend;
• die betreffende Datenschutzfolgenabschätzung.

Nachdem Ihre Datenschutzfolgenabschätzung erstellt ist, müssen Sie sie gegebenenfalls verbessern/anpassen:

• Beschreibung der vorgesehenen Verarbeitung
• Beurteilung von Notwendigkeit und Verhältnismäßigkeit
• Bereits vorgesehene Maßnahmen
• Einschätzung des Risikos für Einzelpersonen
• Maßnahmen zur Bewältigung des identifizierten Restrisikos
• Überwachen und überprüfen

4.    Verhaltenskodex (Code of Conduct)

Es können durch Verbände Verhaltenskodizes einschließlich Datenschutzmechanismen ausgearbeitet werden, an die sich Verantwortliche und Auftragsverarbeiter halten können, um sicherzustellen, dass die personenbezogenen Daten gemäß der DSGVO geschützt werden.

Im Einzelnen sollen diese Verhaltenskodizes zum Beispiel sicherstellen:

• dass personenbezogene Daten auf faire und transparente Weise verarbeitet werden;
• dass die Zwecke, für die personenbezogene Daten verarbeitet werden, rechtmäßig sind;
• wie personenbezogene Daten pseudonymisiert werden können;
• dass den Personen, deren personenbezogene Daten verarbeitet werden, transparente Informationen zur Verfügung gestellt werden;
• dass die Zustimmung zur Verarbeitung personenbezogener Daten, insbesondere der Daten von Kindern, in angemessener Weise eingeholt wird;
• dass alle technischen und organisatorischen Maßnahmen getroffen werden, um die sichere Verarbeitung der Daten von Personen zu gewährleisten;
• dass die Verfahren für die Meldung von Verletzungen des Schutzes personenbezogener Daten eingehalten werden;
• dass die Verfahren, einschließlich der Sicherheitsvorkehrungen, für die Übermittlung personenbezogener Daten an Nicht-EWR-Länder und -Organisationen eingehalten werden;
• dass die Verfahren für Gerichtsverfahren und Streitbeilegung befolgt werden.

5.    Zertifizierung

Eine Organisation, die eine datenschutzspezifische Zertifizierung erhält, kann mit dieser Zertifizierung nachweisen, dass die DSGVO bei ihren Verarbeitungsvorgängen eingehalten wird.

Die Aufsichtsbehörden können zum Beispiel:

• Zertifizierungen in Bezug auf ihr eigenes Zertifizierungssystem ausstellen;
• selbst Zertifizierungen in Bezug auf ihr eigenes Zertifizierungssystem ausstellen, aber den gesamten oder einen Teil des Bewertungsprozesses an Dritte delegieren;
• ein eigenes Zertifizierungssystem schaffen und bestimmte Stellen mit der Ausstellung dieser Zertifizierungen beauftragen;
• den Markt ermutigen, Zertifizierungsmechanismen zu entwickeln;
• die Zertifizierungssysteme der Zertifizierungsstellen bewerten.

Eine Zertifizierungsstelle hat die Aufgabe, auf der Grundlage eines Zertifizierungsverfahrens und genehmigter Kriterien, Zertifizierungen zu erteilen, zu überprüfen und zu entziehen.

Die Zertifizierungsstellen müssen die Bewertung der Verarbeitungsvorgänge Ihrer Organisation, für die eine datenschutzspezifische Zertifizierung ausgestellt werden kann, dokumentieren.

Meine Organisation hat eine DSGVO-Zertifizierung erhalten, wie geht es nun weiter?

Die Zertifizierung eines Verarbeitungsvorgangs, den Ihre Organisation durchführt, ist maximal drei Jahre lang gültig, kann aber verlängert oder widerrufen werden. Um die Zertifizierung aufrechtzuerhalten, muss Ihre Organisation die Maßnahmen rund um den zertifizierten Verarbeitungsvorgang kontinuierlich und konsequent umsetzen.

2020ff. by ds² Unternehmensberatung GmbH & Co. KG.

05.06.2023

Im Urteil C-300/21 wurden dem EuGH die Fragen vorgelegt, ob ein
bloßer Verstoß gegen die DSGVO ausreicht, um einen Schadenersatzanspruch zu begründen und ob ein dadurch entstandener immaterieller Schaden einen bestimmten Grad an Erheblichkeit erreichen muss. Des Weiteren sollte geklärt werden, welche unionsrechtlichen Vorgaben für die Festsetzung der Höhe des Schadenersatzes bestehen.
Der EuGH urteilte, dass für einen Schadenersatzanspruch drei kumulative Voraussetzungen vorliegen müssen:

1. Ein Verstoß gegen die DSGVO
2. Ein materieller oder immaterieller Schaden aus dem Verstoß
3. Einen Kausalzusammenhang zwischen dem Schaden und dem Verstoß
   Der EuGH kommt damit also zu dem Ergebnis, dass allein ein Verstoß gegen Vorschriften der DSGVO noch keinen Schadensersatzanspruch begründet. Es muss durch diesen Verstoß auch zu einem materiellen oder immateriellen Schaden für die betroffenen Person gekommen sein. Das ein solcher Schaden vorliegt, ist durch die betroffene Person nachzuweisen.
   Es ist für das Vorliegen eines Schadensersatzanspruches aber nicht notwendig, dass ein Schaden erheblich ist. Es genügt bereits, dass überhaupt ein Schaden vorliegt.
   Für die Bestimmung der Höhe des Schadensersatzes sind die einzelnen Mitgliedstaaten zuständig. Sie müssen Kriterien für die Ermittlung des Umfangs des Schadensersatzes festlegen.

05.06.2023

Gemäß Art. 15 DSGVO hat die betroffene Person das Recht von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob und welche sie betreffenden personenbezogenen Daten verarbeitet werden. Darüber hinaus hat die betroffene Person gem. Art. 15 Abs 3. DSGVO das Recht, eine kostenlose Kopie der sie betreffenden personenbezogenen Daten zu verlangen.

Im nun veröffentlichten Urteil des EuGH (Rechtssache C-487/21) hatte dieser geklärt, dass das Recht, eine „Kopie“ zu erhalten, bedeutet, dass der betroffenen Person eine originaltreue und verständliche Reproduktion aller über sie gespeicherten personenbezogenen Daten übermittelt werden muss.

Dies impliziert Kopien von Auszügen aus Dokumenten oder von ganzen Dokumenten. Es kann aber auch ein Auszug aus Datenbanken verlangt werden, wenn dies unerlässlich ist, um das Auskunftsrecht geltend zu machen.

Eine rein allgemeine Beschreibung der personenbezogenen Daten, die
Gegenstand der Verarbeitung sind, oder ein Verweis auf Kategorien personenbezogener Daten entspricht nicht der Definition von „Kopie“.

Die betroffene Person muss aus dem Auskunftsrecht überprüfen können, ob die sie betreffenden personenbezogenen Daten nicht nur richtig sind, sondern auch rechtmäßig verarbeitet wurden.